坐等更新

我求你们别用 MD5 了行吗？
HTTPS 在中间人的情况下，采用一样的证书就看得见明文密码，在此声明，所有的证书都是可以伪造的。
传统的密码输入，应该在不久后被摒弃，1 是注册量很多，要记得密码很多，2 是没有 2FA 验证安全。
我们应该推崇的是更换密码验证的方式。

字符集 ISO 的，没转。

(1) 使用计算机以及所有有助于了解这个世界本质的事物都不应受到任何限制。任何事情都应该亲手尝试。
（ Access to computers — and anything that might teach you something about the way the world works — should be unlimited and total. Always yield to the Hands-On Imperative!） 　　
(2) 信息应该全部免费。 　　
（ All information should be free.） 　　
(3) 不信任权威，提倡去中心化。 　　
（ Mistrust Authority — Promote Decentralization.） 　　
(4) 判断一名黑客的水平应该看他的技术能力，而不是看他的学历、年龄或地位等其他标准。 　　
（ Hackers should be judged by their hacking, not bogus criteria such as degrees, age, race, or position.） 　　
(5) 你可以用计算机创造美和艺术。 　　
（ You can create art and beauty on a computer.） 　　
(6) 计算机使生活更美好。 　　
（ Computers can change your life for the better.）

摘自——《黑客与画家》
开发形式，质量等管控每个公司都不一样
强制性毫无意义，而且这并不是解决方案，而是解决“问题”
我不提倡扣钱，每一个人都可以选择分享与否，每一个人都能选择分享他们想分享的东西，强破的分享甚至能出现类似几年前那种神奇卸载“ yum remove XXX ”的情况(连相关依赖也 remove 了)

元宝 e 家的被贷款事件很烦人，应尽快形成组织，通过情报传播。
然后上个头条，讲真不知道这种事情还有多少。

现在已经是 运维、安全、java 开发 一条龙
希望能把重点全都放在 java 开发上，因为我能力不是很好。
19 年的目标：
月薪 12k
想找很多交流技术的朋友，共同进步。
因工作太忙很多做技术的朋友花式被绿，我已经放弃了找女朋友的计划。
想考一个 oca 的证书

题注要的不是 git 这种面向程序员的，不是团队协作的工具。
它要的是类似于 jira 的管理工具，要么自己写一个，要么直接用敏捷工具搞定。

没用过前谈谈我自己很不负责的看法

首先抛开 shell 和 sql 不谈

未知的上传、任意文件、命令执行都可以通过 java 的 spring security 和 shiro 解决，还顺便能解决如 XSS/CSRF/点击劫持等。
struts 漏洞防护，我不懂，就是升级一个 jar 包的事情，2.3 无缝升级。2.5 改代码。
反序列化：打补丁，升级版本

PS:HTTPD2.4 企业安全的 tls1.2 可以找我的博客进行设置，关闭 CBC （也就是对称密码）后 lucky13 攻击可能失效，不知道有没有大佬完善一下。

@msg7086 该升级了，都是洞。

apache 升级和加固的我这里有。不过无所谓了，jdk1.5 的我也见过

“只要事情可以完成”

你试试看 360。
广告太可怕。搞得我都想把 360 刷 linux 配个 nextcloud 了。

我只想屏蔽比如徐梦圆之类的歌手，并且播放列表因为歌手屏蔽，不能听和下载。
这就完美了。
上班听电音。

不要用外包。
我建议重新设计表关系，是时候用 JPA 了。缓存 spring 有 cache。
接入错误。。API 的接入错误，我不明白，是 HAL 还是纯 json ？

spring boot 可以全局拦截，正如 fkdog 所说的那样，我觉得这个自定义是最优解决方案。

脉脉
主要是我和我家人收到这垃圾 app 的短信

嗯，是这样的
推荐火绒，被动防御。通过细致化的操作限制解决安全问题（不过目前确实还有很多肝疼的问题）适合控制欲强的人，但是没有 360 做的广，但在安全处理上确实是一个很好的选择。


首先 360 虽然平易近人，不过广告比较多，倒是可以接受，对病毒的识别能力不亚于诺顿和卡巴斯基。我原来是 360 死忠粉，买了 360 的手机，然而发现我自己能黑我自己。不过 360 的主动防御系统，不得不说，除了流氓，确实能通过傻瓜式操作解决大部分安全问题。
（ PS：现在因为系统及时升级打了漏洞好了，但安卓依然还存在安全问题）。

我个人的搭配是 360+火绒，以防万一。另外腾讯的电脑管家。。我说句实话，16 年我做过测试，tx 的电脑管家杀毒能力比不过 360，现在的话我不知道。国外的木马都不对它加绕过，基本无视。。。
我个人觉得电脑管家对挖矿和远控这种木马更擅长吧，也没做过实际的病毒包测试。
希望有时间的人能测一下，用结果说话。
杀毒能力个人我预测可能是 360 》火绒》电脑管家

但是在 360 绕过的情况下，火绒的被动防御可能会出其不意，这就是我为什么使用两种防御软件。当 360 和火绒都被攻破的时候，我可能会系统还原。

另外浏览器的沙盒一部分是可以绕的，不过大部分工具小子（包括我）都不会，世界上没有绝对的安全。