来源:蜘蛛抓取(WebSpider)
时间:2015-03-03 06:01
标签:
我叫mt小伙伴有什么用
有打过美白针的小伙伴吗?我想问下大家美白针有什么大的副作用吗?想打,又怕有副作用。_百度知道
有打过美白针的小伙伴吗?我想问下大家美白针有什么大的副作用吗?想打,又怕有副作用。
您的回答被采纳后将获得:
系统奖励20(财富值+经验值)+难题奖励20(财富值+经验值)
我有更好的答案
肯定不好 啊
里面有对身体不好的物质
你可以试一下魔白
我自己在用
我感觉挺有效果
我觉的你可以试一下
使用方法:使用完爽肤水后,挤出需要份量的营养乳,先点涂在需要涂抹部位,然后用手指轻轻拍开,让美肤营养乳均匀分布在肌肤表层,亮白水润透出来。魅.颖.魔.白任何不懂的都可以直接V俺:yangzong186。。趁氛焦聘式履粕饰斡邑撞胺醇噶计浪モョシプルスペ
%E6%88%91%E7%9A%84%E9%97%BA%E8%9C%9C%E5%B0%B1%E5%9C%A8%E4%BC%8A-%E7%BE%8E-%E5%B0%94-%E5%B9%B8-%E7%A6%8F%E6%89%93%E8%BF%87%E8%BF%99%E4%B8%AA%E9%92%88%EF%BC%8C%E6%95%88%E6%9E%9C%E6%98%AF%E9%9D%9E%E5%B8%B8%E7%9A%84%E4%B8%8D%E9%94%99%E7%9A%84%EF%BC%8C%E7%9A%AE%E8%82%A4%E6%98%AF%E4%BB%8E%E9%87%8C%E5%88%B0%E5%A4%96%E7%9A%84%E7%99%BD%EF%BC%8C%E9%9D%9E%E5%B8%B8%E8%87%AA%E7%84%B6%EF%BC%8C%E5%B0%B1%E8%B1%A1%E7%9A%AE%E8%82%A4%E6%9C%AC%E6%9D%A5%E5%B0%B1%E6%98%AF%E8%BF%99%E6%A0%B7%E7%9A%84%EF%BC%8C%E4%BD%A0%E4%B9%9F%E5%8F%AF%E4%BB%A5%E5%8E%BB%E7%9A%84%EF%BC%8C
其他类似问题
为您推荐:
美白针的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁来自子话题:
&img src=&/99cac2ace70ef_b.jpg& data-rawwidth=&540& data-rawheight=&960& class=&origin_image zh-lightbox-thumb& width=&540& data-original=&/99cac2ace70ef_r.jpg&&这才是出色的利用啊。&br&android平台:橙爱。
这才是出色的利用啊。android平台:橙爱。
更新&br&&br&时间记录App汇总&br&iOS平台&br&1.aTimeLogger 老牌时间记录器,可以自定义分类,统计和回顾也很清晰 &a href=&/cn/app/atimelogger/id?mt=8& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&iTunes App Store 的 iPhone,iPod touch和 iPadaTimeLogger&i class=&icon-external&&&/i&&/a&aTimeLogger出安卓版啦!(更新)&br&&img src=&/9d6a2e0fd1f9d7e0e35b6d_b.jpg& data-rawwidth=&270& data-rawheight=&480& class=&content_image& width=&270&&&br&2.Evertracker,记录方便,点击单个条目而已,其他app需要输入分类或者弹出窗口 ,可以和evernote配合&br&&a href=&/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Evertracker | Track everything&i class=&icon-external&&&/i&&/a&&br&&img src=&/cdcaabe8f36_b.jpg& data-rawwidth=&400& data-rawheight=&600& class=&content_image& width=&400&&&br&3.mrtime,支持iOS和Android双平台。从《奇特的一生》里的时间记录法获取的灵感,支持导出到有道云笔记,但是小问题很多。&br&&a href=&/mrtimeapp.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&MrTime:基于《把时间当作朋友》的时间记录APP(for Android,Iphone)&i class=&icon-external&&&/i&&/a&&br&&img src=&/f3ac1ff9a5664_b.jpg& data-rawwidth=&640& data-rawheight=&1024& class=&origin_image zh-lightbox-thumb& width=&640& data-original=&/f3ac1ff9a5664_r.jpg&&&br&4.iHour&br&「iHour·时间投资计划」是一个帮助你规划、记录自己时间投入的 app,可以帮助你记录「背单词多少小时」「练琴多少小时」「看书多少小时」「Coding 多少小时」等需要时间累积来提高的技能。特有每日定时提醒,事件正倒数计时器,支持长达 10 年的时间规划。特别设计的成就系统,帮助你突飞猛进。&a href=&/13/OFJ6FH00162OUT.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&[新应用]iHour?时间投资计划:10000小时成为专家&i class=&icon-external&&&/i&&/a&&br&&br&5.10K Hours&br&和上面那款类似,针对笃信10000小时定律的人开发的 App。&a href=&/app/276/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&【最美应用】 10K Hours&i class=&icon-external&&&/i&&/a&&br&&br&&b&6.TimeOrg - 时间记录
更新&/b&&br&TimeOrg是一款可让你轻松跟踪工作时间的免费应用程序。&br&使用TimeOrg,你将可始终知道自己的加班时间和未工作时间。非常适合工作时间灵活的雇员或合同工使用。&a href=&/iphone/soft/info_238311.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&TimeOrg - 时间记录-iPhone软件-&i class=&icon-external&&&/i&&/a&&br&&img src=&/b5f54cfddd0f9c2ab92bc614e651c354_b.jpg& data-rawwidth=&320& data-rawheight=&480& class=&content_image& width=&320&&&br&&br&&br&&br&&br&Android平台&br&1.Gleeo Time Tracker,Android上功能最完善的时间记录App,可以自定义条目,同时启动多个记录,再配套Automagic for Gleeo可以输出cvs到excel中进行统计分析,具体请参考 ,缺点嘛,太丑了&br&&a href=&.cn/s/blog_6d6be.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&【原创】时间记录佳软-Gleeo Time Tracker简明使用教程_zfcansoft_新浪博客&i class=&icon-external&&&/i&&/a&&br&&a href=&.cn/s/blog_6d6be0650101cqfd.