技术头条 的分享
你为什么可以被晋升? (bjt.name)
在任何一家公司,每一个对自己职业生涯有规划的员工都希望在更短的时间内晋升,这意味着更多的关注和资源倾斜,更大的责任和职责范围。当然,与之匹配的收益必然也是同步提高的。
对于晋升这件事情本身,我们应该怎样理解?有哪些误解需要澄清,我们需要做什么准备?今天就花一些时间和大家聊一聊你为什么会被提名晋升,或者晋升成功。
by @技术头条 2023-04-16 11:11 查看详情
喜欢的商品怎么找到你 (bjt.name)
本文单独针对于商品推荐中的如果选取TopN商品问题做了详细的论述,大部分触发式推荐均可以按照这个方案处理,在使用以机器学习的算法融合及排序后,对用户的转化有明显的帮助。
真实的商品推荐面临的问题远远比文章抽象的复杂很多。前文也调到有很多环节需要静心思考:比如,如果不能准确快速的收集数据,那后面所有模型基本不可用。
by @技术头条 2023-04-16 11:10 查看详情
Clear Linux 下 KVM 硬件直通配置 (www.gracecode.com)
Clear Linux 是针对 Intel 平台的滚动 Linux 发行版。它有很多优势,我个人目前主要用来针对老机型(四代酷睿平台)的裸机运行平台,并主要用来跑虚拟机。
由于 Clear Linux 是过于强调精简的发行版,因此配置方面需要额外的精力,所在这里针对 KVM 虚拟机的配置做个记录。
by @技术头条 2023-04-16 11:08 查看详情
万物之中,希望至美 (www.gracecode.com)
对一个半路出家的前端工程师的建议:
我理解前后端这块的分工会更加不断的细分,会造成前端对于后端的理解也恐怕会出现两极的分化。封装和调用的便利性会造成忽略对于底层实现原理和概念,无形中会让前端更加无法接触技术的底层实现和理解。
同时看到兄弟的学历,是实话起点上来说对于目前的行业要求是相对比较落后,但是从同龄人角度上我理解这样子情况的原因,因此对于这块没有必要对于这块过于的焦虑。
by @技术头条 2023-04-16 09:07 查看详情
精简 BASH/ZSH 的条件判断 (www.gracecode.com)
这个小技巧来自 Youtube 上的个视频,很受用所以记录下。很多时候我们写的 Shell 脚本,都会前置些判断条件,以便正确执行想要的结果。
by @技术头条 2023-04-16 09:02 查看详情
关于 MACsec 安全协议与汽车数据链路安全的探析 (paper.seebug.org)
自动驾驶即来,移动设备、视频流量、云服务的不断扩展,带宽需求也随之快速增长,网络环境也变得复杂,数据安全和隐私问题非常重要,其中对数据安全和隐私要求高的机构不能忽视局域网数据安全。

交换机作为构建局域网最基本的设备,企业交换机的部署需要更合适的安全协议,可以更有效的规避数据风险,保护企业的局域网安全,MACsec 是致力于下一代高速加密的企业、政府或服务提供商新的选择,如果有这样的需求,MACsec 安全协议数据链路层为企业提供更安全的选择,这篇文章来简单分析二者的联系。
by @技术头条 2023-04-09 21:51 查看详情
技术领域小白必不可少的工作技巧和诀窍 (linux.cn)
刚刚入职那几天确实令人害怕。 我现在依然可以清晰举出很多例子,例如在第一天上班前的晚上无法入睡,因为不知道第二天将要发生什么而内心崩溃。对于大多数人来说,开始一份新工作就像踏入未知领域。即使你已是行业的资深人士,不可否认的是,你内心可能还是会对即将发生的事情感到有点害怕。

可以理解的是,刚入职的时候你的事情很多。你要认识新的人,有新的项目和技术要了解,有文档要阅读,有教程要看完,还有没完没了的人事培训和要填的文件。这可能让你感觉压力山大,再加上你还面临着相当大程度的不确定性和未知数,以上种种能引起焦虑。

促使我写这篇文章有两个原因,首先是在我还是学生的时候,大部分讨论都围绕着如何找一份技术工作,却没有人谈论接下来发生的事情。如何在新角色中脱颖而出?现在回过头来看,我想我当时认为最困难的事情是得到一份工作,之后发生什么的一切我都可以自己弄清楚。

同样的,在我开始在这个行业工作之后,我发现大部分我看到的与职业相关的内容都是讨论如何从一个高级职位升到另一个高级职位。没有人真正谈论在此中间我们要做什么。实习生和初级工程师呢?他们在早期职业生涯中如何找到方向?

