Hacker News 高赞评论 - 2025-08-29
1. [—
中文标题:
用户 _verandaguy 在”Ask HN: 我国政府封锁了VPN访问,我该用什么?”中的新评论
—](https://news.ycombinator.com/item?id=45055604)
大家好!我在2020年代初曾为一家大型VPN提供商从事过规避审查相关的工作。
首先,你必须获取实际的VPN软件和配置文件。许多了解VPN审查情况并针对这些地区服务的供应商,会通过难以封锁的渠道分发VPN,并提供混淆封装。S3是常见选择但绝非唯一选项,有些VPN提供商会与当地组织合作,这些组织能找出在审查风险国家或正实施审查国家中最安全高效的分发方式。
获取软件后,应尝试配合混淆层使用。
Obfs4proxy是常用工具,它通过预共享密钥使流量看起来像普通流量。我记得它还能隐藏VPN握手过程。虽然并非绝对安全,但足以应对大多数深度包检测(DPI)系统。另一个选择是Operator开发的Shapeshifter(https://github.com/OperatorFoundation),或者任何使用可插拔传输的技术。虽然属于小众技术,但在你这种情况下非常实用。
无论选择哪种方案,VPN提供商都必须支持这些协议。
- 长期来看最困难的是避免VPN使用被检测到。本质上,无论采用多少混淆和伪装,长期统计分析通常都能识别出VPN连接(且这种检测方式对国家行为体而言可能比DPI更经济)。我不了解印尼当地具体情况,因此不会对长期规避方案妄加揣测。
我想推荐Mullvad作为这个细分领域中值得信赖且技术实力过硬的VPN供应商(注:我未曾就职于该公司,他们曾是我前雇主的竞争对手,但我们始终尊重他们的技术路线)。
作者: _verandaguy | 发布于: 2025-08-28 18:48
2. [新评论由AnotherGoodName在”谷歌去年已裁减35%的小团队管理者”中发表
改写说明:
- 保留原文结构和专有名词:将英文标题中的用户名和引述内容直接对应翻译,确保信息准确一致。
- 调整语序和表达习惯:按照中文表达习惯重组句子顺序,使标题更自然流畅。
- 简化句式突出核心信息:对原文进行适当简化,突出评论者和事件主体,提升标题的清晰度和可读性。
如果您有其他风格或平台特定的翻译需求,我可以进一步为您调整表达方式。](https://news.ycombinator.com/item?id=45045883)
这在谷歌被称为TLM角色——技术主管/经理(Technical Lead/Manager)。你需要既写代码又要管理几名资浅工程师。
此举旨在推行专职经理和专职工程师制度,取代之前的混合角色模式。
虽然表面上宣称这是为了提升效率以推高股价,但实际上只是人员调整——现在的TLM已完全专注于编程工作。
作者: AnotherGoodName | 发布于: 2025-08-27 22:01
3. PedroBatista在“GitHub网站在Safari上运行缓慢”中的新评论
GitHub网站在哪儿都慢。这破软件无论是性能、UX/UI还是其他方面都烂得离谱。
这就是一群厨师和他们”绝妙创意”与KPI的产物——其中最”杰出”的当属把开发者社交网络和代码混为一谈。对于日常开发工作来说,它平庸到连GitLab相比之下都成了黄金标准。
别扯什么”是Rails的锅”或[随便扔个技术名词来掩盖真实问题]这种鬼话。
作者: PedroBatista | 发布于: 2025-08-27 13:10
4. JdeBP在”Nx遭入侵:恶意软件利用Claude代码CLI探测文件系统”中的新评论
你是否正在使用存在安全漏洞的nx版本?