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&【原创】Automagic for Gleeo简单介绍:gleeo time tracker的绝佳伴侣_zfcansoft_新浪博客&i class=&icon-external&&&/i&&/a&&br&&img src=&/9daa74e9d5ef9a70bc1a33a_b.jpg& data-rawwidth=&335& data-rawheight=&506& class=&content_image& width=&335&&&br&2.Timesheet Time Meter (Tracker),正在完善中的App,界面有中文,目前除了记录,还没用统计和备份功能,节目也是holo风格,期待它继续完善 &br&&a href=&/store/apps/details?id=com.rk.timemeter&feature=search_result#?t=W251bGwsMSwxLDEsImNvbS5yay50aW1lbWV0ZXIiXQ& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Timesheet Time Meter (Tracker)&i class=&icon-external&&&/i&&/a&..&br&它还有个插件,支持备份到谷歌日历上:&a href=&/store/apps/details?id=com.rk.timemeter&feature=search_result#?t=W251bGwsMSwxLDEsImNvbS5yay50aW1lbWV0ZXIiXQ& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Timesheet Time Meter (Tracker)&i class=&icon-external&&&/i&&/a&..&br&&img src=&/7af50ea5a612cd7abaa92_b.jpg& data-rawwidth=&307& data-rawheight=&512& class=&content_image& width=&307&&&br&3.Time Recording - Timesheet App,老牌时间记录App,据说功能很强大,但是界面实在是太丑了!&br&&a href=&/store/apps/details?id=com.dynamicg.timerecording&feature=related_apps& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Time Recording&i class=&icon-external&&&/i&&/a&&br&它还有个专业版,但是不知道有啥强大的&a href=&/store/apps/details?id=com.dynamicg.timerecording.pro&feature=related_apps& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Time Recording Pro&i class=&icon-external&&&/i&&/a&&br&&img src=&/61d7c47c2b2f42c5da15_b.jpg& data-rawwidth=&307& data-rawheight=&512& class=&content_image& width=&307&&&br&4.Timesheet - Time Tracker-rauscha,界面很漂亮,但是其付费模式似乎不支持中国,所以没体验过,也有个插件可以配合使用&br&&a href=&/store/apps/details?id=com.rauscha.apps.timesheet&feature=related_apps& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Timesheet - Time Tracker&i class=&icon-external&&&/i&&/a&&br&&a href=&/store/apps/details?id=com.rauscha.apps.timesheet.calendar&feature=related_apps& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Timesheet Calendar Exporter&i class=&icon-external&&&/i&&/a&&br&&img src=&/6f67daab076d74dc09db3f7_b.jpg& data-rawwidth=&307& data-rawheight=&512& class=&content_image& width=&307&&&br&5.Jiffy – Time tracker,强烈推荐,是目前Android上最好的时间记录App了,支持多条目同时计时,界面精美,最难得可贵的是支持通知栏快捷操作(Android4.1新特性),不过免费版只可以建立三个条目,求破解。。。。。&br&&a href=&/jiffy-time-tracker-android/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Jiffy – Time tracker : 记录/管理你的时间[Android]&i class=&icon-external&&&/i&&/a&&br&&img src=&/47ba243cdad8aff35c66_b.jpg& data-rawwidth=&300& data-rawheight=&500& class=&content_image& width=&300&&&br&&br&6 Swipetimes time tracker 刚刚推出了一个新time tracker,比jiffy还漂亮,对于项目和任务的关系也更清晰,不过也有创建项目和任务的数量限制&br&&img src=&/22ebf5a6fbc65_b.jpg& data-rawwidth=&147& data-rawheight=&230& class=&content_image& width=&147&&&br&&b&7.番茄土豆
更新&/b&&br&番茄土豆是番茄工作法和 To-do List 工具,结合最高效的时间管理方法“番茄工作法”和 GTD 任务管理方法,让工作如虎添翼。它可以帮助你计划、管理、执行、记录工作。&a href=&/apps& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://&/span&&span class=&visible&&/apps&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&br&&img src=&/d434ccfd94d2dd89636fce6_b.jpg& data-rawwidth=&256& data-rawheight=&432& class=&content_image& width=&256&&&br&8.爱今天
更新&br&爱今天是一款完全免费时间管理软件,能够记录你花费在目标上的时间,并自动生成统计图表,帮你量化你的努力,让你更高效的利用时间;每天自动生成时间分配图,让你对自己时间花费有更好的控制,同时自动生成每天起床曲线图,帮你养成早起学习的好习惯。 &br&&img src=&/2b28acbb6fd8cdd6b0045ef_b.jpg& data-rawwidth=&225& data-rawheight=&400& class=&content_image& width=&225&&&br&&br&Android上的时间时间记录App其实非常多,但是很多都太垃圾了,界面丑陋、功能奇葩&br&尤其令人奇怪的是很少有支持通知栏快捷操作和widgets,这两个功能可以快速开始计时上秒杀iOS的。&br&其实本人也在设计一个Android平台上的时间记录App(计划——执行——统计),可惜自己编程水平差,写不出来&br&文章还有更新的话,会首先更新在我的博客上:&a href=&/time-tracker-app.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&时间记录App,时间记录,时间管理&i class=&icon-external&&&/i&&/a&
更新时间记录App汇总iOS平台1.aTimeLogger 老牌时间记录器,可以自定义分类,统计和回顾也很清晰 aTimeLogger出安卓版啦!(更新)2.Evertracker,记录方便,点击单个条目而已,其他…
来自子话题:
有人说:“黑客只是一种精神,有黑客精神的都是黑客”。&br&有人说:“黑客是对网络入侵和防御,以及漏洞相关技术极具钻研精神的一群人”,
