分析上市公司税收:这些知识不可少 (www.hebicpa.org.cn)
如何知道一家上市公司缴纳了多少税?都缴纳了哪些税?会不会存在税收问题?由于上市公司需要定期披露年度报告(其中包含财务报告,以下简称财报),财报经过有资质的会计师事务所审计,披露的财务信息比较全面,因此,通过阅读上市公司的年度报告了解企业的纳税情况是一种比较有效的方式。然而,上市公司的年报大都很长,如何才能有效阅读上市公司的财报,如何才能看懂这些专业的财报信息、较全面掌握公司的税收信息呢?

要有效阅读上市公司的财报,需要掌握有效阅读年报、财报税收信息的方法,了解各种税收数据的含义及如何使用这些税收信息等。
by @shengting 2021-04-07 23:10 分享 查看详情
从经济学角度,看多抓鱼的创新 (feimiaomiao.com)
多抓鱼采用平台自建仓库的方式,以仓储中心取代传统二手书店的店面;以规模化中心化的方式组织书籍的入库审核、消毒翻新、打包邮寄等一系列劳动;由平台统一出资购买用户提供的书籍;并且在数据要素的中心化组织上也与以往的网上旧书交易平台不同。

对土地、劳动、资本要素的中心化组织在以前的二手书交易中是没有出现过的,这也是多抓鱼在对生产要素的重新组合方面最大的特点。
by @shengting 2021-03-22 12:43 分享 查看详情
营销有病,文案有药吗? (mp.weixin.qq.com)
两件毛衣,一件沾有狗屎而且没洗过,另一件杀人狂魔穿过但已干洗消毒过,你选哪件?

你选第一件?大多数人都是如此。心理学家们用这个怪诞试验证明了:物品并非只是物品,而是构成人们定义自我的一部分。

例如一个低调的人不会选择跑车,因为他认为“那不像我”。一个街头潮男卖肾也要拿下最新联名款球鞋,因为“那就是我”。你是谁你就购买什么。

所以军队或者监狱希望强化集体身份、消除个性的时候,首先会没收个人物品,并让所有人统一服装、发型、物品等。

而真正高水平的营销,则会让产品与用户的自我概念达成认知匹配,这就叫自我形象一致。
by @shengting 2021-03-22 08:27 分享 查看详情
中国互联网20年简史(1998-2018):其中的规律与本质是什么? (www.cniteyes.com)
大事年表,简单回顾一下中国互联网20年,从1998年开始。

主要涉及:
1、内容:新闻&文学、音乐&视频;
2、社区+内容;
3、游戏;
4、电子商务。
by @shengting 2021-03-19 17:23 分享 查看详情
硬件安全:ARM体系架构的安全特性演进 (www.secrss.com)
安全从业者脑中有一系列的安全名词,比如安全三要素Confidenciality 、Integrity、Availability,比如硬件安全品牌TPM、TrustZone、SGX、Titan-M,比如软件层面的安全能力Isolation、Access Control,又比如漏洞缓解措施DEP、ASLR、CFI。

从这些名词可以看出,软件最基础的安全能力都得自于硬件的支持,如果一个硬件没有特权级别,那就不要期望能实现什么安全能力了(没有MPU,基本的隔离都没办法做了)。

硬件能力如同原材料,能做成什么样的美味佳肴就靠厨师(工程师)的本领了。

因此在考虑未来产品安全的发展趋势时,硬件安全的未来演进是非常值得参考的。硬件安全系列主要讲述下ARM指令集的演进、Intel SGX解决方案以及苹果和Google硬件安全芯片的应用。本篇文章就从我们最熟悉的ARM开始讲起。
by @shengting 2021-03-19 17:11 分享 查看详情
MTK平台Android 安全中secure boot机制 (blog.csdn.net)
Secure boot指的是建立用于运行已验证应用程序的可信平台的启动序列。它从一个不可变的序列开始,使用密码验证验证代码的源,从而只执行授权的软件。启动序列将设备置于已知的安全状态,并检测软件的二进制操作和反射攻击。

