标签归档: Google

Google Project Zero成员谈如何入门安全工作

已经有很多人(包括我谷歌的同事,ParisaMichal已经就这个话题写过自己的感受,我建议你仔细阅读。我知道我写的这些可能已经有人说过了,但是每隔一段时间,我总是会再次遇到这个问题,于是我决定写下自己的经验。

首先,我是一个应用安全研究员,我是从 漏洞研究/安全审查/bug寻找/黑客攻击 等角度来阐述安全入门的。在安全领域还有很多其他的方向,比如安全研发,恶意软件分析等等,这些我并不熟悉。

那么,我是谁?为什么你要在这个话题上信任我呢?嗯,首先我不是说你应该完全信任我,因为每个人的经验和每个人的道路都是有所不同的。但如果您对我感到好奇,我可以告诉您,我现在是 Google Project Zero 的成员,我曾经是谷歌安全团队的成员,是多个安全工具的作者多个安全工具的作者,如果你在这个博客上滚动足够长的时间,你会发现我已经从事安全工作十多年了。

我认识的安全研究员来自很多不同的背景,但是我的背景有所不同,我有相当强的学术背景,这在我的同行中是非常不典型的,当然这并不是进入安全领域的要求。然而,我所知道的安全研究员中的大多数人都有一些共同点,这里我们来看第一条:

阅读全文 »

| 1 分2 分3 分4 分5 分 (5.00- 3票) Loading ... Loading ... | 归档目录:文字网摘, 软件应用, 软件技术 | 同时打有标签: |

两步验证确保云上个人数据安全

苹果的“艳照门”事件在让广大屌丝看到了任何时尚成人杂志都无法看到的“绝密”照片外,也引发了一些思考。在云技术日益普及,并给我们的工作生活带来极大便利的同时,云安全始终是一个隐藏的巨大威胁。云不像本地的物理设备,可以隔绝网络,放到保险箱里面锁起来,云必须是互联互通的,只要有网络的地方,就有黑客的攻击路径。题外话,即使是本地硬盘,也可能数据泄漏,08年的香港娱乐圈的“艳照门”事件即是苹果电脑送修引发。

两步验证应该是目前最安全的账户保护机制。所有的网银、网购账号无不是使用该方案。形式多样,本质都是使用另外一个手持设备或者微型密钥生成器,来进行第二道认证。只有同时知道账号的密码并且拿到了密钥生成器才能访问账号。频繁使用的服务,敲一次密码都觉得麻烦,还要额外加上一次设备验证,着实麻烦了些。但是,要想到,即使是苹果这样的公司都会疏忽,忘记对“Find My iPhone”服务限制密码试错的次数,其他服务就更难说了,因此我们能做到就是尽可能减小自己的账号被泄漏的机会。

阅读全文 »

| 1 分2 分3 分4 分5 分 (4.82- 11票) Loading ... Loading ... | 归档目录:云计算/云存储, 移动互联 | 同时打有标签:, , , |

Google 网页爬虫报告无法连接站点解决办法

几次收到Google站长工具发来的Googlebot无法访问codefine.site的邮件,感觉很奇怪,空间是托管在香港的,不可能出现Google无法连接的问题。

2014-07-19-23-02-16-1 

阅读全文 »

| 1 分2 分3 分4 分5 分 (4.92- 13票) Loading ... Loading ... | 归档目录:WEB网络, 建站技术, 移动互联 | 同时打有标签: |

Jeff Dean谈如何在大型在线服务中做到快速响应

6月于硅谷举行的Velocity 2014大会上,Google首席科学家Jeff Dean做了一场题为《Achieving Rapid Response Times In Large Online Services》的主题演讲,分享了让大型系统运行更加流程以便改善用户体验的种种方法。

Jeff首先以Google的搜索服务为例,说明了何为大扇出服务(Large Fanout Service),即一个搜索请求需要有大量子系统(Web、新闻、图像、视频、博客等等)参与其中,以便提供更丰富的搜索结果。在Google,基本不会为特定的服务提供特定的机器,而是将服务都部署在一个机器池中,这被称为共享环境(Shared Environment),Google的共享环境大致会包含以下几个部分——Linux、调度系统、文件系统ChunkServer、多种其他系统服务、Bigtable Tablet Server、随机MapReduce任务、CPU密集型任务以及随机应用。它的好处是可以极大地提升利用率,但同时也会带来诸多无法预测的问题,比如网络拥塞等等。尤其是响应时间的长尾现象比较明显,一次请求的平均响应时间是10毫秒,但是却有99%ile的响应时间大于1秒,在大扇出服务中,如果需要调用100台服务器获得最终结果,那有63%的请求耗时会大于1秒。

阅读全文 »

| 1 分2 分3 分4 分5 分 (4.50- 10票) Loading ... Loading ... | 归档目录:架构设计, 软件技术 | 同时打有标签: |

Google Spanner 全球分布式数据库

原文地址:Spanner: Google’s Globally-Distributed Database 
中文翻译版下载:Google Spanner 中文版
PPT演示文档:spanner-osdi2012.pptx

讲解视频:

| 1 分2 分3 分4 分5 分 (4.75- 12票) Loading ... Loading ... | 归档目录:云计算/云存储, 数据库, 架构设计, 算法数据结构 | 同时打有标签:, , |

架设Tiny Tiny RSS(TTRSS)阅读器,找回Google Reader!