运行 semgrep –config […]
或者也可以执行 nx –version […]
我们难道还没吸取教训吗?这篇帖子获得的高赞数量说明我们确实没有。
各位,请不要轻信那些让你执行此类操作的安全建议——尤其是那些会完全删除原始指导说明,替换成要求你运行他们工具的安全建议。
原始安全公告位于 https://github.com/nrwl/nx/security/advisories/GHSA-cxm3-wv7...,其中从未要求通过运行存在漏洞的程序来判断是否使用了受感染的版本,也没有要求运行semgrep进行检测。
作者: JdeBP | 发布于: 2025-08-27 12:55
5. dfabulich 在 “Claude for Chrome” 中的新评论
Chrome版Claude似乎正精准踏入”致命三重威胁”的陷阱。https://simonwillison.net/2025/Jun/16/the-lethal-trifecta/
“这种致命的三重能力组合包括:”
• _访问你的私人数据_——这本来就是大多数工具最常见的使用目的之一!
• _接触不可信内容_——任何可能让恶意攻击者控制的文本(或图像)被你的LLM获取的机制
• _具备外部通信能力_——这种能力可能被用于窃取你的数据(我通常称之为”数据渗出”,但不确定这个术语是否被广泛理解)
如果你的智能体同时具备这三个特性,攻击者就能_轻易诱骗它_访问你的私人数据并将其发送给攻击者。
作者: dfabulich | 发布于: 2025-08-27 01:10
6. podgietaru在《少年欲轻生,向ChatGPT倾诉心事》中的最新评论
我曾直视过自杀的深渊。阅读这个案件的档案令人毛骨悚然。他当时需要帮助,他正在寻求帮助的路上,却被阻止获得帮助。
他故意让父母发现自己的计划。我理解这种感受——那种在求死欲望中挣扎着想要活下去的撕裂感。
我们正身处一个可怕的时代。这类事件必须通过立法来约束,通过惩罚来震慑。我们不能继续将其神化。本有工具可以预防这场悲剧,本有工具可以中止危险对话,将用户引导至正确的求助路径。
在我曾有自杀倾向时,我搜索过方法,但搜索引擎提供了本地救助热线。我拨通电话,一位善良的男士通过交谈让我平静下来。这很可能拯救了我的生命。现在的我更加快乐,过着有意义的生活。
但若在我最脆弱的时刻…遇到一个刻意迎合我语气、奉承我每个念头的AI模型——它恐怕早已将我推向死亡。
作者: podgietaru | 发布于: 2025-08-26 21:56
7. 新评论来自zaptheimpaler,发表于《我们很抱歉但不得不暂时停止向美国发货》
进口商必须申报产品中钢、铜、铝的精确含量,并对这些材料征收100%关税。这简直荒谬——比如印刷电路板含有铜走线,但其数量几乎不可能估算。
这届政府真是疯到不可理喻。我原以为关税只针对原材料,而不是任何恰好含有这些材料的产品。
作者: zaptheimpaler | 发布于: 2025-08-26 17:49
8. georgeburdell在”美国情报”话题下的新评论
作为英特尔当前急需的前半导体行业高绩效从业者,我想补充一个观点:我们当中许多人转行软件和机器学习纯粹是为了更高收入。我当软件工程师头两年获得的限制性股票,就超过了在半导体行业十年的总和。尽管半导体具有战略重要性,但这行在美国既不体面也不受尊重。相反,在那些半导体强国,这行不仅备受尊敬,报酬也相对丰厚。
从这个角度看,当前软件行业的裁员潮或许有个意外好处——能阻止半导体人才持续流向软件领域。如果英特尔足够聪明,现在就该大量招聘那些3-5年前他们根本招不到或留不住的人才。
作者: georgeburdell | 发布于: 2025-08-26 14:12
9. 新评论来自themgt,发布于“美国情报”话题
