[SMTP 简单邮件传输协议 ]的搜索结果

... Superset SMTP邮件服务配置错误 引言 作为数据科学家和工程师们的数据可视化工具，Apache Superset为我们提供了丰富的功能和强大的性能。不过呢，在实际用起来的时候，咱们免不了会碰到各种稀奇古怪的问题，就比如这次我们要掰扯的SMTP邮件服务配置出错的情况。 一、SMTP是什么？ SMTP全称为Simple Mail Transfer Protocol，即简单邮件传输协议。它是互联网上发送电子邮件的基础，也是目前最常用的邮件发送方式。 二、为什么需要SMTP邮件服务？ 在大数据分析中，我们常常需要将分析结果通过邮件的形式分享给团队成员或者其他相关人员。这时，我们就需要用到SMTP邮件服务来实现这个功能。 三、Superset中的SMTP邮件服务配置 在Superset中，我们可以通过修改superset_config.py文件来进行SMTP邮件服务的配置。具体步骤如下： python smtp_password = "your_password" smtp_port = 587 smtp_username = "your_username" smtp_host = "smtp.example.com" EMAIL_BACKEND = "django.core.mail.backends.smtp.EmailBackend" EMAIL_HOST = smtp_host EMAIL_PORT = smtp_port EMAIL_USE_TLS = True EMAIL_HOST_USER = smtp_username EMAIL_HOST_PASSWORD = smtp_password 以上代码表示我们将SMTP邮件服务的服务器地址设置为"smtp.example.com"，端口号设置为587，用户名设置为"your_username"，密码设置为"your_password"。 四、SMTP邮件服务配置错误的解决方法 如果你在配置SMTP邮件服务时遇到了错误，可以尝试以下几种方法进行解决： 方法一：检查SMTP服务器是否可用 首先，你需要确认你的SMTP服务器是可用的。你可以使用telnet命令进行测试： bash telnet smtp.example.com 587 如果SMTP服务器不可用，那么你需要联系你的邮件服务商，查看是否存在服务器故障等问题。 方法二：检查SMTP邮件服务配置 其次，你需要检查你的SMTP邮件服务配置是否正确。你可以亲自去瞧瞧那个superset_config.py文件，看看里面关于SMTP邮件服务的设置参数是不是都和你当前的实际状况对得上哈。 方法三：检查邮箱账号和密码是否正确 最后，你需要检查你的邮箱账号和密码是否正确。如果你输入的账号密码对不上，那就甭想成功登录到SMTP服务器啦，这样一来，你的SMTP邮件服务配置可就要出岔子了。 结语 总的来说，SMTP邮件服务是我们在使用Superset进行数据分析时非常重要的一项功能。虽然配置的过程可能会有点绕，但只要你我老老实实按照正确的步骤一步步来，同时留心那些常见的出错环节，保证你能够轻轻松松就把配置工作给搞定了。

...的发现和见解。而电子邮件是一种非常方便且常用的方式。幸运的是，Superset这个超给力的数据分析工具，它可支持我们借助SMTP（简单邮件传输协议）给用户发送邮件通知，就像发个消息一样轻松自然。 本文将详细解释如何在Superset中配置SMTP服务器以便发送邮件通知。我们将从基本概念开始，然后逐步深入到实际操作，包括代码示例。 二、什么是SMTP？ SMTP是简单邮件传输协议，它是一种用于在网络上传输电子邮件的标准协议。当你写好一封电子邮件准备发送时，就比如你用的是Outlook或Gmail这些邮件工具，它们就会像个快递员一样，运用SMTP这个神奇的“邮递规则”，把你的邮件打包好，然后准确无误地送到收件人的SMTP服务器那里，就像是把信送到了对方的邮局一样。 三、在Superset中设置SMTP服务器 要在Superset中设置SMTP服务器，你需要在 Superset 的配置文件 superset_config.py 中添加以下内容： python SMTP服务器信息 EMAIL_NOTIFICATIONS = True SMTP_HOST = "smtp.example.com" SMTP_PORT = 587 SMTP_USERNAME = "your_username" SMTP_PASSWORD = "your_password" 四、使用Superset发送邮件通知 一旦你设置了SMTP服务器，你就可以在Superset中创建邮件通知了。以下是一个简单的示例： python from superset import db, security_manager from flask_appbuilder.models.sqla.interface import SQLAInterface from sqlalchemy.orm import sessionmaker db.session.execute("INSERT INTO email_alert_recipients (alert_type, email) VALUES ('some alert', 'someone@example.com')") security_manager.add_email_alert("some alert", "some description") db.session.commit() class EmailAudit(SQLAInterface): __tablename__ = "email_audit" id = db.Column(db.Integer, primary_key=True) alert_type = db.Column(db.String(255), nullable=False) email_sent = db.Column(db.Boolean, nullable=False) email_address = db.Column(db.String(255), nullable=False) audit_model = EmailAudit.__table__ session = sessionmaker(bind=db.engine)() session.execute( audit_model.insert(), [ {"alert_type": "some alert", "email_sent": False, "email_address": "someone@example.com"}, ], ) session.commit() 在这个示例中，我们首先创建了一个名为 email_alert_recipients 的数据库表，该表包含了我们要发送邮件的通知类型和接收者的邮箱地址。 然后，我们创建了一个名为 EmailAudit 的模型，该模型将用于跟踪邮件是否已被发送。这个模型里头有个字段叫 email_sent，你可把它想象成个邮筒上的小旗子。当我们顺利把邮件“嗖”地一下送出去了，就立马把这个小旗子立起来，标记为True，表示这封邮件已经成功发送啦！ 最后，我们调用 security_manager.add_email_alert 方法来创建一个新通知，并将其关联到 EmailAudit 模型。 以上就是在Superset中设置SMTP服务器以及使用Superset发送邮件通知的基本步骤。经过这些个步骤，你就能轻轻松松地在Superset上和大伙儿分享你的新发现和独到见解啦！

...特性，成为主流的数据传输协议。然而，尽管JSON在处理简单数据结构时表现出色，但在面对大规模、复杂结构的数据时，仍然存在一定的局限性。例如，近期某电商平台在促销活动期间因订单数据过于庞大，导致JSON解析效率下降，影响了用户体验。这一事件引发了业界对JSON性能瓶颈的关注。 与此同时，新的数据格式如MessagePack和Protocol Buffers逐渐崭露头角。它们在保持JSON易用性的同时，大幅提升了数据压缩率和解析速度，为开发者提供了更多选择。例如，Google推出的Protocol Buffers不仅能够高效存储结构化数据，还支持跨语言的数据交换，这在国际化项目中尤为重要。 此外，JSON-LD（JSON for Linked Data）作为JSON的一种扩展格式，正被越来越多地应用于语义网领域。它通过标准化的数据描述方式，使得机器能够更好地理解人类语言，推动了人工智能技术的发展。例如，某知名搜索引擎公司近期宣布将全面采用JSON-LD来优化搜索结果的呈现，这一举措被认为是语义搜索技术的一次重要升级。 从历史角度看，JSON的诞生源于2001年Douglas Crockford提出的构想，如今已成为全球开发者不可或缺的工具。未来，随着5G网络的普及和边缘计算的兴起，JSON可能会迎来新的变革，或许会出现更适合实时数据流处理的新一代数据格式。无论怎样变化，JSON的核心理念——简洁、灵活、易于理解——始终不会改变。对于开发者而言，掌握JSON的基本原理和最佳实践，仍然是构建高效软件系统的基础。

...文件。它可以处理多种协议，包括HTTP、HTTPS和FTP。所以，理论上来说，wget应该是可以下载http数据的。 2. wget无法下载http数据的原因 但是，我们在实际操作中发现，wget似乎并不能正常下载http数据。哎，你有没有想过为啥会这样？其实啊，这很可能是因为wget这家伙，默认设置下只会下载http的内容，而对于https的数据呢，它可没打算一并捎上。如果你想下载的是HTTPS类型的数据，那就得在使用wget这个命令行工具的时候，给它加上几个特定的小参数。 我们来看一下如何添加这些参数。首先，我们需要打开终端并输入以下命令： css sudo apt-get update && sudo apt-get install wget 这条命令的作用是更新系统并安装wget。然后，我们可以使用以下命令来下载http数据： php-template wget http://example.com 这条命令的作用是从"http://example.com"这个网址下载数据。如果一切正常的话，你应该能看到数据被下载下来了。 现在，让我们来看看如何添加参数来下载https数据。首先，我们需要使用以下命令来打开wget的帮助文档： ruby man wget 在这个文档中，你可以看到许多关于wget的详细信息，包括如何使用参数。我们主要关心的是有关https的数据的部分。简单说吧，兄弟，咱们得在命令行里头加上个“-k”这个小玩意儿，这就意味着我们要下载https类型的数据啦。这样，我们就可以使用以下命令来下载https数据了： css wget -k https://example.com 这条命令的作用是从"https://example.com"这个网址下载数据。如果一切正常的话，你应该能看到数据被下载下来了。 3. 结论 总的来说，wget是可以下载http数据的，但如果你想下载https的数据，就需要在命令行中添加一些参数。通过这种方法，我们可以很方便地下载我们需要的数据。所以，当你发现wget没法顺利下载http内容的时候，不妨来试试加点小参数的魔法，没准问题就这么迎刃而解啦！

...数据量越来越大，数据传输也越来越频繁。高效的传输方式不仅可以提高数据处理速度，也可以节省资源。在当前的大环境下，HessianRPC这个高效的数据传输协议，已经火得不行，被广泛应用到各个领域啦！ 二、什么是Hessian Hessian是一种基于Java语言的高性能、跨平台的数据交换格式。这小家伙体型迷你，实力却不容小觑，效率贼高，兼容性更是杠杠的，所以在Web服务、手机APP开发，甚至嵌入式设备这些领域里头，它都大显身手，混得风生水起。 三、如何利用Hessian进行大数据量高效传输 在大数据量的传输过程中，Hessian提供了以下几种方法： 1. 序列化和反序列化 Hessian支持对象的序列化和反序列化，可以将复杂的业务对象转换为简单的字符串，然后在网络上传输，接收端再将字符串转换回对象。 2. HTTP请求 Hessian可以将对象作为HTTP请求体发送，接收端同样可以解析请求体得到对象。 3. Socket编程 Hessian也可以通过Socket编程的方式进行数据传输，这种方式更加灵活，适用于需要实时通信的场景。 下面我们分别通过一个例子来演示这些方法。 四、使用Hessian进行序列化和反序列化 首先，我们创建一个简单的类User： java public class User { private String name; private int age; public User(String name, int age) { this.name = name; this.age = age; } // getters and setters... } 然后，我们可以使用Hessian的writeValueTo()方法将User对象序列化为字符串： java User user = new User("Tom", 20); String serialized = Hessian2.dump(user); 接收到这个字符串后，我们可以通过Hessian的readObjectFrom()方法将其反序列化为User对象： java User deserialized = (User) Hessian2.unmarshal(serialized); 五、使用Hessian进行HTTP请求 在Spring框架中，我们可以使用HessianProxyFactoryBean来创建一个代理对象，然后通过这个代理对象来调用远程服务。 例如，我们在服务器端有一个接口UserService： java public interface UserService { User getUser(String id); } 然后，客户端可以通过如下方式来调用远程服务： java HessianProxyFactoryBean factory = new HessianProxyFactoryBean(); factory.setServiceUrl("http://localhost:8080/service/UserService"); factory.afterPropertiesSet(); UserService userService = (UserService) factory.getObject(); User user = userService.getUser("1"); 六、使用Hessian进行Socket编程 如果需要进行实时通信，我们可以直接使用Socket编程。首先，在服务器端创建一个监听器： java ServerSocket serverSocket = new ServerSocket(8080); while (true) { Socket socket = serverSocket.accept(); InputStream inputStream = socket.getInputStream(); OutputStream outputStream = socket.getOutputStream(); String request = readRequest(inputStream); String response = handleRequest(request); writeResponse(response, outputStream); } 然后，在客户端创建一个连接： java Socket socket = new Socket("localhost", 8080); OutputStream outputStream = socket.getOutputStream(); InputStream inputStream = socket.getInputStream(); writeRequest(request, outputStream); String response = readResponse(inputStream); 七、结论 总的来说，Hessian是一种非常强大的工具，可以帮助我们高效地进行大数据量的传输。甭管是Web服务、手机APP，还是嵌入式小设备，你都能发现它的存在。在接下来的工作日子里，咱们得好好琢磨和掌握这款工具，这样一来，工作效率自然就能蹭蹭往上涨啦！

...统，允许用户通过一个简单的接口，将数据关联到唯一的键并在分布式环境中进行读写操作，广泛应用于服务发现、协调和配置管理等方面。 Raft一致性算法 , Raft是一致性算法的一种，专为解决分布式系统中多个服务器之间的状态同步问题而设计。在Etcd中，Raft负责维护集群成员间的共识，保证在任何时候集群内部对于任何一条数据的修改都能达成一致，并且保证即使在部分节点失效的情况下，整个系统的可用性和数据完整性不受影响。 防火墙规则 , 防火墙规则是指网络防火墙为了控制进出网络的数据流而设立的一系列策略。这些规则通常基于源IP地址、目标IP地址、端口号以及传输协议等多种因素，决定是否允许或阻止特定的数据包通过。在本文中，作者指导如何配置Linux和Windows系统的防火墙规则，以便开放Etcd所需的2379和2380端口，确保集群间可以正常通信。

