‘壹’ web前端开发面临的挑战主要是有哪些
平时工作,多数是开发Web项目,由于一般是开发内部使用的业务系统,所以对于安全性一般不是看的很重,基本上由于是内网系统,一般也很少会受到攻击,但有时候一些系统平台,需要外网也要使用,这种情况下,各方面的安全性就要求比较高了。
1、测试的步骤及内容
这些安全性测试,据了解一般是先收集数据,然后进行相关的渗透测试工作,获取到网站或者系统的一些敏感数据,从而可能达到控制或者破坏系统的目的。
2、sql注入漏洞的出现和修复
SQL注入定义:
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
SQL注入有时候,在地址参数输入,或者控件输入都有可能进行。如在链接后加入’号,页面报错,并暴露出网站的物理路径在很多时候,很常见,当然如果关闭了Web.Config的CustomErrors的时候,可能就不会看到。
3、跨站脚本攻击漏洞出现和修复
跨站脚本攻击,又称XSS代码攻击,也是一种常见的脚本注入攻击。例如在界面上,很多输入框是可以随意输入内容的,特别是一些文本编辑框里面,可以输入例如这样的内容,如果在一些首页出现很多这样内容,而又不经过处理,那么页面就不断的弹框,更有甚者,在里面执行一个无限循环的脚本函数,直到页面耗尽资源为止,类似这样的攻击都是很常见的,所以我们如果是在外网或者很有危险的网络上发布程序,一般都需要对这些问题进行修复。
‘贰’ 怎样做才是互联网运营思维
这个问题想了好久,关键在于“互联网思维”这个词。算起来这应该是2013年行业里最火的词,尤其是几个号称用互联网思维做实业,掉头反攻互联网的所谓成功者,四处讲演,用力大忽悠,仔细听听无非是圈子里早就已经烂熟的那些讨论。从门户到垂直到web2.0,再到微博微信,无非就是那几个。什么长尾理论啊,用户体验啊,定制服务啊……你多听几次,出去聊天的时候故作淡定深沉,时不时扔出几个词,然后抽一口烟微笑不解释,立刻就是一副得道高人隐藏已久的样子,要你多说几句就立刻推辞说抱歉我还有个投资人的饭局要去,下回再聊,其实是为了赶末班地铁回燕郊的出租房。总之从2001年开始进入中国互联网,这种大忽悠我真是见得多了,说什么用互联网思维做实业,人家做实业的高人真进来玩,分分钟甩人好几条街。所有的这些概念都是人家玩过的。只是限于互联网的技术门槛,很多传统实业上的人被壁垒挡住了而已。史玉柱进互联网的时候,大家都等着看他笑话,最后被人结结实实地上了一课。这还是史老板肯说,不低调,低调的更多。
吐槽完毕,先说互联网思维是什么。作为传媒出身,我对互联网在信息科技服务上的一面更敏感,而且这也是互联网对社会影响的最主要领域(当然还有商流物流等方面,不过互联网主要是重整了信息流)。就我所经历的中国互联网行业变化来看,如今所说的互联网思维,实际上核心在于以下几个点。
1.去中心化。这是目前互联网行业变化的最大特点,也是让很多传统业者,乃至老一辈互联网行业人士无所适从的特点,无论噱头如何花哨,这个根源上的变化是真实存在的,所以噱头才能忽悠住那么多人。从传统媒体时代开始,信息的流传是有关键节点的,电视广播报纸杂志,信息的关键节点很明确,控制也很方便。监管部门一声令下,不愿意让人看见的信息就消失了,除非手抄本,手抄本也很容易顺藤摸瓜。即使到了互联网时代,各种新闻门户和垂直门户对于传统媒体的复制性依赖还是很明确,加上搜索引擎关键字的导入控制,互联网信息传播节点的垄断依旧很强,依旧可以通过控制住传统媒体端和重点网站来操控舆论。
不过互联网带来的变化很明显,就是单纯消除或者控制信息的难度显着提升,要么借助于行政权力,要么付出更大的成本(例如对网络关键字的买断和消除,费用很高),因此互联网时代对于信息的操控初现了变化,就是信息对抗战,通过散布对立性信息或者虚假信息来模糊事实,让用户无从判断,水军、刷榜之类的出现证实了这一做法有效。所以当互联网时代进入到twitter和facebook时代,中国的同类网站兴起之后,水军的疯狂成为初期无法遏制的景象。在信息传播节点完全被打碎的情况下,就连传统的行政管制都失去了大半威力,更无须说花钱控制信息流通节点。因此面对新的信息流通模式,如何取信于用户,获得用户的好评,过去那种集中火力轰大门户,传统强势报刊媒体的做法基本失去了作用,适合去中心化特点的各类红人、大V的出现适逢其时,所谓的“自媒体”说法就此流行。