在拥有了三年全职软件工程师的经验(以及之前的几次实习)之后,我将这段时间的经历进行了复盘,并整理出一份我自己在适应新技术职位时使用过的技巧和诀窍清单。我想不只局限于前面的几个月,而是优先考虑如何让这段经历帮助你实现长期的成功。
by @技术头条 2023-04-09 21:44 查看详情
开放环境下的鲁棒异常检测 (blog.nsfocus.net)
机器学习模型有效的前提假设是:训练阶段与模型部署阶段的数据分布一致,然而在真实世界中,数据往往是变化的,输入与输出之间的关联性也会发生变化,这种现象(概念漂移)会导致机器学习模型的表现下降;异常检测任务作为安全领域的一项重要任务,应用领域广泛,异常检测的模型同样会受概念漂移现象的影响。为了提高异常检测算法的鲁棒性,本文介绍一篇NDSS2023年的论文,该论文关注正常行为的变化情况,剔除过期正常行为,添加新增正常行为,从而使模型适应数据的变化,提高鲁棒性。
by @技术头条 2023-04-09 21:42 查看详情
短 ID hash 映射的问题 (blog.codingnow.com)
我们正在开发的游戏中,会用一个 id 来表示一个游戏对象到底是什么。比如,“铁片” 是 1 ,“煤” 是 2 ,“采矿机” 是 3 …… 这样,在运行时,C 代码可以根据对象的类型方便的查询对象的属性。而对象的属性则是用 Lua 配置好,在运行期不变的。例如每燃烧一个单位的“煤”,可以产生 100KJ 的热量;一箱“铁片”有 100 个。

为了在 C 和 Lua 间快速共享这些配置数据,我还专门写了一个 cache 模块 。

问题出在 ID 的持久化上。因为游戏中的物品种类并不是特别多,出于时间以及空间性能的考量,我把 ID 设计为 16bits 。64K 种物品种类的上限看起来足够了。但 ID 的分配却比较麻烦。
by @技术头条 2023-04-09 10:06 查看详情
使用 ZoomEye 找到未启用身份验证的 Jupyter 服务器 (paper.seebug.org)
在使用Jupyter Notebook和JupyterLab 的过程中,有些用户缺乏安全意识,未启用身份验证功能,导致任何用户都可以直接访问自己的Jupyter服务器,并查看其服务器上的代码和文档。

我们使用ZoomEye 网络空间搜索引擎,通过特定搜索关键词,可以找到互联网上那些未启用身份验证的Jupyter服务器。这些服务器上泄露的代码和文档,若被不法分子利用,可能会造成数据泄露和资产损失。

我们建议全部Jupyter用户,在启动Jupyter服务的时候,遵循官方安全建议,设置成必须通过token或者password登录。
by @技术头条 2023-04-09 10:05 查看详情
实用 Web API 规范 (blog.alswl.com)
当开始创建一个新系统,或参与一个新团队或项目时,都会面临一个简单却深刻的问题:这个系统(Web Server)的 API 是否有设计规范?

这个问题困扰了我很长时间,始于我求学时期,每一次都需要与团队成员进行交流和讨论。从最初的自由风格到后来的 REST,我经常向项目组引用 Github v3 和Foursqure API(已经无法访问,暴露年龄) 文档。然而,在实践过程中,仍然会有一些与实际工作或公司通用规范不匹配的情况,这时候我需要做一些补充工作。最终,我会撰写一个简要的 DEVELOPMENT.md 文档,以描述设计方案。

但我对该文档一直有更多的想法,它还不够完善。因此,我想整理出一份简单(Simple)而实用(Pragmatic)的 Web API 最佳实践,也就是本文。
by @技术头条 2023-04-07 00:37 查看详情
psexec 原理分析和实现 (paper.seebug.org)
psexec是sysinternals提供的众多windows工具中的一个,这款工具的初衷是帮助管理员管理大量的机器的,后来被攻击者用来做横向渗透。
by @技术头条 2023-04-06 23:25 查看详情
FastJson 与原生反序列化 (paper.seebug.org)
这其实是我很早前遇到的一个秋招面试题,问题大概是如果你遇到一个较高版本的FastJson有什么办法能绕过AutoType么?我一开始回答的是找黑名单外的类,后面面试官说想考察的是FastJson在原生反序列化当中的利用。因为比较有趣加上最近在网上也看到类似的东西,今天也就顺便在肝毕设之余来谈谈这个问题。
by @技术头条 2023-04-06 23:25 查看详情
黑客背后的猎人<br /> (paper.seebug.org)
黑客在控制他人电脑窃取他人文件的同时,也会成为他人攻击的重点对象。例如,黑客下载被他人嵌入恶意木马的扫描工具,运行使用该扫描工具的时候其电脑就会被背后的“猎人”所控制。

