阿里搞大數據“打假”；京東“傍上”了商務部 | dt數讀:

，為政府決策、企業(yè)經營、行業(yè)發(fā)展提供服務支持。 這些疑似售假團伙主要集中在廣東、福建、浙江、江蘇、山東等沿海省份，并呈現出明顯的地域性及產業(yè)集群性。dt君說：假貨固然可惡，但電商平臺的把關力度顯然還是不夠的。 5 google & facebook因手握大量數據，被韓國公平貿易委員會盯上韓國新任總統(tǒng)文在寅任命的新任公平貿易委員會負責人金相兆最近在接受韓國媒體采訪時，透露正研究如何監(jiān)管谷歌和facebook憑借在資料收集與處理規(guī)模的優(yōu)勢 此前，谷歌因為不愿意配合韓國政府將導航和地圖的服務器放在韓國，而和韓國政府多次交涉。而谷歌要求三星手機等在手機中必須預裝12款谷歌自家應用的做法，也在韓國引起爭議。 platform)的可定制化分析系統(tǒng)。

旅游行業(yè)可以與區(qū)塊鏈一起繁榮:

費用：旅游離不開金錢，而按照當前區(qū)塊鏈旅游平臺的發(fā)展勢頭，區(qū)塊鏈旅游的“金錢”將被加密貨幣所取代。傳統(tǒng)旅游中使用智能手機進行外匯兌換是昂貴的，但用加密貨幣支付，省去了中間環(huán)節(jié)，手續(xù)費更低。 在區(qū)塊鏈上可以存儲護照、簽證、身份證和駕駛執(zhí)照等重要文件。將區(qū)塊鏈作為保護身份及數據的方式，黑客一旦嘗試修改此類數據便很容易被追蹤。未來，區(qū)塊鏈將成為保護旅客身份資料的關鍵。 區(qū)塊鏈技術在旅游費用、護照、預訂和保險等場景的應用，保護隱私，減少成本，改變了旅游的現狀，促進了區(qū)塊鏈旅游的發(fā)展。當然，區(qū)塊鏈旅游行業(yè)的興盛，也離不開政府政策的支持。 樂鷗-區(qū)塊-3.png 中國政府對發(fā)展區(qū)塊鏈技術充滿興趣。隨著區(qū)塊鏈技術意識的增強和提供法律監(jiān)管的壓力，政府已開始仔細研究區(qū)塊鏈是什么以及它可以做些什么。這一認知也促進了區(qū)塊鏈政策的普及。 除了區(qū)塊鏈相關政策，國家在專利申請方面也一點沒落下，2017年區(qū)塊鏈專利申請中國第一。

七夕用鵝廠最熱門的六大編程語言寫三行情書:

點擊上方藍字“itester軟件測試小棧“關注我，每周一、三、五早上 08:30準時推送，每月不定期贈送技術書籍。微信公眾號后臺回復“資源”、“測試工具包”領取測試資源，回復“微信群”一起進群打怪。 本文1917字，閱讀約需5分鐘hi,大家好，我是coco。今天是七夕，在此祝有情人七夕快樂。如果你是個單身狗，在七夕也可以做很多有意思的事。 比如去斷開電影院的雙人位，買下專柜最熱賣的口紅色號，霸占餐廳的小號雙人桌。就算你不是單身狗，一個加班或許就在變成單身狗的路上。 love println(story.mkstring(connect))最后是一個彩蛋： 后臺回復：七夕 獲得通關密碼。 想獲取更多最新干貨內容快來星標 置頂 關注我每周一、三、五 08:30見

指控 nginx 串謀侵吞的訴訟后來怎么了:

以下是投訴內容節(jié)錄：原告方 林伍德公司(lynwood investments)接受俄羅斯公司—— 蘭布勒公司互聯網控股有限公司的委托起訴了曾任職于 蘭布勒公司，并開發(fā)了 nginx 軟件的被告 西索耶夫 訴狀稱，“ f5 在合并完成之前的盡職調查中，就已經知道共謀者從蘭布勒竊取了 nginx 企業(yè)版......”當一名告密者向他們提供了證據之后，蘭布勒和林伍德公司得知被告涉嫌共謀。 引發(fā)思考 此訴狀描述了一種變得越來越普遍的不幸的情況 —— 眾所周知，開發(fā)人員在公司時間編寫代碼，在未經適當授權的情況下用某種開源許可證發(fā)布代碼，并隨之利用該開源代碼成立與原公司相互競爭的業(yè)務，并聲稱有權在該開源許可證下使用該代碼 在這種情況下，發(fā)布的授權問題通常很關鍵，并且指出公司需要有正式的開源發(fā)布政策。但是，在本訴狀中指控的不當行為程度是不尋常的，達到了 cto 級別。投訴也很有趣，因為它點名了 nginx, inc. 的風險投資商和并購買家——這是一個試圖繞過公司保護傘（保護善意第三人）的不尋常的舉動。對于考慮對潛在投資和收購進行盡職調查的公司來說，這是一個令人不安的發(fā)展。

