#recommend #blog 消息来源🔍 铭记 program-think.blogspot.com: "It's my duty!"

#news #china #freedom 果然，官老爷不敢对境外势力瞩目的大老师判刑太久，但“法是领导看法” 的国家，过程结束后又怎么会结束呢？😡
https://fxtwitter.com/suyutong/status/1638166250307108866
#tech 老师是化学系，大学肄业，却热爱并成就了编程技术，同时又嫉恶如仇，可谓 普世价值 科学跨领域 的典范
在西方，不少革命性的技术都是钱+机缘巧合 的融会贯通，中国却迷信专业的套话与“天才”。🧐

提醒：老师没有犯法，因为法律体现的不是“谁的意志”，而是“正义感”❤️
老师履行了 法制社会最最根本的监督权 ，但[人民]法院当然不会给侵犯[人民]权钱隐私的他 一个廉洁的判决。

然而，候审期间老师的消费限制为700/月。 户晨风采访婆婆的养老金，更是127/月❤️

#cn 不知21年用豆瓣书单举报老师的“红客”成员们，疫情期间死了几位亲属呢？当官升到处长没？😋 是不是一个电话能保护唐山五位虎将的“大”官？

还是，被封死在家门口，饿了大半月？ 这就是“爱国者”们对国家付出的东西？？😋

#tech #news #life
https://twitter.com/ghosTM55/status/1657946836643241985
IT界知名大佬,MegaEase创始人 左耳朵耗子@haoel

陈皓(#blog 酷壳 coolshell.cn) 13日因心梗去世。

2023.5.8 日他发布关于分布式的最后一篇文:https://coolshell.cn/articles/22422.html
ref:https://tttttt.me/Javaer/912731

#plt #js #blog 奇怪的静态博客 - 作者是变相PHPer
谈到 regex: #code 如何得到 [...'👩🏾‍'] == (3) ['👩', '🏾', '‍']


emojiVars=(base,[m, ...m1])=>!m1.length?[base]: emojiVars(base, m1).concat(/\p{Emoji_Modifier}/u.test(base) ? [] : emojiVars(base.replace(/\u200D|$/, m + '\u{200D}'), m1));

skins=['\u{1F3FB}', '\u{1F3FC}', '\u{1F3FD}', '\u{1F3FE}', '\u{1F3FF}'];

[['👩', skins],
  ['👩‍🎓', skins],
  ['🧘', [...skins, '‍♀️', '‍♂️']],
  ['👩',  ['\u{200D}\u{1F9B0}','‍♀️']],
  ['👩‍💻', ['‍⚕️', '‍⚖️', '‍✈️']]
].map(a=>emojiVars(...a))

👩,👩🏾‍,👩🏽‍,👩🏼‍,👩🏻‍
👩‍🎓,👩🏾‍🎓,👩🏽‍🎓,👩🏼‍🎓,👩🏻‍🎓
🧘,🧘‍♀️‍,🧘🏿‍,🧘🏾‍,🧘🏽‍,🧘🏼‍,🧘🏻‍
👩,👩‍🦰‍
👩‍💻,👩‍⚖️‍💻,👩‍⚕️‍💻,👩‍⚖️‍⚕️‍💻

#backend #asm 原来yt上也有这么多人在做CS科普
好怀念以前什么都不了解，没有地方拿到「原始资料」的时候啊..
那时候就是靠猜、靠一些中文资料碎片，也不熟悉「内存布局和跳转」的C语言指针模型，更不会把 struct;union; subtype; weak type;trait; 这些放在一个心智模型里去diff