Secure boot的目的就是确保在系统平台上所执行的程序代码是厂商确认过的,避免有人恶意修改系统程序的恶意行为。
by @shengting 2021-03-19 17:11 分享 查看详情
UEFI安全启动 (zhuanlan.zhihu.com)
UEFI安全引导(Secure Boot)的核心职能就是利用数字签名来确认EFI驱动程序或者应用程序是否是受信任的。

在简要地介绍了数字签名的概念(这是安全引导的基础)之后,我们重点介绍UEFI 安全引导是如何利用数字签名以及其他的加密方式(如Hash函数等)来确保系统引导的安全可靠。

我们还会讲到Secure Boot的部署方面以及他在操作系统的安全负载方面所起到的协助作用。
by @shengting 2021-03-19 17:09 分享 查看详情
Android Verified Boot 概述 (www.xiezeyang.com)
Verified Boot是Google为Android启动定义的一种安全机制。它建立了一条从受硬件保护的Root of trust到booloader,再到boot和其它验证分区(包括system、vendor、product、odm等)的完整信任链。在设备启动的过程中,无论处于哪个阶段,都会在进入下一个阶段前先验证下一个阶段的完整性和真实性。除了确保设备运行的是安全的Android系统以外,verified boot还支持回滚保护(anti-roll back),它可以保证设备只会更新到更高版本,以避免可能的漏洞持续存在。另外,verified boot还允许设备将其完整性传到给终端用户。

要想使能verified boot,需要在编译系统中启用dm-verity功能。Android 4.4就增加了对验证启动和 dm-verity 内核功能的支持。以前的Android版本会在发现设备损坏时向用户发出警告,但仍允许他们启动设备。从Android 7.0 开始,系统会严格强制执行verified boot,从而使得遭到入侵的设备无法启动,与此同时还增加了对向前纠错功能的支持,能更可靠地防范非恶意数据损坏。Android 8.0及更高版本包含了 Android Verified Boot (AVB)功能。其实AVB就是验证启动的一个参考实现,可与 Project Treble 配合使用。除此之外,AVB 还对分区脚本格式进行了标准化处理,并增添了回滚保护功能。为了便于区分,我们一般将此之前的verified boot称为1.0版,而AVB专指verified boot 2.0版。
by @shengting 2021-03-19 17:09 分享 查看详情
浅析安全启动(Secure Boot (bbs.pediy.com)
安全启动的根本目的是为了防止消费者从软硬件层面对产品的部分关键系统进行读写、调试等高权限的操作。以限制消费者的能力,来达到保护产品的商业机密、知识产权等厂家权益的目的。

当然,厂家是不会这样宣传 Secure Boot 的。他们的文案通常都是通过这项技术保护用户的隐私,防止恶意软件修改系统软硬件等等。不过不论如何,随着 ARM 架构的广泛授权,基于 TrustZone 的 Secure Boot 也越来越普遍了。

本文是通过我自己对市面上的一些基于 ARM TrustZone 的 Secure Boot 实现的浅见、零零碎碎读到的一些安全分析文章、看到的一些讲座,总结一些常用的攻击思路,介绍一些真实的攻击案例。
by @shengting 2021-03-19 17:07 分享 查看详情
浅谈 Android 的安全启动和完整性保护 (evilpan.com)
在 IoT 中保证设备安全性的重要一环就是保证代码的完整性,不让恶意代码影响业务的正常逻辑。一般而言是及时修复现有攻击面所面临的漏洞,比如浏览器、蓝牙、调试接口;另一方面需要确保的是即便恶意代码获取了执行权限,也无法修改系统镜像进行持久化。针对这点所构造的安全方案通常称为 Secure Boot,对于不同的厂商,实现上可能会引入不同的名字,比如 Verified Boot、High Assurance Boot 等等,但本质上都是类似的。
by @shengting 2021-03-19 17:07 分享 查看详情
黑产在IP攻防上的挣扎与进化 (mp.weixin.qq.com)
通俗的讲,秒拨的底层思路就是利用国内家用宽带拨号上网(PPPoE)的原理,每一次断线重连就会获取一个新的IP。与时俱进的黑产掌握大量宽带线路资源,利用虚拟化和云计算的技术整体打包成了云服务,并利用ROS(软路由)对虚拟主机以及宽带资源做统一调配和管理。这种云服务交付给黑产用户其实就是云主机(俗称“秒拨机”),黑产用户可安装Windows或Linux系统,通过RDP、VNC或者SSH连接,部署自动断线重连切换IP以及攻击的工具后,便可发起攻击。
by @shengting 2021-03-19 17:03 分享 查看详情
基于用户画像大数据的电商防刷架构 (www.iyunying.org)
“羊毛党”的行为距离欺诈只有一步之遥,他们的存在严重破环了活动的目的,侵占了活动的资源,使得正常的用户享受不到活动的直接好处。
by @shengting 2021-03-19 17:02 分享 查看详情
使用不多但又十分重要的:风控策略 (www.woshipm.com)
两个凡是:凡是有利益的地方就会有作弊,凡是有作弊的地方就会有风控策略。