&br&有人说:“黑客是聪明的计算机技术用户,对计算机技术感兴趣、喜欢刨根问底的人”,&br&有人说:“黑客是正义的化身,网络中的高手,并且极其具有爱国意识的计算机高手”,&br&有人说:“黑客只是喜欢入侵黑站、搞出轰动一时的大事件、甚至只是想借此捞钱的家伙”,&br&有人说:“黑客的世界里又有黑白之分,原本并不带褒贬含义的“黑客”一词,近年来却被增添了不少贬义的色彩,于是又有了“白帽子黑客”这样特有的称谓”,&br&&br&那些精于底层技术的黑客,赢得了技术群体的拥护;&br&那些精于攻击破坏的黑客,遭到了技术群体的唾弃;&br&那些追求正义自由的黑客,赢得了大众群体的拥护;&br&那些追求私己利益的黑客,遭到了大众群体的唾弃;&br&&br&可见当大众对某件事物的看法出现了分歧(门户之见,黑白之分),就会产生出各式各样的见解。一开始国内关于黑客的定义本来就含糊不清,其实也就不存在什么误解了。&br&&br&世间安得双全法,白帽也好,黑帽也罢,选你所信,尽你所能,做个好人。&br&如果说:“道分左右,义无分支”,中国暂时无黑客;&br&&img src=&/8e13daff07c67edc2179a3_b.jpg& data-rawwidth=&1000& data-rawheight=&666& class=&origin_image zh-lightbox-thumb& width=&1000& data-original=&/8e13daff07c67edc2179a3_r.jpg&&
有人说:“黑客只是一种精神,有黑客精神的都是黑客”。有人说:“黑客是对网络入侵和防御,以及漏洞相关技术极具钻研精神的一群人”,
有人说:“黑客是聪明的计算机技术用户,对计算机技术感兴趣、喜欢刨根问底的人”,有人说:“黑客是正义的化身,网络…
来自子话题:
Facebook 账号可以删除的,你不知道如何删除就 Google 一下,Google 会把你带到 Facebook Help(&a href=&/help/674& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://www.&/span&&span class=&visible&&/help/22456&/span&&span class=&invisible&&&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&),上面有详细步骤说明。&br&&br&Facebook 删除账号后,账号消失是立即生效的,但如果你在 14 天内反悔可以回到删除以前的状态。有些人在找工作前就用这招,使得公司无法在 Facebook 上找到这个人,自然也找不到任何负面内容。&br&&br&--&br&&br&人人账号其实也是可以彻底删除的,只要你发若干条触发“相关法律法规”的信息就可以了。我不希望这条答案因为“相关法律法规”而消失,所以我没办法给出任何具体的建议。此外,这样做的后果有可能会辐射到人人之外,例如影响到你的现实生活。因为公安部是能直接扫瞄人人上的任何信息的,使用这个方法删除账号可能会带来其他后果。
Facebook 账号可以删除的,你不知道如何删除就 Google 一下,Google 会把你带到 Facebook Help(),上面有详细步骤说明。Facebook 删除账号后,账号消失是立即生效的,但如果你在 14 天内反悔可以回到删除以前的状态。有些人在找工作…
来自子话题:
看上面云舒的回答吧,我就是随便写写吐吐槽。&br&----------------------&br&好问题,知乎上#信息安全太乱,匿了。看见认识的人给我点赞了,我决定再写点。&br&只针对:&blockquote&&ul&&li&心态:学了一些渗透测试的常用手法,却屡屡受挫。&/li&&/ul&&/blockquote&这一点谈谈。&br&能简单列一列题主所学习的渗透测试手法么?&br&依照我到目前的学习经验,在渗透测试学习中“屡屡受挫”可能分成如下几种:&br&&ol&&li&教程太深奥,需要的基础知识太多,查到一半坚持不下去然后半途而废。&/li&&li&教程看得懂,没有合适的测试环境;或进行未经授权的渗透测试难度大,看运气,收获不大。&/li&&li&有合适的环境,却因为一些问题无法得出应该的结果,并且无人指导甚至不知道应该得出的正确结果是什么。&/li&&li&无合适的环境,甚至无法获取合适的教程。&/li&&/ol&我的做法(无逻辑顺序):&br&&ul&&li&给自己一个“科学的上网环境”。&/li&&li&熟悉多种环境的快速搭建,虚拟机做好后留好备份,记下常用软件、命令的用法。&/li&&li&不易记忆的做好CheetSheet粘墙上。(个人做法,不推荐。。。。。)&/li&&li&教程的选择:1.可对照操作,成功率高;2.知识难度均匀;3.可举一反三。&/li&&li&关于测试环境,“&a href=&/tools/4708.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&[TOP10]十大渗透测试演练系统&i class=&icon-external&&&/i&&/a&”类似这种有很多,然后再搜索相关的答案和过程,哪怕跟着做几遍收获也会有。&/li&&li&更新一良心视频:&a href=&/course/introduction/963009.htm& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&信息安全专业-大学生专业学习引导专场&i class=&icon-external&&&/i&&/a&&/li&&li&看到“报错”就做不下去了?1.检查是不是看错了;2.检查操作方式;3.检查你的软件和环境是兼容的吗;4.可能教程少写了几个配置过程,找相关文章看能否解决。&/li&&li&犯的sb错误会成为你的“本日最佳笑点”,反正我的笑点每日一换。&/li&&li&虽然代码写的少,但要抽出时间看代码,只要有一点疑惑的地方,写出demo实现一下。&/li&&/ul&------------------又有人点赞了-------------------&br&&ul&&li&最近代码写的多,一是学校的实验报告认真写了一遍,要求实现的和相关知识都尽可能写了。因为不想被别人问“你大X的XX课怎么学的?”(总觉得自己是非211不能乱浪)。二是,自己做了点东西,代码量不大,但相关资料没少查(WEB)。&/li&&li&数电学的痛苦吗?汇编学的痛苦吗?计算机组成学的痛苦吗?痛苦可能分为多个方面:老师讲的听不懂;老师讲的跟我自己学的不一样;老师(岁数大)不按教材讲,期末考试必须按他的原话来;你的资料太多看不完,总感觉自己有哪个地方没理解。我的做法:关键地方不要跳读,不易理解的地方一个词一个词的抠,如果老师讲的是熔丝rom/8086但并不影响你按照你规划好的方式学。(你用C写的程序执行时跟你想象的过程是一样的么?尝试过反汇编吗?不会调试程序,还等着老师教吗?'abc' == 'a' 会不会有漏洞呢?lol)&/li&&li&非211学校“信XX全概论”课,密码学占了大部分。恩,跟云舒的建议相反,我认真看了一遍几种加密算法的特性,这些加密方法在哪里应用了(DES尝试实现了下)。恰好最近做的东西跟加密有关(有点像lastpass,前端有问题现在在本机上自己用先QAQ),知识正好用上了,但在写代码的过程中,仍然出现了各种脑残问题,逐个解决(包括知识欠缺和开发技巧)。&/li&&/ul&
看上面云舒的回答吧,我就是随便写写吐吐槽。----------------------好问题,知乎上#信息安全太乱,匿了。看见认识的人给我点赞了,我决定再写点。只针对:心态:学了一些渗透测试的常用手法,却屡屡受挫。这一点谈谈。能简单列一列…
来自子话题:
身份证中第十八位数字的计算方法: &br&1.
将前面的身份证号码17位数分别乘以不同的系数。从第一位到第十七位的系数分别为:7、9、10、5、8、4、2、1、6、3、7、9、10、5、8、4、2; &br&2.
将这17位数字和系数相乘的结果相加; &br&3.
用加出来和除以11,看余数是多少&br&4.
余数只可能有0 、1、 2、 3、 4、 5、 6、 7、 8、 9、 10这11个数字。其分别对应的最后一位身份证的号码为1、0、X、9、8、7、6、5、4、3、2; &br&5.
通过上面得知如果余数是2,就会在身份证的第18位数字上出现罗马数字的Ⅹ。如果余数是10,身份证的最后一位号码就是2。
身份证中第十八位数字的计算方法: 1. 将前面的身份证号码17位数分别乘以不同的系数。从第一位到第十七位的系数分别为:7、9、10、5、8、4、2、1、6、3、7、9、10、5、8、4、2; 2. 将这17位数字和系数相乘的结果相加; 3. 用加出来和除以11,看余数是多少4…