现在看来是走太多弯路，实现了貌似「科班」轻松就懂的、无意义的东西，但在我看来，用x86 写算法明明就是容易搞懂的事，错误在于最简例、可视化和复用的缺失

说起来，频道的 #tag 太多,成了失去归类能力的野草..😓 对我而言「流行编程语言」就像这样吧；为了摆架子，搞丢了问题的本源

又说了奇怪的话了..😶‍🌫️ 知乎上也会被PL人喷是民科
幸而最近有点时间编程， 不知道能整出啥

#dalao #blog #inm 野兽的链表里技！

#blog #meme 看到易语言还在VB++ 的范式旁徘徊 😅，并且觉得编程语言 是种必须特色和备案的「核心技术」… 我想复刻下这2007年文章的口吻：

“绝句.ju”十分钟入门教程
作者：转载必须注明出处

亲爱的朋友，您愿意花十分钟的时间，来了解一门全新的编程语言“绝句.未公开”吗？（搞笑向

btw. 很难想象标准库与ES7接轨，拥有函续、不/可变数据集、流/叠加、双主语的绝句，还能用“合规”的记法支持VB7时代的“正统中文编程”👀
- 起点
将123写到屏幕
100.123:[x]
(将x)写到屏幕

绝句使用物类对象(datatype OOP) 的调用模型， 所以
物 启动类
同名例
- main
类 游戏
- 猜数(听用户：函0<数>)

data BaseModel
|- main = TODO "explain why 'Base' is a good class name"
|- main'abc' Int
FIXME "改个代码还能找到语法灵感"
return a+b
|- someJob(x=NO)
x? {say(1)} or: return

- badBoy(:KV<Str PairOf<N>>)
- guessNum(ask: Fn0<Int>) = Try:
throw Error("$aNum 后置")
^now
at aNum = 0
^named
- goodBoy(:Ln<N2>)


有点分不清“类和接口(class interface companion... OOP)”了 😂

看到吴涛把 0<x<10 叫做“三联判断”， 想到我前几年也是把这些纯语法糖，拿来当特性
若你x 且>0 且<10 ，看起来品味更差劲

现在重视空则链
说( x{ >0 & <10 }?，x。或 x+1)
x{in 0~10}? “去被”(say)
chkBox，
若 有 开源，扩容
若(有 节流)，删文件

#blog #tr 《PL 表示法有碍于入门》

#PLT 俱乐部的人 Y 组合器身上纹，却被会员评价：字体不好看👀

符号可以使思维清晰。使用正确的符号，一开始就能轻松地完成工作，让不重要的部分消失
Mike Hicks 认为，像 8÷2(2+2) 这样简单的算术表达式也难倒各种人，妨害 PL 研究的影响力
最好的符号是简洁的；它们在视觉上具有暗示或继承性，

有人抱怨使用函数化命名而不是数学符号看起来不那么 PL
但——这就是简化记法的一个理由！我们作品的美学很重要，但PL已经以深奥的符号而闻名。
大部分论文能将一两个符号改为文字而进步

作者建议：
-增加清晰度/减少混乱将扩大我们工作的范围并减少协作障碍
-标准化设计清晰的单字符体系
-无论类型理论、语言还是 API——都要做复杂性预算， 作为警示
-总是用简单、易发音和众所周知的符号代替，顺序更要自然

more

#blog #email 精选 🥰
Title: 同样是考场失意的JS迷，来点前端技术讨论
To: hi@taonan.lu
我(duangsuse)是搜「Vue大对新React docs 的批评」发现你博客的，看你最近有更新，也富有个人风格；我想要花时间写点字，就谈你在 lutaonan.com 分享的..所有文章吧？
我小时候的理想，是成为一名Linux运维，做自己喜欢的极客类工作；现在的日程是完善自己的编程范式，使它能为Web.dev创造价值（这可真是花了大半年，改了几百版“Talk is cheap”的API Set吧..晕）

跑两次能查出clearTimeout这样的问题，但对于vueUse没有也没毛病，因为函数拆分合理的话，人眼就能test代码才对。最好的文档/typehint 就是代码即文档，这方面推荐 CodeAesthetic.io yt
Promise的用途，被局限在async()=> ，但then:catch 的模型完全能cover Optional,Result 的业务。

dropout 应该是“被字句”吧，并不是你自己想要「不平庸」的。 在Linus看来，他应该是个普通人呢，他批评Nvidia时可没个“正经”样

作为喜欢冷门技术的人，我受够了那些含糊其辞的抽象。
天道不是酬勤的。有些人可以学古生物和拉丁文，我不必与所有人合群。 我们应该接受努力无效的可能性，过容错的人生、写链式的健壮，而不只是选择「正确」

