要不要再学学下面的文章?
Java SPI机制学习与常用框架SPI案例 (l1n.wang)
SPI(Service ProviderInterface)是JDK内置的服务提供机制,常用于框架的动态扩展,类似于可拔插机制。提供方将接口实现类配置在classpath下的指定位置,调用方读取并加载。当提供方发生变化时,接口的实现也会改变。Java生态中JDK、Dubbo、Spring等都通过SPI提供了动态扩展的能力。
by @技术头条 2024-01-17 23:19 查看详情
解析Java动态代理机制的实现 (l1n.wang)
代理模式主要是Proxy对原始方法做了一层包装,用以增加一些新的统一处理逻辑,来增强目标对象的功能。静态代理是传统设计模式中一种传统的实现方案,动态代理能将代理对象的创建延迟到程序运行阶段。
by @技术头条 2024-01-17 23:16 查看详情
证书透明机制 — 防范证书签发机构作恶 (www.addesp.com)
如果我拿到了一个网站的证书,但这个网站并不属于我,我就可以窃听,篡改这个网站的通信。

证书透明机制(Certificate Transparency)即 CT 机制可以缓解这个问题。
by @技术头条 2023-12-26 22:36 查看详情
Windows 的 PPL 安全机制和绕过 (paper.seebug.org)
Windows 从 vista 版本引入一种进程保护机制(Process Protection),用于更进一步的控制进程的访问级别,在此之前,用户只需要使用 SeDebugPrivilege 令牌权限即可获取任意进程的所有访问权限;随后 Windows8.1 在此进程保护的基础上,扩展引入了进程保护光机制(Protected Process Light),简称 PPL 机制,其能提供更加细粒度化的进程访问权限控制。

本文将介绍 Windows 的 PPL 安全机制,以及在实验环境下如何绕过该机制,从而实现对 PPL 的进程进行动态调试。
by @技术头条 2023-06-24 23:37 查看详情
关掉了 Google 账户的 passkey (blog.delphij.net)
最近, Google 账户新增了一种叫做 passkey 的登录方式。

和 密码 + U2F 的验证方式相比,passkey 实际上类似于在手机等设备上实现了一个 U2F,并使用它代替了两者的组合。对于普通用户来说这固然是比只用密码要安全的多的(因为 passkey证明了用户拥有一个登录了该 Apple ID 或 Google 账户的设备,并且知道其解锁密码,或是向设备以生物信息证明了身份),但由于完全去掉了密码,设备本身的安全性就很重要了,在 Google 的实现中 ,锁屏密码用于生成端到端加密的密钥,因此一个能够登录 Google 账户,并且获知了锁屏 PIN 的人便能恢复出 passkey。根据文章的说法,通过硬件保证了 PIN 只能尝试最多十次,但总体上,无论是 Google 还是 Apple 的实现都依赖于一直在线的手机本身的安全性,而 U2F 设备通常并不是连接在设备上的,因此我认为尽管对普通人来说passkey 已经足够好,但对于需要持续提高电击电压的人群来说,使用 密码 + U2F 会更安全一些。
by @技术头条 2023-06-24 09:37 查看详情
使用 ZoomEye 找到未启用身份验证的 Jupyter 服务器 (paper.seebug.org)
在使用Jupyter Notebook和JupyterLab 的过程中,有些用户缺乏安全意识,未启用身份验证功能,导致任何用户都可以直接访问自己的Jupyter服务器,并查看其服务器上的代码和文档。

我们使用ZoomEye 网络空间搜索引擎,通过特定搜索关键词,可以找到互联网上那些未启用身份验证的Jupyter服务器。这些服务器上泄露的代码和文档,若被不法分子利用,可能会造成数据泄露和资产损失。

我们建议全部Jupyter用户,在启动Jupyter服务的时候,遵循官方安全建议,设置成必须通过token或者password登录。
by @技术头条 2023-04-09 10:05 查看详情
中文语法纠错全国大赛获奖分享:基于多轮机制的中文语法纠错 (www.52nlp.cn)
中文语法纠错任务旨在对文本中存在的拼写、语法等错误进行自动检测和纠正,是自然语言处理领域一项重要的任务。同时该任务在公文、新闻和教育等领域都有着落地的应用价值。但由于中文具有的文法和句法规则比较复杂,基于深度学习的中文文本纠错在实际落地的场景中仍然具有推理速度慢、纠错准确率低和假阳性高等缺点,因此中文文本纠错任务还具有非常大的研究空间。
by @技术头条 2022-12-24 23:33 查看详情
MogDB ASH机制浅析 (www.dbform.com)
ASH实际上是Oracle数据库中的一个名词,全称是Active Session History,这项功能会在数据库内存和持久化的系统表里都记录下每隔一定周期的活跃会话的信息,内存中的数据重启数据库以后会清空,但是持久化的系统表数据会长期保留。因为ASH的存在,所以当数据库发生故障或者经历性能问题,需要回溯定位问题原因的时候,非常有帮助。

在MogDB中,同样实现了ASH能力。
by @技术头条 2022-12-10 22:57 查看详情
跟 Google 学开公司 - 谈谈方向、文化和人 (blog.alswl.com)
大部分年轻人都在一个商业组织(即公司)中工作。 我们似乎对这个商业组织的运作已经很熟悉: 接触公司并进行面试和岗位匹配,在特定的岗位里面工作,过程也许开心或沮丧,通过组织的种种管理手段(KPI / OKR)来完成上级分发的任务。
这个过程中,我们往往遇到不少困惑,有些朋友还经历过职场 PUA(Pick-Up Artist);有些朋友可能感觉自己已经干的足够出色却无法得到晋升;有些朋友感慨合作的上下游太不专业了;总之,我们对公司不满是常态,而对公司满意则是反常。
其实很多时候,雇员的感受是公司运行的规律的投影。 我们制定 OKR 时候想去创造,应该通过什么方法论去开拓工作?这是公司战略决定的。 公司是怎么定义优秀人选的,我有没有机会获得晋升?这是公司用人态度决定的。 996 这么辛苦,我们该怎么去保持生活工作平衡?这是公司价值观和文化决定的。
by @技术头条 2022-08-18 23:13 查看详情
入职美国谷歌Google搜索SRE经历 (www.slyar.com)
前前后后2个月时间面了Google, Meta(Facebook)和LinkedIn三家公司并且都拿到了offer,最后深思熟虑之下选择了虽然钱不是最多但更适合自己职业发展的Google。发一篇博客记录一下时间线,鉴于公司的保密要求,面试内容就不透露了。
by @技术头条 2022-08-01 00:11 查看详情