风险控制是指风险管理者采取各种措施和方法,消灭或减少风险事件发生的各种可能性,或风险控制者减少风险事件发生时造成的损失。

总会有些事情是不能控制的,风险总是存在的。做为管理者会采取各种措施减小风险事件发生的可能性,或者把可能的损失控制在一定的范围内,以避免在风险事件发生时带来的难以承担的损失。
by @shengting 2021-03-09 11:07 分享 查看详情
卢明樊:爱奇艺的业务安全风控“秘籍 (www.freebuf.com)
企业的一大半困扰都来自业务风险,而如何结合特定场景下的业务,降低、控制围绕着业务的风险应该是绝大多数企业反复思考的“保命”命题。此次,我们采访到了爱奇艺云服务高级总监和安全团队负责人卢明樊,深入探讨企业业务安全风控体系的搭建之路,希望从爱奇艺“4年一中台”的实践,为不同类型的企业打开业务风控思路。
by @shengting 2021-03-09 10:25 分享 查看详情
全链路风控解决方案深度解读 (segmentfault.com)
羊毛党和黑灰产是一群非常活跃的群体,只要有利可图(获利、引流等)他们便如蝗虫一般涌入,给企业带来非常大的经济损失。

但如此强大的黑灰产,也并非无懈可击,他们的动机很纯粹,即:获利。只要投入产出比不高,他们便不会“恋战”,便会转战其他投入产出比更高的平台。

所以,风控防刷的主要目的是提高刷子的成本,当然,其中不乏各种策略对抗。通过构建全链路风控方案和多业务联防联控的解决机制,便能逐步提高刷子的成本,最终让刷子“望而却步”。
by @shengting 2021-03-09 10:18 分享 查看详情
京东集团的风控实践 (www.infoq.cn)
传统风控更多的依赖专家经验,容易被黑灰产绕过,而且,传统风控更侧重于“事后”,因为它们对实时性要求不是很高。但是,如果是移动互联网企业,时效性对用户体验就有极大的影响,“如果还是传统方式,那用户体验无疑会非常糟糕。并且,当钱被黑灰产‘薅走’时,风控才应对,那么这就晚了。”他说,“我们希望将所有的风控前移。”
by @shengting 2021-03-09 10:12 分享 查看详情
复杂风控场景下,如何打造一款高效的规则引擎 (tech.meituan.com)
在互联网时代,安全已经成为企业的命脉。美团信息安全团队需要采用各种措施和手段来保障业务安全,从而确保美团平台上的用户和商户利益不会受到侵害。

本文主要介绍了美团在打造自有规则引擎Zeus(中文名“宙斯”)的过程中,信息安全团队遇到的挑战以及对应的解决方案,并分享了很多踩过的坑,同时还有一些思考和总结。希望对从事安全领域相关工作的同学能够有所启发或者帮助。
by @shengting 2021-03-09 10:08 分享 查看详情
拼多多的期权、股权激励 (zhuanlan.zhihu.com)
对于拼多多来说,早期选择低价期权实现了RSU类似的功能,而公司当时选择所面临的环境是,在市场、知名度、现金流都相当匮乏的时候,希望能够用一种递延性“福利”吸引更多优秀人才加入。而早期不发放RSU的理由,一方面是期权在纳税时点方面更为灵活;另一方面,可以保留未来调高行权价的可能性,将行权价与股价挂钩,发挥其牵引市值增长的激励属性。

