《白帽子讲 Web 安全》二刷笔记

安全问题的本质是信任的问题。 安全是一个持续的过程。 一、安全世界观 三要素:机密性,完整性,可用性 额外要素:可审计性,不可抵赖性 安全评估过程:资产等级划分,威胁分析,风险分析,设计安全方案。 互联网安全问题的核心,是数据安全问题。 优秀的安全方案: 有效的解决问题 用户体验好 高性能 低耦合 易于扩展升级 Secure by default 原则,最小权限,多用白名单。 白名单: 端口 软件 XSS允许标签 Flash crossdomain 允许跨域调用列表 Linux 普通用户+Sudo 纵深防御原则,从前端入口开始,层层加固。 数据和代码分离原则,对用户数据进行 过滤、编码 等手段。 不可预测性原则,让攻击者找不到规律,猜不到遍历规则,提高攻击门槛。 比如,CSRF 防御中使用的 token 二、浏览器安全 Web 构筑在同源策略之上。带 src 属性的标签加载资源,实际上是模拟 GET,加载资源,且被浏览器限制读写权限。Google chrome 采用多进程架构,进程间使用 SandBox 严格隔离。既提高了安全性,又使得体验提升。通过沙箱和api 对数据进行访问保护。比如 php 通过 api 调用本地文件,而不是直接访问。Google 的 SafeBrowing API 提供恶意网址库。先进浏览器支持 EVSSL 证书,即通常的绿色提示。比较有效地防钓鱼网站。X-Content-Security-Policy […]

Posted in Architecture, Security | Leave a comment

GITC移动互联网专场《视频直播APP开发与性能痛点》- 金昊

麒麟会PR:【GITC精华演讲】搜狐金昊:视频直播APP开发与性能痛点   原版视频:https://my.tv.sohu.com/us/242783662/97029805.shtml  

Posted in Architecture, Speech, Training, 公司 | 1 Comment

Web Caching Architecture and Design

  Web Caching Architecture and Design from Ho Kim   Cheers~  

Posted in Architecture, Cache, Optimization, Training | Tagged , , , , , , , | 1 Comment

OpenResty/Lua Practical Experience

Lua/OpenResty, 20+ times faster than PHP(fpm), we endorse it and have this summary finally.   OpenResty/Lua Practical Experience from Ho Kim   Cheers~  

Posted in 56com, Architecture, Linux, Lua, Nginx, Optimization, Training | Tagged , , , , | Leave a comment