政府協同oa：古城區(qū)政務oa中密碼的安全管理，oa登錄鎖定策略及特權賬號管理方案| fb甲方群話題討論

之間的數據重復維護管理等，成為企業(yè)信息化二次升級過程中的一大痛點，也是絕大多數企業(yè)亟需解決的難題。 　　對于大中企業(yè)，尤其是超大型企業(yè)集團，他們都會有一個非常普遍的需求，將核心業(yè)務整合在一起管理，需要關聯起來，以公文系統(tǒng)為核心，加上表單工具，實現辦公加業(yè)務的整合應用。這種業(yè)務整合的需求對政務OA系統(tǒng)來說恰恰可以發(fā)揮出本身的優(yōu)勢，其中核心問題是平臺和公文系統(tǒng)。對平臺來說，需要政務OA系統(tǒng)具有極佳的開放性和拓展性，能夠在不影響底層平臺和其他功能模塊的基礎上實現動態(tài)開發(fā)和部署；對公文系統(tǒng)來說，需要具有極佳的適應性和可配置性，能夠在少編程甚至不編程的情況下搭建出各種業(yè)務流程和表單。政務OA系統(tǒng)辦公系統(tǒng)采用php+mysql技術，底層平臺穩(wěn)健、強大，可以充分滿足用戶的個性化開發(fā)需求，功能層次清晰，重點突出，可以為 ▎各位 buffer 晚上好，freebuf 甲方群話題討論第 202期來了！fb甲方社群不定期圍繞安全熱點事件、前沿技術、運營體系建設等話題展開討論，kiki 群助手每周整理精華、干貨討論內容，為您提供一手價值信息。 注：上期精彩內容請點擊：高危漏洞下的業(yè)務安全、公有云數據泄露的責任劃分 本期話題搶先看 1.企業(yè)對于密碼有沒有比較好的存儲和管理方式，尤其涉及到存在一些共享密碼的情況？ 2.對弱密碼有何監(jiān)測手段？已經泄露的密碼該如何反向定位影響范圍？ 3.政務OA系統(tǒng)登錄鎖定策略該如何定義？ 4.企業(yè)有沒有引入特權賬號安全管理的方案？ 話題一 最近知名密碼管理器lastpass發(fā)生了嚴重的數據泄露事件，想問問大家企業(yè)對于密碼有沒有比較好的存儲和管理方式，尤其涉及到存在一些共享密碼的情況？ a1： 域策略強制3個月修改一次密碼，8位以上特殊字符大小寫組合，密碼歷史5次以上（iso27001要求）。 a2： 存在共享密碼的地方，最好是集中管理密碼，用戶無需知道密碼，通過系統(tǒng)進行授權，用戶無需知道密碼的情況下完成功能實現。 a3： 雖然涉及到共享密碼也只有密碼管理工具比較好用，但是用的那個工具數據一旦泄露，所有數據全都要遭殃。 a4： 我看到挺多密碼存儲工具出現泄露，那么就不共享，統(tǒng)一做sso登入，一套密碼就好了。 a5： 可以參照 jrt 0255-2022 金融行業(yè)信息系統(tǒng)商用密碼應用基本要求建設。 a6： 主要問的設備密碼管理吧，可以用xls、專用文件服務器權限管理、密碼文件加密，我是xls加密、再壓縮加密、放文件服務器權限管控。 a7： fido這個有沒有人了解的？ fido (fast identity online)聯盟，www.fidoalliance.org，成立于2012年7月，旨在解決強認證技術之間缺乏互操作性的問題，并解決用戶創(chuàng)建和記憶多個用戶名和密碼所面臨的問題。fido聯盟正在改變認證的性質，采用更簡單、更強的認證標準，定義一組開放、可伸縮、可互操作的機制，減少對密碼的依賴。在對在線服務進行身份驗證時，fido身份驗證更強、私有且更容易使用。 a8： 有能力都自開、沒能力買這種小眾產品合規(guī)也不需要、成本劃不來。 q：對弱密碼有何監(jiān)測手段？