ブックマークサービスQiNeel関連の記事や身の回りのよしなしごとをそこはかとなく書きつくっています。
先週XZ Utilsのバックドアのニュース(CVE-2024-3094)を記事にしましたが、1週間して色々な情報が出てきました。
このバックドアを悪用するとSSHサーバーに侵入できるとか、バックドアを仕込んだ人物は数年かけてXZ Utilsチームの信頼を得た後に仕込んだとか、バックドアに気づいたのは本当に偶然だったとか。
今回の時系列は以下のページが詳しいですね。
XZ Utilsにバックドア攻撃が行われるまでのタイムラインまとめ
これを見ると2人組による計画のようにも見えますが、真相はいかに。
大抵のLinuxディストリビューションに含まれているXZ Utilsにバックドアが仕込まれていたというニュースを小耳に挟みました。
XZ UtilsはLZMAやxz形式の圧縮ファイルを扱うためのライブラリーで、上述の通り大抵のLinuxディストリビューションに含まれています。
バックドアが仕込まれてから発覚するまでが1ヶ月程度だったというのもあって、影響を受けたディストリビューションはあまり多くないようです。あまりいないとは思いますが、ここ1ヶ月ほどの間にソースコードからXZ Utilsをビルドしている方は影響を受けている可能性が高いのでダウングレードしたほうがよさそうです。
さて、我らがGentoo Linuxへの影響はというと・・・Changelogを見る限りこんな時系列でしょうか(日付はUTC)
というわけで、3月24日〜30日の間にパッケージを更新した人がバックドアのあるものを掴んだ可能性が高いです。一刻も早いうどんワールドをおねがいします。
こちらにも諸々やり取りがあります。
数学とコンピューター好きの端くれとして、円周率ネタは大好きなんです。中学生くらいの頃は無駄に300桁くらい覚えていたり、円周率の計算式を独自に導出したりしていました(後にすでに発表されていることが判明したんですが・・・)
直近ではGoogleが100兆桁まで計算していて、今回はそれを5兆桁更新したというニュースです。
記事にあるとおり、この計算をしたのはストレージの専門家なのですが、「なぜ円周率の計算をストレージ専門家が?」というところが興味深いので今回ネタにしました。
というのも、こういう計算系はアルゴリズムの工夫によって記録が更新されるように見えますが、近年の円周率業界はy-cruncherというソフトで「チュドノフスキー級数」を計算する・・・という方法が定番で、アルゴリズムはもうほぼギリギリまでチューニングしきっているような世界なのです。
そのため、昨今の円周率業界で一番のボトルネックはストレージのI/O。ストレージの専門家が記録を更新するのもうなずけます。
ちなみに、ガウス=ルジャンドルのアルゴリズムやボールウェインの4次式のように、理論的にはチュドノフスキー級数よりも格段に収束の速い計算方法はあります。しかしコンピューターで多倍長演算する上では整数の四則演算以外(平方根計算など)をなるべく減らしたいとか、前回の計算結果を利用してさらに多くの桁数を計算するというテクニックを使うために今でもチュドノフスキー級数が使われています。個人的には、ボールウェインの4次式を整数の四則演算だけで多倍長計算できるようなアルゴリズムとか出てきたらなんかアガります。
円周率は決して終わりのないことが証明されているので、おそらくコンピューターがある限り円周率の記録更新はこれからも続くでしょう。
新たなサーバサイドJavaScriptランタイム「WinterJS 1.0」正式リリース、WebAssemblyへのコンパイルも可能。Wasmerが開発
去年の10月ごろに出た新しいJavaScriptランタイムが正式版になったようです。今回の開発元はWasmer。爆速を謳っているBunよりも速いと主張しています。
まだ使ってないので評価も何もできないのですが、元記事をざっと見た感じではDenoやBunとは違ってTypeScriptのネイティブサポートはないようですね。
これでV8(Chrome) / JavaScriptCore(Safari) / SpiderMonkey(Firefox)のエンジンを使ったランタイムが揃ったので、みなさんいい感じに競争してほしいです。
先日、Linuxを入れているPCを再起動したら画面にこんなメッセージが出て起動できなくなりました。
error: file /boot/ not found.
