建了一个 Telegram Channel 用于发表个人观点：t.me

欢迎订阅

刚读完了这两篇关于 xz-utils 包的供应链攻击说明，攻击者潜伏了三年，很精彩，只差一点点就可以往众多 Linux 发行版的 sshd 注入后门，可用于绕过密钥验证，后果不堪设想。
概括：
1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号，之后积极参与 xz 项目的维护，并逐渐获取信任，获得了直接 commit 代码的权利。
2. JiaT75 在最近几个月的一次 commit 中，悄悄加入了 bad-3-corrupt_lzma2.xz 和 good-large_compressed.lzma 两个看起来人畜无害的测试用二进制数据，然而在编译脚本中，在特定条件下会从这两个文件中读取内容对编译结果进行修改，致使编译结果和公开的源代码不一致。
3. 目前初步的研究显示，注入的代码会使用 glibc 的 IFUNC 去 Hook OpenSSH 的 RSA_public_decrypt 函数，致使攻击者可以通过构造特定的验证数据绕过 RSA 签名验证。（具体细节还在分析中）
4. 只要是同时使用了 liblzma 和 OpenSSH 的程序就会受到影响，最直接的目标就是 sshd，使得攻击者可以构造特定请求，绕过密钥验证远程访问。
5. 受影响的 xz-utils 包已经被并入 Debian testing 中进行测试，攻击者同时也在尝试并入 fedora 和 ubuntu。
6. 不幸运的是，注入的代码似乎存在某种 Bug，导致特定情况下 sshd 的 CPU 占用飙升。被一位安全研究人员注意到了，顺藤摸瓜发现了这个阴谋并报告给 oss-security，致使此事败漏。
如果不是因为这个 Bug，那么这么后门有不低的概率被并入主流发行版的 stable 版本，恐怕会是一件前所未有的重大安全事件。

另外从一些细节能看出来攻击者非常用心：
1. 攻击者抢在 ubuntu beta freeze 的几天前才尝试让新版本并入，以期望减少在测试期间被发现的时间。
2. xz-utils 项目的原维护者 Lasse Collin (Larhzu)，有着定期进行 internet breaks 的习惯，而且最近正在进行，导致这些变动他并没有 review 的机会，即使到现在也没能联系上他本人。这可能也是攻击者选定 xz-utils 项目的原因之一。

更多的细节还在被分析中，目前 GitHub 已经关停了整个 xz 项目。

参考来源：
boehs.org
gist.github.com

给顺丰提个增加营收点子：在货品种类允许且还来得及操作的情况下，允许收件端付费升级为特快件。

看到纳指大涨，本想趁这个机会把还剩下的 AAPL 彻底清仓，结果一看AAPL在一片大涨中独树一帜，还在 ±0% 上下反复横跳😂。纠结一会后还是选择了现在就清仓。

最近 Apple 做了一系列动作，先是砍掉了汽车，又终于宣布开始发力 AI，在与监管的对抗中耍各种小聪明（如要求外部支付渠道提供财报并收取27%佣金），罕见的公开发文批评其他厂商（上一次可能还是 2010 年乔布斯的 Thoughts on Flash，这篇文章同样引起了广泛争议）。

这突然的一系列操作让我怀疑，是不是这些年 Apple 高层一直在做着 Vision Pro 会大卖的美梦，认为这是下一个 iPhone，最差也是下一个 Apple Watch，等到上市后看到真实的数据才如梦初醒，开始慌乱的行动起来。

Vision Pro 确实有它优秀的地方，但是它现在就是一个有钱人的玩具，这和 iPhone、iPad、Apple Watch 的一代产品有本质的不同，这三个东西我也都是一代产品的拥有者，虽然一代产品是有很多不完善，但我依然爱不释手（Well，Apple Watch 可能也没有很爱）。而我的 Vision Pro 已经两周没动过了。

这些产品是早就在一代就奠定了成功，后续产品只需要按部就班的走下去，就能一步步的在市场中取胜。而 Vision Pro 是否能解决它的舒适度等严重问题，是未知的。

我本人从感情上，非常支持这种有魄力的创造性行为，这比在成熟产品上与友商去拼那些细节差距有意义的多。但是商业是残酷的，创新蕴含着巨大的风险。现在看来 Apple 已经被分神太多，Mac 产品线自 M1 后基本就是常规更新，iPhone 的竞争力日益衰退，iPad 产品线更是已经一年多没有更新。

所以中短期来看，Apple 的财报可能不容乐观。但是 Apple 仍然拥有最优秀的工程师和设计师，最好的软件生态，与忠诚的用户群体。这些根本因素尚未发生改变，所以 Apple 依然有的是机会，比方说 privacy + AI 就是很好的故事。等出现合适的机会我依然会抄底。

