shengting 的分享
黑产在IP攻防上的挣扎与进化 (mp.weixin.qq.com)
通俗的讲,秒拨的底层思路就是利用国内家用宽带拨号上网(PPPoE)的原理,每一次断线重连就会获取一个新的IP。与时俱进的黑产掌握大量宽带线路资源,利用虚拟化和云计算的技术整体打包成了云服务,并利用ROS(软路由)对虚拟主机以及宽带资源做统一调配和管理。这种云服务交付给黑产用户其实就是云主机(俗称“秒拨机”),黑产用户可安装Windows或Linux系统,通过RDP、VNC或者SSH连接,部署自动断线重连切换IP以及攻击的工具后,便可发起攻击。
by @shengting 2021-03-19 17:03 查看详情
基于用户画像大数据的电商防刷架构 (www.iyunying.org)
“羊毛党”的行为距离欺诈只有一步之遥,他们的存在严重破环了活动的目的,侵占了活动的资源,使得正常的用户享受不到活动的直接好处。
by @shengting 2021-03-19 17:02 查看详情
使用不多但又十分重要的:风控策略 (www.woshipm.com)
两个凡是:凡是有利益的地方就会有作弊,凡是有作弊的地方就会有风控策略。

风险控制是指风险管理者采取各种措施和方法,消灭或减少风险事件发生的各种可能性,或风险控制者减少风险事件发生时造成的损失。

总会有些事情是不能控制的,风险总是存在的。做为管理者会采取各种措施减小风险事件发生的可能性,或者把可能的损失控制在一定的范围内,以避免在风险事件发生时带来的难以承担的损失。
by @shengting 2021-03-09 11:07 查看详情
卢明樊:爱奇艺的业务安全风控“秘籍 (www.freebuf.com)
企业的一大半困扰都来自业务风险,而如何结合特定场景下的业务,降低、控制围绕着业务的风险应该是绝大多数企业反复思考的“保命”命题。此次,我们采访到了爱奇艺云服务高级总监和安全团队负责人卢明樊,深入探讨企业业务安全风控体系的搭建之路,希望从爱奇艺“4年一中台”的实践,为不同类型的企业打开业务风控思路。
by @shengting 2021-03-09 10:25 查看详情
全链路风控解决方案深度解读 (segmentfault.com)
羊毛党和黑灰产是一群非常活跃的群体,只要有利可图(获利、引流等)他们便如蝗虫一般涌入,给企业带来非常大的经济损失。

但如此强大的黑灰产,也并非无懈可击,他们的动机很纯粹,即:获利。只要投入产出比不高,他们便不会“恋战”,便会转战其他投入产出比更高的平台。

所以,风控防刷的主要目的是提高刷子的成本,当然,其中不乏各种策略对抗。通过构建全链路风控方案和多业务联防联控的解决机制,便能逐步提高刷子的成本,最终让刷子“望而却步”。
by @shengting 2021-03-09 10:18 查看详情
京东集团的风控实践 (www.infoq.cn)
传统风控更多的依赖专家经验,容易被黑灰产绕过,而且,传统风控更侧重于“事后”,因为它们对实时性要求不是很高。但是,如果是移动互联网企业,时效性对用户体验就有极大的影响,“如果还是传统方式,那用户体验无疑会非常糟糕。并且,当钱被黑灰产‘薅走’时,风控才应对,那么这就晚了。”他说,“我们希望将所有的风控前移。”
by @shengting 2021-03-09 10:12 查看详情
复杂风控场景下,如何打造一款高效的规则引擎 (tech.meituan.com)
在互联网时代,安全已经成为企业的命脉。美团信息安全团队需要采用各种措施和手段来保障业务安全,从而确保美团平台上的用户和商户利益不会受到侵害。

本文主要介绍了美团在打造自有规则引擎Zeus(中文名“宙斯”)的过程中,信息安全团队遇到的挑战以及对应的解决方案,并分享了很多踩过的坑,同时还有一些思考和总结。希望对从事安全领域相关工作的同学能够有所启发或者帮助。
by @shengting 2021-03-09 10:08 查看详情
拼多多的期权、股权激励 (zhuanlan.zhihu.com)
对于拼多多来说,早期选择低价期权实现了RSU类似的功能,而公司当时选择所面临的环境是,在市场、知名度、现金流都相当匮乏的时候,希望能够用一种递延性“福利”吸引更多优秀人才加入。而早期不发放RSU的理由,一方面是期权在纳税时点方面更为灵活;另一方面,可以保留未来调高行权价的可能性,将行权价与股价挂钩,发挥其牵引市值增长的激励属性。