对于依赖媒体传播品牌信息的互联网产品和服务来说,这一变化实际上有利有弊,传统信息流通的节点被打碎,接近消亡,企业投向传统媒体的广告和信息量大大减少,互联网传播节点的控制难度增加,成本提升,无数难以适应这一变化的企业陷入彷徨,这是弊端的一面。我有不少认识了好多年的公关公司的朋友,这两年都和我诉苦,说公关不如从前好做了。从前是盯住重点媒体,敢花钱,就能把控住舆论,现在这招根本不灵,控制不住。要控制舆论的成本直线提升,必须重新想办法。我也给出过一些主意。但去中心化,有利的一面就是如果企业能适应互联网的变化,建立起从属于自己的信息流通节点和品牌,那么信息的传播效率会显着提升,成本则大大下降,说白了,就是企业要学着做自媒体。这就是小米兴起之后,行业内无数企业都开始学雷军,学他演讲,学小米对微博和社区的把控建设,学所谓的“饥渴营销”,根源就在于小米比别人快一步,建立了一个有效的信息流通渠道,有足够的把控力。中小企业未必能有雷军的资源和思路,但学着建立自己的自媒体传播渠道,学着通过各种夸大宣传打造品牌,这点皮毛还是学得到,各种以打造高粉丝量的微博、微信、社区大号为表现的“互联网思维”达人就此层次涌现。
2.快速精准
既然互联网的碎片化信息传播基本压制住了传统媒体的传播路径,那么担负起原有媒体的内容传播责任也是顺理成章,而且面临新传播节点对于时效和容量的限制,信息的快速更新迭代就成了唯一的解决办法。这一点从社区和微博兴起我们就看得很清楚。各种骤然兴起、影响深远的互联网大事件,基本都遵循着一日几次更新播报变化的规律,将其中所有事态发展欺负清晰展现,持续抓住用户注意力,这原本是有实力的电视媒体如CNN或者央视才能做到的新闻滚动更新,却由于没有了派遣记者和后台视频制作的流程,变得异常简单,任何在场有微博的人都可以担负起这个任务,简单的文字加图片就可以将用户注意力牢牢抓住。
信息传播渠道的变化,引发了用户需求的变化,也导致了信息提供者的被动应变。媒体的应变不在这里赘述,对于希望提供产品和品牌信息的企业来说,信息内容的迭代压力是扎实的考验,远比简单的建立一个形式上的“自媒体”要困难得多,学雷军搞演讲、搞微博、搞社区、搞口碑传播,形式很容易学,但说什么,怎么说,什么时候说,大部分的企业都不得其法,而类似小米这样的企业,则是不断从媒体行业中吸收人才,强化自己的优势,在信息的快速更新迭代上做的更好一些。与此同时,对应信息的快速更新,产品的快速更新也成为另一个支持信息传播的焦点。只有产品不断体现出变化,信息快速更新才不是无病呻吟,这对于企业的创新和研发能力提出了更高的要求。
如果产品更新跟不上,那就只有搞花边,没事和业内的对手打打口水仗,搞搞“西红柿”这样的花絮,在不涉及产品的情况下保持曝光度,雷军、刘强东、周鸿祎等人都深谙此道。而如果创新迭代可以跟上,却把握不住新媒体传播的特点,例如极路由,不知道该说什么,不知道什么时候说,结果就是适得其反。互联网追求的不仅仅是一个快字,精准(信息精准、投放精准、控制精准)更重要。
自媒体的内容运营这事学问很大,不在此多说,那是另一个话题了。
3.情感品牌
信息传播的去中心化和快速化,带来的副作用是公信力的缺失,既然人人都有发言权,大家都可以7×24模式的传播自己的观点,那谁说的更有道理,谁更具备说服力,对用户来说就是个很麻烦的事情。微博时代的方韩大战给了我们一个好的样本,在这个事件中,双方发言的对与错,道理和逻辑都已经不再重要,重要的是在情感上用户更相信谁,由此我们看到了一场没有结果的信息对抗。
对于公众来说,这是一场闹剧,但对于企业来说,这是个很好的传播典范。如果能建立起有效的情感品牌,有足够的亮点,迎合用户在情感上、价值观上的需求,那么即使身上背负的争议再多,也依旧能有足够强大的传播效力,韩寒的文字再不咋样,同样有人为他站台,方舟子再胡说八道,依旧有人做死忠出来洗地。微博上的陆琪、天天开炮的周鸿祎、青年导师李开复,这些人虽然类型不同,但无不如此。当然这方面做得最好的,还是郭小四,《小时代》的票房成功,让所有的抨击看起来都是个笑话,因为他打造了自己足够多的脑残粉群体,影评人能奈他何呢。这些人看的不是小时代,看的不是郭敬明,看的是他心里认同的东西。我们这个年代,真与假已经变得不那么重要,大家并不在乎真相,在乎的是真相是不是自己想要的那个真相,如果不是,他宁可选择不信。对于互联网企业的产品和服务来说,也是如此,只要你做的不是差到令人发指,能有一些打动用户情感的包装特色存在,例如小米手机的“青春发烧”、极路由的“自由”、360的“挑战强者”,就一定有一群认同这些价值观,进而认同你产品的群体跟上来。这是互联网产品运营的核心思维。其他诸如用户体验、免费运营等,都是表面的手段而已。
