V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  0o0O0o0O0o  ›  全部回复第 8 页 / 共 161 页
回复总数  3204
1 ... 4  5  6  7  8  9  10  11  12  13 ... 161  
1. node 生产环境一样要打包混淆压缩,部署源码是错误的做法
2. node 编译产物和 java 编译产物在防止泄漏源码这件事上强度差不多
3. 有直接登录生产服务器权限的人想干什么都行,你可能需要的是堡垒机
92 天前
回复了 bigbugbag 创建的主题 程序员 局域网 web 服务 HTTPS
> 前一段时间,有一个小红书的博主,向大家展示自己向 Kubernetes 提交一行文档错误修复的 PR ,并获得批准的过程。那时候,不少人指责博主这么做是在浪费开源软件维护者的时间。

首先论迹不论心,我觉得那个博主没有问题,反倒是指责她羞辱她的人多有问题。

> 有一种观点认为,提交这一类 PR 的人,并不是真心愿意参与开源项目,只是期盼未来出现形如 HNS 或者 STRK 这样的加密货币空投,发放给在开源社区有过贡献的人,从而让自己也获取数百美元的空投加密货币,带来经济利益

值得警惕的是低质量 PR 的 flood ,而不是「细小 PR 」,因为前者会影响社区的正常运行,后者不会。至于 flood ,哪怕没有空投也会有别的,因为世界很大开源很小。

可能会是 T 恤:
- https://joel.net/how-one-guy-ruined-hacktoberfest2020-drama
- https://blog.domenic.me/hacktoberfest/

可能会是 AI:
- https://navendu.me/posts/ai-generated-spam-prs/

可能会是一份教程里的「求职技巧」:
- https://x.com/feross/status/1757463614532071545

> 如果有加密货币空投这个因素需要考虑的话,那么作为具有一定数量的 star 的开源软件维护者,是否需要在 PR 审核的策略上,做出一些调整,把这些并非真正参与开源项目,而是博取针对开源贡献者的加密货币空投的人,来过滤掉?

空投、T 恤、求职加分都是被外部加上去的,跟开源无关,开源社区在它自己的范围内保持公平就行:遇到 flood 那就拒绝所有低质量 PR 和「细小 PR 」,遇到本社区的老面孔使劲刷这类 PR 那就拒绝并批评,其它的就按照对待本社区新人的正常流程来。至于贡献者是被什么驱动,那是别人的自由。

> 但是这也没有一个有效的策略,可能需要对这个人以及这个 GitHub 账号进行深入的背景调查,才能得出这个人对这个开源项目的忠诚程度。

我觉得这整句话都太怪了,给某个开源项目 PR 为什么要对它忠诚?随机找到个以后也不会再接触的一次性轮子,使用之后改一改 typo 修一修小 bug ,这样的 PR 很自然而然啊。还是那句话,论迹不论心。
93 天前
回复了 iqoo 创建的主题 程序员 使用 AES 生成伪随机数如何?
出门在外身份都是自己给的,我就觉得你是专家我也是专家,你是你们厂的专家,我是我们村的专家
你的问题
做成小书或视频放在网上不就行了吗?有搜索引擎有 AI ,还能有难以入门的普通技能?手把手教学的成本高大概是因为沟通成本高,沟通成本高是因为需要手把手教学的人一般没什么学习的内驱力,什么都等着喂。
> 还要要求原始的代码够简单, 不说能完全让人读懂, 但至少能粗略审核保证没有主观恶意或漏洞/后门

这是优点,但我认为和要讨论的浏览器提供的特性没有太大关系,因为这样的特性应当是通用的,而且我对未经训练的人士能审计出精心构造的漏洞持怀疑态度。这个特性需要确保应用在被专业机构审计后,用户一定可以原封不动地拿到审计过的版本,浏览器网页欠缺这个保障。

> 如果有认识 chrome 或 ladybird 浏览器的大佬, 可以提一下这个想法

它们是开源项目,你可以自己去提 proposal 。但我建议先了解 WEI 风波期间对它的那些激烈批评,了解它为什么广受批评:浏览器是一个“通用”的运行环境,你当然可以借助这个特性保护用户的安全,但别人也可以借助这个特性剥削用户。我认为 Chromium 数年内是没机会再(往所有平台)加入这类特性了,ladybird 的定位则让它天然抵制这类特性。我坚持我的观点:不要在**浏览器网页**中解决这些问题,既不要试图在现在用各种思路实现(也不可能实现),也不要期待未来会增加这样的特性。
@iqoo #4 SRI 或者说目前浏览器网页的所有方案都满足不了 OP 的需求,毕竟只是 Subresource ,也就是你提到的第三方站点,OP 设想中应用则是连自己的站点也无法信任
97 天前
回复了 xinmans 创建的主题 问与答 altserver 如何自动续签?
97 天前
回复了 janebooom 创建的主题 DNS 为什么国内没有公共的 DNS over Quic?
@K8dcnPEZ6V8b8Z6 #12 还有 Google 和 AdGuard ,不过还是很稀少,尤其是在 Android 这么重要的操作系统添加支持两年后依然如此
97 天前
回复了 tita007 创建的主题 问与答 Anna's Archive 如何下载所有书籍?
97 天前
回复了 janebooom 创建的主题 DNS 为什么国内没有公共的 DNS over Quic?
@cccer #19 它很好,但感觉支持它的服务器比支持 DoQ 这个过渡方案的还稀少,尽管 Android 已经添加支持两年了
不记得是第几次复制粘贴这个链接
https://news.ycombinator.com/item?id=39436238

去年吵翻天的 WEI 风波证明了人们不接受这样的东西,我认为不用抱这种期待了
https://en.wikipedia.org/wiki/Web_Environment_Integrity

做应用的话可以参考 fb 的做法,相当于信任 Google 和 Mozilla 的市场这样的分发渠道
https://chromewebstore.google.com/detail/code-verify/llohflklppcaghdpehpbklhlfebooeog
对我来说,我绝不用它是因为觉得它很不安全,不过你一定要选择它说明你能接受,我也不会多劝
1 ... 4  5  6  7  8  9  10  11  12  13 ... 161  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3240 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 41ms · UTC 12:49 · PVG 20:49 · LAX 04:49 · JFK 07:49
Developed with CodeLauncher
♥ Do have faith in what you're doing.