拼多多成立仅3年就赴美上市,如果早期员工3年可以套现离场,着实违背了长期激励的初衷;在职员工过早实现财务自由,难免产生职业倦怠感和满足感;那些还没实现财务自由的员工,随着股价涨跌心情也起伏不定,容易浮躁。如何防止由于快早实现流动性而导致的负面结果,拼多多通过拉长兑现周期+惩罚离职来实现:

通常期权在行权后就会登记为股票,在公司拥有流动性(如IPO或并购)之后可以出售变现,除了IPO常规禁售期(一般为180天)之外,再无其他出售限制(这里不含关联人士、内幕人士,其需遵守SEC相关交易限制)。

而拼多多针对期权设置了无论上市前后,均为4年生效期外加3年锁定期的要求。即4年匀速生效,每年25%,生效后的期权自生效日起3年内不得出售或转让。这样算下来,从获授一纸期权熬到全部变现需要长达7年。在电商行业的红筹架构公司也是不多见的,唯品会锁定期4年;京东一般设置6年;阿里通常为4年,针对合伙人绑定也只有8年(2016年之前)。

但是对于一个激励对象而言,如果在2015年获得了一笔授予,那么第一笔生效的25%的期权在2019年(上市后一年)即可变现,接下来的第二年又可以变现25%,以此类推。这么看来其变现等待期较一般公司而言并不算长,而且细水长流总归拉高了些离职门槛。同时解锁后再绑定3年,一定程度上也帮助公司在上市初期起到了稳定股价的作用。
by @shengting 2021-02-16 19:22 查看详情
土豪进化攻略:第一代互联网公司的合纵连横 (www.iceo.com.cn)
移动互联网时代第一代土豪公司不能仅靠刺刀见红还少不了合纵连横。而风云际会,“创业型”职业经理人,也能让小公司成为撬动互联网格局的力量2013年中国互联网的合纵连横,因腾讯与搜狗的交易达到了巅峰。
by @shengting 2020-12-28 14:08 查看详情
通俗易懂的解释下前复权,不复权和后复权的区别 (www.zhihu.com)
理解这三者区别之前,首先我们要简单了解 除权和复权 。

除权:假设某公司的总股本100股,每股10元,总权益就是1000元。当公司进行送股,每10股转送10股,总股本就变成了200股,而公司的总权益并没有变,于是每股价格就要变成1000/200=5元。这就是除权。

复权:当股价因送股、配股等原因而发生下跌时,原来10元/股的股票瞬间变成了5元/股,但该股票实际价值并没有发生变化,也就是说现在的5元实际上还是相当于10元。这就是复权。

那么不复权,前复权和后复权有什么区别呢?不复权:当股价因送股等原因发生变化,在K线走势图上就有可能形成断崖式的下跌,比如从10元/股变为5元/股,当日的涨跌幅就变成了-50%.而实际上该股票的价值并没有发生重大变化,而当这个价格变化反应到技术指标上时,就可能影响到指标的准确性,影响到部分投资者的判断。

前复权:以除权后第一天的价格点为基础把除权以前的数据进行复权。假设10元/股因除权等原因变为了5元/股,并且除此之外,当天股价没有其他涨跌幅的变化,那进行前复权以后,K线图显示的就是,当天与前一天的股价都是5元,之前的股价也都一律按比例缩小,变为一条连续的曲线。

后复权:以除权前最后一天的价格点为基础把除权后的数据进行复权。假设10元/股因除权等原因变为了5元/股,并且除此之外,当天股价没有其他涨跌幅的变化,那进行后复权以后,K线图显示的就是,当天与前一天的股价都是10元,之后的股价也都一律按比例放大,变为一条连续的曲线。
by @shengting 2020-12-06 23:43 查看详情
一文讲懂什么是vlan、三层交换机、网关、DNS、子网掩码、MAC地址 (mp.weixin.qq.com)
很多朋友多次问到什么是网关、dns、子网掩码,三层交换机,它们定位的用途;确实,因为网络技术在弱电中确实应用非常广泛,我们平时在vip技术群中也是不断的讨论到网关、vlan、三层交换机或子网掩码等问题,今天我们就一起用通俗方式一次性了解清楚。
by @shengting 2020-09-30 11:30 查看详情
微软、亚马逊、IBM主动禁售人脸识别,为什么? (www.huxiu.com)
简单来说,正是基于隐私安全和种族歧视两大原因,才导致了越来越多的地方政府和科技公司对于人脸识别技术的弃用。
by @shengting 2020-09-25 17:50 查看详情
Installing Apache, PHP, and MySQL on macOS Catalina (jasonmccreary.me)
在 Mac 上安装 Apache+PHP+MySQL 环境还是很简单的。macOS runs atop UNIX. Most UNIX software installs easily on macOS. In Additional, Apache and PHP come preinstalled with macOS. So to create a local web server, all you need to do is configure Apache and install MySQL.
by @shengting 2020-09-17 23:52 查看详情
使用 YApi 管理 API 文档,测试, mock (juejin.im)
接口的维护管理非常耗时,大概占用了30%开发时间。后端程序员要维护对于他们冗余的文档,前端程序员又因为后端开发提供的文档不准确,导致浪费了大量的时间。
接口的正确性和稳定性很难保证,前端工程师为了处理各种数据异常情况,将会写大量异常处理逻辑。传统的接口自动化测试成本非常高,开发一个接口可能只需要一天,但写接口测试用例,需要花费好几天的时间。