‘叁’ 网页版的Web IM ,一个超难度挑战!跪大虾来助
业即时通讯“客户通”(www.kehu.com.cn)的出现,彻底改变这样的局面,http://webmessenger.msn.com/
http://www.koolim.com/
http://www.imunitive.com/
http://123e.org/digest_773.html
http://www99.imhaha.com/webmsg/
http://www.radiusim.com/
http://www.koolim.com/
http://www.mabber.com/
http://www.ebuddy.com/
http://itbbs-arch.pconline.com.cn/topic.jsp?tid=6536434
https://imo.im/
‘肆’ 现在国内互联网是Web2.0还是Web3.0
不管你是否相信,社交网络和在线视频流出现之前,互联网就已经存在了。Web1.0甚至在20世纪90年代谷歌出现之前就已经存在了。当时的互联网是由AltaVista和网景公司主导的。
AltaVista搜索引擎创立于1995年,2013年被雅虎关闭。网景公司成立于1994年,旗下的网景浏览器曾全球闻名,但在2003年被美国在线解散。当时,这些互联网只为实体公司提供广告服务。
网页是“只读的”,用户只能搜索信息,浏览信息。正如下面第1张图所展示的:
大多数电子商务网站从性质上讲还是Web 1.0,因为其背后的理念非常简单,面向消费者展示产品,从感兴趣的消费者那里收钱。这些网站往往反应迅速,体验顺畅,但用户的互动程度被降到了最低。
Web 2.0
在Web 1.0之后,互联网的第二次迭代被称作Web 2.0,也就是“可读写”网络。到了2.0时代,用户不仅仅局限于浏览,他们还可以自己创建内容并上传到网页上。
Web 2.0这个概念,最早是在2003年,由O’Reilly传媒副总裁Dale Dougherty提出的。自此以后,Web 2.0浪潮席卷全球。仅仅过了10年,Web 2.0就已经彻底重新定义了市场营销和商务运营。
现在,微博上的大V可以通过一张照片成就或毁掉一个品牌。大众点评上的用户可以通过一条差评就抹黑一家餐厅,甚至点评已经对用户的购买决策起到至关重要的作用。
就像本篇文章第2张图展示的那样,形形色色的社交网站和点评网站,是Web 2.0的代表:
根据一项调研,90%的消费者在购买之前会在线阅读点评,88%的用户会像信任个人推荐一样信任网络点评。
Web2.0的初衷就在于让互联网更加贴近民主,使用户更好的互动。
Web 3.0
在了解什么是Web 3.0之前,先来看下下面这张图,是不是起来很熟悉?
上图是本篇文章的第3张图。每次在亚马逊上购物,网站算法就会看其他人购买了你的这件商品后会继续买什么,然后会把推荐结果展示给你。
这意味着什么?这意味着网站在从其他用户的购买习惯中学习,推断你有可能倾向于哪些产品,并把你可能喜欢的商品推荐给你。简而言之,网站自身有了自主学习能力,变得更加智能。
这就是Web 3.0背后的哲学了。
Web1.0是由内容驱动的,内容来自于商业机构,服务于消费者;
Web 2.0允许用户自主上传内容,分享内容;
Web 3.0使得在线应用和网站可以接收到已经在网络上的信息,并将新的信息和数据反馈给用户。
正如相亲网站eHarmony研发部门高级总监Gian Gonzaga博士所说,Web 3.0可以反馈给我们之前并不知晓的内容。Web 3.0在学习,在理解你是谁,并试图给你一些反馈。
Web 3.0的四大属性
为了更好地理解Web 3.0与Web 1.0和2.0的细微差别和微妙之处,让我们看看Web 3.0的四个属性。
属性一:语义网络
Web3.0的一个关键元素是“语义网络”,“语义网络”由万维网之父Tim Berners-Lee创造,用于表述可以由机器处理的数据网络。
Tim Berners-Lee最初是这样表达他对语义网络的看法的:
“我有一个梦想,网络中的所有计算机能够分析网络中的数据,包括内容、链接、人与计算机之间的往来。语义网络会让这一切成为可能,一旦该网络出现,日常的交易机制、事务以及我们的日常生后都会由机器与机器之间的沟通来处理。人们吹嘘多年的“智能代理”将最终实现。”那么,简单来说,这句话的意思是什么?语义指的究竟是什么?
“我爱比特币”和“我<3比特币”之间有什么区别?