...些错误并不总是表现为简单的“Script did not run”，而是需要开发者借助更强大的工具进行定位，比如利用Chrome DevTools的Async Stack Traces功能追踪异步调用链。 近期，浏览器厂商对JavaScript引擎性能的持续优化也提供了新的解决方案。V8引擎的新特性允许开发者在遇到未捕获异常时获取更详尽的堆栈信息，这对于排查服务端渲染或Web Workers中的脚本错误尤为有用。同时，诸如ESLint这类静态代码检查工具的广泛应用，使得开发者能在编码阶段就及时发现并修复可能导致“Script did not run”的潜在语法或逻辑错误。 此外，对于资源加载问题，HTTP/3协议的普及有望显著降低脚本加载失败的概率，通过多路复用和QUIC传输层协议改进了网络性能，从而减少了因网络原因导致的脚本加载不成功的情况。 综上所述，在解决“Script did not run”问题的过程中，不仅需要扎实的基本功，还需紧跟技术潮流，利用最新工具和技术手段来应对日益复杂的Web开发挑战。而持续学习和实践，正是每一位前端开发者不断提升自己解决问题能力的关键所在。

...应用程序，甭管是网络协议、消息格式还是传输方式，都能支持多种多样。这样一来，不管平台怎么变，技术栈怎么不同，数据交换都能轻松跨过去，畅通无阻地实现。 2. 创建WCF服务项目 （1）启动Visual Studio，选择新建项目，然后在模板列表中找到“WCF服务库”，点击创建。此刻，你会看到一个默认生成的服务接口（IService1.cs）和其实现类（Service1.svc.cs）。 csharp // IService1.cs [ServiceContract] public interface IService1 { [OperationContract] string GetData(int value); } // Service1.svc.cs public class Service1 : IService1 { public string GetData(int value) { return string.Format("You entered: {0}", value); } } 这段代码展示了如何定义一个基本的WCF服务契约（通过ServiceContract属性标记接口）以及其实现（通过实现该接口）。嘿，你知道吗？在编程里头，有个叫做OperationContract的小家伙可厉害了。它专门用来标记接口里的某个方法，告诉外界：“瞧瞧，这个方法就是我们对外开放的服务操作！”这样说是不是感觉更接地气啦？ 3. 配置WCF服务 打开App.config文件，你会发现WCF服务的核心配置信息都在这里。例如： xml 这部分配置说明了服务的终结点信息，包括地址、绑定和合同。在这儿，我们捣鼓出了一个借助HTTP搭建的基础接口，专门用来应对各种服务请求；另外还搞了个小家伙，它的任务是负责交换那些元数据信息。 4. 部署与调用WCF服务 完成服务编写和配置后，将项目部署到IIS或直接运行调试即可。客户端想要调用这个服务，有俩种接地气的方式：一种是直接在程序里头添加服务引用，另一种则是巧妙地运用ChannelFactory这个工具来实现调用。就像我们平时点外卖，既可以收藏常去的店铺快速下单，也可以灵活搜索各种渠道找到并订购心仪美食一样。下面是一个简单的客户端调用示例： csharp // 添加服务引用后自动生成的Client代理类 var client = new Service1Client(); var result = client.GetData(123); Console.WriteLine(result); // 输出 "You entered: 123" client.Close(); 这里，我们创建了一个服务客户端实例，并调用了GetData方法，实现了与服务端的交互。 5. 进阶探讨 当然，WCF的功能远不止于此，还包括安全性、事务处理、可靠会话、多线程并发控制等诸多高级特性。比如，我们可以为服务操作添加安全性验证： csharp [OperationContract] [PrincipalPermission(SecurityAction.Demand, Role = "Admin")] string SecureGetData(int value); 这段代码表明只有角色为"Admin"的用户才能访问SecureGetData方法，体现了WCF的安全性优势。 总的来说，WCF在.NET中为我们提供了便捷而强大的Web服务开发工具，无论是初级开发者还是资深工程师，都需要对其有足够的理解和熟练应用。在实践中不断探索和尝试，相信你会越来越感受到WCF的魅力所在！

...优化Netty的网络传输性能呢？本文将从以下几个方面进行探讨。 二、了解Netty的工作原理 首先，我们需要深入理解Netty的工作原理。Netty使用了事件驱动的设计模式，可以异步处理大量的数据包。当一个网络连接请求蹦跶过来的时候，Netty这个小机灵鬼就会立马创建一个崭新的线程来对付这个请求，然后把所有的数据包一股脑儿地丢给这个线程去处理。这样，就算有海量的数据包要处理，也不会把主线程堵得水泄不通，这样一来，咱们系统的反应速度就能始终保持飞快啦！ 三、选择合适的线程模型 Netty提供了两种线程模型：Boss-Worker模型和NIO线程模型。Boss-Worker模型是Netty默认的线程模型，它由一个boss线程和多个worker线程组成。boss线程负责接收并分发网络连接请求，worker线程负责处理具体的网络数据包。这种模型的好处呢，就是能够超级棒地用足多核处理器的能耐，不过吧，它也有个小缺点。当遇到大量连接请求汹涌而来的时候，可能会让CPU过于劳累，消耗过多的能量。 NIO线程模型则通过直接操作套接字通道的方式，避免了线程上下文切换的开销，提高了系统的吞吐量。但是，它的编程难度相对较高，不适用于对编程经验要求不高的开发者。 四、合理配置资源 除了选择合适的线程模型外，我们还需要合理配置Netty的其他资源，如缓冲区大小、连接超时时间等。这些参数的选择会直接影响到系统的性能。 例如，缓冲区的大小决定了每次读取的数据量，过小的缓冲区会导致频繁地进行I/O操作，降低系统性能；过大则可能会导致内存占用过高。一般来说，我们应该根据实际情况动态调整缓冲区的大小。 五、优化数据结构 在Netty中，数据都是通过ByteBuf对象进行传输的。因此，优化ByteBuf的使用方式也是一项重要的任务。比如，咱们可以使用ByteBuf的readBytes()这个小功能，一把子读取完整个数据包，而不是反反复复地去调用readInt()那些方法。另外，咱们还可以用ByteBuf的retainedDuplicate()小技巧，生成一个引用计数为1的新Buffer。这样一来，就算数据包处理完毕后，这个新Buffer也会被自动清理掉，完全不用担心内存泄漏的问题，让我们的操作更加安全、流畅。 六、利用缓存机制 在处理大量数据时，我们还可以利用Netty的缓存机制，将数据预先存储在缓存中，然后逐个取出处理。这样可以大大减少数据的I/O操作次数，提高系统的性能。 七、结语 总的来说，优化Netty的网络传输性能并不是一件简单的事情，需要我们深入了解Netty的工作原理，选择合适的线程模型，合理配置资源，优化数据结构，以及利用缓存机制等。只要咱们把这些技巧都掌握了，就完全能够游刃有余地对付各种复杂的网络环境，让咱们的系统跑得更溜、更稳当，就像给它装上了超级马达一样。

...间进行高效稳定的数据传输和转换。在本文的上下文中，SeaTunnel被用来与SFTP服务器对接，实现大数据的安全文件传输。 SFTP（Secure File Transfer Protocol） , SFTP是一种基于安全外壳协议（SSH）的网络协议，专为安全地在客户端与服务器之间传输文件而设计。相较于传统的FTP，SFTP提供了数据加密、身份验证以及更精细的权限控制等功能，确保在互联网上传输敏感信息时能够保障数据的完整性与安全性。 SSH密钥对 , SSH密钥对是SSH协议中用于用户身份认证的一种方式，包含一对非对称密钥——公钥和私钥。在SFTP连接场景下，用户将公钥放在远程服务器上，本地则保管私钥。当通过SSH或SFTP建立连接时，客户端会使用私钥解密服务器发送的随机数并签名后发回给服务器，服务器通过保存的公钥验证签名有效性从而完成身份认证过程。这种方式相比于仅依赖用户名和密码，提供了更高的安全保障，降低了密码被破解的风险。 密码短语（passphrase） , 在SSH密钥对中，为了进一步增强私钥的安全性，可以为其设置一个密码短语（passphrase）。不同于简单的密码，passphrase通常较长且包含多种字符类型，用于加密私钥文件本身。在使用密钥认证连接SFTP服务器时，除了提供私钥文件路径外，还需输入正确的passphrase才能解锁私钥，进而完成身份验证。

...杂。 首先，让我们来简单了解一下SSL/TLS证书是什么。SSL（Secure Sockets Layer）和TLS（Transport Layer Security）就像是网络世界的保安，专门负责在你上网的时候保护你的数据不被坏人偷走或篡改。简单来说，就是让你在网上交流时更安全。HTTPS其实就是HTTP的升级版，它在原来的HTTP上加了个SSL/TLS的锁，这样一来，咱们在网上发送的信息就变得安全多了，别人偷不走。 为什么我们需要关注这些问题呢？因为随着网络安全意识的提升，越来越多的用户开始注意网站是否采用HTTPS进行数据传输。对开发者而言，搞清楚怎么正确设置SSL/TLS证书，防止证书验证出问题，这可是提升应用安全性的关键一步。 二、Beego中的HTTPS配置基础 在Beego框架中，配置HTTPS其实并不复杂。但首先，你需要确保你的服务器已经安装了有效的SSL/TLS证书。这通常涉及到购买或者自签名证书的过程，这里不深入讨论。接下来，我们看看如何在Beego中配置HTTPS。 示例代码：基本HTTPS配置 go package main import ( "github.com/astaxie/beego" ) func main() { // 设置监听端口 beego.RunConfig.Listen.HTTPPort = 8080 // 配置HTTPS beego.RunConfig.Listen.HTTPSPort = 8443 beego.RunConfig.Listen.HTTPSKey = "path/to/private.key" beego.RunConfig.Listen.HTTPSCert = "path/to/certificate.crt" // 启动Beego应用 beego.Run() } 上面这段代码展示了如何在Beego中配置HTTPS的基本步骤。嘿，你知道嘛，HTTPSPort就是用来设置HTTPS服务要监听的端口号的。至于HTTPSKey和HTTPSCert嘛，它们分别告诉你私钥文件和证书文件藏在哪里。 三、常见问题及解决策略 尽管配置看似简单，但在实际操作中却可能遇到各种各样的问题。下面我们就来看看几个常见的问题及其解决方案。 3.1 证书验证失败 问题描述：当客户端尝试连接到你的HTTPS服务时，可能会因为证书验证失败而导致连接被拒绝。 原因分析：这通常是因为客户端无法信任你的服务器证书。可能是由于证书过期、自签名证书未被客户端信任等原因造成的。 解决方案： - 更新证书：如果是证书过期问题，确保及时更新你的SSL/TLS证书。 - 导入证书到信任库：如果使用的是自签名证书，需要将该证书导入到客户端的信任库中。 示例代码：检查证书有效期 go package main import ( "crypto/x509" "fmt" "io/ioutil" "time" ) func main() { pemData, err := ioutil.ReadFile("path/to/certificate.crt") if err != nil { fmt.Println("Error reading certificate file:", err) return } cert, err := x509.ParseCertificate(pemData) if err != nil { fmt.Println("Error parsing certificate:", err) return } // 检查证书有效期 if cert.NotAfter.Before(time.Now()) { fmt.Println("证书已过期！") } else { fmt.Println("证书有效！") } } 这段代码可以帮助你检查证书的有效期限，从而避免因证书过期引发的问题。 四、进阶探索 高级配置与最佳实践 除了上述基础配置外，还有一些高级配置和最佳实践可以进一步提高你的HTTPS服务的安全性和性能。 4.1 使用Let's Encrypt获取免费证书 推荐理由：Let's Encrypt提供了完全免费且自动化的SSL/TLS证书服务，非常适合个人开发者和小型项目使用。 实施方法：你可以使用Certbot等工具自动化地从Let's Encrypt获取证书，并自动续期。 4.2 HTTP严格传输安全（HSTS） 推荐理由：启用HSTS可以增强网站的安全性，防止中间人攻击。 实施方法：只需在响应头中添加Strict-Transport-Security字段即可。 示例代码：设置HSTS响应头 go package main import ( "github.com/astaxie/beego" ) func init() { beego.InsertFilter("", beego.BeforeRouter, func() { beego.resp.Header().Set("Strict-Transport-Security", "max-age=31536000; includeSubDomains") }) } func main() { beego.Run() } 以上就是今天分享的内容啦！希望大家能够通过这篇文章更好地理解和解决在Beego框架中遇到的SSL/TLS证书问题。如果你有任何疑问或建议，欢迎随时交流讨论！ --- 希望这篇内容能够帮助你理解并解决Beego中的SSL/TLS证书问题。如果有任何其他问题或需要进一步的帮助，请随时告诉我！