已經泄露的密碼該如何反向定位影響范圍？ a9: hids或者edr都可以檢測。 a10： 曾經靠nta做了弱口令告警，一個下午的時間上百個人跑過來問怎么回事，問的問題都是：我去哪改密碼？ a11： 禁用弱口令，改密碼的時候，就禁止，如果知道他們常用什么密碼，直接加進弱密碼庫。 a12： 我們這是有sso，統(tǒng)一強密碼+定期改，然后開發(fā)小哥做了個vip多次登錄失敗的告警通知，方便給vip解鎖。 a13: 這個其實主要看資產的，不同的資產采取的手段也不一樣。但是殊途同歸。我覺得檢測不是目的杜絕才是目的。至于如何檢測我覺得這個首先要有類似于資產管理系統(tǒng)，就是需要能夠讀取和識別密碼。我一般都是正則匹配對弱密碼識別和通知整改的。如果沒有系統(tǒng)，要檢測和識別就很困難。對于已經泄漏的密碼，一般也是通過資產管理系統(tǒng)進行處理的。資產管理系統(tǒng)會有密碼和存儲位置。方便進行資源定位。如果沒有的情況下，建議建立一個這種系統(tǒng)。 q：我們的開發(fā)動不動搞redis空口令、數據庫系統(tǒng)弱密碼，這些問題該怎么改？ a14： redis空口令的問題，有安全廠家也是，通知他們整改，最后出個說明，解釋說沒問題改不了。 a15： 弱口令的問題，光下通知就下多少次了。執(zhí)行起來是真難?？紤]到用戶方困難，所以現在準備轉換方向，考慮零信任方向。 a16： 定期漏掃，hids盤點，結合cmdb定位到責任人和直接主管、上級主管，發(fā)郵件通報。 a17： 我們自己做了系統(tǒng)加固、sdl、上線安全檢測，還是能搞出弱口令。很多部門直接用云服務、rds這些，就不可控。 a18： 說明了一個基本問題，復雜強口令與人性相違背。就像路，人總會選擇最簡單的路走，不會按照指示走。舉個例子，大領導好多都是弱口令，年齡大記不住，有啥辦法，誰敢去改啊。 a19： 分級分類口令啊，存在哪些弱口令、哪些必須改、危害性有多大，還是得有辦法。大領導也就登陸個電腦，辦公系統(tǒng)，危害大的是vpn之類登陸密碼，和業(yè)務框架的密碼。 a20： 其實人員賬號口令我們還好，因為我們應用大部分走sso或者ldap。但是開發(fā)框架，數據庫這些是目前只能靠開發(fā)人員自己意識。 a21： 優(yōu)先解決生產的問題，通過腳本巡檢或hids找出弱口令的主機及服務，然后每天巡檢一次，根據資產郵件推送給相關部門，不改就一直推送。 話題二 請問大家公司的政務OA系統(tǒng)登錄鎖定策略是怎么定義的？ a1： 默認鎖定: 1.鎖定30日未登錄賬戶 2.鎖定密碼未變更用戶 3.鎖定弱口令用戶 再就是爆破登錄鎖定，同一ip多賬戶登錄鎖定。 a2： 最大并發(fā)1000，登陸3次失敗鎖一個鐘頭，緊急的話管理員直接解鎖。 a3： 我們是統(tǒng)一的策略。最低的賬號標準是賬號連續(xù)5分鐘內累計登錄失敗10次，自動鎖10分鐘，單賬號累計失敗10次后，在自動鎖結束后，每登錄失敗一次自動延鎖10分鐘，用戶可使用mfa解鎖；連續(xù)多賬號3分鐘內累計登錄失敗60次，針對ip啟用多因素認證30分鐘，自動解鎖后，每登錄失敗1次，自動啟用多因素認證，并累計兩個周期后，48小時不再信任連續(xù)登錄失敗的賬號認證方式。 a4： 依據什么標準？還是自己定的？ a5： 我們是自己定義的，根據自身業(yè)務、行業(yè)特性定義的。 a6： 我們是5次錯誤鎖定1小時。我看到有人上sso，其實sso死的更快，ad一破，sso廠家塞點后門，更慘。 