来自子话题:
ppnn13%dkstFeb.1st
ppnn13%dkstFeb.1st
来自子话题:
如果你是男的:不打不相识,拿黑客曾经的言论或技术细节PK,一定得低调有内涵地赢,或高调执着地输。&br&&br&如果你是女的:跳出来说:「黑哥,上次听余弦说你是湖南的呀,很厉害的样子,妹子我好膜拜哇!」换这种方式两三次就差不多了。&br&&br&不服来辩!&br&&br&补充:能否真的结识还得看诚意,这是一个互相认可的过程。我见过有些人浮于表面,成天仅知索取,却很少贡献。这种人结识不得。&br&&br&更可恶的是,没说两句话就搞得很熟似的,拿这种所谓的结识去忽悠他人。&br&&br&圈子不大,人品最关键。
如果你是男的:不打不相识,拿黑客曾经的言论或技术细节PK,一定得低调有内涵地赢,或高调执着地输。如果你是女的:跳出来说:「黑哥,上次听余弦说你是湖南的呀,很厉害的样子,妹子我好膜拜哇!」换这种方式两三次就差不多了。不服来辩!补充:能否真的结…
来自子话题:
强烈反对大多数回答!&br&&br&这个问题应该分开来看待。&br&&br&首先,「携程记录用户信用卡隐私信息」这个行为是错误的,这个毋庸置疑。&br&&br&其次,除了携程自己,任何与支付有关的公司都应该加强自己的安全性,这个实际上支付有关公司都很重视,只是有没有做好又是另一码事了。&br&&br&再次,这次「用户信用卡隐私信息」泄露了多少我们并不知道,很多人过于紧张的原因是觉得:&br&&blockquote&&b&「白帽子找到了问题」==「泄露了」&/b&&/blockquote&携程应该会放出详尽的调查分析结论,比如:有没有泄露,泄露的范围是什么(几天内的?还是某些用户群体?)等等。&br&&br&如果你真的太敏感,确实可以考虑冻结先,至于换不换卡,让子弹再飞会吧。&br&&br&-----------更新-----------&br&厂家的应急是很及时的,回复也很中肯,坐等更多细节吧:&br&&blockquote&携程技术人员已经确认该漏洞,并在两小时内及时修复,对于乌云平台发现的漏洞信息表示感谢。该漏洞受影响的用户为近期的部份交易客户,目前并没有用户受到
该漏洞的影响而造成相应财产损失的情况发现。携程旅行网始终对信息安全非常重视,对于此次漏洞事件如果有新的进展将持续通报。&/blockquote&
强烈反对大多数回答!这个问题应该分开来看待。首先,「携程记录用户信用卡隐私信息」这个行为是错误的,这个毋庸置疑。其次,除了携程自己,任何与支付有关的公司都应该加强自己的安全性,这个实际上支付有关公司都很重视,只是有没有做好又是另一码事了。…
来自子话题:
这件事我的看法很简单:&br&&br&对黑客来说,真想利用漏洞发家是不容易的,需要批量、大规模且小金额实施。&br&&br&对用户来说,如果真的丢钱了,找淘宝是肯定的,淘宝有理赔条款,最多是认定过程繁琐一些,就是认定是否真是漏洞丢钱。&br&&br&对淘宝来说,真出现大规模漏洞攻击,淘宝能赔得起!大不了豁出去三个月不盈利,上亿我淘宝敢赔,你黑客敢做上亿的案子吗?淘宝如今风头这么劲,影响力这么大,淘宝报案,那就是必破的案子,不破都不行,这么说还用解释吗?上头领导扛不起!&br&&br&再说,淘宝如今的态度很明确:你能发现漏洞我给你钱,有钱赚,还能出名,愿意的话都可以被招安享受高薪顾问待遇,一举多得!&br&&br&说白了,黑客也好、红客也算、极客也罢,真利用漏洞去动用户的钱,无论是多笔小钱还是数笔大额费用,为的是啥?财啊。现在有一笔可能无福消受的黑钱要去偷,弄大了就毙了;还有一笔可以带来名利的奖金可以得,弄大了圈内爆红,换做是你,你选哪个?&br&&br&那些发现漏洞的人都是人精,不傻!!&br&&br&&br&&br&&br&有人告诉你,有几家银行运钞车押送员的枪里没有子弹,有重大漏洞,拿把菜刀就能得手,敢动手吗?要不要考虑一下后果??!!!&br&&br&银行说了,有人能证明我们运钞有隐患,就给钱,你还坚持用菜刀去抢,而不是举报的奖金嘛。&br&&br&作为储户,老子存折在手,为你银行安全操神马心!!&br&-----------------&br&&br&感谢知乎,见到这么多奇葩,一个灰色产业给渲染的如此高大上,好像发现个漏洞这些钱就如同装在自己兜里,随时可以取用一般。&br&&br&真是no zuo no si。&br&&br&后来想了想也对,没有灰色产业,这些搞安全的吃啥喝啥,必须把这个产业渲染的富丽堂皇,才会有小白踏进去从业,然后被各位安全顾问揪出来,诸位自摸好了,不奉陪!
这件事我的看法很简单:对黑客来说,真想利用漏洞发家是不容易的,需要批量、大规模且小金额实施。对用户来说,如果真的丢钱了,找淘宝是肯定的,淘宝有理赔条款,最多是认定过程繁琐一些,就是认定是否真是漏洞丢钱。对淘宝来说,真出现大规模漏洞攻击,淘…
来自子话题:
我补充几点吧。&br&1.数据库对比。&br&&br&----1.Oracle:最贵,功能最多,安装最不方便,Oracle环境里的其他相关组件最多,支持平台数量一般,使用中等方便,开发中等方便,运维中等方便,不开源,速度最慢,最安全。&br&&br&----2.Microsoft SQL Server 2014:中等贵,功能最少,安装中等方便,Microsoft SQL Server 2014环境里的其他相关组件最少,支持平台最少,使用最方便,开发最方便,运维最方便,不开源,速度中等,一般安全。&br&&br&----3.Mysql:免费,功能中等,安装最方便,Mysql环境里的其他相关组件数量中等,支持平台最多,使用最不方便,开发最不方便,运维最不方便,有开源版本,速度最快,最不安全。&br&&br&&br&2.从不同职业的角度来看。&br&&br&----1.对于初学数据库的孩子来说,比如学生,建议学习Microsoft SQL Server 2014。原因主要是方便。微软平台,从Windows操作系统、VS开发工具、C#语言等等,无论安装、使用、学习都很方便,并且书籍也很多。使用这个平台,能让你更集中注意力在学习上,避免很多无关因素的打扰。比如,安装Oracle的话,需要了解很多非数据库知识,学生时期,本来时间就少,因此不推荐在此时期学习Oracle。&br&&br&----2.对于在国企、事业单位里的人来说,建议精通Windows\Office\C#\Microsoft SQL Server 2014,因为这类工作岗位上会经常做一些小软件的快速开发,以及数据的快速处理。&br&&br&----3.对于在百度、阿里巴巴这类互联网企业的人来说,建议精通Mysql。因为这类企业不愿意花钱购买正版软件,同时又需要对源代码进行定制,因此Mysql最适合这类企业。&br&&br&----4.对于专门从事大型软件项目开发,以及电信、电商、金融等,这类企业有钱,并且对数据安全最重视,因此,这类企业适合使用Oracle。
我补充几点吧。1.数据库对比。----1.Oracle:最贵,功能最多,安装最不方便,Oracle环境里的其他相关组件最多,支持平台数量一般,使用中等方便,开发中等方便,运维中等方便,不开源,速度最慢,最安全。----2.Microsoft SQL Server 2014:中等贵,功能最…
来自子话题:
不确定。&br&这取决于网站&b&存储验证信息&/b&的方式。&br&&br&1、早期的网站大多以&b&明文&/b&存储密码,所谓明文就是,就是存储密码本身。用户登录时,服务器用数据库中的密码和用户输入的密码进行比对,完全相同则登陆成功。这是最简单的一种存储方式,其优点是:实现简单,且用户可以“找回密码”。但致命的缺点是,&b&一旦密码数据库泄露,几乎无可挽回&/b&。当然,网站所有者可以看到密码。&br&经典案例:&a href=&/a/485.htm& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&CSDN详解600万用户密码泄露始末:暂关闭登录&i class=&icon-external&&&/i&&/a&&br&注:CSDN的主站程序写于1999年&br&&br&2、发现这一问题之后,程序员想到了一个新主意:用&b&Hash&/b&的方式存储密码。所谓Hash,可以简单地理解为一个&b&几乎不可逆&/b&的函数Y=H(X),X是原字串,Y是Hash后的字串,想从Y逆推X是非常困难的(所谓hard problem)!此外,任取两个X,几乎不可能得到同一个Y,这意味着X1 X2哪怕有微小的不同,Y1≠Y2.&br&以最流行的MD5算法为例,密码“password”的hash值是:&br&&blockquote&5f4dcc3b5aa765d61d8327deb882cf99&/blockquote&用户输入一个密码后,同样,用MD5计算它的Hash值,通过比较二者的Hash值是否相同,间接的确定密码是否与真正的密码匹配。的确,有可能两个不同的字串的Hash值相同,但这一事件的概率太低了:1/(2^256)=8.6e-78&br&显而易见,该方式的好处是:&b&即使数据库泄露,黑客也无法直接看到密码原文&/b&。&br&同样的,网站管理者也无法获得密码的原文。&br&&br&================