...通信，无论是发送电子邮件，浏览网页，还是在线购物，我们都需要依赖于稳定可靠的网络连接。然而，有时候咱们会碰上网络信号闹别扭或者干脆罢工的情况，这可不只是耽误了咱们的工作、影响了日常生活那么简单，还可能悄无声息地给咱们的信息安全带来隐患呐。那么，如何有效地解决这个问题呢？让我们来看看Python的Tornado库。 二、什么是Tornado？ Tornado是一个高性能的Python Web服务器和异步网络库，它被设计用来构建实时Web应用和服务。它的最大亮点就是能够支持异步IO操作，这就意味着即使在单线程环境下也能轻松应对海量的并发请求，这样一来，系统的性能和稳定性都得到了超级大的提升，就像给系统装上了涡轮增压器一样，嗖嗖地快，稳稳地好。 三、Tornado如何解决网络连接不稳定或中断的问题？ 网络连接不稳定或中断通常是由以下几个原因引起的：网络拥塞、路由器故障、服务提供商问题等。这些问题虽然没法彻底躲开，不过只要我们巧妙地进行网络编程，就能最大限度地降低它们对我们应用程序的影响程度，尽可能让它们少添乱。Tornado就是这样一个可以帮助我们处理这些问题的工具。 四、Tornado的使用示例 下面我们将通过几个实例来展示如何使用Tornado来处理网络连接不稳定或中断的问题。 1. 异步I/O操作 在传统的同步I/O操作中，当一个线程执行完一个任务后，会阻塞等待新的任务。这种方式在处理大量并发请求时效率较低。而异步I/O这招厉害的地方就在于，它能充分榨干多核CPU的潜能，让多个请求同时开足马力并行处理，就像一个超级服务员，能够同时服务多位顾客，既高效又灵活。Tornado这个家伙，厉害之处就在于它采用了异步I/O操作这招杀手锏，这样一来，面对蜂拥而至的高并发网络请求，它也能游刃有余地高效应对，处理起来毫不含糊。 python import tornado.web class MainHandler(tornado.web.RequestHandler): def get(self): 这里是你的业务逻辑 pass application = tornado.web.Application([ (r"/", MainHandler), ]) application.listen(8888) tornado.ioloop.IOLoop.current().start() 2. 自动重连机制 在网络连接不稳定或中断的情况下，传统的TCP连接可能会因为超时等原因断开。为了避免这种情况，我们可以设置自动重连机制。Tornado提供了一个方便的方法来实现这个功能。 python import tornado.tcpclient class MyClient(tornado.tcpclient.TCPClient): def __init__(self, host='localhost', port=80, kwargs): super().__init__(host, port, kwargs) self.retries = 3 def connect(self): for _ in range(self.retries): try: return super().connect() except Exception as e: print(f'Connect failed: {e}') tornado.ioloop.IOLoop.current().add_timeout( tornado.ioloop.IOLoop.current().time() + 5, lambda: self.connect(), ) raise tornado.ioloop.TimeoutError('Connect failed after retrying') client = MyClient() 以上就是Tornado的一些基本使用方法，它们都可以帮助我们有效地处理网络连接不稳定或中断的问题。当然，Tornado的功能远不止这些，你还可以利用它的WebSocket、HTTP客户端等功能来满足更多的需求。 五、总结 总的来说，Tornado是一个非常强大的工具，它不仅可以帮助我们提高网络应用程序的性能和稳定性，还可以帮助我们更好地处理网络连接不稳定或中断的问题。如果你是一名网络开发工程师，我强烈推荐你学习和使用Tornado。相信你会发现，它会给你带来很多惊喜和收获。 六、结语 希望通过这篇文章，你能了解到Tornado的基本概念和使用方法，并且能将这些知识运用到实际的工作和项目中。记住了啊，学习这件事儿可是没有终点线的马拉松，只有不断地吸收新知识、动手实践操作，才能让自己的技能树茁壮成长，最终修炼成一名货真价实的网络开发大神。

...置（如日志存储位置或传输协议）可能导致数据无法正确传递或存储。 4. 性能瓶颈 配置不当可能导致资源消耗过大，影响系统性能或稳定性。 三、案例分析 数据审计失败的场景 假设我们正在审计一家电商公司的用户购买行为数据，目的是识别异常交易模式。配置了如下Logstash管道： json input { beats { port => 5044 } } filter { grok { match => { "message" => "%{TIMESTAMP_ISO8601:time} %{SPACE} %{NUMBER:amount} %{SPACE} %{IPORHOST:host}" } } mutate { rename => { "amount" => "transactionAmount" } add_field => { "category" => "purchase" } } } output { elasticsearch { hosts => ["localhost:9200"] index => "purchase_data-%{+YYYY.MM.dd}" } } 在这段配置中，如果elasticsearch输出配置错误，例如将hosts配置为无效的URL或端口，那么数据将无法被正确地存储到Elasticsearch中，导致审计数据缺失。 四、避免错误的策略 1. 详细阅读文档 了解每个插件的使用方法和限制，避免常见的配置陷阱。 2. 单元测试 在部署前，对Logstash配置进行单元测试，确保所有组件都能按预期工作。 3. 代码审查 让团队成员进行代码审查，可以发现潜在的错误和优化点。 4. 使用模板和最佳实践 借鉴社区中成熟的配置模板和最佳实践，减少自定义配置时的试错成本。 5. 持续监控 部署后，持续监控Logstash的日志和系统性能，及时发现并修复可能出现的问题。 五、总结与展望 通过深入理解Logstash的工作原理和常见错误，我们可以更加有效地利用这一工具，确保数据审计流程的顺利进行。嘿，兄弟！听好了，你得记着，犯错不是啥坏事，那可是咱成长的阶梯。每次摔一跤，都是咱向成功迈进一步的机会。咱们就踏踏实实多练练手，不断调整，优化策略。这样，咱就能打造出让人心头一亮的实时数据处理系统，既高效又稳当，让别人羡慕去吧！哎呀，随着科技这艘大船的航行，未来的Logstash就像个超级多功能的瑞士军刀，越来越厉害了！它能干的事儿越来越多，改进也是一波接一波的，简直就是我们的得力助手，帮咱们轻松搞定大数据这滩浑水，让数据处理变得更简单，更高效！想象一下，未来，它能像魔术师一样，把复杂的数据问题变个无影无踪，咱们只需要坐享其成，享受数据分析的乐趣就好了！是不是超期待的？让我们一起期待Logstash在未来发挥更大的作用，推动数据驱动决策的进程。

...程调度机制、网络信息传输这些环节，都可能暗戳戳地变成影响整体速度的“拖后腿”因素。 java // 创建ActiveMQ连接工厂 ConnectionFactory factory = new ActiveMQConnectionFactory("tcp://localhost:61616"); // 创建连接并启动 Connection connection = factory.createConnection(); connection.start(); // 创建会话，并设置为事务性 Session session = connection.createSession(true, Session.SESSION_TRANSACTED); // 创建目标队列 Destination destination = session.createQueue("TestQueue"); // 创建生产者并发送消息 MessageProducer producer = session.createProducer(destination); TextMessage message = session.createTextMessage("Hello, World!"); producer.send(message); // 提交事务 session.commit(); 以上是一个简单的ActiveMQ生产者示例，但真实的高并发场景中，频繁的创建、销毁对象及事务操作可能对性能产生显著影响。 3. 性能瓶颈排查策略 (1) 资源监控：首先，我们需要借助ActiveMQ自带的JMX监控工具或第三方监控系统，实时监控CPU使用率、内存占用、磁盘I/O、网络流量等关键指标，从而定位可能存在的性能瓶颈。 (2) 线程池分析：深入到ActiveMQ内部，其主要的执行单元是线程池，因此，观察并分析ActiveMQ ThreadPool的工作状态，如活跃线程数、阻塞任务数等，有助于发现因线程调度问题导致的性能瓶颈。 (3) 消息堆积排查：若发现消息积压严重，应检查消费者消费速度是否跟得上生产者的发送速度，或者查看是否有未被正确确认的消息造成堆积，例如： java MessageConsumer consumer = session.createConsumer(destination); while (true) { TextMessage msg = (TextMessage) consumer.receive(); // 处理消息 // ... // 提交事务 session.commit(); } 此处，消费者需确保及时提交事务以释放已消费的消息，否则可能会形成消息堆积。 (4) 配置调优：针对上述可能的问题，可以尝试调整ActiveMQ的相关配置参数，比如增大内存缓冲区大小、优化线程池配置、启用零拷贝技术等，以提升高并发下的性能表现。 4. 结论与思考 排查ActiveMQ在高并发环境下的性能瓶颈是一项既具挑战又充满乐趣的任务。每一个环节，咱们都得把它的工作原理摸得门儿清，然后结合实际情况，像对症下药那样来点实实在在的优化措施。对开发者来说，碰到高并发场景时，咱们可以适时地把分布式消息中间件集群、负载均衡策略这些神器用起来，这样一来，ActiveMQ就能更溜地服务于我们的业务需求啦。在整个这个过程中，始终坚持不懈地学习新知识，保持一颗对未知世界积极探索的心，敢于大胆实践、勇于尝试，这种精神头儿，绝对是咱们突破瓶颈、提升表现的关键所在。 以上内容仅是初步探讨，具体问题需要根据实际应用场景细致分析，不断挖掘ActiveMQ在高并发下的潜力，使其真正成为支撑复杂分布式系统稳定运行的强大后盾。

...发TCP/IP和其他传输协议应用程序的异步事件驱动模型。Netty这个家伙，它可是搭建在NIO（非阻塞式输入输出）这个强大基石上的，这样一来，它能够在单个线程里边同时应对多个连接请求，大大提升了程序处理并发任务的能力，让效率噌噌噌地往上涨。 三、Netty服务器的网络中断问题 当网络发生中断时，Netty服务器通常会产生两种异常： 1. ChannelException: 由于底层I/O操作失败而抛出的异常。 2. UnresolvedAddressException: 当尝试打开一个到不存在的地址的连接时抛出的异常。 这两种异常都会导致服务器无法正常接收和发送数据。 四、处理Netty服务器的网络中断问题 1. 使用ChannelFuture和FutureListener 在Netty中，我们可以使用ChannelFuture和FutureListener来处理网络中断问题。ChannelFuture是创建了一个用于等待特定I/O操作完成的Future对象。FutureListener是一个接口，可以监听ChannelFuture的状态变化。 例如，我们可以使用以下代码来监听一个ChannelFuture的状态变化： java channelFuture.addListener(new FutureListener() { @Override public void operationComplete(ChannelFuture future) throws Exception { if (future.isSuccess()) { // 连接成功 } else { // 连接失败 } } }); 2. 使用心跳检测机制 除了监听ChannelFuture的状态变化外，我们还可以使用心跳检测机制来检查网络是否中断。实际上，我们可以这样理解：在用户的设备上（也就是客户端），我们设定一个任务，定期给服务器发送个“招呼”——这就是所谓的心跳包。就像朋友之间互相确认对方是否还在一样，如果服务器在一段时间内没有回应这个“招呼”，那我们就推测可能是网络连接断开了，简单来说就是网络出小差了。 例如，我们可以使用以下代码来发送心跳包： java // 创建心跳包 ByteBuf heartbeat = Unpooled.buffer(); heartbeat.writeInt(HeartbeatMessage.HEARTBEAT); heartbeat.writerIndex(heartbeat.readableBytes()); // 发送心跳包 channel.writeAndFlush(heartbeat); 3. 使用重连机制 当网络中断后，我们需要尽快重新建立连接。为了实现这个功能，我们可以使用重连机制。换句话说，一旦网络突然掉线了，我们立马麻溜地开始尝试建立一个新的连接，并且持续密切关注着新的连接状态有没有啥变化。 例如，我们可以使用以下代码来重新建立连接： java // 重试次数 int retryCount = 0; while (retryCount < maxRetryCount) { try { // 创建新的连接 Bootstrap bootstrap = new Bootstrap(); ChannelFuture channelFuture = bootstrap.group(eventLoopGroup).channel(NioServerSocketChannel.class) .option(ChannelOption.SO_BACKLOG, backlog) .childHandler(new ServerInitializer()) .connect(new InetSocketAddress(host, port)).sync(); // 监听新的连接状态变化 channelFuture.addListener(new FutureListener() { @Override public void operationComplete(ChannelFuture future) throws Exception { if (future.isSuccess()) { // 新的连接建立成功 return; } // 新的连接建立失败，继续重试 if (future.cause() instanceof ConnectException || future.cause() instanceof UnknownHostException) { retryCount++; System.out.println("Failed to connect to server, will retry in " + retryDelay + "ms"); Thread.sleep(retryDelay); continue; } } }); // 连接建立成功，返回 return channelFuture.channel(); } catch (InterruptedException e) { Thread.currentThread().interrupt(); } } 五、总结 在网络中断问题上，我们可以通过监听ChannelFuture的状态变化、使用心跳检测机制和重连机制来处理。这些方法各有各的好和不足，不过总的来说，甭管怎样，它们都能在关键时刻派上用场，就是在网络突然断开的时候，帮我们快速重新连上线，确保服务器稳稳当当地运行起来，一点儿不影响正常工作。 以上就是关于如何处理Netty服务器的网络中断问题的文章，希望能对你有所帮助。