两个句子之间的语法不同,但语义相同。语义处理数据所传达的意义或情感,在我们的例子中,这两个句子表达的是相同的情感。
所以,语义网络和人工智能是Web 3.0的两大基石。语义网络有助于计算机学习数据的含义,从而演变为人工智能,分析处理信息和数据。其核心理念是创建一个知识蛛网,帮助互联网理解单词的含义,从而通过搜索和分析来创建、共享和连接内容。
由于语义元数据,Web 3.0有助于增强数据之间的连接。因此,用户体验会升级到更高层次,所有可用信息将更好地连接起来,最终更有效地被利用。
属性二:人工智能
接下来我们来看人工智能。目前,随着区块链技术的发展,人工智能已经成为最热门和最具创新力的技术。
根据维基网络的说法,“在计算机科学领域,人工智能,有时被称为机器智能,是机器所表现出的智能,与人类和其他动物的自然智能不同。”因此,人工智能将帮助机器变得更加智能,以满足用户的需求。
人工智能允许网站过滤并向用户提供尽可能最好的数据。目前在Web 2.0中,我们已经开始采纳用户意见,以理解特定产品/资产的质量。想想在豆瓣这样的网站,用户可以为电影投票评分,得分较高的电影一般会认为是“好电影”。这样的信息可以帮助我们直接获得“好数据”,避免“坏数据”。
如我们已经提到的,Peer Review(同级评级)是Web 2.0最大的贡献之一。但是,人无完人,人类的建议也并非完全可靠。一部烂片子,也可能因为某种原因得到好评,得分也会上升。人工智能则可以学习如何区分好坏,给我们提供可靠数据。
属性三:三维世界
Web 3.0也会改变互联网的未来,从简单的二维网络发展为更真实的三维网络世界。三维设计在网络游戏、电子商务、区块链、房地产等Web 3.0的网站和服务中得到了广泛的应用。
三维网络的概念听起来可能有点陌生,但很多人已经开始在三维空间中互动了。例如《第二人生》或《魔兽世界》等在线游戏,用户对他们游戏中的人生比真实生活中的人生更加在意。
《第二人生》的创始人Philip Rosedale相信虚拟身份将像电子邮件地址和手机一样普遍。虽然现在听起来虚拟身份似乎还有些遥远。但别忘了,20多年前的1997年,也仅仅只有少数人有电子邮件地址。这样来看,拥有3D虚拟身份的人绝对还会增加。
属性四:无处不在
无所不在是指网络跨越时间与空间,无所不在。Web 2.0时代我们已经获得这项功能,例如在社交媒体网站例如Instagram,用户可以拍照,在线上传或分享,照片可以成为自己的知识产权。图像随处可见,无处不在。
移动设备和互联网的发展将使Web 3.0体验随时随地可用。互联网将不再像Web 1.0那样局限在桌面上,也不再像Web 2.0那样仅仅在智能手机,而是会无所不在。
要实现这一目标,Web 3.0时代,身边的一切事物都是连接在线的,也就是物联网。我们正在缓慢但稳定地向物联网迈进。
Web 3.0应用的挑战
了解了什么是Web 3.0,接下来让我们来看看Web 3.0的应用过程中有哪些挑战。
无边际:互联网是巨大的,它包含了数十亿个页面,仅Snomed CT医学术语就包含了370,000个类目,而现有的技术还不能消除所有语义重复的术语。任何能够读取数据并理解其功能的推理系统必须要处理海量数据。
模糊:用户查询往往不是很具体,有时候可能非常模糊,只能用模糊逻辑处理模糊性。
不确定:互联网处理大量不确定的价值。例如,有些患者可能会出现一组症状,对应于许多不同的不同诊断,每个诊断的概率都不同。概率推理技术通常用于解决不确定性。
不一致:前后矛盾的数据可能会导致逻辑上的冲突以及不可预期的分析结果。
欺诈:虽然人工智能可以过滤数据,但是如果所有提供的数据都是故意错误和误导的呢?应用加密技术可以有效预防这个问题。
增加信息连接:语义网络将有助于在线数据的连接。
高效搜索
有效营销
高效网络浏览
有效沟通
改变人类互动
对设备要求较高,落后的设备难以满足Web 3.0的要求。
大浪淘沙,3.0时代, 1.0时期网站更过时了。
相对复杂,新手理解起来很困难。
尽管面临许多挑战,但营长相信Web 3.0的发展仍然是大势所趋。
Web 3.0有很多优势,例如:
同时,它也有一些不足,主要包括:
人类正处于真正的互联网革命的边缘,Web 3.0的实现确实存在一些挑战,但它能给我们的生活带来的纯粹创新却是难以置信的。
目前关于Web 3.0虽然有很多炒作,但我们仍然需要一些实际用例来真正理解它可以给我们的生活带来哪些积极变化。
在这方面,区块链也是一个很好的连接场景。让我们拭目以待!
