極客時間 左耳聽風閱讀筆記

2022-03-18 10:03:13 字數 3372 閱讀 3546

經典系列,推薦!歡迎掃瞄學習!

1. 程式設計師如何用技術變現(上)

本文主要講述了作者開始接觸程式到現在的一些經歷。從最開始在學校幫老師做東西,到後來公司請他做培訓。他通過知識幫別人解決問題,來賺取報酬。乙個人能不能技術變現,主要在於你能不能幫別人解決問題。尤其是你能幫別人解決別人解決不了的問題,這個時候你做的東西才更有價值。別人也更願意付給你報酬。如果你會的,別人都會,那其實沒有太大的意義。

2. 程式設計師如何用技術變現(下)

2)關注有價值的東西:關於社會需求,關於技術趨勢。多關注大公司jd要求,熟悉流行技術。

3)找到能體現價值的地方:在一家能高速發展的公司中,技術人員的價值可以達到最大化。

4)動手能力很重要:多動手實踐

5)關注技術付費點:乙個是幫別人掙錢的地方,乙個是幫別人省錢的地方

6)提高自己的能力和經歷:大公司

8)輸出觀點和價值觀:部落格,關注公司遇到的問題

9)朋友圈很重要

並不是社會不尊重程式設計師,只要你能幫上大忙,就一定會贏得別人的尊重。

會掙錢的人,一定是會投資的人。最寶貴的財富並不是你的錢,而是你的時間。你把你的時間投資在哪些地方,就意味著你未來會走什麼樣的路。所以,利用好你的時間,投資到有意義的地方。

3. equifax資訊洩露始末:

本文主要講了equifax公司由於沒有及時修復漏洞,導致資料洩露。這個漏洞已經由官方在網上公布了2個月,但equifax公司一直沒關注、沒處理。結果被黑客利用,竊取大量資料。

選擇乙個框架的時候,一定要關注這個框架的漏洞多不多。同時關注官方警告,及時更新框架版本。

4. 從equifax資訊洩露看資料安全:

1)資料洩露攻擊是怎樣實現的?

1. 利用程式框架或庫的一直漏洞。

2. 暴力破解密碼。利用密碼字典庫或是已經洩露的密碼來撞庫

3. **注入。利用程式設計師**的安全問題,入sql注入、xss攻擊(cross site script,跨站指令碼攻擊)、csrf攻擊(cross site request forgery,跨站請求偽造)等取得使用者許可權。xss與csrf攻擊

4. 利用程式日誌不小心洩露的資訊。

5. 社會工程學。rsa被攻擊,第一道防線是人--rsa的員工。只有員工的安全意識增強了,才能抵禦此類攻擊。其他的釣魚攻擊也屬於此類。

6. 只有一層安全。equifax只是被黑客攻破了管理面板和資料庫,就造就了資料洩露。顯然這樣只有一層安全防護是不夠的。

7. 弱密碼。equifax資料洩露事件絕對是管理問題。至少,密碼系統應該不能讓使用者設定如此簡單的密碼,而且還要定期更換。最好的額方式是通過資料證書、vpn、雙因子驗證的方式來登入。

8. 向公網暴露了內部系統。在公司網路管理上出現了非常嚴重的問題。

9. 對系統及時打安全補丁。監控業內的安全漏洞事件,及時作出響應,這是任何乙個有**值資料的公司都需要幹的事

10. 安全日誌被暴露。安全日誌往往包含大量資訊,被暴露是非常危險的。攜程的 cvv 洩露就是從日誌中被讀到的。

11. 儲存了不必要儲存的使用者資料。

12. 密碼沒有被合理地雜湊。以現代的安全觀念來說,以明文方式儲存密碼是很不專業的做法。進一步的是只儲存密碼的雜湊值(用安全雜湊演算法),linkedin 就是這樣做的。但是,雜湊一則需要用目前公認安全的演算法(比如 sha-2 256),而已知被攻破的演算法則最好不要使用(如 md5,能人為找到碰撞,對密碼驗證來說問題不大),二則要加乙個安全隨機數作為鹽(salt)。linkedin 的問題正在於沒有加鹽,導致密碼可以通過預先計算的彩虹表(rainbow table)反查出明文。這些密碼明文可以用來做什麼事,就不好說了,撞庫什麼的都有可能了。對使用者來說,最好是不同**用不同密碼。