对于前端程序员,在后端功能没有开发完成之前,他们需要接口返回数据 Mock ,以便不影响开发进度。传统的数据 mock 是把模拟数据写到项目代码里,这么做会带来更多新的问题,首先后端程序员定义的接口随着需求、架构涉及随时发生变化的,如果前端程序员完全按照最初的设计定义mock数据,将会和实际做出来的接口有很大的出入。

没有一个标准化的流程统一处理,这个过程是非常分散的,需要配合非常多的工具,效率比较低。
by @shengting 2020-04-20 14:53 查看详情
2020年了,Android后台保活还有戏吗?看我如何优雅的实现 (www.52im.net)
对于移动端IM应用和消息推送应用的开发者来说,Android后台保活这件事是再熟悉不过了。

自从Android P(即Android 8.0)出现以后,Android已经从系统层面将后台保活这条路给堵死了,曾今那些层出不穷的保活黑科技能用的也越来越少了。虽然可以自已对接厂商的ROOM级推送通道,但一方面各厂商的推送接口都不一样(而且同一厂商不同的系统版本间也存在推送接口的兼容性问题),很不方便。另一方面要一家家引入各自的推送服务SDK包会让APP变的很大,这让APP的下载变的很不友好。

总之,Android应用的后台保活在某些场景下,还是有持续的需求。除了之前那些耳熟能详的保活黑科技以外,在Android 9.0(甚至Android 10)时代,我们还有哪些保活方法可以用?那么,请跟着本文作者的思路,看看更优雅的后台保活实现方法吧。
by @shengting 2020-04-16 16:10 查看详情
Android版微信后台保活实战分享(进程保活篇) (www.52im.net)
哪些部分需要“保活”?按照我们的理解包含两部分:
1、网络连接保活:
如何保证消息接收实时性。
2、进程保活:
尽量保证应用的进程不被Android系统回收。这是本文要讨论的内容。
by @shengting 2020-04-16 16:09 查看详情
谈谈《网络安全漏洞管理规定(征求意见稿)》释放的信息 (www.freebuf.com)
总结一下,规定中强调的一些重点:

1.本规定适用国内所有企业、组织和个人;

2.发现的漏洞,在限定时间内,相关厂商、第三方、运营方等必须做出修补,并公开漏洞细节和应对措施;

3.发现漏洞必须提交给相关企业、厂商或漏洞平台,不得自行发表;

4.各监管部门检查的重点可能会有所不同;

5.不允许夸大漏洞危害,不得私自发布漏洞验证工具和方法;

6.期限内不能整改的,要接受监管部门处罚。
by @shengting 2020-03-26 13:54 查看详情
硬核科普:携号转网的技术原理分析 (www.huxiu.com)
一个数据冗余,难倒英雄汉。

我们的手机号,实际上有两个,分别是IMSI和MDN。

IMSI的全名是International Mobile Subscriber Identity,国际移动用户识别码。它是一种“永久用户标识”,每一个手机SIM卡,对应一个IMSI号码。

IMSI号码由三部分组成,分别是:
1、MCC (Mobile Country Code) 移动国家码;
2、MNC (Mobile Network Code) 移动网络码;
3、MSIN (Mobile Subscriber Identity) 移动用户识别码;

MCC是3位数字(中国是460),MNC是2-3位数字,MSIN是10-11位数字。加起来的IMSI,一般不超过15位,通常就是15位(例如我们国家)。
by @shengting 2020-03-24 11:28 查看详情
宿华做雇佣军那两年 (mp.weixin.qq.com)
在美国和中国最大的流量平台的核心部门工作过,他们见过大量的数据,尤其是创业做搜索的商业化后,从技术转型到业务,做用户体系、商业体系,他们是罕见的将搜索引擎核心系统全部都做过一遍的人。他们搭建的就是中国网民的流量入口,看到整个互联网是怎么生存、变现,见证过也实操了,流量如何通过个性化来放大,深刻理解数据和技术的力量。
by @shengting 2020-02-21 14:28 查看详情
人物观察:黄峥的100种偏执 (mp.weixin.qq.com)
黄峥就处在两端的偏执之间,带拼多多向前走。在一个充满侥幸和机缘的时代,任何一个极致带来的成功都值得被探讨。
by @shengting 2019-05-15 14:20 查看详情