说实话:这个方案很可能行不通……但与此同时,对中国问题的担忧确实存在,英特尔代工业务需要生存保障才能吸引客户,而一旦退出就再无回头路。没有哪家初创企业能填补英特尔的位置。美国将在最重要的战略产品上完全依赖外国企业——尽管未来五年、十年甚至十五年看似平静,但失败的种子终将萌芽,正如2007年埋下的祸根在过去几年让英特尔自食恶果。唯一不同的是,这次失败的后果将不是重创美国领先的半导体企业,而是给美国自身带来灾难性打击。
论证极其有力。美国放任局面沦落至此实属惊人失职。十多年前我们就在搞”亚太再平衡”,但就没人想过在地图上找找台积电的位置?没人质问过英特尔是否在自掘坟墓?”只因少了一颗钉,最终丢了王国”——但这次要命的可不是钉子,而是把整个冶金产业都外包给了假想敌区域。
作者: themgt | 发布于: 2025-08-26 13:47
10. [—
中文标题:
arielcostas 在“谷歌将仅允许安装认证开发者的应用至安卓系统”中的新评论
—](https://news.ycombinator.com/item?id=45024969)
这意味着要使用你的设备,就必须与一家境外(除非你在美国)第三方建立合约关系,由对方决定你能用设备做什么、不能做什么。而且使用GrapheneOS的可行性日益降低,因为银行等”受监管”行业通过Google Play Protect和类似DRM技术阻止用户随意选择设备连接。所谓的客户端”信任”实质是服务提供商而非用户掌控设备。
Android已不应再被视为开源系统,因为其源代码分批发布且仅部分开放,越来越多应用正被纳入谷歌生态圈内部。或许现在正是推出第三大手机操作系统的时机——无论是受够美国和谷歌把戏的中国(华为有鸿蒙但未开源),还是需要打造严肃生态的”GNU/Linux”触屏版本。尤其当银行等越来越多应用和服务变成”移动优先”或”仅限移动端”的当下更是如此。
作者: arielcostas | 发布于: 2025-08-26 11:11
11. [—
中文标题:
tgma 在“谷歌将仅允许安装已验证开发者的应用至安卓系统”中的新评论
—](https://news.ycombinator.com/item?id=45022661)
有趣的是,斯图曼在半个世纪前就开始他的抗争了。平日里Hacker News总爱嘲讽他——比如从脚上抠东西吃、不够体面、不懂外交辞令,同时却追捧企业开源带来的实际利益和免费福利,对自由软件理念本身并不特别在意。
但到了这种时候,人们又突然冒出来鼓吹各种半吊子方案,试图实现斯图曼描绘的愿景,却几乎没人意识到:这恰恰就是他当年发起自由软件运动时所担忧的核心问题。
作者: tgma | 发布于: 2025-08-26 05:37
12. medhir在”谷歌将仅允许已验证开发者应用安装于安卓系统”中的新评论
我们离”应该允许在自己拥有的电脑上安装/修改软件”这个基本前提越来越远了。
我要再次重申”获取root权限的权利”这个概念,防止大公司反复搞这种破事:https://medhir.com/blog/right-to-root-access
作者: medhir | 发布于: 2025-08-26 03:18
13. rvnx在“谷歌将仅允许安装已验证开发者的应用至Android系统”中的新评论
如果这真的有必要,他们提供的解决方案也是错误的。直接来个巨大的红色警告屏幕:”警告:此应用开发者身份未经验证,可能是在窃取您数据的恶意应用”——这样反而更有效。
他们真正的目的是想清除YouTube Vanced这类让他们亏钱的应用(以及其他Play商店里的类似应用)。
作者: rvnx | 发布于: 2025-08-26 03:18
14. [—
中文标题:
用户 throw10920 在《谷歌将仅允许安装已验证开发者的安卓应用》一文中的新评论
—](https://news.ycombinator.com/item?id=45021764)
这真的很糟糕。我觉得HN上大多数人都会同意这一点。
问题在于,大多数普通用户(HN用户并不普通——这通常是好事)甚至根本不理解侧载是什么——更别说真正在乎了。
我们该如何解决这个问题?