补充 ==================&br&严格的说,Hash不是一种加密方式!&br&所谓加密,是把明文变成密码,言下之意,密码还是可以解密为明文的&br&而Hash的初衷就是找不到“解密”方法(逆函数)&br&但是!!Hash常常和公私钥算法共同用于现代网络通讯,例如SSL&br&&br&感兴趣的同学请看这篇博文:&br&&a href=&/blog/2011/08/what_is_a_digital_signature.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&数字签名是什么?&i class=&icon-external&&&/i&&/a&- 阮一峰的网络日志&br&===============================================&br&&br&3、Hash看似不可逆,但俗话说,大力出奇迹,暴力破解是永远挡不住的。试想用穷举的方式计算各种可能字符串的MD5,并将结果存入一个数据库中,下次破解只需查表即可。但正如之前所说的,这也是一项极为艰苦的工作。但随着计算机算力的发展,数据库越来越大,这正慢慢变得可行。&br&比如这个网站:&a href=&http://www.md5online.org/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&MD5 Online | MD5 Decrypter&i class=&icon-external&&&/i&&/a&&br&输入之前的那个Hash值,解密,&br&&blockquote&Found : &b&password&/b&&/blockquote&截止回答时,该网站已经收录了349,984,899,628个MD5,这离MD5的总量2^128还差很远很远。但考虑到很多用户都在使用较短的、只含数字和字母的密码,这样的破解的确奏效。&br&&br&改进方案有很多,这里给出两个栗子:&br&方案1:&b&Hash两次&/b&,比如Y=MD5(MD5(X))。第二次的加密是对Hash值的加密,由于Hash值有32个字符,查表解密的方法成功率大大降低了。&br&事实证明,该方案还是有致命的弱点:&b&二次MD5表&/b&。不信的可以看这个网站:&a href=&/md5/diymd5.asp& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&变异MD5二次MD5加密解密|md5(md5($pass))|XMD5&i class=&icon-external&&&/i&&/a&&br&&br&方案2:将字串X加上一个&b&盐值(salt)&/b&,再进行Hash。事实证明:随机性是抵挡邪恶攻击者的最好手段之一。&br&&blockquote&所谓加Salt方法,就是加点“佐料”。其基本想法是这样的:当用户首次提供密码时(通常是注册时),由系统自动往这个密码里撒一些“佐料”,然后再散列。而当用户登录时,系统为用户提供的代码撒上同样的“佐料”,然后散列,再比较散列值,已确定密码是否正确。&br&这里的“佐料”被称作“Salt值”,这个值是由系统随机生成的,并且只有系统知道。这样,即便两个用户使用了同一个密码,由于系统为它们生成的salt值不同,他们的散列值也是不同的。即便黑客可以通过自己的密码和自己生成的散列值来找具有特定密码的用户,但这个几率太小了(密码和salt值都得和黑客使用的一样才行)。&/blockquote&这一方法使用很广泛。目前最流行的博客CMS:WordPress,就采用了这种加密方式。&br&&br&参考资料:&br&1 &a href=&http://zh.wikipedia.org/wiki/MD5#.E5.BC.B1.E7.82.B9& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&MD5&i class=&icon-external&&&/i&&/a& - Wikipedia&br&2 &a href=&http://blog.csdn.net/blade2001/article/details/6341078& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&浅谈MD5加密算法中的加盐值(SALT)&i class=&icon-external&&&/i&&/a& - blade2001的专栏&br&3 &a href=&http://www.php.net/manual/zh/faq.passwords.php& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&PHP: Password Hashing&i class=&icon-external&&&/i&&/a&
不确定。这取决于网站存储验证信息的方式。1、早期的网站大多以明文存储密码,所谓明文就是,就是存储密码本身。用户登录时,服务器用数据库中的密码和用户输入的密码进行比对,完全相同则登陆成功。这是最简单的一种存储方式,其优点是:实现简单,且用户…
来自子话题:
底层与应用层谁比较有前途肯定是没有标准答案的。底层相对于应用层的入门门槛是比较高点,但这个也只是针对“入门”这个级别的。往高端发展,二者的难度其实没有多大区别。但要注意的一点是底层软件是相对比较固定的,变动不大,市场需求量不如应用层多。在互联网火热发展的今天,应用层的开发职位比底层驱动职位多得多。&br&
另外一点,现在应用层的开发功能划分得越来越细,并不是按你是用c/c++或者java开发划分了,而是按你熟悉什么领域划分:你是熟悉大数据处理还是图像识别?或者是语义识别?这些功能的实现需要大量的数学知识和算法知识,入门门槛也很高。如果能精通其中一种,也算是前途无量了。所以个人认为,“底层入门门槛高”只适用于比较低层次的比较。&br&
我的学习方向也是偏底层运用的,但也学过若干如图像处理,机器学习相关课程,感慨这些课程的深度不比你学数电模电,PCB绘制,甚至操作系统底层代码编写浅。计算机的任何一个层次都是令人窒息的博大精深。
底层与应用层谁比较有前途肯定是没有标准答案的。底层相对于应用层的入门门槛是比较高点,但这个也只是针对“入门”这个级别的。往高端发展,二者的难度其实没有多大区别。但要注意的一点是底层软件是相对比较固定的,变动不大,市场需求量不如应用层多。在…
来自子话题:
你以为你仅仅只提供了曾用密码和一些你乱填的信息,Google简单匹配了下你信息就帮你找回了密码。但是实际上Google已经通过你的登陆地,设备信息,最后登录时间,创建账号信息,点击习惯,输入习惯,等等这&b&些操作指纹&/b&,结合后台使用智能算法用你的历史操作指纹数据,复原出了当前找回密码的人就是你。&br&你可以找基友要一个他账号的曾用密码,你会发现你找不回来他的密码....&br&&br&&br&&br&&br&&br&&br&&br&&br&&br&&br&&br&&br&&br&&br&&br&&br&&br&最后,以上&b&纯属猜测&/b&。因为国内某厂已经在做人物的建模复原用于身份识别等,Google大大多少肯定也会有的吧
\(&▔□▔)/\(&▔□▔)/\(&▔□▔)/
你以为你仅仅只提供了曾用密码和一些你乱填的信息,Google简单匹配了下你信息就帮你找回了密码。但是实际上Google已经通过你的登陆地,设备信息,最后登录时间,创建账号信息,点击习惯,输入习惯,等等这些操作指纹,结合后台使用智能算法用你的历史操作指…
来自子话题:
人才哪有饱和之说,除非整个行业坍塌。饱和的是平庸之辈,每个行业都这样。&br&&br&关于热度,正好最近也在偶尔思考这个,过程略去,结论:网络空间这种基础架构的存在与发展,安全会永恒下去,但至于热度,这个很难有个标准。&br&&br&回归你的内心:既然想选择这个行业,努力就是,让自己成为人才。
