产品运营系列:现状跟踪,指标统计 (ningg.top)
跟踪产品和业务的状况,对整体情况,有一个客观的判断,才能支持下述决策:
1、发现风险:哪个地方,出现风险之前,细微的指标,都有反映,有的剧烈、有的微弱;
2、业务预测:预判业务的增长规模,以及需要提前准备的资源(人力、资金)等
支撑决策:发现业务的客观规律,获取客户/用户的反馈,支持科学决策。

上面所有的决策,都需要客观的跟踪产品和业务状况,都需要进行量化,也就需要指标,指标分为:
1、核心指标:真正的直接反应核心的供给、需求、利润、品质等情况;
2、关联指标:其他关联的周边指标,方便发掘潜在问题、增长点、改进策略等情况。
by @shengting 2021-06-20 10:39 分享 查看详情
Win10电脑的Bitlocker是什么?蓝屏锁了怎么办? (zhuanlan.zhihu.com)
总结一下Bitlocker用途如下:
1、加密硬盘数据,且几乎无法破解;
2、在硬件发生变动时,锁定计算机;

Bitlocker的几个需要知道的地方:
1、绑定微软账户时,密钥会传到微软的服务器,在微软账户里,需要的时候记得登录微软账户找回;
2、如果锁定了,自己手上没有密钥,只能重装系统;
3、一些机器是带TPM芯片的,BitLocker会绑定机器硬件,同一块硬盘,即使知道密钥,在别的机器上也打不开;
4、Bitlocker可以手动关闭;
by @shengting 2021-05-21 14:23 分享 查看详情
GitLab CI/CD (www.cnblogs.com)
GitLab CI/CD 是一个内置在GitLab中的工具,用于通过持续方法进行软件开发:
Continuous Integration (CI) 持续集成;
Continuous Delivery (CD) 持续交付;
Continuous Deployment (CD) 持续部署;

持续集成的工作原理是将小的代码块推送到Git仓库中托管的应用程序代码库中,并且每次推送时,都要运行一系列脚本来构建、测试和验证代码更改,然后再将其合并到主分支中。

持续交付和部署相当于更进一步的CI,可以在每次推送到仓库默认分支的同时将应用程序部署到生产环境。

这些方法使得可以在开发周期的早期发现bugs和errors,从而确保部署到生产环境的所有代码都符合为应用程序建立的代码标准。

GitLab CI/CD 由一个名为 .gitlab-ci.yml 的文件进行配置,改文件位于仓库的根目录下。文件中指定的脚本由GitLab Runner执行。
by @shengting 2021-05-19 14:37 分享 查看详情
DevOps之Gitlab-CICD实践篇 (zhuanlan.zhihu.com)
随着公司项目使用gitlab越来越多,业务发布的次数越来越频繁,对于发布效率提出了更高的要求。从2012开始,Gitlab官方开始集成了Continuous Integration (CI) & Continuous Delivery (CD)功能。本文主要针对该功能的实践做一个分享。
by @shengting 2021-05-19 14:36 分享 查看详情
分析上市公司税收:这些知识不可少 (www.hebicpa.org.cn)
如何知道一家上市公司缴纳了多少税?都缴纳了哪些税?会不会存在税收问题?由于上市公司需要定期披露年度报告(其中包含财务报告,以下简称财报),财报经过有资质的会计师事务所审计,披露的财务信息比较全面,因此,通过阅读上市公司的年度报告了解企业的纳税情况是一种比较有效的方式。然而,上市公司的年报大都很长,如何才能有效阅读上市公司的财报,如何才能看懂这些专业的财报信息、较全面掌握公司的税收信息呢?

要有效阅读上市公司的财报,需要掌握有效阅读年报、财报税收信息的方法,了解各种税收数据的含义及如何使用这些税收信息等。
by @shengting 2021-04-07 23:10 分享 查看详情
从经济学角度,看多抓鱼的创新 (feimiaomiao.com)
多抓鱼采用平台自建仓库的方式,以仓储中心取代传统二手书店的店面;以规模化中心化的方式组织书籍的入库审核、消毒翻新、打包邮寄等一系列劳动;由平台统一出资购买用户提供的书籍;并且在数据要素的中心化组织上也与以往的网上旧书交易平台不同。

对土地、劳动、资本要素的中心化组织在以前的二手书交易中是没有出现过的,这也是多抓鱼在对生产要素的重新组合方面最大的特点。
by @shengting 2021-03-22 12:43 分享 查看详情
营销有病,文案有药吗? (mp.weixin.qq.com)
两件毛衣,一件沾有狗屎而且没洗过,另一件杀人狂魔穿过但已干洗消毒过,你选哪件?