拼多多成立仅3年就赴美上市,如果早期员工3年可以套现离场,着实违背了长期激励的初衷;在职员工过早实现财务自由,难免产生职业倦怠感和满足感;那些还没实现财务自由的员工,随着股价涨跌心情也起伏不定,容易浮躁。如何防止由于快早实现流动性而导致的负面结果,拼多多通过拉长兑现周期+惩罚离职来实现:

通常期权在行权后就会登记为股票,在公司拥有流动性(如IPO或并购)之后可以出售变现,除了IPO常规禁售期(一般为180天)之外,再无其他出售限制(这里不含关联人士、内幕人士,其需遵守SEC相关交易限制)。

而拼多多针对期权设置了无论上市前后,均为4年生效期外加3年锁定期的要求。即4年匀速生效,每年25%,生效后的期权自生效日起3年内不得出售或转让。这样算下来,从获授一纸期权熬到全部变现需要长达7年。在电商行业的红筹架构公司也是不多见的,唯品会锁定期4年;京东一般设置6年;阿里通常为4年,针对合伙人绑定也只有8年(2016年之前)。

但是对于一个激励对象而言,如果在2015年获得了一笔授予,那么第一笔生效的25%的期权在2019年(上市后一年)即可变现,接下来的第二年又可以变现25%,以此类推。这么看来其变现等待期较一般公司而言并不算长,而且细水长流总归拉高了些离职门槛。同时解锁后再绑定3年,一定程度上也帮助公司在上市初期起到了稳定股价的作用。
by @shengting 2021-02-16 19:22 分享 查看详情
土豪进化攻略:第一代互联网公司的合纵连横 (www.iceo.com.cn)
移动互联网时代第一代土豪公司不能仅靠刺刀见红还少不了合纵连横。而风云际会,“创业型”职业经理人,也能让小公司成为撬动互联网格局的力量2013年中国互联网的合纵连横,因腾讯与搜狗的交易达到了巅峰。
by @shengting 2020-12-28 14:08 分享 查看详情
通俗易懂的解释下前复权,不复权和后复权的区别 (www.zhihu.com)
理解这三者区别之前,首先我们要简单了解 除权和复权 。

除权:假设某公司的总股本100股,每股10元,总权益就是1000元。当公司进行送股,每10股转送10股,总股本就变成了200股,而公司的总权益并没有变,于是每股价格就要变成1000/200=5元。这就是除权。

复权:当股价因送股、配股等原因而发生下跌时,原来10元/股的股票瞬间变成了5元/股,但该股票实际价值并没有发生变化,也就是说现在的5元实际上还是相当于10元。这就是复权。

那么不复权,前复权和后复权有什么区别呢?不复权:当股价因送股等原因发生变化,在K线走势图上就有可能形成断崖式的下跌,比如从10元/股变为5元/股,当日的涨跌幅就变成了-50%.而实际上该股票的价值并没有发生重大变化,而当这个价格变化反应到技术指标上时,就可能影响到指标的准确性,影响到部分投资者的判断。

前复权:以除权后第一天的价格点为基础把除权以前的数据进行复权。假设10元/股因除权等原因变为了5元/股,并且除此之外,当天股价没有其他涨跌幅的变化,那进行前复权以后,K线图显示的就是,当天与前一天的股价都是5元,之前的股价也都一律按比例缩小,变为一条连续的曲线。

后复权:以除权前最后一天的价格点为基础把除权后的数据进行复权。假设10元/股因除权等原因变为了5元/股,并且除此之外,当天股价没有其他涨跌幅的变化,那进行后复权以后,K线图显示的就是,当天与前一天的股价都是10元,之后的股价也都一律按比例放大,变为一条连续的曲线。
by @shengting 2020-12-06 23:43 分享 查看详情