人才哪有饱和之说,除非整个行业坍塌。饱和的是平庸之辈,每个行业都这样。关于热度,正好最近也在偶尔思考这个,过程略去,结论:网络空间这种基础架构的存在与发展,安全会永恒下去,但至于热度,这个很难有个标准。回归你的内心:既然想选择这个行业,努…
来自子话题:
这篇FAQ应该能回答楼主的问题,相应的技术文档也可以在如下地址访问:&a href=&/2015/04/https-index/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&全站 https 时代的号角 : 大型网站的 https 实践系列&i class=&icon-external&&&/i&&/a&&br&&br&&b&百度全站 https FAQ- 技术宅告诉你如何搜索更安全&br&&/b&&br&&br&&b&你注意到了吗?百度已经全站实现 https 了! &/b&&p&百度从 14 年开始对外开放了 https 的访问,并于 3 月初正式对全网用户进行了 https 跳转。&/p&&p&你也许会问,切换就切换呗,和我有啥关系?我平常用百度还不是照常顺顺当当的,没感觉到什么切换。&/p&&p&话说,平常我们呼吸空气也顺顺溜溜的,没有什么感觉,但要是没有了空气,那就没法愉快的生活了。https 对于互联网安全的重要性,正如空气对于我们人类的重要性一样。百度全站切换到 https 之后,我们才可以愉快的搜索,愉快的上网。&/p&&p&https 究竟是如何实现让我们更加安全呢,让百度技术宅来个深度揭秘:&/p&&br&&b&问题 1:https 是什么?我有没有用到 https?&/b&&p&https 是 http over ssl(Secure Socket Layer),简单讲就是 http 的安全版本,在 http 的基础上通过传输加密和身份认证保证了传输过程中的安全性。你通常访问的网站大部分都是 http 的,最简单的方法可以看看网址是以 http:// 开头还是&a href=&https://xn--2sst8k/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&https:// 开头&i class=&icon-external&&&/i&&/a&。&/p&&p&以下几个截图就是 chrome,firefox,IE10 在使用 https 时的效果。&img src=&/228dc0037ad79acf1575ad_b.jpg& data-rawwidth=&366& data-rawheight=&27& class=&content_image& width=&366&&&/p&&img src=&/175d0fa86ab52a684d16dce27cef86ca_b.jpg& data-rawwidth=&562& data-rawheight=&31& class=&origin_image zh-lightbox-thumb& width=&562& data-original=&/175d0fa86ab52a684d16dce27cef86ca_r.jpg&&&img src=&/3f8739ce6bfc23e66fba7c_b.jpg& data-rawwidth=&429& data-rawheight=&28& class=&origin_image zh-lightbox-thumb& width=&429& data-original=&/3f8739ce6bfc23e66fba7c_r.jpg&&&br&&p&注意图中绿色的部分, 我们后面详细说说。&/p&&p&想进一步了解 HTTPS,可以阅读《大型网站的 HTTPS 实践(一)-- HTTPS 协议和原理》&/p&&br&&b&问题 2:https 为什么比 http 安全?https 加密是不是需要我在电脑上安装证书 / 保存密码?&/b&&br&&img src=&/fae9cdcd9f04d64c9604_b.jpg& data-rawwidth=&600& data-rawheight=&240& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&/fae9cdcd9f04d64c9604_r.jpg&&&br&&p&不带“s”的 http 不安全,主要是因为它传输的是明文内容, 也不对传输双方进行身份验证。只要在数据传输路径的任何一个环节上,都能看到传输的内容,甚至对其进行修改。例如一篇文章”&a href=&/story/3603866& class=&internal&&攻下隔壁女生路由器后, 我都做了些什么&/a&”中,很多攻击的环节,都是通过分析 http 的内容来进行。而在现实生活中呢,你很有可能泄露你的论坛高级会员账号 / 密码,游戏 vip 账号 / 密码,隐私的聊天内容,邮件,在线购物信息,等等。实在是太可怕的有木有!&/p&&p&https 之所以安全,是因为他利用 ssl/tls 协议传输。举个简单的例子,电影风语者中,美军发现密码经常被日本窃听和破解,就征召了 29 名印第安纳瓦霍族人作为译电员,因为这语言只有他们族人懂。即使日本人窃听了电文,但是看不懂内容也没用;想伪造命令也无从下手,修改一些内容的话,印第安人看了,肯定会说看(shen)不(me)懂(gui)。看到这里,你肯定发现了,这是基于两边都有懂这个语言(加密解密规则)的人才行啊,那么我的电脑上需要安装什么密钥或者证书吗?一般情况作为普通用户是不用考虑这些的,我们有操作系统,浏览器,数学家,安全和网络工程师等等, 帮你都做好了, 放心的打开浏览器用就好啦。&/p&&p&如果你实在好奇,想知道双方不用相同的密钥如何进行加密的,可以搜索下”公钥加密”(非对称加密),”RSA”,” DH 密钥交换”, “ssl 原理” “数字证书”等关键词。&/p&&p&有朋友会想了,不就是加密吗,我 wifi 密码都能破,找个工具分分钟就破解了。这个想法可不对, 虽然没有绝对的安全,但是可以极大增加破解所需要的成本,https 目前使用的加密方式是需要巨大的计算量(按照目前计算机的计算能力)才可能破解的,你会用世界上最强的超级计算机花费 100 年(只是一个比喻)去解密,看看 100 年前隔壁老王在百度上搜什么吗。&/p&&br&&b&问题 3:百度为什么要上 https?&/b&&p&我们每天会处理用户投诉,比如说:&/p&&p&页面出现白页 / 出现某些奇怪的东西&/p&&p&返回了 403 的页面&/p&&p&搜索不了东西&/p&&p&搜索 url 带了小尾巴, 页面总要闪几次&/p&&p&页面弹窗广告&/p&&img src=&/096a1c7ccede3_b.jpg& data-rawwidth=&622& data-rawheight=&248& class=&origin_image zh-lightbox-thumb& width=&622& data-original=&/096a1c7ccede3_r.jpg&&&br&&p&搜索个汽车就有人给我打电话推销 4s 店和保险什么的&/p&&p&…&/p&&p&各种千奇百怪的情况碰到过的请举手。&/p&&p&查来查去,很大一部分原因是有些坏人在数据的传输过程中修改百度的页面内容,窃听用户的搜索内容。悄悄告诉你,https 就是能解决这样问题的技术哦, 赶紧把浏览器首页改成&a href=&/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&&i class=&icon-external&&&/i&&/a&吧。&/p&&p&从方向上来说,HTTPS 也是未来的趋势,目前大家使用的 HTTP 还是 1.1/1.0 版本的,新的 HTTP2.0 版本的标准已经发布了。标准中涉及了加密的规范,虽然标准中没有强制使用,但是已经有很多浏览器实现声称他们只会支持基于加密连接的 HTTP2.0(&a href=&https://http2.github.io/faq/#does-http2-require-encryption& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&HTTP/2 Frequently Asked Questions&i class=&icon-external&&&/i&&/a&)。&/p&&br&&b&问题 4:https 不就是在 http 后面加个 s,很难么?&/b&&br&&img src=&/a7560fcd0c38cfc58c41_b.jpg& data-rawwidth=&959& data-rawheight=&370& class=&origin_image zh-lightbox-thumb& width=&959& data-original=&/a7560fcd0c38cfc58c41_r.jpg&&&br&&p&难,又不难。