你选第一件?大多数人都是如此。心理学家们用这个怪诞试验证明了:物品并非只是物品,而是构成人们定义自我的一部分。

例如一个低调的人不会选择跑车,因为他认为“那不像我”。一个街头潮男卖肾也要拿下最新联名款球鞋,因为“那就是我”。你是谁你就购买什么。

所以军队或者监狱希望强化集体身份、消除个性的时候,首先会没收个人物品,并让所有人统一服装、发型、物品等。

而真正高水平的营销,则会让产品与用户的自我概念达成认知匹配,这就叫自我形象一致。
by @shengting 2021-03-22 08:27 分享 查看详情
中国互联网20年简史(1998-2018):其中的规律与本质是什么? (www.cniteyes.com)
大事年表,简单回顾一下中国互联网20年,从1998年开始。

主要涉及:
1、内容:新闻&文学、音乐&视频;
2、社区+内容;
3、游戏;
4、电子商务。
by @shengting 2021-03-19 17:23 分享 查看详情
硬件安全:ARM体系架构的安全特性演进 (www.secrss.com)
安全从业者脑中有一系列的安全名词,比如安全三要素Confidenciality 、Integrity、Availability,比如硬件安全品牌TPM、TrustZone、SGX、Titan-M,比如软件层面的安全能力Isolation、Access Control,又比如漏洞缓解措施DEP、ASLR、CFI。

从这些名词可以看出,软件最基础的安全能力都得自于硬件的支持,如果一个硬件没有特权级别,那就不要期望能实现什么安全能力了(没有MPU,基本的隔离都没办法做了)。

硬件能力如同原材料,能做成什么样的美味佳肴就靠厨师(工程师)的本领了。

因此在考虑未来产品安全的发展趋势时,硬件安全的未来演进是非常值得参考的。硬件安全系列主要讲述下ARM指令集的演进、Intel SGX解决方案以及苹果和Google硬件安全芯片的应用。本篇文章就从我们最熟悉的ARM开始讲起。
by @shengting 2021-03-19 17:11 分享 查看详情
MTK平台Android 安全中secure boot机制 (blog.csdn.net)
Secure boot指的是建立用于运行已验证应用程序的可信平台的启动序列。它从一个不可变的序列开始,使用密码验证验证代码的源,从而只执行授权的软件。启动序列将设备置于已知的安全状态,并检测软件的二进制操作和反射攻击。

Secure boot的目的就是确保在系统平台上所执行的程序代码是厂商确认过的,避免有人恶意修改系统程序的恶意行为。
by @shengting 2021-03-19 17:11 分享 查看详情
UEFI安全启动 (zhuanlan.zhihu.com)
UEFI安全引导(Secure Boot)的核心职能就是利用数字签名来确认EFI驱动程序或者应用程序是否是受信任的。

在简要地介绍了数字签名的概念(这是安全引导的基础)之后,我们重点介绍UEFI 安全引导是如何利用数字签名以及其他的加密方式(如Hash函数等)来确保系统引导的安全可靠。

我们还会讲到Secure Boot的部署方面以及他在操作系统的安全负载方面所起到的协助作用。
by @shengting 2021-03-19 17:09 分享 查看详情
Android Verified Boot 概述 (www.xiezeyang.com)
Verified Boot是Google为Android启动定义的一种安全机制。它建立了一条从受硬件保护的Root of trust到booloader,再到boot和其它验证分区(包括system、vendor、product、odm等)的完整信任链。在设备启动的过程中,无论处于哪个阶段,都会在进入下一个阶段前先验证下一个阶段的完整性和真实性。除了确保设备运行的是安全的Android系统以外,verified boot还支持回滚保护(anti-roll back),它可以保证设备只会更新到更高版本,以避免可能的漏洞持续存在。另外,verified boot还允许设备将其完整性传到给终端用户。

要想使能verified boot,需要在编译系统中启用dm-verity功能。Android 4.4就增加了对验证启动和 dm-verity 内核功能的支持。以前的Android版本会在发现设备损坏时向用户发出警告,但仍允许他们启动设备。从Android 7.0 开始,系统会严格强制执行verified boot,从而使得遭到入侵的设备无法启动,与此同时还增加了对向前纠错功能的支持,能更可靠地防范非恶意数据损坏。Android 8.0及更高版本包含了 Android Verified Boot (AVB)功能。其实AVB就是验证启动的一个参考实现,可与 Project Treble 配合使用。除此之外,AVB 还对分区脚本格式进行了标准化处理,并增添了回滚保护功能。为了便于区分,我们一般将此之前的verified boot称为1.0版,而AVB专指verified boot 2.0版。
by @shengting 2021-03-19 17:09 分享 查看详情
浅析安全启动(Secure Boot (bbs.pediy.com)
安全启动的根本目的是为了防止消费者从软硬件层面对产品的部分关键系统进行读写、调试等高权限的操作。以限制消费者的能力,来达到保护产品的商业机密、知识产权等厂家权益的目的。

