摘要:
最近,除了国内明文密码的安全事件,还有一个事是比较大的,那就是Hash Collision DoS (Hash碰撞的拒绝式服务攻击),有恶意的人会通过这个安全弱点会让你的服务器运行巨慢无比。这个安全弱点利用了各语言的Hash算法的“非随机性”可以制造出N多的value不一样,但是key一样数据,然后让你的Hash表成为一张单向链表,而导致你的整个网站或是程序的运行性能以级数下降(可以很轻松的让你的CPU升到100%)。目前,这个问题出现于Java,JRuby,PHP,Python,Rubinius,Ruby这些语言中,主要:Java, 所有版本JRuby<= 1.6.5 (目前fix在 阅读全文
摘要:
在国外知名网站stackoverflow看到了一篇贴子,《每个程序员都应该阅读的书》,里面很多值得程序员去阅读的书,这些书都可做为你的枕边书,随时翻阅,总会有不一样的感悟。下面列一些推荐的图书。1 代码大全2 算法导论3 设计模式 (GoF),Head First 设计模式4 重构:改善既有代码的艺术5 Effective C++, More Effective C++6 编程珠玑7 还有更多,参见原帖。 阅读全文
摘要:
其实铁路订票系统面临的技术难点无非就是春运期间可能发生的海量并发业务请求。这个加上一个排队系统就可以轻易解决的。本来我在 weibo 上闲扯两句,这么简单的方案,本以为大家一看就明白的。没想到还是许多人有疑问。好吧,写篇 blog 来解释一下。简单说,我们设置几个网关服务器,用动态 DNS 的方式,把并发的订票请求分摊看。类比现实的话,就是把人分流到不同的购票大厅去。每个购票大厅都可以买到所有车次的票。OK ,这一步的负载均衡怎么做我就不详细说了。每个网关其实最重要的作用就是让订票的用户排队。其实整个系统也只用做排队,关于实际订票怎么操作,就算每个网关后坐一排售票员,在屏幕上看到有人来买票,输 阅读全文
摘要:
1)开始做Mobile开发,要能够熟练掌握。2)Mobile security research。3) 锻炼身体,身体是本钱,要注意工作生活的平衡。4)业余时间看看书,关于技术的,关于互联网的。 阅读全文
摘要:
使用智能手机的人越来越多,对智能手机的安全研究也慢慢开始成为重点。The honey project有一个Mobile malware的挑战赛,带你走进Mobile Malwares的世界。参见: Forensic Challenge 9 - "Mobile Malware"样本:fc9files-final.tar.gz提交答案:Submission #1: Emilien GiraultSubmission #2: Yuhao Luo, Wenbo Yang and Juanru LiSubmission #3: José Lopes Esteves 阅读全文
摘要:
Android平台在不断发展。当一个产品使用者越来越多的时候,恶意代码编写者会编写针对新平台的恶意代码。最近有非常多的针对Android malware的报道。在逆向工程中我们使用以下两种方法来分析恶意代码:----静态分析----动态分析 首先拿到一个叫”VideoPalyer“的Android malware,文件:VideoPlayer.apkMD5:fdb84ff8125b3790011b83cc85adce16 apk代表Android应用文件。每个Android应用都被编译和打包成一个单独文件,包含所有的应用代码(dex文件),resources,assets,和manifes.. 阅读全文
摘要:
SpyEye是一类恶意代码,会给用户带来极大的危害,其危害参见参考资料3)下面是Man in the Mobile attacks (MitMo/ZitMo)的演化图:以下是Trusteer对SypeEye的分析:Stage 1: MITB – web injects module受害者在访问目标银行时,会得到注入的消息,提示有“新的”安全措施(security measure)点击上面的框框里的“set the application",会有消息,进一步提示用户安装信息Stage 2 : Android (malicious) App installation如果用户按提示去下载回 阅读全文
摘要:
四月份读的最好的一本书是 Paul Graham 的大作《黑客与画家》(中文版),这是一本能引发技术人思考的佳作,真正意义上的黑客精神、创业(Start-up)、编程语言,是这本技术散文集的三个主题。阮一峰的翻译很到位,很喜欢他的译文。国内做技术图书的翻译属于"高投入低回报"的工作,能埋头做事情的人越来越少了。《黑客与画家》从解释为什么书呆子(Nerd)不受欢迎到阐述黑客精神的意义,实际上是给程序员进行了正名。保持黑客精神,就有可能改变这个世界。那些不服从管教的人们,是这个社会力量与财富的源泉,是的,现在很少有人关心这些了,大家更关心房子和油价,粮食和蔬菜。从利己角度来说, 阅读全文
摘要:
最近问答类网站相当的热门。说起问答(Question & Answer)网站,很多人会第一反应想起Quora,实际上,这类网站中 Quora 并非做的最好的(但或许是借了 Facebook 的风头),最为成功的要数Stack Overflow。更为准确的说,是Stack Exchange Network,Stack Overflow 现在只是 Stack Exchange network 的子站点而已。Stack Overflow 由 Jeff Atwood 和 Joel Spolsky 这两个非常著名的 Blogger 在 2008 年月创建,7月小范围的进行 Beta 测试,直到 阅读全文
摘要:
认知盈余1 当自由时间累积成认知盈余美国人一年花在看电视上的时间大约为2000亿个小时,这几乎是2000个维基百科项目每年所需要的时间。想像一下,如果我们将全世界受教育公民的自由时间看成一个集合体,一种认知盈余,那么,这种盈余会有多大?我们已经忘记了我们的自由时间始终是属于我们自己的,我们可以凭自己的意愿来消费它们,我们可以通过积累将平庸变成优秀,而真正的鸿沟在于什么都不做和做一些事情。2工具赋予的可能性当韩国民众在首尔市中心展开轰轰烈烈的的示威游行时,谁也不会想到在游行中,一半以上的参与者,竟然都是十几岁的小女孩儿。是什么让这些年幼到连选举权都没有的小姑娘接连数周,夜以继日地出现在公园里抗议 阅读全文