2)為了避免被攻擊,對於使用了開源或閉源的支援性程式庫的軟體產品或服務,建議如下的 5 條最佳實踐。

1. 理解你的軟體產品中使用了哪些支援性框架和庫,它們的版本號分別是多少。時刻跟蹤影響這些產品和版本的最新安全性宣告。

2. 建立乙個流程,來快速地部署帶有安全補丁的軟體產品發布版。自動化測試來回歸老的功能,保證版本相容。

3. 所有複雜的軟體都有漏洞。不要基於「支援性軟體產品沒有安全性漏洞」這樣的假設來建立安全策略。

4. 建立多個安全層。就算表示層被攻破,也不會直接提供出重要(或所有)後台資訊資源的訪問權。

5. 針對公網資源,建立對異常訪問模式的監控機制。現在有很多偵測這些行為模式的開源和商業化產品,一旦發現異常訪問就能發出警報。

3)技術上還有哪些安全做法?

1. 隔離安全級別高的資料,所謂安全級別非常高的地方,即這個地方需要有各種如安全審計、安全監控、安全訪問的區域。

2. 敏感資料只入不出。通過提供服務介面來讓別的系統只能在這個區域內操作這些資料,而不是把資料傳出去,讓別的系統在外部來操作這些資料。

舉個例子,使用者的手機號是敏感資訊。如果有外部系統需要使用手機號,一般來說是想發個簡訊,那麼我們這個掌管手機號資料的系統就對外提供發簡訊的功能,而外部系統通過 uid 或是別的抽像字段來呼叫這個系統的發簡訊的 api。信用卡也一樣,提供信用卡的扣款 api 而不是把卡號返回給外部系統。

3. 使用者加密的演算法一定要採用非對稱加密的方式,而且還要加上金鑰的自動化更換,比如:在外部系統呼叫 100 次或是第乙個小時後就自動更換加密的金鑰。這樣,整個系統在執行時就完全是自動化的了,而就算黑客得到了金鑰,密匙也會過期,這樣可以控制洩露範圍。

4. 資料也是需要加密存放的,而加密使用的金鑰則需要放在另外乙個區域中。被加密的資料和用於加密的金鑰是由不同的人來管理的,有金鑰的人沒有資料,有資料的人沒有金鑰

5. 使用者需要更新金鑰時,需要對使用者做身份鑑別,可以通過雙因子認證,也可以通過更為嚴格的物理身份驗證。例如,到銀行櫃檯拿身份證重置密碼。

6. 每當這些關鍵資訊傳到外部系統,需要做通知,最好是通知使用者和自己的管理員。並且限制外部系統的資料訪問量,超過訪問量後,需要報警或是拒絕訪問。

當黑客的投入和收益大大不相符時,黑客也就失去了入侵的意義。

所謂的安全方案基本上來說就是能夠把這個風險控制在乙個很小的範圍。對於在這個很小範圍出現的一些資料安全的洩露,我們可以通過「風控**」來做業務上的補償,比如賠償使用者損失,等等。因為從經濟利益上來說,如果風險可以控制在乙個——我防範它的成本遠高於我賠償它的成本,那麼,還不如賠償了。

極客時間01 左耳聽風

程式設計師用手藝 技術養活自己,不依靠公司 提高工作效率,去研究那些難的,公司內外的核心技術 注重輸出,輸出技術 價值觀,幫助更多的人,提高影響力。如何做?積少成多,形成正向迴圈 關注有價值的東西,關注市場市場需求和技術趨勢 在學習技術的過程一定要多問自己兩個問題 一,這個技術解決什麼問題?為什麼別...

極客時間 左耳聽風 程式設計師攻略 機器學習和人工智慧

機器學習的基本原理。機器學習主要有兩種方式,一種是監督式學習 supervised learning 另一種是非監督式學習 unsupervised learning 下面簡單地說一下這兩者的不同。監督式學習是在被告訴過了正確的答案後的學習,而非監督式學習是在沒有被告訴正確答案時的學習。所以,非監督...

極客時間 左耳聽風 程式設計師攻略 分布式架構入門

分布式系統涵蓋的面非常廣,具體來說涵蓋如下幾方面 所有這些形成了分布式架構的整體複雜度,也造就了分布式系統中的很多很多 圖書以及很多很多的專案。注意幾點。github 上的一篇文件 system design primer 這個倉庫主要組織收集分布式系統的一些與擴充套件性相關的資源,它可以幫助你學習...