当然,厂家是不会这样宣传 Secure Boot 的。他们的文案通常都是通过这项技术保护用户的隐私,防止恶意软件修改系统软硬件等等。不过不论如何,随着 ARM 架构的广泛授权,基于 TrustZone 的 Secure Boot 也越来越普遍了。

本文是通过我自己对市面上的一些基于 ARM TrustZone 的 Secure Boot 实现的浅见、零零碎碎读到的一些安全分析文章、看到的一些讲座,总结一些常用的攻击思路,介绍一些真实的攻击案例。
by @shengting 2021-03-19 17:07 分享 查看详情
浅谈 Android 的安全启动和完整性保护 (evilpan.com)
在 IoT 中保证设备安全性的重要一环就是保证代码的完整性,不让恶意代码影响业务的正常逻辑。一般而言是及时修复现有攻击面所面临的漏洞,比如浏览器、蓝牙、调试接口;另一方面需要确保的是即便恶意代码获取了执行权限,也无法修改系统镜像进行持久化。针对这点所构造的安全方案通常称为 Secure Boot,对于不同的厂商,实现上可能会引入不同的名字,比如 Verified Boot、High Assurance Boot 等等,但本质上都是类似的。
by @shengting 2021-03-19 17:07 分享 查看详情
黑产在IP攻防上的挣扎与进化 (mp.weixin.qq.com)
通俗的讲,秒拨的底层思路就是利用国内家用宽带拨号上网(PPPoE)的原理,每一次断线重连就会获取一个新的IP。与时俱进的黑产掌握大量宽带线路资源,利用虚拟化和云计算的技术整体打包成了云服务,并利用ROS(软路由)对虚拟主机以及宽带资源做统一调配和管理。这种云服务交付给黑产用户其实就是云主机(俗称“秒拨机”),黑产用户可安装Windows或Linux系统,通过RDP、VNC或者SSH连接,部署自动断线重连切换IP以及攻击的工具后,便可发起攻击。
by @shengting 2021-03-19 17:03 分享 查看详情
基于用户画像大数据的电商防刷架构 (www.iyunying.org)
“羊毛党”的行为距离欺诈只有一步之遥,他们的存在严重破环了活动的目的,侵占了活动的资源,使得正常的用户享受不到活动的直接好处。
by @shengting 2021-03-19 17:02 分享 查看详情
使用不多但又十分重要的:风控策略 (www.woshipm.com)
两个凡是:凡是有利益的地方就会有作弊,凡是有作弊的地方就会有风控策略。

风险控制是指风险管理者采取各种措施和方法,消灭或减少风险事件发生的各种可能性,或风险控制者减少风险事件发生时造成的损失。

总会有些事情是不能控制的,风险总是存在的。做为管理者会采取各种措施减小风险事件发生的可能性,或者把可能的损失控制在一定的范围内,以避免在风险事件发生时带来的难以承担的损失。
by @shengting 2021-03-09 11:07 分享 查看详情
卢明樊:爱奇艺的业务安全风控“秘籍 (www.freebuf.com)
企业的一大半困扰都来自业务风险,而如何结合特定场景下的业务,降低、控制围绕着业务的风险应该是绝大多数企业反复思考的“保命”命题。此次,我们采访到了爱奇艺云服务高级总监和安全团队负责人卢明樊,深入探讨企业业务安全风控体系的搭建之路,希望从爱奇艺“4年一中台”的实践,为不同类型的企业打开业务风控思路。
by @shengting 2021-03-09 10:25 分享 查看详情
全链路风控解决方案深度解读 (segmentfault.com)
羊毛党和黑灰产是一群非常活跃的群体,只要有利可图(获利、引流等)他们便如蝗虫一般涌入,给企业带来非常大的经济损失。

但如此强大的黑灰产,也并非无懈可击,他们的动机很纯粹,即:获利。只要投入产出比不高,他们便不会“恋战”,便会转战其他投入产出比更高的平台。

所以,风控防刷的主要目的是提高刷子的成本,当然,其中不乏各种策略对抗。通过构建全链路风控方案和多业务联防联控的解决机制,便能逐步提高刷子的成本,最终让刷子“望而却步”。
by @shengting 2021-03-09 10:18 分享 查看详情
京东集团的风控实践 (www.infoq.cn)
传统风控更多的依赖专家经验,容易被黑灰产绕过,而且,传统风控更侧重于“事后”,因为它们对实时性要求不是很高。但是,如果是移动互联网企业,时效性对用户体验就有极大的影响,“如果还是传统方式,那用户体验无疑会非常糟糕。并且,当钱被黑灰产‘薅走’时,风控才应对,那么这就晚了。”他说,“我们希望将所有的风控前移。”
by @shengting 2021-03-09 10:12 分享 查看详情