周五鱿鱼博客:稳定准等动力设计
又一个SQUID缩写:“稳定准等动力设计”。这是一种用于核聚变发电厂的仿星器。
标签:鱿鱼
发布于2025年7月25日下午5:00 • 28条评论
评论分析
Clive Robinson • 2025年7月26日下午4:12
@Bruce, ALL,
又一起针对RAM机密的攻击。
有些人可能还记得遥远的过去,当DRAM被极低温冻结时,内存内容可以被读取出来。有些人称之为“冷启动”攻击,解决方案是将机密存储在芯片的SRAM中,从而几乎无法获取。
或者许多人这么认为……欢迎来到新型攻击“Volt Boot”,它利用“系统芯片”(SoC)设备电源总线的设计缺陷。或者如《ACM通讯》文章所述:
“Volt Boot攻击利用了片上易失性存储器的漏洞,这是由于现代系统芯片电源分配网络常见的物理分离造成的。”
简单来说,SRAM“作为静态存储器”只要以各种方式维持供电,就会保留写入的内容。
文章指出“嵌入式系统”易受攻击。这包括大多数“物联网”(IoT)设备、网络基础设施和边缘设备。然而,它可能对某些“智能设备”如平板电脑和手机也有效。
在遥远的过去,我提供了通过使用演化的“数据影子”来保护“信任根”密钥材料的方法,这些方法今天应该仍然有效。
Clive Robinson • 2025年7月29日上午10:04
@Bruce,
并非所有IoT安全失败都会导致这些玩具的尴尬……
“连接性玩具平台Lovense存在一个零日漏洞,允许攻击者仅通过知道用户名即可获取成员的电子邮件地址,使他们面临doxxing和骚扰的风险。”
漏洞源于“Lovense的XMPP聊天系统与平台后端之间的交互”。
使用电子邮件作为认证侧信道一直是个坏主意。正如我之前指出的,“人们有多个角色”,他们应该为每个角色拥有完整的ICT个性。
然而,硅谷巨头公司似乎刻意阻止人们这样做……
所以选项是:
- 承受不可避免的后果。
- 采取可用的措施来缓解。
- 不参与一场你永远无法赢的游戏。
我选择第三个选项,因为从经验来看,我知道这是避免第一个选项的唯一方式……
Clive Robinson • 2025年7月31日上午11:13
@Bruce, ALL,
开发者不再感受“氛围”。
似乎AI在开发者中的受欢迎度正在下降,简而言之,他们不信任它,而且在使用时不得不深入检查,这耗费了他们的时间。
因此有两个结果:
- 成本增加。
- 技术债务增加。
正如指出:
“Stack Overflow数据揭示了‘几乎正确’的AI代码隐藏的生产力税。”
考虑到当前AI LLMs和ML的工作原理,这实际上并不令人惊讶。
考虑:
- 标记化大小。
- 焦点长度。
标记化可以作为一种“压缩函数”,但即使如此,网络的宽度限制了可以用于“注意力”的长度。
人们已经注意到,对于简单语言,当前AI LLMs实际上只适用于几句话或短段落。
现在考虑相同的约束对程序会有什么影响……
简而言之,“氛围编程”可能适用于一个代码块,只要它有非常明确且易于测试的接口。
除此之外呢……
但这实际上是个问题吗?
安全关键代码的指南要求相同或更少。而安全关键代码实际上与安全代码基于相同的基础。
也许编程风格必须改变以“适应氛围”,如果它要真正有用的话。