‘伍’ 白帽子讲Web安全的前言
在2010年年中的时候,博文视点的张春雨先生找到我,希望我可以写一本关于云计算安全的书。当时云计算的概念正如日中天,但市面上关于云计算安全应该怎么做却缺乏足够的资料。我由于工作的关系接触这方面比较多,但考虑到云计算的未来尚未清晰,以及其他的种种原因,婉拒了张春雨先生的要求,转而决定写一本关于Web安全的书。 我对安全的兴趣起源于中学时期。当时在盗版市场买到了一本没有书号的黑客手册,其中coolfire 的黑客教程令我印象深刻。此后在有限的能接触到互联网的机会里,我总会想方设法地寻找一些黑客教程,并以实践其中记载的方法为乐。
在2000年的时候,我进入了西安交通大学学习。在大学期间,最大的收获,是学校的计算机实验室平时会对学生开放。当时上网的资费仍然较贵,父母给我的生活费里,除了留下必要的生活所需费用之外,几乎全部投入在这里。也是在学校的计算机实验室里,让我迅速在这个领域中成长起来。
大学期间,在父母的资助下,我拥有了自己的第一台个人电脑,这加快了我成长的步伐。与此同时,我和一些互联网上志同道合的朋友,一起建立了一个技术型的安全组织,名字来源于我当时最喜爱的一部动漫:“幻影旅团”。历经十余载,“幻影”由于种种原因未能得以延续,但它却曾以论坛的形式培养出了当今安全行业中非常多的顶尖人才。这也是我在这短短二十余载人生中的最大成就与自豪。
得益于互联网的开放性,以及我亲手缔造的良好技术交流氛围,我几乎见证了全部互联网安全技术的发展过程。在前5年,我投入了大量精力研究渗透测试技术、缓冲区溢出技术、网络攻击技术等;而在后5年,出于工作需要,我把主要精力放在了对Web安全的研究上。 发生这种专业方向的转变,是因为在2005年,我在一位挚友的推荐下,加入了阿里巴巴。加入的过程颇具传奇色彩,在面试的过程中主管要求我展示自己的能力,于是我远程关闭了阿里巴巴内网上游运营商的一台路由设备,导致阿里巴巴内部网络中断。事后主管立即要求与运营商重新签订可用性协议。
大学时期的兴趣爱好,居然可以变成一份正经的职业(当时很多大学都尚未开设网络安全的课程与专业),这使得我的父母很震惊,同时也更坚定了我自己以此作为事业的想法。
在阿里巴巴我很快就崭露头角,曾经在内网中通过网络嗅探捕获到了开发总监的邮箱密码;也曾经在压力测试中一瞬间瘫痪了公司的网络;还有好几次,成功获取到了域控服务器的权限,从而可以以管理员的身份进入任何一位员工的电脑。
但这些工作成果,都远远比不上那厚厚的一摞网站安全评估报告让我更有成就感,因为我知道,网站上的每一个漏洞,都在影响着成千上万的用户。能够为百万、千万的互联网用户服务,让我倍感自豪。当时,Web正在逐渐成为互联网的核心,Web安全技术也正在兴起,于是我义无返顾地投入到对Web安全的研究中。
我于2007年以23岁之龄成为了阿里巴巴集团最年轻的技术专家。虽未有官方统计,但可能也是全集团里最年轻的高级技术专家,我于2010年获此殊荣。在阿里巴巴,我有幸见证了安全部门从无到有的建设过程。同时由于淘宝、支付宝草创,尚未建立自己的安全团队,因此我有幸参与了淘宝、支付宝的安全建设,为他们奠定了安全开发框架、安全开发流程的基础。 当时,我隐隐地感觉到了互联网公司安全,与传统的网络安全、信息安全技术的区别。就如同开发者会遇到的挑战一样,有很多问题,不放到一个海量用户的环境下,是难以暴露出来的。由于量变引起质变,所以管理10台服务器,和管理1万台服务器的方法肯定会有所区别;同样的,评估10名工程师的代码安全,和评估1000名工程师的代码安全,方法肯定也要有所不同。
互联网公司安全还有一些鲜明的特色,比如注重用户体验、注重性能、注重产品发布时间,因此传统的安全方案在这样的环境下可能完全行不通。这对安全工作提出了更高的要求和更大的挑战。
这些问题,使我感觉到,互联网公司安全可能会成为一门新的学科,或者说应该把安全技术变得更加工业化。可是我在书店中,却发现安全类目的书,要么是极为学术化的(一般人看不懂)教科书,要么就是极为娱乐化的(比如一些“黑客工具说明书”类型的书)说明书。极少数能够深入剖析安全技术原理的书,以我的经验看来,在工业化的环境中也会存在各种各样的问题。