&/p&&p&它包含证书,卸载,流量转发,负载均衡,页面适配,浏览器适配,refer 传递等等等等。反正我指头肯定不够数。&/p&&p&对于一个超小型个人站点来说,技术宅 1 天就能搞定从申请证书到改造完成。如果是从零开始建设,会更容易。&/p&&p&但是对于百度搜索这种大胖纸来说,可就难了。&/p&&p&1 它一开始并不是为 https 设计的&/p&&p&2 内容丰富(内容本身的表现形式很多:图片,视频,flash,form 等等),种类丰富 (页面上除了自然结果,有视频,图片,地图,贴吧,百科 , 第三方的内容, app 等等)。&/p&&p&3 数据来源复杂,有几十个内部产品线的内容,几百个域名,成千上万个开发者的内容&/p&&p&4 百度在全国,甚至世界范围都有很多 idc 和 cdn 节点,都得覆盖到。&/p&&p&5 还不能因此拖慢了百度的速度 (国内使用 https 的银行, 在线交易的站点,有没有觉得很慢?)&/p&&p&6 上 https 本来就是为了更好的体验,可不能导致大家使用不稳定。&/p&&p&…&/p&&p&想了解更详细的内容,可以阅读《大型网站的 HTTPS 实践(四)-- 协议层以外的实践 [1]》&/p&&p&Google 部署 https 花费了 1-2 年,13 年将证书从 1024 位升级到 2048 位花了 3 个月。百度也是去年就开放了入口和小流量,但是今年 3 月才进行全量上线,可以想像整体的复杂性。&/p&&br&&b&问题 5:如何看待百度搜索支持全站 https?&/b&&br&&img src=&/7a347a04ea96ea6e3283fbd2ac76c5c7_b.jpg& data-rawwidth=&573& data-rawheight=&319& class=&origin_image zh-lightbox-thumb& width=&573& data-original=&/7a347a04ea96ea6e3283fbd2ac76c5c7_r.jpg&&&br&&p&国外的几个大型站点都 https 化了,这是未来互联网的趋势 (有兴趣的同学可以搜索下’http/2’ )。&/p&&p&对百度自身来说,https 能够保护用户体验,减少劫持 / 隐私泄露对用户的伤害。&/p&&p&很多人会有疑惑,我没有被劫持,百度上 https 有什么作用,反而让我变慢了一些。从我们的第一手数据可以看到,劫持的影响正越来越大,在法制不健全的环境下,它被当成一个产业,很多公司以它为生,不少以此创业的团队还拿到了风投。等它真正伤害到你的时候,你可能又会问我们为什么不做些什么。所以,我们宁愿早一些去面对它。&/p&&p&https 在国内的大型站点目前还只用在部分账户的登陆和支付等环节。百度也是国内第一个全站 https 的大型站点,它的用户非常多,流量也很大。百度能够上线 https 会打消大家的疑虑,对其他国内的站点是很好的示范,这个带头作用会显著加速国内互联网 https 的进程,有助于中国互联网的网络安全建设。百度作为搜索引擎,是流量的入口和分发的渠道,后续如果对 https 的站点内容的抓取,标记,权值倾斜,那么更能引导互联网的网站向 https 进行迁移。&/p&&br&&b&问题 6:https 慢不慢?&/b&&br&&img src=&/e3c7e8c26d8cde5deaf6a9_b.jpg& data-rawwidth=&842& data-rawheight=&446& class=&origin_image zh-lightbox-thumb& width=&842& data-original=&/e3c7e8c26d8cde5deaf6a9_r.jpg&&&br&&p&繁重的计算和多次交互天然的影响了 https 的访问速度。。如果什么优化都不做,https 会明显慢很多。在百度已经进行过很多速度优化的条件下,如果站点本身已经做过常规优化,但是不针对 https 做优化,这种情况下我们实测的结果是 0.2-0.4 秒耗时的增加。如果是没有优化过的站点,慢 1 秒都不是梦。至于现在慢不慢呢,大家已经体验了这么多天了,有感觉吗?&/p&&p&答案:A 慢死了,你们在做啥?
B 有些慢啊
C 还行, 基本无感
D 啥, 我已经用了 https 了?&/p&&p&是不是选的 C 或者 D?喂喂,选 A 的那位 你打开别的网站慢么, 以前没有上 HTTPS 的时候慢么。。。隔壁老王在蹭你网呢。&/p&&p&所以,不是慢,是没有优化。&/p&&br&&b&问题 7:https 耗性能吗?&/b&&br&&img src=&/2a7b56c56ecaba2ab0f3_b.jpg& data-rawwidth=&533& data-rawheight=&197& class=&origin_image zh-lightbox-thumb& width=&533& data-original=&/2a7b56c56ecaba2ab0f3_r.jpg&&&br&&p&答案是,握手的时候耗,建好连接之后就不太耗了。按照目前加密强度的计算开销,服务器支撑握手性能会下降 6-8 倍,但是如果建立好连接之后,服务器就几乎可能撑住打满网卡的 https 流量了。所以连接复用率的提升和计算性能的优化都是重点。可以阅读《大型网站的 HTTPS 实践(三)-- 基于协议和配置的优化》&/p&&br&&b&问题 8:劫持有些什么样的途经?&/b&&br&&img src=&/63006eefd45bb11cae7a9_b.jpg& data-rawwidth=&608& data-rawheight=&278& class=&origin_image zh-lightbox-thumb& width=&608& data-original=&/63006eefd45bb11cae7a9_r.jpg&&&br&&p&你的电脑,你设置的 dns,你的浏览器,你用的网络,都有可能被劫持。&/p&&p&简单和大家介绍下运营商的内容劫持是如何进行的,运营商会分析你的网络请求,它可以先于网站回包,也能修改数据包的内容。所以它可以让你跳转一次,在网址上加上小尾巴,也能在你访问的页面弹出小广告。&/p&&p&感兴趣的话,还可以通过这篇文章看看你的电脑如何被 lsp 劫持的《&a href=&http://bbs./forum.php?mod=viewthread&tid=2936377&extra=page%3D1?ADTAG=client.pcmgr.tips.anyunmuma2& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&暗云木马&i class=&icon-external&&&/i&&/a&》&/p&&br&&b&问题 9:https 解决了所有劫持问题吗?&/b&&br&&img src=&/26bf59cf_b.jpg& data-rawwidth=&1297& data-rawheight=&570& class=&origin_image zh-lightbox-thumb& width=&1297& data-original=&/26bf59cf_r.jpg&&&br&&p&俗话说有终有始,我们来说一说文章开始说的浏览器上的绿色标记。它标志着这个安全连接可信赖的级别。绿色通常是好的,黄色则是说明有些不安全,例如在 https 的页面中加载了 http 的资源,这样 http 的资源还是有被劫持的风险。&img src=&/57c9df9bc8c262f8b571d_b.jpg& data-rawwidth=&757& data-rawheight=&262& class=&origin_image zh-lightbox-thumb& width=&757& data-original=&/57c9df9bc8c262f8b571d_r.jpg&&&/p&&img src=&/70a673ced2930cee7fd41afdb8de24c6_b.jpg& data-rawwidth=&564& data-rawheight=&288& class=&origin_image zh-lightbox-thumb& width=&564& data-original=&/70a673ced2930cee7fd41afdb8de24c6_r.jpg&&&p&其实客户端,局域网的风险也很大,恶意插件,木马可以做很多事情,你使用的路由器,DNS 也比较脆弱。