...tion）是一种开源协议，由Google于2011年推出，旨在使网页能够进行实时音频、视频通话以及数据传输。它的特点是无需依赖任何第三方软件，只需通过浏览器就能完成通信。 三、WebRTC的工作原理 WebRTC的工作原理可以简单地概括为三个步骤： 1. 媒体流获取 浏览器会调用getUserMedia API，请求用户的摄像头和麦克风权限，获取用户的实时音频和视频流。 2. 信道建立 浏览器将媒体流封装成ICE候选信息，并发送给服务器或者其他浏览器。 3. 信令交换 通过WebSocket等网络传输机制，浏览器之间进行信令交换，协商并创建出一个可用于数据传输的安全连接。 四、如何利用WebRTC实现点对点通信 下面，我们通过一个简单的例子来说明如何利用WebRTC实现点对点通信。 首先，在HTML文件中添加以下代码： html 然后，在JavaScript文件中添加以下代码： javascript // 获取本地视频 const localStream = await navigator.mediaDevices.getUserMedia({ audio: true, video: true }); // 创建RTC对讲机 const pc = new RTCPeerConnection(); // 添加媒体流 pc.addTransceiver('audio'); pc.addTransceiver('video'); // 获取远程视频容器 const remoteVideo = document.getElementById('remoteVideo'); // 将本地视频流添加到远程视频容器 pc.getSenders().forEach((sender) => { sender.track.id = 'localVideo'; remoteVideo.srcObject = sender.track; }); // 接收媒体流 pc.ontrack = (event) => { event.streams.forEach((stream) => { stream.getTracks().forEach((track) => { track.id = 'remoteVideo'; const videoElement = document.createElement('video'); videoElement.srcObject = track; document.body.appendChild(videoElement); }); }); }; // 连接到其他客户端 function connect(otherUserURL) { // 创建新的RTCPeerConnection对象 const otherPC = new RTCPeerConnection(); // 设置回调函数，处理ICE候选信息和数据通道 otherPC.onicecandidate = (event) => { if (!event.candidate) return; pc.addIceCandidate(event.candidate); }; otherPC.ondatachannel = (event) => { event.channel.binaryType = 'arraybuffer'; channel.send('hello'); }; // 发送offer const offerOptions = { offerToReceiveAudio: true, offerToReceiveVideo: true }; pc.createOffer(offerOptions).then((offer) => { offer.sdp = SDPUtils.replaceBUNDLE_ID(offer.sdp, otherUserURL); offer.sdp = SDPUtils.replaceICE_UFRAG_AND_FINGERPRINT(offer.sdp, otherUserURL); offer.sdp = SDPUtils.replaceICEServers(offer.sdp, iceServers); return otherPC.setRemoteDescription(new RTCSessionDescription(offer)); }).then(() => { return otherPC.createAnswer(); }).then((answer) => { answer.sdp = SDPUtils.replaceBUNDLE_ID(answer.sdp, otherUserURL); answer.sdp = SDPUtils.replaceICE_UFRAG_AND_FINGERPRINT(answer.sdp, otherUserURL); answer.sdp = SDPUtils.replaceICEServers(answer.sdp, iceServers); return pc.setRemoteDescription(new RTCSessionDescription(answer)); }).catch((err) => { console.error(err.stack || err); }); } 在这个例子中，我们首先通过getUserMedia API获取用户的实时音频和视频流，然后创建一个新的RTCPeerConnection对象，并将媒体流添加到这个对象中。 接着，我们设置了回调函数，处理ICE候选信息和数据通道。当你收到ICE候选信息的时候，我们就把它塞到本地的那个RTCPeerConnection对象里头；而一旦收到数据通道的消息，我们就会把它的binaryType调成'arraybuffer'模式，然后就可以在通道里畅所欲言，发送各种消息啦。 最后，我们调用connect函数，与其他客户端建立连接。在connect函数里头，我们捣鼓出了一个崭新的RTCPeerConnection对象，就像组装一台小机器一样。然后呢，我们还给这个小家伙绑定了几个“小帮手”——回调函数，用来专门处理ICE候选信息和数据通道这些重要的任务，让它们能够实时报告状况，确保连接过程顺畅无阻。然后呢，我们给对方发个offer，就像递出一份邀请函那样。等对方接收到后，他们会回传一个answer，这就好比他们给出了接受邀请的答复。我们就把这个answer，当作是我们本地RTCPeerConnection对象的远程“地图”，这样一来，连接就算顺利完成啦！ 五、结论 WebRTC技术为我们提供了一种方便、快捷、安全的点对点通信方式，大大提高了应用的交互性和实时性。当然啦，这只是个入门级的小例子，实际上的运用场景可能会复杂不少。不过别担心，只要咱们把WebRTC的核心原理和使用技巧都整明白了，就能根据自身需求灵活施展拳脚，开发出更多既有趣又有用的应用程序，保证让你玩得飞起！ 未来，随着5G、物联网等技术的发展，WebRTC将会发挥更大的作用，成为更多应用场景的首选方案。让我们一起期待这个充满可能的新时代吧！

...就像你堆了一大堆未读邮件在收件箱里，久而久之，不光显得杂乱无章，还可能拖慢你整日的工作节奏，对不对？同样的道理，信息堆积多了，整个系统的运行效率就会变慢，稳定性也容易受到威胁。所以，大家得互相帮忙，及时分担任务，保持信息流通顺畅，这样才能让我们的工作更高效，系统也更稳定！ 原因分析： 1. 成员间通信机制不足 Kafka默认不提供成员间的心跳检测机制，依赖于应用开发者自行实现。 2. 配置管理不当 如未能正确配置自动重平衡策略，可能导致成员在故障恢复后无法及时加入Group，或加入错误的Group。 3. 资源调度问题 在高并发场景下，资源调度不均可能导致部分成员承担过多的消费压力，而其他成员则处于空闲状态。 三、解决策略 1. 实现心跳检测机制 为了检测成员状态，可以实现一个简单的心跳检测机制，通过定期向Kafka集群发送心跳信号来检查成员的存活状态。如果长时间未收到某成员的心跳响应，则认为该成员可能已故障，并从Consumer Group中移除。以下是一个简单的Java示例： java import org.apache.kafka.clients.consumer.ConsumerRecord; import org.apache.kafka.clients.consumer.ConsumerRecords; public class HeartbeatConsumer extends AbstractKafkaConsumer { private static final long HEARTBEAT_INTERVAL = 60 1000; // 心跳间隔时间，单位毫秒 @Override public void onConsume() { while (true) { try { Thread.sleep(HEARTBEAT_INTERVAL); if (!isAlive()) { System.out.println("Heartbeat failure detected."); // 可以在这里添加逻辑来处理成员故障，例如重新加入组或者通知其他成员。 } } catch (InterruptedException e) { Thread.currentThread().interrupt(); } } } private boolean isAlive() { // 实现心跳检测逻辑，例如发送心跳请求并等待响应。 return true; // 假设总是返回true，需要根据实际情况调整。 } } 2. 自动重平衡策略 合理配置Kafka的自动重平衡策略，确保在成员故障或加入时能够快速、平滑地进行组内成员的重新分配。利用Kafka的API或自定义逻辑来监控成员状态，并在需要时触发重平衡操作。例如： java KafkaConsumer consumer = new KafkaConsumer<>(config); consumer.subscribe(Arrays.asList(topic)); while (true) { ConsumerRecords records = consumer.poll(Duration.ofMillis(100)); for (ConsumerRecord record : records) { // 处理消息... } // 检查组成员状态并触发重平衡 if (needRebalance()) { consumer.leaveGroup(); consumer.close(); consumer = new KafkaConsumer<>(config); consumer.subscribe(Arrays.asList(topic)); } } private boolean needRebalance() { // 根据实际情况判断是否需要重平衡，例如检查成员状态等。 return false; } 3. 资源均衡与优化 设计合理的资源分配策略，确保所有成员在消费负载上达到均衡。可以考虑动态调整成员的消费速度、优化网络路由策略等手段，以避免资源的过度集中或浪费。 四、总结 解决Consumer Group成员失散的问题，需要从基础的通信机制、配置管理、到高级的资源调度策略等多个层面综合考虑。哎呀，咱们得好好琢磨琢磨这事儿！要是咱们能按这些策略来操作，不仅能稳稳地扛住成员出了状况的难题，还能让整个系统变得更加强韧，处理问题的能力也大大提升呢！就像是给咱们的团队加了层保护罩，还能让咱们干活儿更顺畅，效率蹭蹭往上涨！哎呀，兄弟，你得明白，在真刀真枪地用上这套系统的时候，咱们可不能死板地照着书本念。得根据你的业务需求，就像给娃挑衣服一样，挑最合适的那一件。还得看咱们的系统架构，就像是厨房里的调料，少了哪一味都不行。得灵活调整，就像变魔术一样，让性能和稳定性这俩宝贝儿，一个不落地都达到最好状态。这样，咱们的系统才能像大厨做菜一样，色香味俱全，让人爱不释口！

...ebService的简单实现 一、socket主机创建和使用过程 1、socket()//创建套接字 2、Setsockopt()//将套接字属性设置为允许和特定地点绑定 3、Bind()//将套接字绑定特定地址端口 4、Listen()//打开监听端口属性 以下重复进行 5、Accept()//接收客户端的连接请求 6、Read()//从客户端读数据 7、Write()//将处理好的结果发送给客户端 二、HTTP传输协议 基于socket的TCP通信，按HTTP传输协议格式化传输内容。 示例： 1、客户端发送HTTP请求 GET/txt?hal=1000HTTP/1.1 Host:localhost:1024 User-Agent:Mozilla/5.0(X11;Linuxi686;rv:2.0)Gecko/20100101Firefox/4.0 Accept:text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8 Accept-Language:zh-cn,zh;q=0.5 Accept-Encoding:gzip,deflate Accept-Charset:GB2312,utf-8;q=0.7,;q=0.7 Keep-Alive:115 Connection:keep-alive GET:发送HTTP请求的方法，还可以是SET或者POST /txt?hal=1000是请求根目录下的txt文件内容并传入参数hal=1000 HTTP/1.1表示HTTP版本是1.1 2、服务端传回HTTP响应 HTTP/1.0200OK Server:ReageWebServer Content-Type:text/html <!DOCTYPEhtmlPUBLIC"-//W3C//DTDXHTML1.0Strict//EN""http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <htmlxmlns="http://www.w3.org/1999/xhtml"> <!--Copyright(c)2000-2008QuadralayCorporation.Allrightsreserved.--> <head> <title>WebWorksHelp5.0</title> </head> <body>wuff</body> </html> 前面四行（包括空行）是消息体，后面是消息。一般要指明消息体的长度，方便客户端的接收处理。 三、示例程序 ====================================================================== / 主要实现功能，处理浏览器的get请求信息，发送网页文件。处理404、403等错误。 1.实现绑定本机机器的1024端口作为ReageWeb服务提供网页服务的端口。（避免与机器上装有web服务器产生端口冲突） 2.实现get获取网页方式。 3.实现index.html作为网站的首页面 作者：Reage blog:http://blog.csdn.net/rentiansheng / include<stdio.h> include<stdlib.h> include<string.h> include<sys/types.h> include<sys/socket.h> include<sys/un.h> include<netinet/in.h> include<arpa/inet.h> include<fcntl.h> include<string.h> include<sys/stat.h> include<signal.h> defineMAX1024 intres_socket; voidapp_exit(); / @description:开始服务端监听 @parameter ip:web服务器的地址 port：web服务器的端口 @result：成功返回创建socket套接字标识，错误返回-1 / intsocket_listen(charip,unsignedshortintport){ intres_socket;//返回值 intres,on; structsockaddr_inaddress; structin_addrin_ip; res=res_socket=socket(AF_INET,SOCK_STREAM,0); setsockopt(res_socket,SOL_SOCKET,SO_REUSEADDR,&on,sizeof(on)); memset(&address,0,sizeof(address)); address.sin_family=AF_INET; address.sin_port=htons(port); address.sin_addr.s_addr=htonl(INADDR_ANY);//inet_addr("127.0.0.1"); res=bind(res_socket,(structsockaddr)&address,sizeof(address)); if(res){printf("portisused,nottorepeatbind\n");exit(101);}; res=listen(res_socket,5); if(res){printf("listenportiserror;\n");exit(102);}; returnres_socket; } / @description:向客户端发送网页头文件的信息 @parameter conn_socket:套接字描述符。 status:http协议的返回状态码。 @s_status:http协议的状态码的含义 @filetype:向客户端发送的文件类型 / voidsend_http_head(intconn_socket,intstatus,chars_status,charfiletype){ charbuf[MAX]; memset(buf,0,MAX); sprintf(buf,"HTTP/1.0%d%s\r\n",status,s_status); sprintf(buf,"%sServer:ReageWebServer\r\n",buf); sprintf(buf,"%sContent-Type:%s\r\n\r\n",buf,filetype); write(conn_socket,buf,strlen(buf)); } / @description:向客户端发送错误页面信息 @parameter conn_socket:套接字描述符。 status:http协议的返回状态码。 @s_status:http协议的状态码的含义 @filetype:向客户端发送的文件类型 @msg:错误页面信息内容 / voidsend_page_error(intconn_socket,intstatus,chars_status,charmsg){ charbuf[MAX]; sprintf(buf,"<html><head></head><body><h1>%s</h1><hr>ReageWebServer0.01</body></head>",msg); send_http_head(conn_socket,status,s_status,"text/html"); write(conn_socket,buf,strlen(buf)); } / @description:向客户端发送文件 @parameter conn_socket:套接字描述符。 @file:要发送文件路径 / intsend_html(intconn_socket,charfile){ intf; charbuf[MAX]; inttmp; structstatfile_s; //如果file为空，表示发送默认主页。主页暂时固定 if(0==strlen(file)){ strcpy(file,"index.html"); } //如果获取文件状态失败，表示文件不存的，发送404页面，暂时404页面内容固定。 if(stat(file,&file_s)){ send_page_error(conn_socket,404,"Notfound","Notfound<br/>Reagedoesnotimplementthismothod\n"); return0; } //如果不是文件或者无读权限，发送无法读取文件 if(!(S_ISREG(file_s.st_mode))||!(S_IRUSR&file_s.st_mode)){ send_page_error(conn_socket,403,"Forbidden","Forbidden<br/>Reagecouldn'treadthefile\n"); return0; } //发送头文件，现在只提供html页面 send_http_head(conn_socket,200,"OK","text/html"); f=open(file,O_RDONLY); if(0>f){ //打开文件失败，发送404页面，其实感觉发送5xx也可以的，服务器内部错误 send_page_error(conn_socket,404,"Notfound","Notfound<br/>Reagecouldn'treadthefile\n"); return0; } buf[MAX-1]=0;//将文件内容缓冲区最后的位设置位结束标志。 //发送文件的内容 while((tmp=read(f,buf,MAX-1))&&EOF!=tmp){ write(conn_socket,buf,strlen(buf)); } } / @description:提取url中可用的信息。访问的网页和数据访问方式 @parameter： conn_socket:与客户端链接的套接字 uri:要处理的url，注意不是浏览器中的url，而是浏览器发送的http请求 @resutl： / intdo_uri(intconn_socket,charuri){ charp; p=strchr(uri,'?'); if(p){p=0;p++;} send_html(conn_socket,uri); } voidulog(charmsg){} voidprint(charmsg){ ulog(msg); printf(msg); } intmain(intargc,charargv[]){ intconn_socket; inttmp; intline; structsockaddr_inclient_addr; charbuf[MAX]; intlen=sizeof(client_addr); charmethod[100],uri[MAX],version[100]; charpwd[1024]; res_socket=socket_listen("127.0.0.1",1024); //当按ctrl+c结束程序时调用，使用app_exit函数处理退出过程 signal(SIGINT,app_exit); while(1){ conn_socket=accept(res_socket,(structsockaddr)&client_addr,&len); printf("reage\n"); line=0; //从客户端获取请求信息 while(0==(tmp=read(conn_socket,buf,MAX-1))||tmp!=EOF){ buf[MAX-1]=0; break;//我只使用了第一行的请求信息，所以丢弃其他的信息 } //send_http_head(conn_socket,200,"text/html"); sscanf(buf,"%s%s%s",method,uri,version); //目前只处理get请求 if(!strcasecmp(method,"get")) //send_html(conn_socket,"h.html"); do_uri(conn_socket,uri+1); close(conn_socket); } } voidapp_exit(){ //回复ctrl+c组合键的默认行为 signal(SIGINT,SIG_DFL); //关闭服务端链接、释放服务端ip和端口 close(res_socket); printf("\n"); exit(0); } ====================================================================== 本篇文章为转载内容。原文链接：https://blog.csdn.net/iteye_9368/article/details/82520401。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...支持以及更高效的网络传输协议，以适应不断变化的高性能计算环境需求。 同时，微软Azure云平台和AWS Amazon EC2等云服务提供商也相继推出了预装MPI的高性能计算实例，用户无需在本地搭建复杂环境，即可直接在云端进行MPI并行程序开发与测试，极大地降低了使用门槛，促进了并行计算技术的普及与应用。 另外，随着跨平台开发需求的增长，开源社区也在积极推动MPICH在Linux、macOS等其他操作系统上的兼容性和性能优化。例如，Microsoft Research团队合作推出的Open MPI项目，旨在提供一个高度可扩展且跨平台的MPI实现，为开发者提供更多选择和灵活性。 此外，对于希望深入了解MPI编程原理及其实战技巧的读者，可以参考《Using MPI - 3rd Edition》这本书，作者详细解析了MPI的各种函数用法，并提供了大量实例代码，是MPI编程入门到精通的绝佳教程资源。 综上所述，无论是从MPI技术的最新进展、云计算环境下的并行计算解决方案，还是深入学习MPI编程的专业书籍推荐，都为那些想要在并行计算领域持续探索和实践的读者提供了丰富的延伸阅读内容。

