2025-01-16 | Google OAuth 存在漏洞：数百万账户面临风险
13:39 Share

深入浅出 FFMpeg：从基础到进阶

在这期播客中，我们探讨了一本名为“FFmpeg by Example”的实用指南，这本书不仅涵盖了 FFMpeg 的基本用法，还介绍了许多高级处理技巧。听众 piyushsthr 分享了他如何使用 Chat GPT 简化复杂命令的过程，而其他评论者则提供了许多关于视频合并、性能优化的宝贵意见。特别是对于那些希望从基础命令行转向使用 Python 的用户，dekhn 的经验分享将为您提供指引。

文章链接: FFmpeg by Example)

HN 链接: Hacker News 讨论)

别错过 Firefox：为什么我不再回头

在这篇文章中，作者详细介绍了他从 Chrome 转向 Firefox 的经历，并未再回头。Firefox 提供了出色的标签管理、更好的隐私保护功能以及更轻松的扩展支持。这位作者特别指出了一些对用户友好的功能，如「画中画」视频播放、AI Chatbot集成、以及优秀的同步体验，令人难以抗拒。许多读者在评论中分享了他们对 Firefox 的喜爱，并期待未来能有更多的功能完善。

原文链接：I Switched to Firefox and Never Looked Back) HN 链接: Hacker News 评论)

深入探讨 MrBeast：YouTube 王国背后的秘密

在互联网的世界中，MrBeast 是一个不可忽视的存在，他通过各式各样的极端挑战和慈善行为赢得了全球观众的关注。在一篇关于 MrBeast 的深度分析文章中，作者揭示了 MrBeast 如何运用 YouTube 的观众反馈机制来优化其视频内容，甚至将其人生转变为一种围绕数字观看指标旋转的艺术。与此同时，这种追求的背后也隐藏着对于创作者身份和内容真实性的质疑，反映出在社交媒体中自我表现和观众期望间难以调和的矛盾。

文章链接: In the belly of the MrBeast)

HN 链接: Hacker News 讨论)

Google OAuth 存在漏洞：数百万账户面临风险

据 Truffle Security 报告指出，Google 的 OAuth 登录存在一个严重的漏洞，该漏洞允许道德有瑕疵的人通过购买失败初创企业的域名，重新创建前员工的电子邮件账户，进而获得各种 SaaS 产品的访问权限。特别是对于依赖 Google Workspace 的企业，该漏洞可能会涉及到数百万的账户和敏感信息。

该漏洞的核心问题在于，Google 的 OAuth 登录无法杜绝域名更换后的用户假身份登录问题。即使 Google 已描述 sub 声明应当用以识别用户，但实践中该声明并不总是可靠，导致服务提供商最终依赖 email 和 hd 声明来验证用户身份。这种情况使得拥有旧域的恶意者能轻松访问那些依赖电子邮件地址登录的服务，甚至包括含有社保号码和税务文件的人力资源系统。

文章链接: Millions at risk due to Google’s OAuth flaw)

HN 链接: Hacker News 评论)

苹果即将在美国本土接收 TSMC 亚利桑那工厂的芯片

来自 TSMC 亚利桑那工厂的美国本土芯片即将交付给 Apple。虽然芯片生产在美国完成，但最终的封装仍需运回台湾。这标志着美国在降低对台湾芯片依赖方面迈出了重要一步，特别是在台湾位于地缘政治风险较高的地方时。此外，TSMC 也在与亚利桑那大学合作，推动本地人才的培养。

文章链接: Apple will soon receive 'made in America' chips from TSMC's Arizona fab)

HN 链接: Hacker News Discussion)

线上求职者头疼：五分之一招聘信息竟是“幽灵职位”

一项研究发现，五分之一的在线招聘广告要么完全是虚假的，要么从未招满。这种“幽灵职位”的普遍存在，不仅让求职过程变得更加艰难，也引发了大量求职者的抱怨。评论员指出，这样的广告可能只是公司用来制造虚假增长的手段，实际上根本不打算招聘。在面对诸如此类的求职困境时，一些平台已经开始引入职位验证服务，以减少这种信息不对称现象。

文章链接: 1 in 5 online job postings are either fake or never filled, study finds)

HN 链接: 评论与讨论)

转角的选择：多行交汇处的危险与效率

在加州的 Orange 市，一项针对十字路口的改造引发了广泛的讨论。位于大学校园内的 Lemon 和 Palm 路口，由原本的四向停车标志改为信号灯控制。这一变化旨在提升交通流动性，但实际上却增加了行人的过街难度和危险性。尽管该交汇口不属于主要交通要道，但其频繁的步行活动让此处成为当地关注的焦点。

故事链接：Making an intersection unsafe for pedestrians to save seconds for drivers)

HN 链接: Hacker News 评论)

不要轻视余弦相似度的使用

在数据科学领域中，余弦相似度常被用来衡量向量之间的相似性。然而，盲目地应用这种方法可能导致误导。虽然嵌入模型能够捕捉到句子之间的相似度，但经常反映的是错误的相似性类型——例如，将问题匹配到问题，而不是匹配到答案。这篇文章强调了在大多数情况下，不负责任地使用余弦相似度可能掩盖了更深层次的问题。

文章链接: Don't use cosine similarity carelessly)

HN 链接: Hacker News Discussion)

PostgreSQL 荣获年度数据库管理系统大奖

PostgreSQL 再次荣获 2024 年年度数据库管理系统大奖，这是其连续第二年获得此殊荣，并且自 2017 年以来已经第五次登顶。这一开源数据库因其不断的性能增强和稳定性，继续在技术前沿保持领先。越来越多的公司选择 PostgreSQL ，不仅因为其先进的技术架构，也因为其与其他云服务的兼容性。

文章链接: PostgreSQL is the Database Management System of the Year 2024) HN 链接: Hacker News 讨论)

道路标志：核辐射风险中的生命指南

在核污染地区，政府设立了特殊的道路标志，提醒人们在辐射区中，通过快速行驶来减少暴露时间。根据用户 redox99 的评论，这些标志并不是意味着立即死亡，而是增加了癌症风险的可能性。在福岛排除区，一些道路严格限制停车和步行，这些措施都是为了公众的安全。值得庆幸的是，虽然这些标志在冷战时期被设计出来，但从未在大规模紧急情况下被实际使用过。

文章链接: If You Ever See This Speed Sign, You're Probably Going To Die) HN 链接: Hacker News 讨论)