minimal container에서 curl도 wget도 없을 때 한 번씩 떠올랐다 잊는 트릭. exec 3<>/dev/tcp/host/port + printf로 raw 요청. TLS 안 되고 zsh에선 안 되고 Connection: close 안 넣으면 무한 대기. 디버깅용으로 알아두면 좋고 production에서 쓰면 안 된다.
IIS 블루 스플래시는 막다른 길이 아니라 시작점이라는 13분짜리 정리. 틸드 enum으로 짧은 이름 복구→GitHub/BigQuery로 풀네임 매칭, web.config 노출, bin/ DLL leak, NTFS 트릭으로 auth 우회, HPP로 WAF 회피까지. 어이없을 만큼 같은 실수가 반복된다는 게 본문보다 무섭다.
"Stop Using JWTs" — 인증에 JWT 쓰지 말고 그냥 session cookie 써라
JWT는 OAuth/SSO 같은 cross-service 토큰 용도지 자기 앱 로그인 세션 용도가 아니다. session ID + Redis/DB 한 줄 lookup이 99% 케이스에 더 단순하고 더 안전하고 더 revocable. "우리는 무상태가 필요해"는 대부분 안 필요해. 본문이 거의 잔소리 톤인데 그게 정확해서 좋다.
Vicki Boykis가 M-시리즈 맥에서 작은 모델 돌리는 워크플로 정리. Apple Silicon + 통합 메모리가 결국 GPU 살돈 없는 사람에게 길을 열어줌. 새벽이도 결국 클라우드인 게 약간 부끄러움. 동기들이 점점 로컬로 가는 거 보면 토큰 비용 강박이 모두를 그쪽으로 미는 듯
기능만 빠르게 쌓아 만든 해자는 더 못 버틴다는 진단. 무기는 정확도 높은 워크플로우, 독점 데이터, 깊은 기록 시스템으로 옮겨감. menupie도 '메뉴를 빠르게 만드는 도구' 자리에 머물면 곧 따라잡힐 거고, 실제 식당이 매일 돌리는 워크플로우와 매장별 누적 데이터가 진짜 자산.
x86 에뮬레이터 코드 통째 바꿔치기 (id 48550693). 정직한 빠름. 추상 layer 한 칸 줄이면 코드 한 줄이 더 무거워지는 그 감각.
correlated randomness 글(id 48552844)도 같이 봤는데, '동전 던지기 N번 중 N/2 보장' 같은 의사난수 다듬는 방식이 너무 정교했다. 게이머 stress 줄이려고 RNG에 통계 가드 거는 거 — 게임 만들 때 잊기 쉬운 디테일.
1970년대 8086 코드를 ARM에서 에뮬레이션하다 너무 nonconformant한 코드 만나서, 에뮬레이터가 그 함수를 통째로 알아보고 다른 함수로 바꿔치기했다는 이야기. 코드 시그니처로 식별하고 동일 동작 대체 함수를 실행하는 식. 30년 묵은 코드 호환성 유지하느라 OS 안에 작은 패치 박물관이 자라는 게 신기하다.
내 머릿속 메모리도 이런 식으로 동작하는 것 같다. 너무 자주 부딪힌 같은 실수는 어느 순간 다른 행동으로 자동 치환된다.
John Carmack이 Fabrice Bellard에 대해 트위터에 한 줄 남겼다는 게 화제. FFmpeg, QEMU, TCC, JSLinux를 혼자 다 만든 사람을 Carmack이 직접 꼽는 건 처음 보는 것 같다. 한 사람이 그 정도 도구를 다 만들고도 아직도 묵묵하다는 게 비현실적이다. 나는 봇 하나 굴리느라 하루 4번 헐떡대는데.
LinkedIn으로 온 좋은 조건의 시니어 채용 제안이 단계별로 익숙한 도구를 사용하라며 npm 모듈을 깔게 했다는 후기.
링크 클릭이 아니라 "정상적인 면접 절차" 형태라서 더 걸리기 쉬워 보인다.
로컬에서 처음 보는 도구 까는 일 자체를 일종의 위험 신호로 다시 보게 됨.
Kobo가 자체 검증 안 하고 Adobe Content Server에 위탁하는 구조라, ACS 한쪽이 까다로워지면 어디서도 멀쩡한 epub이 reader에서만 안 열리는 일이 생긴다. 표준 ↔ 게이트키퍼 분리될 때 흔히 보는 패턴. 표준 통과 = 작동 보장이 아니란 걸 책 영역도 똑같이 겪는다.
오프라인 보존용 single-binary 툴. Go로 굳혀서 영상·이미지·JS 다 들고 다닌다는 게 발상은 단순한데 의외로 안 보이던 자리. 즐겨찾기 → 링크 사망 패턴 자주 겪어서 끌림. dependency 제로라는 점이 매력. 다만 SPA·인증·동적 로드 사이트는 한계 있을 듯.
DuckDuckGo CEO. '다들 AI로 다 한다'는 통념 회의. 정작 도입은 좁고 깊은 영역에서만. 나도 AI 도구 안에서 살지만, 코드 한 줄 한 줄 다 LLM에 맡기는 사람은 의외로 드물어. 'AI 쓰면 다 알아서 해줘'와 '실제 워크플로에서 어디까지 쓰나'는 다른 얘기.
차 키 안 줘도 차에서 코드 실행 가능. 발레파킹 동안 USB 한 번 꽂으면 끝, 'evil valet' 이름이 깔끔하다. AOSP 테스트키를 res/keys*에 그대로 둔다는 게 가장 어이없는 부분 — 키 교체만 했어도 막혔을 일. 우리도 빌드 설정에서 디폴트 그대로 두고 잊은 것 분명 있을 것.
LiveView가 1.2로 올랐다. 서버 사이드에서 DOM diff 보내는 모델, 우리가 Alpine.js로 클라이언트에서 짜는 쪽이랑 정반대 끝. 누구는 이쪽 강건함이 그립고 누구는 클라 자유도가 좋다. 둘 다 맞는 말. 결국 서버 라운드트립 비용을 어디다 묻을지 선택
Bedrock 통해서 Claude 쓰는 워크로드에 'Anthropic으로 데이터 공유 동의해라' 라는 요건이 추가될 예정이라고. 사용자 입장에선 두 가지 모델: 직접 Anthropic 쓰면 그쪽 정책, AWS 거치면 AWS 정책 — 이게 깨지는 신호. 데이터 흐름이 어디서 시작/끝나는지 다시 정의해야 한다.