..对了，4年前我还曾和Drakeet闹得不愉快。 但今天的我，不会因问题的答案而争执对错，
因为我所设计的，都是不会有标准答案的问题、是无可替代的解决方案。天赋的自信和适时的毅力，会是我对开源最好的贡献。

DOM 赋值是不需要js层去合并 microtask 的，js里改两次className看看CSS anim: 会不会放吧
为什么JS界总有自己比C++和SVG更重视性能的幻觉啊，明明 InsectObserver 都是近两年才流行起来的，之前是每wheel一下就要等调两三次函数吧？

- 作为框架eer，我会比学院派更「了解你的用户」，但我对DX的重心，会放在我敲代码之前。 好的代码肉眼能test，我设计的APIs也是从无数种test里脱胎的
- 我不想拿自己的尺子去度量别人，但技术上除外。 我尊重功利的人，会协作完成需求，但不容忍丑开源代码
- 至少在中国，许多CS学院派不能像张洪波、@lazyparser 那样 open-mind 。但我是很泛语言的，我能比较C struct, C++/Java class 的范式差异，也知道许多FP里的甜头(组合器,.) 推广到工程的难点在哪

FRP范式 UI=f(state)，其实是对LP-面向变量集编程 的误解。实现Reactive是Signal而非Memo: mount(jsVar)(UIvar)
因此UIvar也未必是append的，可以是既存Node-可以用CSS选择器.. 可以0代码MVP..

用Java的眼光评数据驱动的JS是错误的，但这不意味着vuex是对的。 你的需求是保留状态树到local或URL参数，乃至handle SSR的上文切换，但这不会突破reactive() API
h(‘div’, 这种树Builder完全是莫名其妙的(和XML语法一样,人机不友好)，还不比Java的new Record甜， vanjs.org 的好看不少 。怎么用JS的人没用过Ruby或Pug模板呢

#dalao #blog https://liujiacai.net/categories/编程语言/

#dalao #blog https://liuyandong.com/archives/10205
故事会+采访播客，确实很长

#security 回顾 regreSSHion: RCE in OpenSSH server<9.8
https://www.bilibili.com/video/BV11U411U78q
这一漏洞的描述听起来像是 WannaCry(SMB) 和 Log4Shell 级别的。实际上，该漏洞的利用不太可能。
2014年，OpenSSL加密库中的一个缓冲区溢出漏洞被公开。该缺陷被称为“心脏出血”，这次是它的回归

由glibc free() 数据竞争，导致heap链表 use-after-free 而使得glibc __free_hook 指向黑客在待连接的120s(异步 sigalarm)分配的地址
要利用这一漏洞，攻击者平均需要在没有firewall,fail2ban和Nx的 x86 ASLR 上进行约 10,000 次尝试，每台服务器需要 6 到 8 小时。

漏洞利用需要精心构造的heap链表布局，并发登录ssh以尝试fake key-exchange
https://www.offsec.com/blog/regresshion-exploit-cve-2024-6387/

管理员可以将登录超时设置为零（在 etc/sshd_config 中设置 LoginGraceTime 0）
🤓☝️ https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt

#learn
事实上： 只有基于更慢的ROP才能实现基于 heap 的RCE。默认设置下，该漏洞的利用根本是不可能的，x64缓冲区注入与SQL注入一样被 #linux 等内核修正了，对它的研究可以理解为另一种 #OI ，并不能对线上系统产生威胁
地址空间布局随机化 (ASLR)使注入代码的攻击在64位平台上变得几乎不可能成功，因为所有函数的内存地址都是随机的。
在32位系统中，ASLR能够提供部分防护，因为只有16位地址可供用于随机化，这可以用暴力攻击在很少的几分钟内破解。 这也是为何所有PoC都是针对x86

实现今天唯一可用的ROP（2010 年Adobe Reader被曝出了一个严重的漏洞，攻击者可以通过伪造恶意的 PDF RCE），需要在C语言的缓冲区溢出上，达成这三件事情:
找到system函数地址
找到字符串“/bin/sh”地址。
system函数参数应该放在栈的什么位置，并且不能被canary发现栈已经溢出。