...台弹出的一封漏洞披露邮件，引起了我的注意。披露者是卡巴斯基工控系统漏洞研究组的Pavel Cheremushkin。 一些必要背景 VNC是一套屏幕图像分享和远程操作软件，底层通信为RFB协议，由剑桥某实验室开发，后1999年并入AT&T，2002年关停实验室与项目，VNC开源发布。 VNC本被设计用在局域网环境，且诞生背景决定其更倾向研究性质，商用级安全的缺失始终是个问题。后续有若干新的实现软件，如TightVNC、RealVNC，在公众认知中，AT&T版本已死，后起之秀一定程度上修正了问题。 目前各种更优秀的远程控制和分享协议取代了VNC的位置，尽管例如苹果仍然系统內建VNC作为远程方式。但在非桌面领域，VNC还有我们想不到的重要性，比如工控领域需要远程屏幕传输的场景，这也是为什么这系列漏洞作者会关注这一块。 漏洞技术概况 Pavel总结到，在阶段漏洞挖掘中共上报11个漏洞。在披露邮件中描述了其中4个的技术细节，均在协议数据包处理代码中，漏洞类型古典，分别是全局缓冲区溢出、堆溢出和空指针解引用。其中缓冲区溢出类型漏洞可方便构造PoC，实现远程任意代码执行的漏洞利用。 漏洞本身原理简单，也并不是关键。以其中一个为例，Pavel在发现时负责任地向LibVNC作者提交了issue，并跟进漏洞修复过程；在第一次修复之后，复核并指出修复代码无效，给出了有效patch。这个过程是常规操作。 漏洞疑点 有意思的是，在漏洞披露邮件中，Pavel重点谈了自己对这系列漏洞的一些周边发现，也是这里提到的原因。其中，关于存在漏洞的代码，作者表述： 我最初认为，这些问题是libvnc开发者自己代码中的错误，但看起来并非如此。其中有一些（如CoRRE数据处理函数中的堆缓冲区溢出），出现在AT&T实验室1999年的代码中，而后被很多软件开发者原样复制（在Github上搜索一下HandleCoRREBPP函数，你就知道），LibVNC和TightVNC也是如此。 为了证实，翻阅了这部分代码，确实在其中数据处理相关代码文件看到了剑桥和AT&T实验室的文件头GPL声明注释，中国菜刀 这证实这些文件是直接从最初剑桥实验室版本VNC移植过来的，且使用方式是 直接代码包含，而非独立库引用方式。在官方开源发布并停止更新后，LibVNC使用的这部分代码基本没有改动——除了少数变量命名方式的统一，以及本次漏洞修复。通过搜索，我找到了2000年发布的相关代码文件，确认这些文件与LibVNC中引入的原始版本一致。 另外，Pavel同时反馈了TightVNC中相同的问题。TightVNC与LibVNC没有继承和直接引用关系，但上述VNC代码同样被TightVNC使用，问题的模式不约而同。Pavel测试发现在Ubuntu最新版本TightVNC套件（1.3.10版本）中同样存在该问题，上报给当前软件所有者GlavSoft公司，但对方声称目前精力放在不受GPL限制的TightVNC 2.x版本开发中，对开源的1.x版本漏洞代码“可能会进行修复”。看起来，这个问题被踢给了各大Linux发行版社区来焦虑了——如果他们愿意接锅。 问题思考 在披露邮件中，Pavel认为，这些代码bug“如此明显，让人无法相信之前没被人发现过……也许是因为某些特殊理由才始终没得到修复”。 事实上，我们都知道目前存在一些对开源基础软件进行安全扫描的大型项目，例如Google的OSS；同时，仍然存活的开源项目也越来越注重自身代码发布前的安全扫描，Fortify、Coverity的扫描也成为很多项目和平台的标配。在这样一些眼睛注视下，为什么还有这样的问题？我认为就这个具体事例来说，可能有如下两个因素： ·上游已死。仍然在被维护的代码，存在版本更迭，也存在外界的持续关注、漏洞报告和修复、开发的迭代，对于负责人的开发者，持续跟进、评估、同步代码的改动是可能的。但是一旦一份代码走完了生命周期，就像一段史实一样会很少再被改动。 ·对第三方上游代码的无条件信任。我们很多人都有过基础组件、中间件的开发经历，不乏有人使用Coverity开启全部规则进行代码扫描、严格修复所有提示的问题甚至编程规范warning；报告往往很长，其中也包括有源码形式包含的第三方代码中的问题。但是，我们一方面倾向于认为这些被广泛使用的代码不应存在问题（不然早就被人挖过了），一方面考虑这些引用的代码往往是组件或库的形式被使用，应该有其上下文才能认定是否确实有可被利用的漏洞条件，现在单独扫描这部分代码一般出来的都是误报。所以这些代码的问题都容易被忽视。 但是透过这个具体例子，再延伸思考相关的实践，这里最根本的问题可以总结为一个模式： 复制粘贴风险。复制粘贴并不简单意味着剽窃，实际是当前软件领域、互联网行业发展的基础模式，但其中有一些没人能尝试解决的问题： ·在传统代码领域，如C代码中，对第三方代码功能的复用依赖，往往通过直接进行库的引入实现，第三方代码独立而完整，也较容易进行整体更新；这是最简单的情况，只需要所有下游使用者保证仅使用官方版本，跟进官方更新即可；但在实践中很难如此贯彻，这是下节讨论的问题。 ·有些第三方发布的代码，模式就是需要被源码形式包含到其他项目中进行统一编译使用（例如腾讯的开源Json解析库RapidJSON，就是纯C++头文件形式）。在开源领域有如GPL等规约对此进行规范，下游开发者遵循协议，引用代码，强制或可选地显式保留其GPL声明，可以进行使用和更改。这样的源码依赖关系，结合规范化的changelog声明代码改动，侧面也是为开发过程中跟进考虑。但是一个成型的产品，比如企业自有的服务端底层产品、中间件，新版本的发版更新是复杂的过程，开发者在旧版本仍然“功能正常”的情况下往往倾向于不跟进新版本；而上游代码如果进行安全漏洞修复，通常也都只在其最新版本代码中改动，安全修复与功能迭代并存，如果没有类似Linux发行版社区的努力，旧版本代码完全没有干净的安全更新patch可用。 ·在特定场景下，有些开发实践可能不严格遵循开源代码协议限定，引入了GPL等协议保护的代码而不做声明（以规避相关责任），丢失了引入和版本的信息跟踪；在另一些场景下，可能存在对开源代码进行大刀阔斧的修改、剪裁、定制，以符合自身业务的极端需求，但是过多的修改、人员的迭代造成与官方代码严重的失同步，丧失可维护性。 ·更一般的情况是，在开发中，开发者个体往往心照不宣的存在对网上代码文件、代码片段的复制-粘贴操作。被参考的代码，可能有上述的开源代码，也可能有各种Github作者练手项目、技术博客分享的代码片段、正式开源项目仅用来说明用法的不完备示例代码。这些代码的引入完全无迹可寻，即便是作者自己也很难解释用了什么。这种情况下，上面两条认定的那些与官方安全更新失同步的问题同样存在，且引入了独特的风险：被借鉴的代码可能只是原作者随手写的、仅仅是功能成立的片段，甚至可能是恶意作者随意散布的有安全问题的代码。由此，问题进入了最大的发散空间。 在Synopsys下BLACKDUCK软件之前发布的《2018 Open Source Security and Risk Analysis Report》中分析，96%的应用中包含有开源组件和代码，开源代码在应用全部代码中的占比约为57%，78%的应用中在引用的三方开源代码中存在历史漏洞。也就是说，现在互联网上所有厂商开发的软件、应用，其开发人员自己写的代码都是一少部分，多数都是借鉴来的。而这还只是可统计、可追溯的；至于上面提到的非规范的代码引用，如果也纳入进来考虑，三方代码占应用中的比例会上升到多少？曾经有分析认为至少占80%，我们只期望不会更高。 Ⅱ. 从碎片到乱刃：OpenSSH在野后门一览 在进行基础软件梳理时，回忆到反病毒安全软件提供商ESET在2018年十月发布的一份白皮书《THE DARK SIDE OF THE FORSSHE: A landscape of OpenSSH backdoors》。其站在一个具有广泛用户基础的软件提供商角度，给出了一份分析报告，数据和结论超出我们对于当前基础软件使用全景的估量。以下以我的角度对其中一方面进行解读。 一些必要背景 SSH的作用和重要性无需赘言；虽然我们站在传统互联网公司角度，可以认为SSH是通往生产服务器的生命通道，但当前多样化的产业环境已经不止于此（如之前libssh事件中，不幸被我言中的，SSH在网络设备、IoT设备上（如f5）的广泛使用）。 OpenSSH是目前绝大多数SSH服务端的基础软件，有完备的开发团队、发布规范、维护机制，本身是靠谱的。如同绝大多数基础软件开源项目的做法，OpenSSH对漏洞有及时的响应，针对最新版本代码发出安全补丁，但是各大Linux发行版使用的有各种版本的OpenSSH，这些社区自行负责将官方开发者的安全补丁移植到自己系统搭载的低版本代码上。天空彩 白皮书披露的现状 如果你是一个企业的运维管理人员，需要向企业生产服务器安装OpenSSH或者其它基础软件，最简单的方式当然是使用系统的软件管理安装即可。但是有时候，出于迁移成本考虑，可能企业需要在一个旧版本系统上，使用较新版本的OpenSSL、OpenSSH等基础软件，这些系统不提供，需要自行安装；或者需要一个某有种特殊特性的定制版本。这时，可能会选择从某些rpm包集中站下载某些不具名第三方提供的现成的安装包，或者下载非官方的定制化源码本地编译后安装，总之从这里引入了不确定性。 这种不确定性有多大？我们粗估一下，似乎不应成为问题。但这份白皮书给我们看到了鲜活的数据。 ESET研究人员从OpenSSH的一次历史大规模Linux服务端恶意软件Windigo中获得启示，采用某种巧妙的方式，面向在野的服务器进行数据采集，主要是系统与版本、安装的OpenSSH版本信息以及服务端程序文件的一个特殊签名。整理一个签名白名单，包含有所有能搜索到的官方发布二进制版本、各大Linux发行版本各个版本所带的程序文件版本，将这些标定为正常样本进行去除。最终结论是： ·共发现了几百个非白名单版本的OpenSSH服务端程序文件ssh和sshd； ·分析这些样本，将代码部分完全相同，仅仅是数据和配置不同的合并为一类，且分析判定确认有恶意代码的，共归纳为 21个各异的恶意OpenSSH家族； ·在21个恶意家族中，有12个家族在10月份时完全没有被公开发现分析过；而剩余的有一部分使用了历史上披露的恶意代码样本，甚至有源代码； ·所有恶意样本的实现，从实现复杂度、代码混淆和自我保护程度到代码特征有很大跨度的不同，但整体看，目的以偷取用户凭证等敏感信息、回连外传到攻击者为主，其中有的攻击者回连地址已经存在并活跃数年之久； ·这些后门的操控者，既有传统恶意软件黑产人员，也有APT组织； ·所有恶意软件或多或少都在被害主机上有未抹除的痕迹。ESET研究者尝试使用蜜罐引诱出攻击者，但仍有许多未解之谜。这场对抗，仍未取胜。 白皮书用了大篇幅做技术分析报告，此处供细节分析，不展开分析，以下为根据恶意程序复杂度描绘的21个家族图谱： 问题思考 问题引入的可能渠道，我在开头进行了一点推测，主要是由人的原因切入的，除此以外，最可能的是恶意攻击者在利用各种方法入侵目标主机后，主动替换了目标OpenSSH为恶意版本，从而达成攻击持久化操作。但是这些都是止血的安全运维人员该考虑的事情；关键问题是，透过表象，这显露了什么威胁形式？ 这个问题很好回答，之前也曾经反复说过：基础软件碎片化。 如上一章节简单提到，在开发过程中有各种可能的渠道引入开发者不完全了解和信任的代码；在运维过程中也是如此。二者互相作用，造成了软件碎片化的庞杂现状。在企业内部，同一份基础软件库，可能不同的业务线各自定制一份，放到企业私有软件仓库源中，有些会有人持续更新供自己产品使用，有些由系统软件基础设施维护人员单独维护，有些则可能是开发人员临时想起来上传的，他们自己都不记得；后续用到的这个基础软件的开发和团队，在这个源上搜索到已有的库，很大概率会倾向于直接使用，不管来源、是否有质量背书等。长此以往问题会持续发酵。而我们开最坏的脑洞，是否可能有黑产人员入职到内部，提交个恶意基础库之后就走人的可能？现行企业安全开发流程中审核机制的普遍缺失给这留下了空位。 将源码来源碎片化与二进制使用碎片化并起来考虑，我们不难看到一个远远超过OpenSSH事件威胁程度的图景。