本文,我们将从黑客开启的 Web 服务器入手,通过使用 ZoomEye 网络空间搜索引擎,成为黑客背后的“猎人”。
by @技术头条 2023-03-12 20:12 查看详情
Linux 内核常用保护和绕过技术<br /> (paper.seebug.org)
有代码就有漏洞,内核也不例外。内核漏洞是操作系统内核中的存在的安全漏洞,这些漏洞可能导致系统被恶意软件入侵或攻击者控制,并可能造成数据泄露、系统瘫痪等严重后果。例如:攻击者可能会利用内核漏洞来绕过系统安全保护,提升权限,从而获取用户敏感信息,或者在系统中安装恶意软件,损坏系统数据或瘫痪整个系统。著名漏洞“dirty cow”(脏牛漏洞)影响之广,从2007年到2018年之间的所有发行版都受其影响,让全世界数百万台设备暴露在威胁当中。
by @技术头条 2023-02-27 23:16 查看详情
通过 apt-get 降级一个软件包 (linux.cn)
最近升级的软件引起问题了?虽然你总是可以调查问题以解决它,但有时,回到以前的工作版本可以节省时间和精力。如果新的版本引入了一个 bug,你可以在 Ubuntu 和 Debian 中轻松地降级 apt 软件包。
by @技术头条 2023-02-27 23:15 查看详情
Lua 循环:如何使用 while 和 repeat until (linux.cn)
控制结构是编程语言的一个重要特征,因为它们使你能够根据通常在程序运行时动态建立的条件来指导程序的流程。不同的语言提供了不同的控制,在 Lua 中,有 while 循环、for 循环和 repeat until 循环。这篇文章涵盖了 while 和 repeat until 循环。
by @技术头条 2023-02-27 23:14 查看详情
“北溪”遭袭的真相跟它有关? ——航班定位工作原理及应用分析 (blog.nsfocus.net)
2022年8月2日,美国众议院议长佩洛西的专机SPAR19的航行路线成为了全球大众关注的焦点,一个名为Flightradar24的网站可实时显示佩洛西专机的位置,让原本小众的它直接“破圈”了。而最近一篇关于“北溪” 燃气管道爆炸真相的新闻,也再次提到了Flightradar24。行雷达网站是如何实现可以实时定位飞机位置的呢?本文将简单介绍下航班定位的技术原理以及应用场景。
by @技术头条 2023-02-27 23:14 查看详情
加密SOCKS5信道中防DNS泄露 (blog.nsfocus.net)
本文从纯粹的技术原理角度简介加密SOCKS5信道中防DNS泄露的问题,不涉及其它。

初代SOCKS5协议本身不包含加密机制,但现实世界中有许多加密SOCKS5实现。现代浏览器及相应Proxy插件普遍支持远程DNS解析,DNS泄露得到相当程度的阻止。但是,这样不足以彻底阻止DNS泄露。比较理想的状态是本机所有DNS解析请求都走加密SOCKS5信道,对此至少有两种现成的开源实现,Tor-DNS与DNS2SOCKS,自行放狗。

缺省情况下,Tor-DNS侦听53/UDP,收到DNS请求后做某种处理再发送到Tor SOCKS5 Proxy侦听的9050/TCP,由后者设法进行加密后的远程DNS解析,以此对付DNS泄露。

Tor-DNS用Go语言编写,第一次看Go代码,语法都不了解,全凭其他语言经验瞎猜。起初不想猜,让ChatGPT给我翻译成Python,未能如愿,后来硬着头皮看Go代码,大致看明白了。
by @技术头条 2023-02-27 23:13 查看详情
避坑指南:常见合约安全漏洞盘点 (blog.nsfocus.net)
相较于传统合约,智能合约不仅解决了信任问题,还承载着巨额数字资产交易。伴随着过去十年智能合约的爆发式增长,智能合约安全问题引发的各类安全事件层出不穷,据统计,目前因智能合约编码不当和安全漏洞造成的经济损失每年高达数十亿美元。因此,本文以以太坊智能合约为例,选取了一些常见合约安全漏洞,并结合过往发生的安全事件对其进行回顾分析,想以此来警醒各位读者,重视合约安全,避免漏洞“踩坑”。
by @技术头条 2023-02-27 23:13 查看详情