前端新聞
Swift 標準庫預覽版發佈
近日,Swift 團隊發佈了 Swift 標準庫預覽版(Swift Standard Library Preview 軟件包),預覽包提供對已通過Swift Evolution流程接受到Swift標準庫中的功能的訪問,但尚未作爲Swift的正式發行版的一部分提供。
延伸閱讀:
https://swift.org/blog/preview-package/
谷歌工程師:手機廠商請不要自行修改 Linux 內核代碼
Google Project Zero(GPZ)團隊近期報告了三星 Android 內核上的漏洞。並指出,三星試圖通過修改內核代碼來抵禦攻擊,反而因此暴露出更多安全漏洞。
目前,一些 Android 手機通過專用的幫助程序來訪問硬件,這些幫助程序在 Android 中統稱爲硬件抽象層(HAL)。來自 GPZ 的研究員 Jann Horn 表示,手機廠商修改 Linux 內核核心部分的工作方式反而破壞了其原有的攻擊鎖定性能。就像三星一樣,某些被添加的自定義功能是不必要的,完全可以刪去,也不會造成任何影響。
因此,他建議手機製造商使用 Linux 已經支持的直接硬件訪問功能,無需再自定義 Linux 內核代碼。
因 IE 存在嚴重漏洞,微軟爲 Windows 7 發佈安全更新
Windows 7 已經停止更新,但近日在微軟發佈的更新指南中,微軟爲 Windows 7 發佈了安全補丁,CVE-2020-0674 公告中寫道:
這個遠程代碼執行漏洞存在於 IE 瀏覽器處理腳本引擎對象的內存中。該漏洞可能以一種攻擊者可以在當前用戶的上下文中執行任意代碼的方式來破壞內存。成功利用此漏洞的攻擊者可以獲得與當前用戶相同的用戶權限。
如果當前用戶使用管理用戶權限登錄,則成功利用此漏洞的攻擊者可以控制受影響的系統。然後,攻擊者可能會安裝程序。查看,更改或刪除數據;或創建具有完全用戶權限的新帳戶。
延伸閱讀:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0674
Microsoft存在子域劫持問題
垃圾郵件發送者劫持了Microsoft子域,以宣傳撲克賭場。許多其他子域多年來一直處於脆弱狀態。NIC.gp的安全研究員和開發人員Michel Gaschet提出,微軟在管理其數千個子域時存在問題,其中許多可以被劫持並用於攻擊用戶,員工或顯示垃圾內容。Gaschet 在接受ZDNet採訪時說,在過去三年中,他一直在向Microsoft報告具有錯誤配置的DNS記錄的子域,但該公司要麼忽略報告,要麼靜默保護某些子域,但不是全部。
延伸閱讀:
https://www.zdnet.com/article/microsoft-has-a-subdomain-hijacking-problem/
Mozilla 向社區求助 WebRender 錯誤的解決方法
Mozilla Gfx團隊在博客中向廣大開發者求助,起因是他們收到了UI錯誤報告,然後一直在跟蹤人們發佈的一些WebRender錯誤。但是Mozilla Gfx團隊無法確定重現這些問題的明確步驟,也無法找到解決方案。所以向社區求助開發者幫助他們追蹤該錯誤的再現步驟(又名STR)。
行業新聞
Facebook 開源 PyTorch3D
2 月 17 日消息,Facebook 近日開源了將 PyTorch 用於 3D 深度學習的函數庫 PyTorch3D,這是一個高度模塊化且經過優化的庫,具備獨有的功能,旨在通過 PyTorch 簡化 3D 深度學習。PyTorch3D 爲 3D 數據提供了一組常用的 3D 運算符和快速且可微分的損失函數 (loss function),以及模塊化的可微分渲染 API。通過上述的功能,研究人員可以立即將這些函數導入至當前最先進的深度學習系統中。
螞蟻金服某 P6 程序員從釘釘非法獲取阿里、螞蟻金服 8 萬條信息
來自雲頭條消息:螞蟻金服 P6 高級技術支持工程師祝某某,從 2017 年 5 月至 8 月,通過錄屏方式從釘釘非法獲取阿里、螞蟻員工 (含外包)的個人及職務信息超過 8 萬條,相關信息被製作成視頻並上傳至百度雲盤,祝某某的行爲嚴重違反《商業行爲準則》第二條關於遵守法律的規定、第三條第 11 款關於保密信息的規定,構成《員工紀律制度》規定的一類違規,決定處以辭退處分。同日,螞蟻金服公司向祝某某發出《解除勞動合同通知》,以祝某某嚴重違反公司規章制度爲由解除勞動合同。
釘釘自制“鬼畜視頻”在線求饒:少俠們饒命