但这个问题不是仅仅靠开发阶段规约、运维阶段规范、企业内部管控、行业自查、政府监管就可以根除的，最大的问题归根结底两句话： 不可能用一场战役对抗持续威胁；不可能用有限分析对抗无限未知。 Ⅲ. 从自信到自省：RHEL、CentOS backport版本BIND漏洞 2018年12月20日凌晨，在备战冬至的软件供应链安全大赛决赛时，我注意到漏洞预警平台捕获的一封邮件。但这不是一个漏洞初始披露邮件，而是对一个稍早已披露的BIND在RedHat、CentOS发行版上特定版本的1day漏洞CVE-2018-5742，由BIND的官方开发者进行额外信息澄(shuǎi)清(guō)的邮件。 一些必要背景 关于BIND 互联网的一个古老而基础的设施是DNS，这个概念在读者不应陌生。而BIND“是现今互联网上最常使用的DNS软件，使用BIND作为服务器软件的DNS服务器约占所有DNS服务器的九成。BIND现在由互联网系统协会负责开发与维护参考。”所以BIND的基础地位即是如此，因此也一向被大量白帽黑帽反复测试、挖掘漏洞，其开发者大概也一直处在紧绷着应对的处境。 关于ISC和RedHat 说到开发者，上面提到BIND的官方开发者是互联网系统协会（ISC）。ISC是一个老牌非营利组织，目前主要就是BIND和DHCP基础设施的维护者。而BIND本身如同大多数历史悠久的互联网基础开源软件，是4个UCB在校生在DARPA资助下于1984年的实验室产物，直到2012年由ISC接管。 那么RedHat在此中是什么角色呢？这又要提到我之前提到的Linux发行版和自带软件维护策略。Red Hat Enterprise Linux（RHEL）及其社区版CentOS秉持着稳健的软件策略，每个大的发行版本的软件仓库，都只选用最必要且质量久经时间考验的软件版本，哪怕那些版本实在是老掉牙。这不是一种过分的保守，事实证明这种策略往往给RedHat用户在最新漏洞面前提供了保障——代码总是跑得越少，潜在漏洞越多。 但是这有两个关键问题。一方面，如果开源基础软件被发现一例有历史沿革的代码漏洞，那么官方开发者基本都只为其最新代码负责，在当前代码上推出修复补丁。另一方面，互联网基础设施虽然不像其上的应用那样爆发性迭代，但依然持续有一些新特性涌现，其中一些是必不可少的，但同样只在最新代码中提供。两个刚需推动下，各Linux发行版对长期支持版本系统的软件都采用一致的策略，即保持其基础软件在一个固定的版本，但对于这些版本软件的最新漏洞、必要的最新软件特性，由发行版维护者将官方开发者最新代码改动“向后移植”到旧版本代码中，即backport。这就是基础软件的“官宣”碎片化的源头。 讲道理，Linux发行版维护者与社区具有比较靠谱的开发能力和监督机制，backport又基本就是一些复制粘贴工作，应当是很稳当的……但真是如此吗？ CVE-2018-5742漏洞概况 CVE-2018-5742是一个简单的缓冲区溢出类型漏洞，官方评定其漏洞等级moderate，认为危害不大，漏洞修复不积极，披露信息不多，也没有积极给出代码修复patch和新版本rpm包。因为该漏洞仅在设置DEBUG_LEVEL为10以上才会触发，由远程攻击者构造畸形请求造成BIND服务崩溃，在正常的生产环境几乎不可能具有危害，RedHat官方也只是给出了用户自查建议。 这个漏洞只出现在RHEL和CentOS版本7中搭载的BIND 9.9.4-65及之后版本。RedHat同ISC的声明中都证实，这个漏洞的引入原因，是RedHat在尝试将BIND 9.11版本2016年新增的NTA机制向后移植到RedHat 7系中固定搭载的BIND 9.9版本代码时，偶然的代码错误。NTA是DNS安全扩展（DNSSEC）中，用于在特定域关闭DNSSEC校验以避免不必要的校验失败的机制；但这个漏洞不需要对NTA本身有进一步了解。 漏洞具体分析 官方没有给出具体分析，但根据CentOS社区里先前有用户反馈的bug，我得以很容易还原漏洞链路并定位到根本原因。 若干用户共同反馈，其使用的BIND 9.9.4-RedHat-9.9.4-72.el7发生崩溃（coredump），并给出如下的崩溃时调用栈backtrace： 这个调用过程的逻辑为，在9 dns_message_logfmtpacket函数判断当前软件设置是否DEBUG_LEVEL大于10，若是，对用户请求数据包做日志记录，先后调用8 dns_message_totext、7 dns_message_sectiontotext、6 dns_master_rdatasettotext、5 rdataset_totext将请求进行按协议分解分段后写出。 由以上关键调用环节，联动RedHat在9.9.4版本BIND源码包中关于引入NTA特性的源码patch，进行代码分析，很快定位到问题产生的位置，在上述backtrace中的5，masterdump.c文件rdataset_totext函数。漏洞相关代码片段中，RedHat进行backport后，这里引入的代码为： 这里判断对于请求中的注释类型数据，直接通过isc_buffer_putstr宏对缓存进行操作，在BIND工程中自定义维护的缓冲区结构对象target上，附加一字节字符串（一个分号）。而漏洞就是由此产生：isc_buffer_putstr中不做缓冲区边界检查保证，这里在缓冲区已满情况下将造成off-by-one溢出，并触发了缓冲区实现代码中的assertion。 而ISC上游官方版本的代码在这里是怎么写的呢？找到ISC版本BIND 9.11代码，这里是这样的： 这里可以看到，官方代码在做同样的“附加一个分号”这个操作时，审慎的使用了做缓冲区剩余空间校验的str_totext函数，并额外做返回值成功校验。而上述提到的str_totext函数与RETERR宏，在移植版本的masterdump.c中，RedHat开发者也都做了保留。但是，查看代码上下文发现，在RedHat开发者进行代码移植过程中，对官方代码进行了功能上的若干剪裁，包括一些细分数据类型记录的支持；而这里对缓冲区写入一字节，也许开发者完全没想到溢出的可能，所以自作主张地简化了代码调用过程。 问题思考 这个漏洞本身几乎没什么危害，但是背后足以引起思考。 没有人在“借”别人代码时能不出错 不同于之前章节提到的那种场景——将代码文件或片段复制到自己类似的代码上下文借用——backport作为一种官方且成熟的做法，借用的代码来源、粘贴到的代码上下文，是具有同源属性的，而且开发者一般是追求稳定性优先的社区开发人员，似乎质量应该有足够保障。但是这里的关键问题是：代码总要有一手、充分的语义理解，才能有可信的使用保障；因此，只要是处理他人的代码，因为不够理解而错误使用的风险，只可能减小，没办法消除。 如上分析，本次漏洞的产生看似只是做代码移植的开发者“自作主张”之下“改错了”。但是更广泛且可能的情况是，原始开发者在版本迭代中引入或更新大量基础数据结构、API的定义，并用在新的特性实现代码中；而后向移植开发人员仅需要最小规模的功能代码，所以会对增量代码进行一定规模的修改、剪裁、还原，以此适应旧版本基本代码。这些过程同样伴随着第三方开发人员不可避免的“望文生义”，以及随之而来的风险。后向移植操作也同样助长了软件碎片化过程，其中每一个碎片都存在这样的问题；每一个碎片在自身生命周期也将有持续性影响。 多级复制粘贴无异于雪上加霜 这里简单探讨的是企业通行的系统和基础软件建设实践。一些国内外厂商和社区发布的定制化Linux发行版，本身是有其它发行版，如CentOS特定版本渊源的，在基础软件上即便同其上游发行版最新版本间也存在断层滞后。RedHat相对于基础软件开发者之间已经隔了一层backport，而我们则人为制造了二级风险。 在很多基础而关键的软件上，企业系统基础设施的维护者出于与RedHat类似的初衷，往往会决定自行backport一份拷贝；通过早年心脏滴血事件的洗礼，即暴露出来OpenSSL一个例子。无论是需要RHEL还没来得及移植的新版本功能特性，还是出于对特殊使用上下文场景中更高执行效率的追求，企业都可能自行对RHEL上基础软件源码包进行修改定制重打包。这个过程除了将风险幂次放大外，也进一步加深了代码的不可解释性（包括基础软件开发人员流动性带来的不可解释）。 Ⅳ. 从武功到死穴：从systemd-journald信息泄露一窥API误用 1月10日凌晨两点，漏洞预警平台爬收取一封漏洞披露邮件。披露者是Qualys，那就铁定是重型发布了。最后看披露漏洞的目标，systemd？这就非常有意思了。 一些必要背景 systemd是什么，不好简单回答。Linux上面软件命名，习惯以某软件名后带个‘d’表示后台守护管理程序；所以systemd就可以说是整个系统的看守吧。而即便现在描述了systemd是什么，可能也很快会落伍，因为其初始及核心开发者Lennart Poettering（供职于Red Hat）描述它是“永无开发完结完整、始终跟进技术进展的、统一所有发行版无止境的差异”的一种底层软件。笼统讲有三个作用：中央化系统及设置管理；其它软件开发的基础框架；应用程序和系统内核之间的胶水。如今几乎所有Linux发行版已经默认提供systemd，包括RHEL/CentOS 7及后续版本。总之很基础、很底层、很重要就对了。systemd本体是个主要实现init系统的框架，但还有若干关键组件完成其它工作；这次被爆漏洞的是其journald组件，是负责系统事件日志记录的看守程序。 额外地还想简单提一句Qualys这个公司。该公司创立于1999年，官方介绍为信息安全与云安全解决方案企业，to B的安全业务非常全面，有些也是国内企业很少有布局的方面；例如上面提到的涉及碎片化和代码移植过程的历史漏洞移动，也在其漏洞管理解决方案中有所体现。但是我们对这家公司粗浅的了解来源于其安全研究团队近几年的发声，这两年间发布过的，包括有『stack clash』、『sudo get_tty_name提权』、『OpenSSH信息泄露与堆溢出』、『GHOST：glibc gethostbyname缓冲区溢出』等大新闻（仅截至2017年年中）。从中可见，这个研究团队专门啃硬骨头，而且还总能开拓出来新的啃食方式，往往爆出来一些别人没想到的新漏洞类型。从这个角度，再联想之前刷爆朋友圈的《安全研究者的自我修养》所倡导的“通过看历史漏洞、看别人的最新成果去举一反三”的理念，可见差距。 CVE-2018-16866漏洞详情 这次漏洞披露，打包了三个漏洞： ·16864和16865是内存破坏类型 ·16866是信息泄露 ·而16865和16866两个漏洞组和利用可以拿到root shell。 漏洞分析已经在披露中写的很详细了，这里不复述；而针对16866的漏洞成因来龙去脉，Qualys跟踪的结果留下了一点想象和反思空间，我们来看一下。 漏洞相关代码片段是这样的（漏洞修复前）： 读者可以先肉眼过一遍这段代码有什么问题。实际上我一开始也没看出来，向下读才恍然大悟。 这段代码中，外部信息输入通过buf传入做记录处理。输入数据一般包含有空白字符间隔，需要分隔开逐个记录，有效的分隔符包括空格、制表符、回车、换行，代码中将其写入常量字符串；在逐字符扫描输入数据字符串时，将当前字符使用strchr在上述间隔符字符串中检索是否匹配，以此判断是否为间隔符；在240行，通过这样的判断，跳过记录单元字符串的头部连续空白字符。 但是问题在于，strchr这个极其基础的字符串处理函数，对于C字符串终止字符'\0'的处理上有个坑：'\0'也被认为是被检索字符串当中的一个有效字符。所以在240行，当当前扫描到的字符为字符串末尾的NULL时，strchr返回的是WHITESPACE常量字符串的终止位置而非NULL，这导致了越界。 看起来，这是一个典型的问题：API误用（API mis-use），只不过这个被误用的库函数有点太基础，让我忍不住想是不是还会有大量的类似漏洞……当然也反思我自己写的代码是不是也有同样情况，然而略一思考就释然了——我那么笨的代码都用for循环加if判断了:) 漏洞引入和消除历史 有意思的是，Qualys研究人员很贴心地替我做了一步漏洞成因溯源，这才是单独提这个漏洞的原因。