多说两句关于 App Store 和 Spotify 的争端。
（先说明，我自己作为小开发者本身是 App Store 模式下的既得利益者，并没有不满，我只是尝试就事论事。你觉得我这样是数典忘祖你随意。）

讨论的焦点是，Spotify 是否应该为 App Store 的附加价值分成。

首先，App Store 确实有其独特的附加价值，是很多 App 的重要引流与获客渠道，这是 App Store 对于第三方开发者的最重要的价值。问题在于，作为开发者是否可以选择不接受这份附加价值，即不享受 App Store 的曝光，而自己去进行 marketing。事实上来讲非常难，因为用户早已养成从 App Store 搜索安装应用的习惯。

举个例子 Spotify 投放了相当精彩的街头广告，用户被打动后的第一反应，几乎肯定是打开 App Store 搜索安装。然后这样转化来的顾客，Spotify 要么只能接受 30% 分成模式，要么只能向用户提供免费档位服务（App Store 条款严格要求不允许在 app 内向外部支付导流，甚至露出一个网站地址都是不允许的）。

为了打破这个困境，唯一的办法是让用户看到广告后，从 Spotify 的官网开启后续的流程，而非直接下载 App。数字广告的跳转还好说，但对于其他媒介的广告来说，相当困难。

问题的本质在于，Apple 利用其手机厂商的垄断地位，阻碍了第三方开发者与用户间的直接商业模式，同时充当了推销员和守门员等多重角色，并企图将这些角色混为一谈。开发者说我不需要你作为推销员的角色，Apple 就说我为用户安全考虑你必须走 App Store。

Apple 这篇文章里，抠抠索索的列举出了一些成本（比如CDN费用、审核团队开销等），想以此说明自己是做了事的，Spotify 在白嫖，却心知肚明隐藏了分成费和这些成本根本不在一个量级上的事实。如果 Apple 真的真的很在乎那些成本，觉得这样自己亏了，不妨把成本明细列出来让开发者自付好了。

对于小型开发者来说，这笔生意是合算的，在 App Store 进行分发可以省掉很多麻烦的事情。但对于像 Spotify 这种体量的开发者，30% 的分成明显远高于自己处理这些事情的成本。

本来是商业巨头间互掐的事，靠这样糊弄群众博取支持，所以说不体面。

我作为个人开发者，其实很喜欢 App Store 的模式和存在的，30% 分成略高，15 % 相当美好，这没有问题。
但这依然不妨碍我喷那片文章，因为这篇文章里充满了诡辩，明明是商业间的博弈，非要把自己写的无比委屈，甚至把能让app连接蓝牙都拿来当作论点，哪个开发者看了不觉得可笑。这不是我印象中 Apple 的体面形象。
熟悉我的人都知道我有多爱 Apple 的产品和生态，但是该爱的时候爱，该喷的时候就该喷。不要因为自己的爱憎而失去分辨对错的能力。

Apple 居然把这样一篇文章在官网用全语言发出来。
「我们免费为Spotify提供了那么多API，这样他们的app能够连蓝牙、发通知、在后台播放音频，让他们免费发了近500个版本的TestFlight，免费帮审核了他们421次更新。他们居然还不满足！」

这脸到哪里去了啊，我只想大喊 SHAME🔔

文章里充满了利用普通大众对行业信息并不了解的信息差而进行的诡辩。

1. Apple 所列举的工作绝大部分是作为厂商的应尽义务，其成本理应由自身产品的利润承担。
2. 对于 Spotify 这样的巨型开发者，一直以来只有两个选择，要么接受 30% 的分成模式支持内购，要么不提供内购，用户只能去网站订阅。除这两条路以外没有任何其他的选项。
3. Spotify 无法接受 30% 的分成模式，所以以免费应用进行分发，这使得 Apple 完全不会分得任何收益。但这怪谁呢？
4. 现在 Apple 以自己从没在 Spotify 上赚到一分钱来作为借口辩解，本身 Apple 在 Spotify 的商业模式上扮演的角色就是纯粹的手机厂商，并没有向 Spotify 和用户提供附加价值，就是在要过路费，不挣钱才是应该的。
5. 另外所列举的诸如免费 Host 应用包所产生的安装成本、审核员成本，一方面本来就是因为 App Store 垄断生态自找的，其次那点 CDN 流量费，可能到不了 Spotify 成本构成的千分之一。本身谈的是几个亿的生意，结果你说这顿饭我都请了，咋你还想和我计较分成？

最近发现蔡司的擦镜纸不好用了，残留水渍非常明显，一番研究说是新的带中文的版本改了配方，不含酒精。
重新买了盒旧版（200片装，英文包装）果然好用多了。不知道是什么原因改了配方，生产厂都是同一家。

贵阳机场限定组合：冷萃香酥鸭