由於受新冠肺炎疫情的影響導致延遲開學,不少學校藉助各大廠商的在線教學工具,開展遠程教學、線上網課。近期全國萬所學校推行釘釘在家上課以來,釘釘應用市場的評論區卻收到了大量來自小學生的一星“好評”。
或許這個鬼畜視頻真的起了作用,目前釘釘在蘋果的 App Store 評分已經略微回升到了 2.5 分,此前其評分曾一度被刷到 2 分以下。
C++ 20即將發佈
近日,Reddit上一篇帖子表示,C++ 20 已經通過了委員會草案:
在近期 ISO C++ 委員會會議上,我們完成了 C++ 20 委員會草案,並投票決定將國際標準草案(DIS,Draft International Standard)發送出去,以進行最終批准和發佈”,帖子介紹:“在程序上,DIS 可能會被拒絕,但是由於我們的程序和過程,這種情況極不可能發生。這意味着 C++ 20 已經完成,並將在幾個月後發佈該標準。
延伸閱讀:
https://www.reddit.com/r/cpp/comments/f47x4o/202002_prague_iso_c_committee_trip_report_c20_is/
深度閱讀
如何使現代Web體驗更安全
在最近的網絡攻擊中,梅西百貨(Macy’s),史密斯韋森(Smith&Wesson)和英國零售商Sweaty Betty等三個著名站點遭到了類似的Magecart風格攻擊,以竊取購物者的個人信息。信息很明確:網站和Web應用程序容易受到攻擊,並且現有的安全部署不足以防禦客戶端攻擊。
延伸閱讀:
https://hackernoon.com/how-we-can-make-the-modern-web-experience-more-secure-zheh38s2
使用JavaScript和AWS CloudWatch編排網站內容
編排網站內容很困難。大多數內容管理系統(CMS)具有發佈產品,博客文章和其他類型的平臺相關內容的功能,但是簡單地構建HTML怎麼辦?作爲開發人員,有時我們希望在特定時間段內展示我們網站的一部分。本文將告訴你怎樣操作。
解碼Vue CLI
CLI(命令行界面)的思想是使用簡單的可編輯命令,以產生更大的輸出。Vue CLI也不例外。當一個新項目開始時,開發人員最後要擔心的是項目腳手架。幸運的是,Vue團隊已將腳手架,原型設計以及其他各種方便的命令捆綁到一個簡單的CLI工具中!
延伸閱讀:
https://alligator.io/vuejs/vue-cli-reference/
爲什麼要對SaaS產品使用ReactJS
持續改進和對最新技術進行修改的能力是保持與行業相關性的關鍵。像Netflix,Instagram和Facebook這樣的公司意識到這一點,並跟上最熱門的趨勢。最近,人們的興趣似乎轉移到了ReactJS及其雄偉的功能上。
延伸閱讀:
https://hackernoon.com/reasons-to-use-reactjs-for-saas-products-mv5s36ao
將TypeScript與Vue單個文件組件一起使用
您可能會問自己“什麼是TypeScript”?這是發展最快的編程語言之一。它是Microsoft創建的JavaScript超集,將鬆散類型的語言轉換爲嚴格類型的語言。它是帶有可選類型聲明的ES6。
延伸閱讀:
https://alligator.io/vuejs/using-typescript-with-vue/
工具 & 庫 & 資源
Node.js 13.9.0 發佈
2月18日,Node.js 13.9.0正式發佈,詳情請查看更新說明。
延伸閱讀:
https://github.com/nodejs/node/releases/tag/v13.9.0
Ionic 5.0.1 發佈
Ionic 是一個高級的 HTML5 移動端應用框架,也是一個開發混合移動應用的前端框架。
延伸閱讀:
https://github.com/ionic-team/ionic/releases/tag/v5.0.1
Windows Terminal Preview v0.9版本
Windows Terminal v0.9版本已經發布.這是終端的最新版本,它將在v1.0發行版之前包含新功能。您可以從Microsoft Store或GitHub版本頁面下載Windows終端。
延伸閱讀:
https://devblogs.microsoft.com/commandline/windows-terminal-preview-v0-9-release/