漏洞的引入是在2015年的一个commit中： 在GitHub中，定位到上述2015年的commit信息，这里commit的备注信息为： journald: do not strip leading whitespace from messages. Keep leading whitespace for compatibility with older syslog implementations. Also useful when piping formatted output to the logger command. Keep removing trailing whitespace. OK，看起来是一个兼容性调整，对记录信息不再跳过开头所有连续空白字符，只不过用strchr的简洁写法比较突出开发者精炼的开发风格（并不），说得过去。 之后在2018年八月的一个当时尚未推正式版的另一次commit中被修复了，先是还原成了ec5ff4那次commit之前的写法，然后改成了加校验的方式： 虽然Qualys研究者认为上述的修改是“无心插柳”的改动，但是在GitHub可以看到，a6aadf这次commit是因为有外部用户反馈了输入数据为单个冒号情况下journald堆溢出崩溃的issue，才由开发者有目的性地修复的；而之后在859510这个commit再次改动回来，理由是待记录的消息都是使用单个空格作为间隔符的，而上一个commit粗暴地去掉了这种协议兼容性特性。 如果没有以上纠结的修改和改回历史，也许我会倾向于怀疑，在最开始漏洞引入的那个commit，既然改动代码没有新增功能特性、没有解决什么问题（毕竟其后三年，这个改动的代码也没有被反映issue），也并非出于代码规范等考虑，那么这么轻描淡写的一次提交，难免有人为蓄意引入漏洞的嫌疑。当然，看到几次修复的原因，这种可能性就不大了，虽然大家仍可以保留意见。但是抛开是否人为这个因素，单纯从代码的漏洞成因看，一个传统但躲不开的问题仍值得探讨：API误用。 API误用：程序员何苦为难程序员 如果之前的章节给读者留下了我反对代码模块化和复用的印象，那么这里需要正名一下，我们认可这是当下开发实践不可避免的趋势，也增进了社会开发速度。而API的设计决定了写代码和用代码的双方“舒适度”的问题，由此而来的API误用问题，也是一直被当做单纯的软件工程课题讨论。在此方面个人并没有什么研究，自然也没办法系统地给出分类和学术方案，只是谈一下自己的经验和想法。 一篇比较新的学术文章总结了API误用的研究，其中一个独立章节专门分析Java密码学组件API误用的实际，当中引述之前论文认为，密码学API是非常容易被误用的，比如对期望输入数据（数据类型，数据来源，编码形式）要求的混淆，API的必需调用次序和依赖缺失（比如缺少或冗余多次调用了初始化函数、主动资源回收函数）等。凑巧在此方面我有一点体会：曾经因为业务方需要，需要使用C++对一个Java的密码基础中间件做移植。Java对密码学组件支持，有原生的JDK模块和权威的BouncyCastle包可用；而C/C++只能使用第三方库，考虑到系统平台最大兼容和最小代码量，使用Linux平台默认自带的OpenSSL的密码套件。但在开发过程中感受到了OpenSSL满满的恶意：其中的API设计不可谓不反人类，很多参数没有明确的说明（比如同样是表示长度的函数参数，可能在不同地方分别以字节/比特/分组数为计数单位）；函数的线程安全没有任何解释标注，需要自行试验；不清楚函数执行之后，是其自行做了资源释放还是需要有另外API做gc，不知道资源释放操作时是否规规矩矩地先擦除后释放……此类问题不一而足，导致经过了漫长的测试之后，这份中间件才提供出来供使用。而在业务场景中，还会存在比如其它语言调用的情形，这些又暴露出来OpenSSL API误用的一些完全无从参考的问题。这一切都成为了噩梦；当然这无法为我自己开解是个不称职开发的指责，但仅就OpenSSL而言其API设计之恶劣也是始终被人诟病的问题，也是之后其他替代者宣称改进的地方。 当然，问题是上下游都脱不了干系的。我们自己作为高速迭代中的开发人员，对于二方、三方提供的中间件、API，又有多少人能自信地说自己仔细、认真地阅读过开发指南和API、规范说明呢？做过通用产品技术运营的朋友可能很容易理解，自己产品的直接用户日常抛出不看文档的愚蠢问题带来的困扰。对于密码学套件，这个问题还好办一些，毕竟如果在没有背景知识的情况下对API望文生义地一通调用，绝大多数情况下都会以抛异常形式告终；但还是有很多情况，API误用埋下的是长期隐患。 不是所有API误用情形最终都有机会发展成为可利用的安全漏洞，但作为一个由人的因素引入的风险，这将长期存在并困扰软件供应链（虽然对安全研究者、黑客与白帽子是很欣慰的事情）。可惜，传统的白盒代码扫描能力，基于对代码语义的理解和构建，但是涉及到API则需要预先的抽象，这一点目前似乎仍然是需要人工干预的事情；或者轻量级一点的方案，可以case by case地分析，为所有可能被误用的API建模并单独扫描，这自然也有很强局限性。在一个很底层可信的开发者还对C标准库API存在误用的现实内，我们需要更多的思考才能说接下来的解法。 Ⅴ. 从规则到陷阱：NASA JIRA误配置致信息泄露血案 软件的定义包括了代码组成的程序，以及相关的配置、文档等。当我们说软件的漏洞、风险时，往往只聚焦在其中的代码中；关于软件供应链安全风险，我们的比赛、前面分析的例子也都聚焦在了代码的问题；但是真正的威胁都来源于不可思议之处，那么代码之外有没有可能存在来源于上游的威胁呢？这里就借助实例来探讨一下，在“配置”当中可能栽倒的坑。 引子：发不到500英里以外的邮件？ 让我们先从一个轻松愉快的小例子引入。这个例子初见于Linux中国的一篇译文。 简单说，作者描述了这么一个让人啼笑皆非的问题：单位的邮件服务器发送邮件，发送目标距离本地500英里范围之外的一律失败，邮件就像悠悠球一样只能飞出一定距离。这个问题本身让描述者感到尴尬，就像一个技术人员被老板问到“为什么从家里笔记本上Ctrl-C后不能在公司台式机上Ctrl-V”一样。 经过令人窒息的分析操作后，笔者定位到了问题原因：笔者作为负责的系统管理员，把SunOS默认安装的Senmail从老旧的版本5升级到了成熟的版本8，且对应于新版本诸多的新特性进行了对应配置，写入配置文件sendmail.cf；但第三方服务顾问在对单位系统进行打补丁升级维护时，将系统软件“升级”到了系统提供的最新版本，因此将Sendmail实际回退到了版本5，却为了软件行为一致性，原样保留了高版本使用的配置文件。但Sendmail并没有在大版本间保证配置文件兼容性，这导致很多版本5所需的配置项不存在于保留下来的sendmail.cf文件中，程序按默认值0处理；最终引起问题的就是，邮件服务器与接收端通信的超时时间配置项，当取默认配置值0时，邮件服务器在1个单位时间（约3毫秒）内没有收到网络回包即认为超时，而这3毫秒仅够电信号打来回飞出500英里。 这个“故事”可能会给技术人员一点警醒，错误的配置会导致预期之外的软件行为，但是配置如何会引入软件供应链方向的安全风险呢？这就引出了下一个重磅实例。 JIRA配置错误致NASA敏感信息泄露案例 我们都听过一个事情，马云在带队考察美国公司期间问Google CEO Larry Page自视谁为竞争对手，Larry的回答是NASA，因为最优秀的工程师都被NASA的梦想吸引过去了。由此我们显然能窥见NASA的技术水位之高，这样的人才团队大概至少是不会犯什么低级错误的。 但也许需要重新定义“低级错误”……1月11日一篇技术文章披露，NASA某官网部署使用的缺陷跟踪管理系统JIRA存在错误的配置，可分别泄漏内部员工（JIRA系统用户）的全部用户名和邮件地址，以及内部项目和团队名称到公众，如下： 问题的原因解释起来也非常简单：JIRA系统的过滤器和配置面板中，对于数据可见性的配置选项分别选定为All users和Everyone时，系统管理人员想当然地认为这意味着将数据对所有“系统用户”开放查看，但是JIRA的这两个选项的真实效果逆天，是面向“任意人”开放，即不限于系统登录用户，而是任何查看页面的人员。看到这里，我不厚道地笑了……“All users”并不意味着“All ‘users’”，意不意外，惊不惊喜？ 但是这种字面上把戏，为什么没有引起NASA工程师的注意呢，难道这样逆天的配置项没有在产品手册文档中加粗标红提示吗？本着为JIRA产品设计找回尊严的态度，我深入挖掘了一下官方说明，果然在Atlassian官方的一份confluence文档（看起来更像是一份增补的FAQ）中找到了相关说明： 所有未登录访客访问时，系统默认认定他们是匿名anonymous用户，所以各种权限配置中的all users或anyone显然应该将匿名用户包括在内。在7.2及之后版本中，则提供了“所有登录用户”的选项。 可以说是非常严谨且贴心了。比较讽刺的是，在我们的软件供应链安全大赛·C源代码赛季期间，我们设计圈定的恶意代码攻击目标还包括JIRA相关的敏感信息的窃取，但是却想不到有这么简单方便的方式，不动一行代码就可以从JIRA中偷走数据。 软件的使用，你“配”吗？ 无论是开放的代码还是成型的产品，我们在使用外部软件的时候，都是处于软件供应链下游的消费者角色，为了要充分理解上游开发和产品的真实细节意图，需要我们付出多大的努力才够“资格”？ 上一章节我们讨论过源码使用中必要细节信息缺失造成的“API误用”问题，而软件配置上的“误用”问题则复杂多样得多。从可控程度上讨论，至少有这几种因素定义了这个问题： ·软件用户对必要配置的现有文档缺少了解。这是最简单的场景，但又是完全不可避免的，这一点上我们所有有开发、产品或运营角色经验的应该都曾经体会过向不管不顾用户答疑的痛苦，而所有软件使用者也可以反省一下对所有软件的使用是否都以完整细致的文档阅读作为上手的准备工作，所以不必多说。 ·软件拥有者对配置条目缺少必要明确说明文档。就JIRA的例子而言，将NASA工程师归为上一条错误有些冤枉，而将JIRA归为这条更加合适。在边角但重要问题上的说明通过社区而非官方文档形式发布是一种不负责任的做法，但未引发安全事件的情况下还有多少这样的问题被默默隐藏呢？我们没办法要求在使用软件之前所有用户将软件相关所有文档、社区问答实现全部覆盖。这个问题范围内一个代表性例子是对配置项的默认值以及对应效果的说明缺失。 ·配置文件版本兼容性带来的误配置和安全问题。实际上，上面的SunOS Sendmail案例足以点出这个问题的存在性，但是在真实场景下，很可能不会以这么戏剧性形式出现。在企业的系统运维中，系统的版本迭代常见，但为软件行为一致性，配置的跨版本迁移是不可避免的操作；而且软件的更新迭代也不只会由系统更新推动，还有大量出于业务性能要求而主动进行的定制化升级，对于中小企业基础设施建设似乎是一个没怎么被提及过的问题。 ·配置项组合冲突问题。尽管对于单个配置项可能明确行为与影响，但是特定的配置项搭配可能造成不可预知的效果。这完全有可能是由于开发者与用户在信息不对等的情况下产生：开发者认为用户应该具有必需的背景知识，做了用户应当具备规避配置冲突能力的假设。一个例子是，对称密码算法在使用ECB、CBC分组工作模式时，从密码算法上要求输入数据长度必须是分组大小的整倍数，但如果用户搭配配置了秘钥对数据不做补齐（nopadding），则引入了非确定性行为：如果密码算法库对这种组合配置按某种默认补齐方式操作数据则会引起歧义，但如果在算法库代码层面对这种组合抛出错误则直接影响业务。 ·程序对配置项处理过程的潜在暗箱操作。这区别于简单的未文档化配置项行为，仅特指可能存在的蓄意、恶意行为。从某种意义上，上述“All users”也可以认为是这样的一种陷阱，通过浅层次暗示，引导用户做出错误且可能引起问题的配置。另一种情况是特定配置组合情况下触发恶意代码的行为，这种触发条件将使恶意代码具有规避检测的能力，且在用户基数上具有一定概率的用户命中率。当然这种情况由官方开发者直接引入的可能性很低，但是在众包开发的情况下如果存在，那么扫描方案是很难检测的。 Ⅵ. 从逆流到暗流：恶意代码溯源后的挑战 如果说前面所说的种种威胁都是面向关键目标和核心系统应该思考的问题，那么最后要抛出一个会把所有人拉进赛场的理由。