用了一段时间的digg reader,感觉在墙内经常连不上不说,还不能取消订阅,并且过多的依赖浏览器客户端的操作,有点麻烦。找到了这个05年就发布的个人阅读器程序。

有一些细节的功能非常赞,找到一个比较不错功能介绍文章:点击这里。安装过程也挺简单的,按照官方给出的步骤来就可以,只是如果不是完整的Linux虚拟机,不能使用定时更新功能,需要手动向更新后台发送请求才行。

经过一番配置,终于整得比较像Google Reader了。但是后台不支持自动刷新。前台页面上面也没有刷新按钮,需要在单个feed上面双击才能同步RSS源。后面再研究一下这个,做一个前台自动同步RSS源的实现。同时也提供刷新按钮,包括单独的feed和所有的。还有虽然支持多用户,但是同一个feed在多个用户之间是不共享的,这样对于服务器的压力其实是比较大的。估计这样的实现是因为最初这个程序只是考虑提供给个人使用的,多用户的实现是后面新增的。

也配置了开放注册,想要体验的话,可以注册帐号测试。使用链接:http://rd.codefine.site/

分享一下我的订阅,主要是一些技术资讯,有点极客的性质:OPML文件

使用步骤:

0、使用Chrome或者Firefox浏览器打开http://rd.codefine.site/,注意,不支持IE内核的浏览器;
1、使用邮箱注册帐号,务必使用有效的邮箱地址:

注册

2、注册成功后,登录邮箱,查看后台发送到邮箱的密码;
3、使用帐号和密码登录;
4、初始情况下,只订阅了本站的RSS。订阅更多的RSS Feed需要手动添加。
5、导入OPML文件是一种比较快捷的方法。但是可能导入的大部分内容都不是自己关心的。因此建议自己在阅读到好的主题网站后,再手动添加订阅源。导入OPML文件的步骤:
点击右上角的”动作“按钮,出现如下图菜单:

image

选择”Preference“,会打开如下后台管理页面:

后台管理

选择”信息源“,出现如下页面:

信息源

选择下方的”OPML“,会发现有导入按钮:

导入

首先选择从OPML文件链接下载的OPML文件,然后点击Import my OPML即可。
6、手机APP访问该阅读器,首先需要安装News+的应用。下载地址:链接(最终应用放在Google Play上面,需要外网访问权限)。目前只在Google Play上面看到有该应用下载。
7、再安装一个Tiny Tiny RSS| News+的扩展应用,在News+的扩展管理中可以找到安装链接,使用Play商店打开安装链接安装即可。
8、第一次打开TinyTinyRSS条目时,需要输入服务器地址,登录名和密码,使用之前获取到的即可。
9、接下来即可在手机上面浏览各个RSS订阅了。
10、要想使用RSS不必如此费时,目前还是有一些比较好用的RSS在线阅读服务器的,同时也支持手机端同步到应用。这里提供更多一种选择。

Tiny Tiny RSS

[修改记录]
08/19/2014
:更新订阅RSS源。结合手机应用(News+)配合订阅站点使用。

09/28/2013:重新开放注册。修改了默认配置,注册完成后,用户的界面即是Google Reader的样式。修改了一个小的bug。

09/29/2013:配置简单刷新模式,只要浏览器打开了主页面,则会随机刷新订阅的RSS源。在订阅的Feed特别多时,可能不是太及时。

10/26/2013:修改新注册用户的订阅Feed中的条目的保存时间为8天,默认情况下保存8天。

| 1 分2 分3 分4 分5 分 (4.90- 10票) Loading ... Loading ... | 归档目录:建站技术, 移动互联 | 同时打有标签:, |

Google 公布了分布式关系数据库F1的设计论文

该分布式关系型数据库基于Spanner,F1针对AdWords业务设计,兼具NoSQL的高可用性和扩展性,主要用来替代MySQL的集群。早期的时候已经有F1的介绍文档:幻灯片 F1 – The Fault-Tolerant Distributed RDBMS Supporting Google’s Ad Business

这一次,Google公布了其设计文档,阅读链接:

阅读全文 »

| 1 分2 分3 分4 分5 分 (5.00- 4票) Loading ... Loading ... | 归档目录:数据库 | 同时打有标签: |

Chrome 3月5号更新版本闪退

今天打开chrome浏览器后,提示有新版本可用。ios下的chrome不像pc版本更新得那么勤,看到有更新,迫不及待的点击了更新按钮。安装完成,却发现无法启动,确切的说是闪退。幸好还有safari,google了一下,发现遇到这个问题的还真不少。

Chrome闪退

有人提到是“下载插件”导致的,卸载了chrome download manager后,果然问题解决。appstore里大量的闪退不知道是不是也是这个原因导致的。

当初之所以将系统越狱也是因为需要安装这个插件,不能从浏览器下载文件这个没法忍受,而GOOGLE又不能发布一个越狱产品,相信这样个插件的市场很比较大,这是不是意味着chrome被一个小小的插件绑架了。不管闪退的原因是什么,这次chrome的损失应该是非常大的。当一个产品大规模用起来后,程序员真有一种如履薄冰的感觉。相信很快就有解决问题的新版本出来了。

| 1 分2 分3 分4 分5 分 (5.00- 3票) Loading ... Loading ... | 归档目录:移动互联 | 同时打有标签: |
返回顶部