创业这件事 我有表达的欲望,恰好我又有书写的能力。这些文字只与我的这些欲望有关。 1. 2012年5月,我30周岁,我开了一家公司。 而在此之前呢,我在一家外企干了4年,职位做到企业架构师,薪资丰厚,每年平均飞行4万公里,在美国呆一个月晒晒加州的太阳。这家公司于2011年上市。 在公司呆了4年,职位越来越高,薪水越来越好,事情越来越少,但是我越来越迷茫。老东家是我呆过的最好的公司,这里的4年也是我成长最快的4年,可是4年真的太久了。 读《与理想有关》,读到这么一段。 拉拉又说:“如果有可能,我希望过的生活是,不用操心ppt里的excel附件,不用和李卫东争着表现,事实上,对我来说,这样的事情实在是累人累心,我并不擅长此道,我本来就是自觉自愿努力干活的人,可我不喜欢我的努力是被迫的,也不喜欢我的工作节奏不由我的掌控——其实这不是我个人的问题,你看,奴隶社会为什么生产力就特别低下?
在Web应用中,Cookie很容易成为安全问题的一部分。从以往的经验来看,对Cookie在开发过程中的使用,很多开发团队并没有形成共识或者一定的规范,这也使得很多应用中的Cookie成为潜在的易受攻击点。在给Web应用做安全架构评审(Security architecture review)的时候,我通常会问设计人员以下几个问题: 你的应用中,有使用JavaScript来操作客户端Cookie吗?如果有,那么是否必须使用JavaScript才能完成此应用场景?如果没有,你的Cookie允许JavaScript来访问吗? 你的网站(可能包含多个Web应用)中,对于Cookie的域(Domain)和路径(Path)设置是如何制定策略的?为何这样划分?
2011年12月28日,由Google赞助成立的安全漏洞研究组织oCERT(Open source Computer Emergency Response Team — 开源软件应急响应团队)公开了一份安全漏洞报告。这份报告是几个月前由德国安全研究公司nrun.com所提供的,其核心内容是:目前绝大多数的web应用,都存在着一个叫做哈希碰撞式拒绝服务攻击的漏洞(Hash Collision DoS)。这份报告的公布,使得2011年剩下的几天里,各互联网公司的技术团队集体忙于对网站进行针对此漏洞的防护工作。硝烟散尽之后,让我们一起从攻击者的角度重新审视一下这个漏洞及其利用手法。
制造Hash冲突可引发Hashtable数据结构退化为低效链表,常用于DoS攻击。 背景及几句废话 2012年的第一篇blog,想想还是写点技术相关的。最近安全圈比较热的话题是hash algorithm collision dos attack. 截止到本文发布之时,比较优雅解决这一问题的厂商依然只是少数。为了促进这一问题得到尽快解决,我认为有必要在更大的范围内普及这一攻击的基础知识。本文主要思路以代码方式提供。如果不能保证独立运行以下代码,请绕道;如果对代码可读性有疑问,那是我故意的。
