分享一下最近看的东西

开发

安全

架构

数据

关于国内厂商的国际版杀毒软件

很多国内软件公司的杀毒软件都分为国内版和国际版,这二者有什么区别呢?

首先,这两个的团队是不一样的。国际版的团队大多收购,国内版为自研。例如百度杀毒的国际版就是原超级巡警的团队做的,而国内版是自己另起炉灶。

其次,由于国外良好的用户环境和监管,国际版的软件体验良好,没有流氓或者窃取隐私的行为。

然而它们都是免费的。所以推荐大家使用这些国际版的杀软。不用国内版的软件,也算是为净化国内的互联网环境出了一份力。如果你之前拉黑了国内版的证书也没有关系,二者的证书是不一样的。

互联网安全观察

2012 年移动互联网浪潮开始,新出现的应用很少有 XSS 和 SQL 注入漏洞。越权和绕过漏洞明显增多,甚至占到主要比重。(大概是因为互联网公司加班和缺乏充分测试所致。)而更糟糕的是,后者没有可用的形式化防范和测试方法(SQL可以预编译,XSS可以使用开启引擎的默认转义),漏洞挖掘比起前者更加依赖经验。

对新兴事物重视不足,比如最新流行的 NoSQL,可能出现未授权访问、注入,以及竞态条件(Race Condition)等漏洞。(因为大家普遍认为新兴事物是“默认安全”的,并且对NoSQL 的隔离级别不了解而没有意识到使用事务。)在 Redis 未授权访问一周年之际,Mongo和Hadoop(?)也爆出了此类漏洞。近几年后端的演变向着服务化和容器化的方向进行,此类服务只会多不会少,而大部分服务都是没有“默认安全”的。

过多重视 PHP,导致过度重视 PHP 独有的漏洞,比如文件包含,以及文件上传(由于PHP 的默认不安全的路由机制导致)。现在 Web 应用基本都使用自定义的动态路由,很难执行路由之外的页面。

过度重视 Web 而忽视了二进制。XSS 需要结合 JS 引擎的攻击和溢出,否则你连计算器都弹不了,只能收集一下用户的 Cookie。服务器方面,最终的提权也需要内核漏洞的配合。

浙江省 2017 高中信息技术改革

相关讨论:如何评价即将开始使用的浙江省新高中信息技术教材,将围绕Python进行并增加编程相关知识点?

浙江省信息技术新教材,即将在2017级(2017年9月入学)高中新生中开始使用。

新教材的改动如下:

  • 《信息技术基础》:excel/access => numpy/pandas/matplotlib

  • 《多媒体技术应用》:取消

  • 《算法与程序设计》:vb => python,并添加线性结构和树的知识点

值得一提的是,考查形式还是笔试。想当年我读高中的时候,北京虽然还在使用 vb,但是考查形式是机试,浙江还是要学习一个。

matplotlib 这个东西,不仅仅可用于编程,对于学生学习数学也是有帮助的。

另外,各位大佬们,到时候组个团开培训班可好?

2017 规划

  1. 认识 100 个妹子。

    之前经过试验,平均投 10 次简历就能得到一个 offer,对于程序员来说,想要脱单的话,我掐指一算,差不多就是这个数值x10,所以是 100 个。

  2. 安全方面:

    • 翻译完成《Web Hacking 101》

    • 看完看雪的绿书

    • 出一套安卓逆向的教程

    老夫玩逆向就是一把梭,OD、IDA,拿起键盘就是干!

  3. 利用空闲时间编写几个自绘控件。

  4. 弹琴。

  5. 英语

    • 上 Quora 阅读和编写答案。

    • 练习听力,争取不带字幕听懂美剧。

我知道以上这些规划很可能不会在一年之内完成,如果是这样那就明年继续。大家猜一猜我能完成几个呢?

历史的车轮滚滚向前

2010年7月9日,一位神秘人士报料称,绿坝·花季护航软件项目组位于北京华杰大厦的项目办公室已经关张,所有员工都被遣散。从工业信息化部5月19日发布通知,强硬要求所有电脑厂商7月1日后都必须安装上网过滤软件”绿坝”,到6月30日宣布推迟预装仅隔了41天。但这短短的41天却引发了一场全国性的反对浪潮,甚至引发了海外组织的强力干预,最终以一场闹剧终结,成为又一个朝令夕改的典范。

同样是2010年,广电总局也曾向央视等媒体下达通知,要求在主持人口播、记者采访和字幕中,不能再使用诸如NBA、GDP、WTO、CPI等外语和缩略词。然而除了最开始引起的一片悲叹之外,这一通知从来就没有真正实行过。中央电视台左上角挂着的“CCTV”字样更是对其巨大的讽刺。

2014年底,独立导演范坡坡发现自己的纪录片《彩虹伴我心》被广电总局下架,随后一年,范坡坡走向维权之路,向北京市第一中级人民法院对广电总局提起诉讼,2015年11月3日,广电总局被判违法。

2016年3月,工信部起草了《互联网域名管理办法(修订征求意见稿)》,意图屏蔽所有境外域名,将天朝隔绝于互联网世界。各路IT人士纷纷投票或写邮件来表达意见,最后迫使工信部做出调整,并做出合理解释。

近日,广电总局出台了手游的新规定,要求手游必须“提前审批”,并且限制其中的外文词汇。游戏开发者“巨斧陈宇”发起众筹准备起诉广电总局。在仅仅11小时内,就完成了5万的目标。

广电总局及其它部门在语言文化的认知上面,仍然处于旧时代的水平,这非常令人遗憾。但是,即使身处在黑暗中,我们也不应忘记追求光明。