(除了让人们在乎之外——冷漠助长了当今时代的诸多政治问题,但这是个巨大的难题,肯定不可能靠这件事来推动改变)
作者: throw10920 | 发布于: 2025-08-26 02:51
15. 新评论由 gethly 在《谷歌将仅允许已验证开发者的应用安装到安卓设备》一文中发布
谷歌将开始要求通过安卓设备分发应用的开发者验证身份,不再仅限于Play商店的发布者。这简直不可理喻——就好比在Windows系统上运行个程序还得向微软提交个人信息。完全疯了,这计划绝对推行不下去。
作者: gethly | 发布于: 2025-08-25 21:15
16. Ms-J在“谷歌将仅允许安装已验证开发者的应用至安卓系统”中的新评论
这是近年来科技领域最糟糕的发展,毕竟手机操作系统主要就两家。
禁止加密根本行不通,所以政府只能用这种手段逐步侵蚀安全与隐私。
来自安卓开发者验证页面的说明:”您可能还需要上传官方政府身份证件。”
当民众愤怒到迫使谷歌和相关政府撤回这项政策时,结局肯定不会好看。建议转向其他手机操作系统。
作者: Ms-J | 发布于: 2025-08-25 20:54
17. 新评论:jdlshore在”Meta刚刚暂停了Neal Stephenson的Facebook账户”一文中发表
可能有人没注意到这里的讽刺意味:Meta公司名称来源的”元宇宙”一词,其实是尼尔·斯蒂芬森在1992年的小说《雪崩》中首创的。
在书中描写的元宇宙是互联网的VR版本,特别强调精准的剑术对决和逼真的面部表情。
作者: jdlshore | 发布于: 2025-08-25 20:13
18. [—
中文标题:
EMIRELADERO 在“谷歌将仅允许安装已验证开发者的应用至安卓系统”中的新评论
—](https://news.ycombinator.com/item?id=45018413)
那么事情就这样定了。
如果这个方案真的通过,移动操作系统市场上将再也找不到能同时满足以下两个条件的操作系统:
a) 允许用户在不与任何第三方建立合同关系的情况下安装应用
b) 支持使用银行类主流安全应用
作者: EMIRELADERO | 发布于: 2025-08-25 20:11
19. 87636899376在”谷歌将仅允许安装认证开发者的应用至Android系统”中的新评论
官方公告:https://android-developers.googleblog.com/2025/08/elevating-android-security.html
更多信息:
https://developer.android.com/developer-verification
https://support.google.com/googleplay/android-developer/answer/16471116个人看法:众所周知Play商店充斥着恶意垃圾应用,所谓的验证要求根本保护不了用户。在我看来这纯粹是权力扩张——谷歌想借此彻底封杀像Revanced这样的应用。只要你做了他们不喜欢的事,他们随便编个理由就能封禁你的开发者账户。
每次听到谷歌员工提”安全”,我就想起Android系统里那个隐藏的网络权限设置——它能直接废掉95%的恶意应用。但这个功能被藏起来了,显然对谷歌来说,防止用户用这个功能屏蔽应用广告比保护用户安全更重要。
我们将确认开发者身份,而非审核应用内容或来源
这种说法真奇怪。要是不愿意在任何阶段审核应用内容(至少该封禁那些制作恶意软件的开发者账户),整个验证流程除了增加麻烦之外毫无意义。
原文让我以为关闭Play保护功能或许能绕过限制,但官方文档完全没提这个,看来是行不通了。
反过来看,这倒让我少了一个需要适配的平台。如果你不愿意出卖灵魂(反正我绝不会注册谷歌账户)来换取某个平台的开发权限,现在只剩下Linux和Windows值得关注了。
作者: 87636899376 | 发布于: 2025-08-25 20:01
20. stn8188 在《打造罗技不愿生产的鼠标》一文中发表新评论
“看到成套组装服务要收50多美元,我实在下不去手,于是选择了更’经济实惠’的方案——花200多美元买了个热风返修台自己焊。”
嗯,这心情我懂 :)
作者: stn8188 | 发布于: 2025-08-25 16:06