Gentoo Linuxを使っているんで時々カーネルのアップデートはするけど、特にブートローダー周りをいじってるわけでもないし現に今まではこういうエラーも特に出なかったし、うーんなんだろなー🤔 このマシン使えないと副業も何もできんし困ったなー🤔
とりあえずエラーメッセージで検索しても原因らしきものは見つからず。仕方ないのでこういうこともあろうかと用意していたUbuntu入りのUSBメモリーで起動し、パーティションをマウント。マウントできたので、とりあえずストレージやパーティションに致命的な障害があるわけではなさそう。
あらためてカーネルの再構築やらgrub-mkconfigやらを実行して再起動。でもまだ同じエラーが出る。
半日近くあれこれ試行錯誤しましたが、最終的にパーティションをマウントしたディレクトリーにchrootしてgrub-installをやり直したら直りました。
grub-install --target=x86_64-efi --efi-directory=/boot/eft --bootloader-id=boot /dev/sda
結局原因はわからずじまいだけど、きっと何かの拍子になんかおかしくなったんでしょう。そうに違いない。
このマシン自体は4年前くらいに買ったやつで、今でもスペック的に大きな不満はないんだけどそろそろ買い換えどきかなぁ🤔
ここ数年パスワードマネージャーにEnpassを使っています。機能的に不満はなく、有料ですがサブスク方式ではなく一括払いのプランもあるので愛用しています。
ただ、最近特定の環境でブラウザーのパスワード自動入力ができなくなってしまいました。
詳細はEnpass公式フォーラムに書きましたが、Firefox v123.0のプライベートモードで自動入力機能が使えません。別の環境(Firefox v115.7)では問題ないので、バージョンアップした際にプライベートモードの拡張機能の仕様が何か変わったのかもしれない・・・と推測しているのですが詳しいことはわかりません。
別の環境のFirefoxをv123.0にしたら少しはハッキリするかもですが、動かなくなったら嫌だしなぁ・・・
誰か解決方法を知っていたら教えてください。
断られた→返信しない「メール1往復主義」の若手が増加中!タイパ重視の本末転倒
こんな記事がありました。個人的にも確かにこういう経験はあります。
このブログでも度々取り上げていますが、LinkedInなどで明らかにこちらのプロフィールや希望に全く目を通していない(おそらく一斉送信の)スカウトメールが来ることがあります。そういうメールは機械的に弾けるような仕組みを入れているのでスルーするんですが、大体1週間後くらいに「どうしても諦めきれないので再度連絡します」みたいなメールが来ます。それも大抵スルーするんですが、時々気が向いたら「そんなに真剣なのになんでプロフィール読まんのや、ああん?」という趣旨の内容をオブラートに3重くらい包んで送ったりします。まず間違いなく、それ以降先方からの連絡はありません。
こういう経験談は置いといて、冒頭の記事を読んでちょっと気になったところが。
相手は本当に「若手」なんでしょうか?
記事内ではひたすら「若手」が強調されていますが、記事を一通り読んでも「一往復主義を行うのは若手」という確たる根拠はないように見えます。例えば相手が年齢を名乗ったとか、送り主の名前で検索したらSNSで若い人がヒットしたとか、知り合いの会社の人が「うちの若い営業はこんな感じだよ」と言っていたとか・・・そんな話は一切出てきません。
このようなことから、最後の返信を省くことは、現代のビジネス環境においては、不適切ではなく、タイムパフォーマンスから見ても正当化でき、相手にとっても余計な時間を費やさせない正しい行動である、と若手社員は考えているようなのである。
という書き方からして、実際にこういう営業スタイルの若者に聞いたわけではなく、「タイムパフォーマンス的に問題ないから正当化できる、こういう考え方をするのは若者だろう」あるいは「昔は違った、今はこうだ、だからこういうことをやっているのは若手に違いない」という推測が多分に混じっているように見えます。
ただこれは乱暴すぎやしませんか。後者の「昔は違った〜〜」に関しても、新入社員当時のやり方に違和感を持った人が、ベテランと呼ばれはじめた今になってこういうやり方を採用している可能性を排除できていません。