这些问题,也就促使我萌发了一种写一本自己的书,分享多年来工作心得的想法。它将是一本阐述安全技术在企业级应用中实践的书,是一本大型互联网公司的工程师能够真正用得上的安全参考书。因此张春雨先生一提到邀请我写书的想法时,我没有做过多的思考,就答应了。
Web是互联网的核心,是未来云计算和移动互联网的最佳载体,因此Web安全也是互联网公司安全业务中最重要的组成部分。我近年来的研究重心也在于此,因此将选题范围定在了Web安全。但其实本书的很多思路并不局限于Web安全,而是可以放宽到整个互联网安全的方方面面之中。
掌握了以正确的思路去看待安全问题,在解决它们时,都将无往而不利。我在2007年的时候,意识到了掌握这种正确思维方式的重要性,因此我告知好友:安全工程师的核心竞争力不在于他能拥有多少个0day,掌握多少种安全技术,而是在于他对安全理解的深度,以及由此引申的看待安全问题的角度和高度。我是如此想的,也是如此做的。
因此在本书中,我认为最可贵的不是那一个个工业化的解决方案,而是在解决这些问题时,背后的思考过程。我们不是要做一个能够解决问题的方案,而是要做一个能够“漂亮地”解决问题的方案。这是每一名优秀的安全工程师所应有的追求。 然而在当今的互联网行业中,对安全的重视程度普遍不高。有统计显示,互联网公司对安全的投入不足收入的百分之一。
在2011年岁末之际,中国互联网突然卷入了一场有史以来最大的安全危机。12月21日,国内最大的开发者社区CSDN被黑客在互联网上公布了600万注册用户的数据。更糟糕的是,CSDN在数据库中明文保存了用户的密码。接下来如同一场盛大的交响乐,黑客随后陆续公布了网易、人人、天涯、猫扑、多玩等多家大型网站的数据库,一时间风声鹤唳,草木皆兵。
这些数据其实在黑客的地下世界中已经辗转流传了多年,牵扯到了一条巨大的黑色产业链。这次的偶然事件使之浮出水面,公之于众,也让用户清醒地认识到中国互联网的安全现状有多么糟糕。
以往类似的事件我都会在博客上说点什么,但这次我保持了沉默。因为一来知道此种状况已经多年,网站只是在为以前的不作为而买单;二来要解决“拖库”的问题,其实是要解决整个互联网公司的安全问题,远非保证一个数据库的安全这么简单。这不是通过一段文字、一篇文章就能够讲清楚的。但我想最好的答案,可以在本书中找到。
经历这场危机之后,希望整个中国互联网,在安全问题的认识上,能够有一个新的高度。那这场危机也就物有所值,或许还能借此契机成就中国互联网的一场安全启蒙运动。
这是我的第一本书,也是我坚持自己一个人写完的书,因此可以在书中尽情地阐述自己的安全世界观,且对书中的任何错漏之处以及不成熟的观点都没有可以推卸责任的借口。
由于工作繁忙,写此书只能利用业余时间,交稿时间多次推迟,深感写书的不易。但最终能成书,则有赖于各位亲朋的支持,以及编辑的鼓励,在此深表感谢。本书中很多地方未能写得更为深入细致,实乃精力有限所致,尚请多多包涵。 在安全圈子里,素有“白帽”、“黑帽”一说。
黑帽子是指那些造成破坏的黑客,而白帽子则是研究安全,但不造成破坏的黑客。白帽子均以建设更安全的互联网为己任。
我于2008年开始在国内互联网行业中倡导白帽子的理念,并联合了一些主要互联网公司的安全工程师,建立了白帽子社区,旨在交流工作中遇到的各种问题,以及经验心得。
本书名为《白帽子讲Web安全》,即是站在白帽子的视角,讲述Web安全的方方面面。虽然也剖析攻击原理,但更重要的是如何防范这些问题。同时也希望“白帽子”这一理念,能够更加的广为人知,为中国互联网所接受。 全书分为4大篇共18章,读者可以通过浏览目录以进一步了解各篇章的内容。在有的章节末尾,还附上了笔者曾经写过的一些博客文章,可以作为延伸阅读以及本书正文的补充。
第一篇 我的安全世界观是全书的纲领。在此篇中先回顾了安全的历史,然后阐述了笔者对安全的看法与态度,并提出了一些思考问题的方式以及做事的方法。理解了本篇,就能明白全书中所涉及的解决方案在抉择时的取舍。
第二篇 客户端脚本安全就当前比较流行的客户端脚本攻击进行了深入阐述。当网站的安全做到一定程度后,黑客可能难以再找到类似注入攻击、脚本执行等高风险的漏洞,从而可能将注意力转移到客户端脚本攻击上。
客户端脚本安全与浏览器的特性息息相关,因此对浏览器的深入理解将有助于做好客户端脚本安全的解决方案。