如果某个大型网站被标记为了红色,那你就更要小心了 (当然也可能是某个猴子忘记了续费替换证书,导致证书过期了),你有可能遭受了 ssl 劫持 (中间人攻击的一种),特别是遇到如下图提示的时候(访问一些自己签名的站点也会有类似的提示)。中间人攻击还有其他种类的,比如代理你的通信让你退化 http, 还可以利用注入根证书,可以让你浏览器还是绿色的标记,就问你怕不怕?&/p&&p&还是那句话,没有绝对的安全,但是我们可以尽量降低风险。&/p&&p&https 能够在绝大部分情况下保证互联网访问数据传输的安全,这是目前我们力所能及的工作。&/p&&br&&b&问题 10:我应该如何更爽更快切换到 https?&/b&&br&如此强悍有用的 https,我也想体验,在安全的互联网世界中翱翔,那么我该怎么做呢?&p&实际上你不需要动手,百度的攻城狮已经体贴的帮你做到了。现在访问百度试试,我们已经自动切换到 https 了,再也不用担心隐私泄露的问题,赶紧来体验吧!&/p&&p&另外以下一些技巧能有让 https 有更好的性能哦:&/p&&p&1 使用更高端大气上档次的浏览器(最好是非 IE 系列的,比如 chrome,firefox,safari 浏览器,或者百度等双核浏览器的极速模式。&/p&&p&2 把浏览器 首页或者收藏夹的百度 url 也换为 &a href=&& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://www.&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&,可以让你有更快更好的体验。&/p&&p&3 如何将百度设置成首页? 这里有详细的教程哦 &a href=&/cache/sethelp/help.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&把百度设为主页--帮助中心页面&i class=&icon-external&&&/i&&/a&&/p&&br&&p&百度上线https相应的技术文档也可以在如下地址访问(满满的干货):&a href=&/2015/04/https-index/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&全站 https 时代的号角 : 大型网站的 https 实践系列&i class=&icon-external&&&/i&&/a&&/p&
这篇FAQ应该能回答楼主的问题,相应的技术文档也可以在如下地址访问:百度全站 https FAQ- 技术宅告诉你如何搜索更安全你注意到了吗?百度已经全站实现 https 了! 百度从 14 年开始对外开放了 https 的…
来自子话题:
做黑色产业的人很少去碰银行,主要是出于投资风险回报不对等的考虑,否则的话,一些小银行并不比大型互联网网站更难入侵。&br&&br&这些人宁可去攻击游戏或电子商务网站,难度更低、收益更大、风险更小。&br&&br&实际上,银行内部(或相关第三方)的人员利用不怎么高明的技术手段(如复制磁卡,切香肠等)盗窃银行或者储户的财产并不罕见。&br&&br&之所以现实生活中很少听到这样的案例,是因为银行是运营信用的,他们非常在意市场品牌口碑,所有类似的事件都会低调处理,储户丢钱也是第一时间赔偿了事。&br&&br&其实也不是完全没有,许霆案就是一个例子,经此一案,谁还敢去碰ATM机?&br&&br&实际发生的针对银行的信息安全案例往往是通过钓鱼挂马方式在客户端把用户的钱转走为多。&br&&br&切香肠:在交易中多次盗窃小金额,合在一起成为巨款的一种盗窃手法。例如从每次用户交易偷走几角钱,这样用户很难发现,但是由于用户交易的次数很多,最终失窃款项可能达到数百万。&br&&br&说到这里有个笑话,据说国外有个银行内部人员通过切香肠在几年的时间盗窃了百万美元,结果最后他自首了,因为要把帐重新做平还需要几年的时间,而他的耐心已经彻底耗尽。
做黑色产业的人很少去碰银行,主要是出于投资风险回报不对等的考虑,否则的话,一些小银行并不比大型互联网网站更难入侵。这些人宁可去攻击游戏或电子商务网站,难度更低、收益更大、风险更小。实际上,银行内部(或相关第三方)的人员利用不怎么高明的技术…
来自子话题:
这个问题邀的……&br&&br&答也不是,不答也不是。&br&&br&大致说说不涉及技术细节吧,说多了太敏感。&br&&br&所谓APT就是“高级持续性威胁”,既然持续性,那就不是一天两天的,这个攻击应该已经好长时间了,拖数据可能也拖了至少数周至数月。&br&&br&//日更新&br&&br&在APT攻击中,攻击者往往需要长达几个月的时间去搜集信息、布局资源,可能需要更长的时间等待一个合适的漏洞或者上当的被钓鱼用户。&br&&br&目前索尼被盗的已知内容很多,有邮件、电影剧本、员工信息、财务报告、合同等,这些不可能是在同一台服务器上的,也许都未必在同一个机房(有些可能在公网服务器上,有些可能是在办公网里的),入侵的时间本身也会拖得非常长,所以多半是一边渗透一边拖数据的。&br&&br&索尼从几年前开始就各种被黑,从在线游戏帐号到用户信用卡信息等等,一方面说明了索尼自身的安全水平并不高,另外也说明了“不怕被贼偷,就怕被贼惦记着”这一俗话的正确性。甚至或许他们压根就没能清理干净之前攻击者使用的漏洞和留下的后门也说不定。&br&&br&//日更新完毕&br&&br&低带宽其实并不是真的,攻击者不会使用ADSL去拖数据,多半在访问速度较高的位置(路由较短,带宽较大)已经建立了跳板和存储服务器(群),第一步拖到这个跳板/存储服务器(群),然后再想办法拖到可以物理接触的位置(比如自己租用的服务器),通过硬盘直接拷走。&br&&br&在有流量异常监测的服务器上拖数据可能确实是一个挑战,但是如果数据是伪装成正常的协议(比如Web网站的HTTP协议),而且超出的部分只占现有流量总量的一小部分,那就很难被发现。&br&&br&假设索尼娱乐出口带宽为千兆,实际带宽使用一般是40%-60%,按照平均值50%计算,那么APT流量不能超过1Gbps X 20% X 50% = 100Mbps(实际流量要按照正常流量波动跟随),那么就是10MBytes/秒,如果被偷数据是100TB,大概需要拖115天,对APT来说不算特别长的时间了。如果稍微嚣张些,逐步提高流量占用比例(只要不是突变,异常流量监测很难发现),时间会更短。&br&&br&当然,还要考虑异常流量检测时对于IP到IP的异常分析,所以实际拖的时候多半是压缩并分割为特定大小的包,由不同的IP地址拖出去,回传后再解压重组,所以既不必担心报警,也不必担心断点续传的问题。&br&&br&最后,我觉得索尼娱乐未必有高级的异常流量检测(他们2011年就被大规模黑过一次了),如果这样的话只要攻击者注意不把人家的服务器或者带宽占满了,悠着点就没事了。
这个问题邀的……答也不是,不答也不是。大致说说不涉及技术细节吧,说多了太敏感。所谓APT就是“高级持续性威胁”,既然持续性,那就不是一天两天的,这个攻击应该已经好长时间了,拖数据可能也拖了至少数周至数月。//日更新在APT攻击中,攻击…
来自子话题:
移动APP和PC互联网其实相通。&br&&br&1、有一些东西本身就无法避免同质化,比拼的核心不在产品上,而是资金、运营等。比如团购,比如视频行业。所以,产品端很难有杀手级更新来突围。现在优酷和土豆的市值差别这么大,其实原因就一个,古永锵显然比王微会玩资本。&br&&br&2、人群细分的确是一个很好的思路,员工特惠最成功的一点是抓住了大公司白领的心理需求,他们感觉自己“被满足重视了”,这种比较虚的东西不见得不能打动人。实际上对优惠券来说,最重要的还是,折扣、折扣、折扣。我看了下员工特惠,折扣确实有更低(5折),这得益于悦乐和商户的谈判资本(挟精准优质客户以令诸侯)。&br&&br&3、重构消费群和消费圈的维度。优惠券行业现在的维度是:a、按行业分,餐饮、商超及其他服务消费;b、按线上线下分,有周边优惠,也有团购聚合;c、按照城市地域分。悦乐做了一件事,就是新增了一个维度——以公司为节点,实现了又一次商圈的扫荡。如果优惠券APP再构建更多的维度,也是可能的,这是创新点。&br&&br&4、积累很重要。看起来是“微创新”,其实是厚积薄发。反正我知道,悦乐是国内最早做优惠券的,覆盖城市、优惠券数量、数据库更新频次都是最好的。打不好基础,光凭创意,很难接地气。
移动APP和PC互联网其实相通。1、有一些东西本身就无法避免同质化,比拼的核心不在产品上,而是资金、运营等。比如团购,比如视频行业。所以,产品端很难有杀手级更新来突围。现在优酷和土豆的市值差别这么大,其实原因就一个,古永锵显然比王微会玩资本。2…
来自子话题:
没有女朋友何必说这么委婉
没有女朋友何必说这么委婉
来知乎,参与讨论