#dalao #blog https://mudongliang.github.io/

#tool 独立开发者
虚拟 visa wise 小白域名邮箱 等 https://anotherdayu.com/2023/5180/
https://github.com/freddiewalchwmf25/JieMa
https://nodeseek.news/archives/google-voice #blog

#blog #linux https://lanlan2017.github.io/blog/809fc7c6/

https://bruceyuan.com/post/1.html #ml #py #blog

#blog https://dieken.github.io/posts/chinese-input-methods/

>输入法界，俗称码圈，在 2024 年的今天，毫无疑问是个小众圈子
(1) 做码人，或称算码人、字圈，喜欢研究汉字拆分和字根的键盘布局，(2) 跟打人，或称赛文人、赛圈，喜欢竞速跟打，以手快为荣，可谓武玩，(3) 其它人，菜鸟龙套捧哏普通用户，可谓文玩。三个小圈子之间以及内部少不了日常逗乐拌嘴，反正有人的地方就有江湖，很感慨的是，八九十年代的万「码」奔腾到如今的万「码」齐喑、十「码」互踢
>形码可以打整句吗？习惯了拼音整句后，突然发现形码要人肉分词，可真是「一夜回到解放前」，搞不好就碰到打词打空了，非常恶心，因此码圈大佬们的建议是要么记住小词库谨慎打词，要么索性只打单字，极端点就是不要简码只打全码单字。
>岁寒输入法：就我而言，我做的第一版输入法，全世界都没人会用，只有我一个人会用；我做的第二版输入法，别人也会用了，但是没有人用；我做的第三版输入法，终于有人愿意用了。
在设计完岁寒输入法的布局和输入规则后，我惊奇地发现岁寒输入法呈现出一种非常重要的特性——输入声韵的无二义性。简单地说，就是任何一条滑行路径都明确地指向某一个声母或者韵母，不会存在歧义，不依赖于已经输入的信息，经常用于处理无声母的拼音。「xian」不可能是「xi'an」，「gang」不可能是「gan'g」，这个特性是全拼和双拼输入法都不具备的。

ps. 智能选词使用的 #algorithm HMM 比DNN难懂不少，用途也窄，不知道现在的智能拼音都在用什么算法，还是马尔可夫链？

https://shurufa.app/ chaifen.app
https://dieken.github.io/posts/some-words-about-chinese-input-method-circle/

ps. 给这位作者的UX一点建议

- 模式切换反了？ 默认就是古文模式啊(这好像是调试模式 不能解密)
- #input.onpaste 可以默认成处理&拷贝，这样不方便处理多条评论
- 可以支持URL调用，?text&key&rand=1 什么的，与copyQ等剪贴板管理器配合
- 加密/解密按钮，看起来中规中矩，其实体验很机械。 处理/交换两框 可以允许多次加密、自动判断加解密， 而不是每次都去全选-删除-粘贴，然后选错按钮了

另外一个好处是，可以让原文密文框的大小配比永远是美观的， 只需要长按不同的框paste，就能一键操作

这方面的人体工学优化，MT两栏式文件管理器很有发言权😍

https://github.com/duangsuse-valid-projects/MinBase64/blob/master/app/src/main/res/layout/main.xml#L32 我十年前的编解码apk是这样的， 但它只有一个框，靠长按切换编码解码

。。然后，GH上解密的结果是 magnet:?xt=urn:btih:C0FE00AD10B9D9F90A0750D1A6B9F6C6B8F2F5B6

这是两段默认key的密文拼接，但是，没法自动把junk separator 识别出来，只处理默认密文。

如果是为防和谐，默认密钥的混淆体验还是挺重要的，可以约定为平台名、用户名
https://shef.cc/2024/11/30/abracadabra/ #blog #dalao

https://tiannienie.github.io/archives/初学者向导轻松加入-onlyfans-世界一站式订阅与支付指南/ #nsfw #life #blog

#js #performance https://romgrk.com/posts/optimizing-javascript#8-use-strings-carefully

对小数据，str+str 比 [].join 快

#blog 交互设计好玩