《白帽子讲 Web 安全》二刷笔记

安全问题的本质是信任的问题。 安全是一个持续的过程。 一、安全世界观 三要素:机密性,完整性,可用性 额外要素:可审计性,不可抵赖性 安全评估过程:资产等级划分,威胁分析,风险分析,设计安全方案。 互联网安全问题的核心,是数据安全问题。 优秀的安全方案: 有效的解决问题 用户体验好 高性能 低耦合 易于扩展升级 Secure by default 原则,最小权限,多用白名单。 白名单: 端口 软件 XSS允许标签 Flash crossdomain 允许跨域调用列表 Linux 普通用户+Sudo 纵深防御原则,从前端入口开始,层层加固。 数据和代码分离原则,对用户数据进行 过滤、编码 等手段。 不可预测性原则,让攻击者找不到规律,猜不到遍历规则,提高攻击门槛。 比如,CSRF 防御中使用的 token 二、浏览器安全 Web 构筑在同源策略之上。带 src 属性的标签加载资源,实际上是模拟 GET,加载资源,且被浏览器限制读写权限。Google chrome 采用多进程架构,进程间使用 SandBox 严格隔离。既提高了安全性,又使得体验提升。通过沙箱和api 对数据进行访问保护。比如 php 通过 api 调用本地文件,而不是直接访问。Google 的 SafeBrowing API 提供恶意网址库。先进浏览器支持 EVSSL 证书,即通常的绿色提示。比较有效地防钓鱼网站。X-Content-Security-Policy […]

Posted in Architecture, Security | Leave a comment

Memories and Plans

2006 VB、Delphi、C/C++ 2007 Ecommerce、Windows、FTP、Shell、HTML、CSS、JavaScript、PhotoShop 2008 English、Skype、WAMP、PHP、Mysql、Apache、Ajax、Dojo、Jquery 2009 Blog、Wordpress、Zend Framework、PHP Certificate、PHP Extend、Gmail、PayPal & Credit 2010 4399、Gaofen、深圳下海、Nginx 2011 Foreign Boss、Project Manage、Freelance、外汇 2012 MongoDB、Comment、Video、Web业务、Adv. JavaScript、SVN、PPT & 技术分享、Slideshare 2013 业务逻辑、后台、日志、视频转码、Lua、Memcached、Redis、SSDB、Twemproxy、Python、perl、DB、NoSQL 2014 Mac、iOS、Evernote、公司过渡、Java、Maven、Nexus、Git、OpenResty、Zookeeper、架构 2015 Team Manage、运维、Linux、网络、抓包、DNS、SLB/LVS、Haproxy、SMTP、Shell、CDN、高可用、房、理财、保险 2016 DAU、运营、产品、数据、安全&DDoS、APM、HTTP2/Https、上下级、团队规划、KPI、代码规范、培训分享、学车 2017 资质、高新、专利软著、区块链/币、音视频、GITC、运维 Team、机房/服务器、公寓、驾照 2018 公司搬家/装修、基础运维、Gitlab、Inotify/Rsync/Sersync、法务、行政、备案、PR、股权方案、Time Manage、驾驶技术、BMW、衣着 2019 DevOps、Golang / Goweb、Android、Taobao、Shop、Pika/Cluster、Keep运动、Daily Reading

Posted in My Live | Leave a comment

直播推流最佳实践-千帆直播

到北京搜狐畅游,参加1024程序员节日的活动。

Posted in Training, 音视频 | Tagged , | Leave a comment

技术经理的思维方式

员工:公司不赚钱了。。。 我:怎么才能让公司多赚点钱?   员工:公司噪音大,蚊子多,环境差,特别是那厕所。。。 我:怎么让公司环境更好呢?做个绿化带的预算给boss看看吧。   员工:公司升职加薪机会这么少! 我:每年都要想方设法,给大伙儿争取多点儿名额!哎,白头发又多了几根。   员工:团队里面很多SB,真想天天跟牛逼的人在一起!这样自己才能进步呀! 我:我这么牛逼,但是怎么带领这帮兄(S)弟(B),做出牛逼的事儿呢!?   员工:团队技术不行。。。 我:怎么才能给同学们多点机会接触新技术~?!   员工:公司的项目用户量都不增长了。。。 我:招些实习生搞搞小站,说不定能拉点儿流量!   员工:公司今年又裁员了。。。 我:早就该清理清理兵线了,资源早该倾斜给咱们一线打仗的了!   员工:是时候跳槽加薪了。。。 我:天天都得想,万一xxx跑了怎么办?如何保证团队人力?如何保证项目进度?万一核心人员被挖走了,咋办?尽量减少公司损失。   员工:公司没有激励措施。。。 我:找机会跟同学吃个饭,搞个活动什么的吧。尽量安慰安慰。   员工:公司老是出一些SB规定! 我:怎么让同学们尽量遵守公司规定呢?   员工:公司没餐补,吃饭贵死了。。 我:有机会就给同学们买些吃的吧,有机会也榨一下供应商,多给送些粮草来。   员工:项目沟通太费劲了,三方沟通太多! 我:咱自己做好努力,做集团内的发动机,什么时候能推动母公司健康发展,那咱们就牛逼了啊!   员工:公司规模上不去。。。 我:今年精简人员,宁愿花多点钱,招精英,也不要太随意了。   员工:公司交通太不方便了! 我:今年搞个车吧,顺便练练驾驶技术。另外,给同学争取更多班车,项目上线了,老板开心了,多给争取争取车补!   员工:APP打包太慢了,个破机器! 我,买个新mac,恩自己先垫着吧。。   员工:测试设备太少了。。。 我:买买买,自己先垫着吧。明儿找北京领导拆借点儿。。。   员工:领导有时候真傻逼,决策都是拍脑袋。 我:领导正确的决定,得发扬光大。错误的决定,努力把它变正确。   员工:领导不重视我,从不找我聊天,从不安慰安慰我。。。 我:领导最近肯定是忙疯了,有机会问候问候他,向上传递传递正能。。。

Posted in Personal, 公司 | Tagged , , | Leave a comment

GITC移动互联网专场《视频直播APP开发与性能痛点》- 金昊

麒麟会PR:【GITC精华演讲】搜狐金昊:视频直播APP开发与性能痛点   原版视频:https://my.tv.sohu.com/us/242783662/97029805.shtml  

Posted in Architecture, Speech, Training, 公司 | 1 Comment