除了前面所有那些在软件供应链下游被动污染受害的情况，还有一种情形：你有迹可循的代码，也许在不经意间会“反哺”到黑色产业链甚至特殊武器中；而现在研究用于对程序进行分析和溯源的技术，则会让你陷入百口莫辩的境地。 案例：黑产代码模块溯源疑云 1月29日，猎豹安全团队发布技术分析通报文章《电信、百度客户端源码疑遭泄漏，驱魔家族窃取隐私再起波澜》，矛头直指黑产上游的恶意信息窃取代码模块，认定其代码与两方产品存在微妙的关联：中国电信旗下“桌面3D动态天气”等多款软件，以及百度旗下“百度杀毒”等软件（已不可访问）。 文章中举证有三个关键点。 首先最直观的，是三者使用了相同的特征字符串、私有文件路径、自定义内部数据字段格式； 其次，在关键代码位置，三者在二进制程序汇编代码层面具有高度相似性； 最终，在一定范围的非通用程序逻辑上，三者在经过反汇编后的代码语义上显示出明显的雷同，并提供了如下两图佐证（图片来源）： 文章指出的涉事相关软件已经下线，对于上述样本文件的相似度试验暂不做复现，且无法求证存在相似、疑似同源的代码在三者中占比数据。对于上述指出的代码雷同现象，猎豹安全团队认为： 我们怀疑该病毒模块的作者通过某种渠道(比如“曾经就职”)，掌握有中国电信旗下部分客户端/服务端源码，并加以改造用于制作窃取用户隐私的病毒，另外在该病毒模块的代码中，我们还发现“百度”旗下部分客户端的基础调试日志函数库代码痕迹，整个“驱魔”病毒家族疑点重重，其制作传播背景愈发扑朔迷离。 这样的推断，固然有过于直接的依据（例如三款代码中均使用含有“baidu”字样的特征注册表项）；但更进一步地，需要注意到，三个样本在所指出的代码位置，具有直观可见的二进制汇编代码结构的相同，考虑到如果仅仅是恶意代码开发者先逆向另外两份代码后借鉴了代码逻辑，那么在面临反编译、代码上下文适配重构、跨编译器和选项的编译结果差异等诸多不确定环节，仍能保持二进制代码的雷同，似乎确实是只有从根本上的源代码泄漏（抄袭）且保持相同的开发编译环境才能成立。 但是我们却又无法做出更明确的推断。这一方面当然是出于严谨避免过度解读；而从另一方面考虑，黑产代码的一个关键出发点就是“隐藏自己”，而这里居然如此堂而皇之地照搬了代码，不但没有进行任何代码混淆、变形，甚至没有抹除疑似来源的关键字符串，如果将黑产视为智商在线的对手，那这里背后是否有其它考量，就值得琢磨了。 代码的比对、分析、溯源技术水准 上文中的安全团队基于大量样本和粗粒度比对方法，给出了一个初步的判断和疑点。那么是否有可能获得更确凿的分析结果，来证实或证伪同源猜想呢？ 无论是源代码还是二进制，代码比对技术作为一种基础手段，在软件供应链安全分析上都注定仍然有效。在我们的软件供应链安全大赛期间，针对PE二进制程序类型的题目，参赛队伍就纷纷采用了相关技术手段用于目标分析，包括：同源性分析，用于判定与目标软件相似度最高的同软件官方版本；细粒度的差异分析，用于尝试在忽略编译差异和特意引入的混淆之外，定位特意引入的恶意代码位置。当然，作为比赛中针对性的应对方案，受目标和环境引导约束，这些方法证明了可行性，却难以保证集成有最新技术方案。那么做一下预言，在不计入情报辅助条件下，下一代的代码比对将能够到达什么水准？ 这里结合近一年和今年内，已发表和未发表的学术领域顶级会议的相关文章来简单展望： ·针对海量甚至全量已知源码，将可以实现准确精细化的“作者归属”判定。在ACM CCS‘18会议上曾发表的一篇文章《Large-Scale and Language-Oblivious Code Authorship Identification》，描述了使用RNN进行大规模代码识别的方案，在圈定目标开发者，并预先提供每个开发者的5-7份已知的代码文件后，该技术方案可以很有效地识别大规模匿名代码仓库中隶属于每个开发者的代码：针对1600个Google Code Jam开发者8年间的所有代码可以实现96%的成功识别率，而针对745个C代码开发者于1987年之后在GitHub上面的全部公开代码仓库，识别率也高达94.38%。这样的结果在当下的场景中，已经足以实现对特定人的代码识别和跟踪（例如，考虑到特定开发人员可能由于编码习惯和规范意识，在时间和项目跨度上犯同样的错误）；可以预见，在该技术方向上，完全可以期望摆脱特定已知目标人的现有数据集学习的过程，并实现更细粒度的归属分析，例如代码段、代码行、提交历史。 ·针对二进制代码，更准确、更大规模、更快速的代码主程序分析和同源性匹配。近年来作为一项程序分析基础技术研究，二进制代码相似性分析又重新获得了学术界和工业界的关注。在2018年和2019（已录用）的安全领域四大顶级会议上，每次都会有该方向最新成果的展示，如S&P‘2019上录用的《Asm2Vec: Boosting Static Representation Robustness for Binary Clone Search against Code Obfuscation and Compiler Optimization》，实现无先验知识的条件下的最优汇编代码级别克隆检测，针对漏洞库的漏洞代码检测可实现0误报、100%召回。而2018年北京HITB会议上，Google Project Zero成员、二进制比对工具BinDiff原始作者Thomas Dullien，探讨了他借用改造Google自家SimHash算法思想，用于针对二进制代码控制流图做相似性检测的尝试和阶段结果；这种引入规模数据处理的思路，也可期望能够在目前其他技术方案大多精细化而低效的情况下，为高效、快速、大规模甚至全量代码克隆检测勾出未来方案。 ·代码比对方案对编辑、优化、变形、混淆的对抗。近年所有技术方案都以对代码“变种”的检测有效性作为关键衡量标准，并一定程度上予以保证。上文CCS‘18论文工作，针对典型源代码混淆（如Tigress）处理后的代码，大规模数据集上可有93.42%的准确识别率；S&P‘19论文针对跨编译器和编译选项、业界常用的OLLVM编译时混淆方案进行试验，在全部可用的混淆方案保护之下的代码仍然可以完成81%以上的克隆检测。值得注意的是以上方案都并非针对特定混淆方案单独优化的，方法具有通用价值；而除此以外还有很多针对性的的反混淆研究成果可用；因此，可以认为在采用常规商用代码混淆方案下，即便存在隐藏内部业务逻辑不被逆向的能力，但仍然可以被有效定位代码复用和开发者自然人。 代码溯源技术面前的“挑战” 作为软件供应链安全的独立分析方，健壮的代码比对技术是决定性的基石；而当脑洞大开，考虑到行业的发展，也许以下两种假设的情景，将把每一个“正当”的产品、开发者置于尴尬的境地。 代码仿制 在本章节引述的“驱魔家族”代码疑云案例中，黑产方面通过某种方式获得了正常代码中，功能逻辑可以被自身复用的片段，并以某种方法将其在保持原样的情况下拼接形成了恶意程序。即便在此例中并非如此，但这却暴露了隐忧：将来是不是有这种可能，我的正常代码被泄漏或逆向后出现在恶意软件中，被溯源后扣上黑锅？ 这种担忧可能以多种渠道和形式成为现实。 从上游看，内部源码被人为泄漏是最简单的形式（实际上，考虑到代码的完整生命周期似乎并没有作为企业核心数据资产得到保护，目前实质上有没有这样的代码在野泄漏还是个未知数），而通过程序逆向还原代码逻辑也在一定程度上可获取原始代码关键特征。 从下游看，则可能有多种方式将恶意代码伪造得像正常代码并实现“碰瓷”。最简单地，可以大量复用关键代码特征（如字符串，自定义数据结构，关键分支条件，数据记录和交换私有格式等）。考虑到在进行溯源时，分析者实际上不需要100%的匹配度才会怀疑，因此仅仅是仿造原始程序对于第三方公开库代码的特殊定制改动，也足以将公众的疑点转移。而近年来类似自动补丁代码搜索生成的方案也可能被用来在一份最终代码中包含有二方甚至多方原始代码的特征和片段。 基于开发者溯源的定点渗透 既然在未来可能存在准确将代码与自然人对应的技术，那么这种技术也完全可能被黑色产业利用。可能的忧患包括强针对性的社会工程，结合特定开发者历史代码缺陷的漏洞挖掘利用，联动第三方泄漏人员信息的深层渗透，等等。这方面暂不做联想展开。 〇. 没有总结 作为一场旨在定义“软件供应链安全”威胁的宣言，阿里安全“功守道”大赛将在后续给出详细的分解和总结，其意义价值也许会在一段时间之后才能被挖掘。 但是威胁的现状不容乐观，威胁的发展不会静待；这一篇随笔仅仅挑选六个侧面做摘录分析，可即将到来的趋势一定只会进入更加发散的境地，因此这里，没有总结。 本篇文章为转载内容。原文链接：https://blog.csdn.net/systemino/article/details/90114743。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...DF文件进行存储或者传输。 Java供给了一些开放源码的外部库来完成PDF和String的互转，其中最普遍的是iText。下面是一个示例程序，演示如何将一个PDF文件转化成String： try (PDDocument document = PDDocument.load(new File("sample.pdf"))) { StringWriter stringWriter = new StringWriter(); new PDFTextStripper().writeText(document, stringWriter); String pdfString = stringWriter.toString(); System.out.println(pdfString); } catch (IOException e) { e.printStackTrace(); } 在这个示例中，我们采用了PDDocument类来读取PDF文件。然后，我们采用PDFTextStripper类将PDF文件转化成String，并采用一个StringWriter来暂存String数据。最后，我们将暂存的String数据转化成一个完整的字符串。 接下来，我们演示如何将一个字符串转化成PDF文件： try (PDDocument document = new PDDocument()) { PDPage page = new PDPage(); document.addPage(page); PDPageContentStream contentStream = new PDPageContentStream(document, page); contentStream.beginText(); contentStream.setFont(PDType1Font.HELVETICA_BOLD, 12); contentStream.newLineAtOffset(100, 700); contentStream.showText("Hello, World!"); contentStream.endText(); contentStream.close(); document.save("output.pdf"); } catch (IOException e) { e.printStackTrace(); } 在这个示例中，我们新建了一个PDDocument对象，并插入了一个PDPage。然后，我们采用PDPageContentStream来插入一些文本，并将其存储到一个新的PDF文件中。 总之，PDF和String之间的互转在Java程序设计中非常常见。我们可以采用外部库iText来完成这个功能。在将PDF文件转化成String时，我们采用PDDocument和PDFTextStripper类，而在将String转化成PDF文件时，我们采用PDDocument和PDPageContentStream类。以上是一个简单示例，如果需要采用更高级的功能，请参考iText官方手册。

...用具有加密功能的日志传输协议，以及支持细粒度权限控制和长期存储的云端日志服务，确保容器产生的敏感信息能够得到妥善保护和合规留存。 总的来说，容器日志管理不仅涉及基础的操作技巧与工具配置，更需要紧跟行业发展潮流，掌握先进的日志架构设计与最佳实践，以适应日益复杂的应用场景和严苛的安全要求。通过不断优化日志系统，企业不仅能快速定位问题、提升应用服务质量，还能更好地满足业务连续性需求和监管政策规定。