如果读者所要解决的问题比较严峻,比如网站的安全是从零开始,则建议跳过此篇,先阅读下一篇“服务器端应用安全”,解决优先级更高的安全问题。
第三篇 服务器端应用安全就常见的服务器端应用安全问题进行了阐述。这些问题往往能引起非常严重的后果,在网站的安全建设之初需要优先解决这些问题,避免留下任何隐患。
第四篇 互联网公司安全运营提出了一个大安全运营的思想。安全是一个持续的过程,最终仍然要由安全工程师来保证结果。
在本篇中,首先就互联网业务安全问题进行了一些讨论,这些问题对于互联网公司来说有时候会比漏洞更为重要。
在接下来的两章中,首先阐述了安全开发流程的实施过程,以及笔者积累的一些经验。然后谈到了公司安全团队的职责,以及如何建立一个健康完善的安全体系。
本书也可以当做一本安全参考书,读者在遇到问题时,可以挑选任何所需要的章节进行阅读。 感谢我的妻子,她的支持是对我最大的鼓励。本书最后的成书时日,是陪伴在她的病床边完成的,我将铭记一生。
感谢我的父母,是他们养育了我,并一直在背后默默地支持我的事业,使我最终能有机会在这里写下这些话。
感谢我的公司阿里巴巴集团,它营造了良好的技术与实践氛围,使我能够有今天的积累。同时也感谢在工作中一直给予我帮助和鼓励的同事、上司,他们包括但不限于:魏兴国、汤城、刘志生、侯欣杰、林松英、聂万全、谢雄钦、徐敏、刘坤、李泽洋、肖力、叶怡恺。
感谢季昕华先生为本书作序,他一直是所有安全工作者的楷模与学习的对象。
也感谢博文视点的张春雨先生以及他的团队,是他们的努力使本书最终能与广大读者见面。他们的专业意见给了我很多的帮助。
最后特别感谢我的同事周拓,他对本书提出了很多有建设性的意见。
吴翰清
2012年1月于杭州
‘陆’ web开发都要具备哪些必备能力
一,html,css能力
1,了解阶段,知道html标签是干什么用的,通过网络和手册能自主的写一些html,知道css是怎么回事,能在html中写一些简单的style等
2,熟悉阶段,能利用css来能设计一些简单的布局,可以将css单独的写成文件,熟悉css的语法规则,以及继承性等
3,很熟悉阶段,能够设计出很好的CSS,并且管理好这些CSS文件,尽量减少冗余代码。知道如何写出有利于搜索引擎搜索的代码,例如:title,h1,h2权重比较高的。等
二,js能力
如果提高用户体验,是一个网站能留住人的重要标志。这个就要用到JS了
1,了解阶段,了解JS的基本语法,知道如何去调试这些程序,能写一些简单function等
2,熟悉阶段,对JS的语法,函数,正则等已经熟悉了,能利用js来写一些特效,并且发 现用JS写特效,是比较累人的一件事,开始尝试jquery,prototype,并对jquery,prototype基本语法有所解,个人反对不学 JS,直接入手jquery,prototype这样的JS框架。
3,很熟悉阶段,在框架的帮助下,能熟练的用OOP的思想的来写代码,而不是一个个 function累加,熟练运用jquery,prototype的ajax,或者是网上一些ajax框架,如(ajaxrequest),不在直接写 active控件了。能够利用网络资源,来完成各种特效。
三,最关键的php能力
1,了解阶段,您能写一些代码,因为那是在手册和google的帮助下,您才完成的。变量乱定义,N多函数不知道,做起事来很慢,想到什么写什么,代码写的比较乱,后期维护很麻烦。
2,熟悉阶段,经常查函数,手册估计也看过一,二遍了,常用的函数基本上您都了解了。后 期维护给您带来了不少痛苦,您开始发现自己的代码有很多不足,开始思考如果改进自己的代码,如何站在项目的角度来规划自己的代码,而不是想到什么写什么, 知道如何来减少冗余代码,使您的代码清晰,知道什么样的代码写出来让人看着舒服,基本的代码规范,已经形成。为了提高自己,会特意的去一些技术性的论坛, 学习研究。
3,很熟悉阶段,这个阶段,我想您已经从面向过程进入了面向对象。个人觉得面向对象的最大好处就是,能使整个项目功能化,模块化, 后期维护,改版,升级就很方便了。没有面向对象的时候,不也一样开发吗.这个时期,您已经研究过了一种或者几种框架,结合自己的实际项目经验,在脑子里已 经能形成自己的一个框架,这个框架是最适合你的。并且能够将这个框架运用到实际的开发中去,以提高自己的开发效率,并且能够优化性能!
