-網絡安全 | 知乎問答精選

 

NEW

推出一款互聯網金融理財產品,如何安全高效的處理用戶高並發的購買請求?

【梁川的回答(17票)】: 此類問題比較類似電商網站的秒殺/搶購、微信搶紅包。 此類業務一般都涉及分佈式系統。而對於分佈式系統而言,由於所謂的CAPS理論:服務的可用性、可靠性、數據的一致性三個要素並不能同時滿足,因此一般都遵循所謂的BASE理論。 CAP理論: Consistency:一致性, 數據一致更新,所有數據變動都是同步的 Availability:可用性 Partition tolerance:分區容錯性,系統可靠性...



敲代碼的,如何轉行挖掘漏洞?

【知乎用戶的回答(151票)】: 給你個建議:別想那麼多,先幹起來再說。 我找到第一個漏洞的時候,還在醫院實習,只會寫幾行批處理。為了寫 PoC 需要學編程語言,看電腦報介紹過 Perl,就去買了本《Perl 編程 24 學時教程》。後來為了寫更好的 Exploit 學了 C 語言。再後來,為了各種研究讀各種 RFC、調各種程序、讀各種代碼、試各種工具,等等。幹這行,你永遠不知道未來需要會什麼。所以什麼都...



大型商場或者寫字樓內部的監控攝像頭可以被黑 (hack) 嗎?

【陳煒鏗的回答(41票)】: 我從多個角度看,認為這是完全有可能的。感謝david chang的邀請 第一,商場使用的是比較集成的方案,因此受到的關注很多。這幾年的產品面向網絡的也越來越多了,說實話,這是一個改變不了的趨勢。而且系統也逐漸地依賴開源程序。例如硬件防火牆,大多數也是用了開源系統作為底層,自己在裡面寫主要程序。如果系統經過高度的硬化,那麼就需要擔心廠商是否能及時更新攝像頭管理程序...



Facebook、Twitter 和 LinkedIn 在安全方面曾經受到過哪些威脅?最後如何解決的?

【Fenng的回答(5票)】: Facebook 和 Twitter 都爆發過蠕蟲傳播問題(新浪微博也遇到過). 如果搜索一下,應該能找到相關報道。 LinkedIn 似乎一直沒什麼大動靜。 【李寧的回答(0票)】: CSRF 標籤:-社交產品 -社交網絡 -Facebook -網絡安全 -Twitter -Fenng -王宜國



大家會不會害怕 Google 掌握自身太多的資訊?

【外星菜鳥的回答(36票)】: 你一切都掌握在老大哥手裡,還擔心一個十萬八千里外,天朝還不能正常訪問的互聯網公司。你是怕哪個啊? 【orvice的回答(7票)】: 不怕啊。 這個問題就等於你是否相信美國的法律和Google。 Google是不會隨便交出用戶數據的,這一點很多新聞都可以證明 僱員發錯郵件 GMail拒絕刪除 美國一銀行狀告Google?http://www.cnbeta.com/articles/94189.htm Google與美政府唱反調 拒交用戶搜...



因為蘋果漏洞導致被盜 iCloud 照片、電話簿、800G 的三年數據、我的郵件資料,要報案或者要起訴麼?

【大山的回答(81票)】: 首先表示同情。 如果數據重要的話,先找人恢復試試,優先找Apple旗艦店的工作人員。一般被快速抹掉的數據都可以恢復——徹底刪除800G的文件是需要很長時間的。 如果你還會繼續使用Apple設備,如iMac,建議使用TimeMachine功能。 另外,你還在圖片裡暴露了你家的位置,請注意修改。 再次,是否要報案,取決於你對攻擊的判斷,是被人有目的的攻擊還是無意中掃到,威脅有多大。另外報案後...



Chrome 這幾天為何屢屢淪陷?

http://www.cnbeta.com/articles/176499.htm 【弘一的回答(7票)】: 1,那些黑客也承認,Chrome是最安全的,為了挑戰自己,玩命黑Chrome已證明自己 2,Chrome不是孤立的,它也用到別的東西,比如用到了Flash。Flash不是Google開發的,利用Flash的漏洞不能算Chrome的錯(幾乎每個瀏覽器都用到Flash,就是說針對Flash的攻擊能攻擊每個瀏覽器)~ 【王成的回答(3票)】: 主要是因為Google對攻破Chrome的人給予獎...



網絡安全工程師在面試安全崗位時,哪些內容是加分項?

【大風的回答(11票)】: 去年我在微博上貼了一些在面試安全工作時會加分的內容,如下: 1. wooyun上提交的漏洞,並被廠商認可的。最好是不同類型的,能表達你的知識面。(CVE、微軟、Google的漏洞平台效果同) 2. 在黑客類雜誌上發表了文章的,比如《黑客X檔案》等,表明你有一定的研究精神。 3. 原創的技術類博客文章,比如漏洞原理分析等,說明你除了知其然,還知其所以然。 4. 自己挖掘的漏洞,以及分析...



用什麼方式記密碼最好?

【金城七的回答(856票)】: 當年CSDN密碼洩漏,你們還沒有注意到程序員的逆天密碼能力嗎? 密碼:ppnn13%dkstFeb.1st, 解釋:娉娉裊裊十三余,豆蔻梢頭二月初 密碼:Tree_0f0=sprintf("2_Bird_ff0/a") 解釋:兩個黃鸝鳴翠柳 密碼:csbt34.ydhl12s 解釋:池上碧苔三四點,葉底黃鸝一兩聲 密碼:for_$n(@RenSheng)_$n+="die" 解釋:人生自古誰無死 密碼:while(1)Ape1Cry&&Ape2Cry 解釋:兩岸猿聲啼...



國內大多數網站的密碼在 post 傳輸過程中都是明文的,這正常嗎?

【余天升的回答(49票)】: 看到上面幾位的回答,我真心覺得,當前信息安全保護的意識過於低下,連一些基本的保護措施都能夠被認為是「沒有必要」。同意@任冬 的觀點,都在偷懶,不重視安全,沒有什麼理由好開脫的。 如同@lumin 所說,信息安全的保護確實分成兩個部分,端的安全(可以具體到客戶端和服務器端)和鏈路的安全,也就是傳輸過程中的安全。 一般我們可以認為,端都是可信的。對於服務器端,你願意...