四,数据库能力
用php来做项目的话,用mysql是最多的了,其次是pgsql。因为他们二个是免费的。哈哈,以mysql为例
1,了解阶段,知道mysql是什么,能写一些简单的sql语句,能设计简单的表,知道如何使用数据库管理工具(如:phpmyadmin)
2,熟悉阶段,知道如何才能写出高效率的sql语句,了解索引原理,知道如何创建索引, 会写一些储存过程,触发器等,能通过各种手段来分析,测试数据库,例如:利用mysqlslap来进行压力测试,通来explain来分析sql语句,通 过开启慢查询来分析哪些sql语句真正影响mysql的运行,能利用dbdesigner4,mysql workbench为设计数据库,能在命令状态下,查询,分析mysql环境变量,来分析mysql的运行状态等等
3,很熟悉阶段,对于各有种存储引擎的原理非常熟悉,知道通过修改配置文件来,使存储引 擎达到最优化,知道如何来优化数据库的最大连接数,知道怎么样来优化mysql的I/o瓶颈,为了项目的需要,向mysql数据库增加存储引擎或者插件, 知道如何搭建数据库集群,并监控数据库的运行状态等等
五,apache等能力
个人觉得,到目录为止,跑php的话用apache的人还是最多,前段时间好多网站在吵NGINX有多么多么的好,能比apache好10倍,我觉得还是亲自尝试一下比较好。以apache为例
1,了解阶段,不管是linux下,还是windows下,能够安装配置apache,知道如何添加php添模,如果面试官问你,apache为什么能解释php代码,你怎么回答呢。对apache的基本配置有所了解,对于启动中遇到的问题能够解决等
2,熟悉阶段,知道如何向apache中添加新的模块,如果如何进行url重写,防盗链,进行IP限制等
3,很熟悉阶段,知道如何利用apache来缓存图片,能利用apache来做负载均衡,并且知道利用ab命令来进行压力,通过工具对日志分析,经过分析来对apache进行优化,知道如何搭建多个虚拟主机;对apahce的常用模块都有实际操作经验等
对apache进行监控和维护,一般是运维人员或者是项目经理来做的,个人觉得最好还是了解一点,因为这样您才不会那么容易被忽悠,对于自己将来的转型也是非常有必要的。
六,linux系统
为什么要掌握linux系统呢?用php写的网站大多数运行在linux或者 freebsd下的,掌握linux系统对自己将来的发展还是比较有好处的。,在linux下,不用担心中毒的问题,linux下的病毒很少,也不用担 心,XX和XXX扫描你的硬盘了。哈哈
1,熟悉阶段,会装linux系统,对系统的常用命令能够熟练运用等
2,运用阶段,在linux系统下,能够安装配置apache,php,mysql,svn,memcache,squid,lvs等一些web项目必要的工具,能够通过日志分析其状态等。对shell要有所了解,并能够写一些简单的shell脚本等
七,沟通能力
这一点非常重要,并且被越来越多的人所忽视,其实做程序员挺杯具的,根电脑打交道的时间 是最多,也许是因为这样吧,沟通的时候,是比较费劲的,也有可能是被程序的严谨性束缚了大脑,说出来的话,太专业,可能其他人听不懂得。所以平时多和他人 交流,特别是根非技术人员多沟通,多站在对方的角度来思想问题,这样的话,我想沟通起来会容易很多。
‘柒’ 学web前端有前途吗
第一,必须掌握基本的Web前端开发技术,其中包括:CSS、HTML、DOM、BOM、Ajax、JavaScript等,在掌握这些技术的同时,还要清楚地了解它们在不同浏览器上的兼容情况、渲染原理和存在的Bug。
第二,在一名合格的前端工程师的知识结构中,网站性能优化、SEO和服务器端的基础知识也是必须掌握的。
第三,必须学会运用各种工具进行辅助开发。
第四,除了要掌握技术层面的知识,还要掌握理论层面的知识,包括代码的可维护性、组件的易用性、分层语义模板和浏览器分级支持,等等。
可见,看似简单的网页制作,如果要做得更好、更专业,真的是不简单。这就是前端开发的特点,也是让很多人困惑的原因。如此繁杂的知识体系让新手学习起来无从下手,对于老手来说,也时常不知道下一步该学什么。
代码质量是前端开发中应该重点考虑的问题之一。例如,实现一个网站界面可能会有无数种方案,但有些方案的维护成本会比较高,有些方案会存在性能问题,而有些方案则更易于维护,而且性能也比较好。这里的关键影响因素就是代码质量。CSS、HTML、JavaScript这三种前端开发语言的特点是不同的,对代码质量的要求也不同,但它们之间又有着千丝万缕的联系。
‘捌’ web开发的发展前景怎么样呢
1、行业发展好
就说我们目前中国所有行业,可以说任何一个行业都离不开互联网,现在的人们对于互联网的依赖很大,互联网行业在中国无疑是现在发展前景最好的没有之一。web前端现在虽然竞争大,刚开始工作并不是那么好找,但是它未来所需要的人才是可观的,只有你拥有这个技术,作为web互联网+时代,用户体验现在成为了企业的第一标准,web前端当然待遇是水涨船高的。
2、人才需求大
现在的人们离不开手机,我们现在手机的各种应用都是用代码写成的,互联网对人们的影响越来越大,根据新闻报道未来中国20年,需要软件开发,美工设计,web前端开发人才2000W人才,各类职业也需求更多,前端的人才需求比以前也有了质的飞跃。
3、薪资待遇高
web前端开发工程师的薪资待遇平均工资已经突破一万,因为其他行业确实工资涨幅不大,所以必然会吸引了大批想要月薪过万的人来转行学习。我想引用乔布斯的一句话:WEB就是人类的未来,我们身为前端开发工作者也是未来,相信WEB前端开发的明天会更好。