a7： 沒辦法，不上sso員工會有意見，一個平臺一個賬號密碼，誰受得了？領導都受不了，必須上。 a8： 可以上sso疊加二次密碼或者驗證碼之類，不應該設置成sso過了直接登錄，不然容易被惡意url掃描和攻擊。sso過了，只是允許訪問被收授權的信息，比如域名、url等，登錄時可以再次輸入賬密或者驗證碼之類的。 a9： 各位上零信任呢？ a10： 零信任其實挺好，但是甲方很少有能弄明白的，意味著網絡隔離、網絡分區(qū)啥的傳統(tǒng)方式都可能被破壞?？梢陨蟬dwan，基于互聯網的sdwan，替代部分網絡準入+身份認證+vpn。 話題三 企業(yè)有沒有引入特權賬號安全管理的方案？ a1： 曾經想引入，測試了3家以后發(fā)現不滿足需求。 測試結果雖然打鉤，但是管理方面還是比較簡單粗暴而且很多問題。打勾只是表示部分功能可實現。 技術限制問題，給操作系統(tǒng)、數據庫、中間件、應用系統(tǒng)開發(fā)管理接口、賬密接口、認證接口，其實相當難，以單一廠家根本實現不了。操作系統(tǒng)、數據庫、中間件、應用程序，如果是商用產品，廠家一般不給你開接口，比如linux，我測試的幾家都是類似rsh方式。 a2： 設想了一下： 1、前面使用指紋，ic+密碼（人臉）之類的方式； 2、中間采用sso，登錄服務器使用堡壘機的密鑰管理方式+定期改密； 3、離職注銷就各系統(tǒng)每天掃描人事的信息表，離職就注銷（停用）本系統(tǒng)賬號權限。 特權賬號放到配置中心統(tǒng)一管理，再加上審計，這樣感覺應該算是一個解決的辦法。 a3： 你應該要考慮網絡準入+網絡準入的身份認證，所以sdwan+vpn也需要考慮。而且你sso不應該直接接客，應該有前置，要不sso攻破就全玩完。主思路沒有問題，細節(jié)各方面還可以（也應該）完善。 a4： 門戶平臺的鑰匙被攻破才是玩完，sso 的鑰匙有ad域密碼、企微掃碼認證等，所以還是要在基礎層面把密碼抓牢，不需要什么高大上的技術。 a5： sso應該分為5-6個部分： 1.門戶，僅供內部自服務用，不能對外； 2.管理門戶，后臺管理用； 3.審計+監(jiān)控 ，后臺作業(yè)； 4.后臺 接口、api配置部分； 5.前臺接口、api配置部分； 6.密鑰、賬戶、算法、證書庫，純后臺。 這6個部分，1應該僅對vpn放開，2-6絕對不對外，這樣可以有效地保護sso，因為sso存放了所有人的賬號、密碼、算法、證書、密鑰。我審計別人的時候，只要ad/sso對互聯網直接開放，直接判斷不合格，sso一旦被攻破，很容易被提權和全量賬密泄露，甚至狠一點，偽賬號很容易搞出來一大堆。 我當年計的是這個架構，ad/sso/ldap都深藏后端。 a6: sso 呈現在用戶面前的只是一個門戶，至于后面管理端功能，那就是一個靜態(tài)密碼管理后臺了。 a7： sso不是入侵式的吧，即使非法登錄了你的門戶界面，黑客仍然無權限去侵入你的門戶賬戶密碼。 a8： 我非法登錄你的門戶，我可以掃描、記錄你的加密和hash過程，然后有一定幾率反向破解你的算法，這個算法一旦被破解，所有賬號包括admin都直接廢了。 這個過程可以用算號器類的工具，記錄bit層面的變化，比如我密碼設成1 ，可能對應是比如3b4c，然后密碼設成2 ，可能對應單獨是3d4c。我只是舉個例子，這樣就知道輸入1和2的差距在于第2位。而且一般sso廠家的日志信息、日志庫都不會從文件、數據層面去設防，比如加密、脫敏啥的，差一點的廠家，可能整個運行目錄都被人copy走了，回去搭個模擬環(huán)境，啥都有了。 a9： 不過防護不了內部或有正常身份的合作伙伴之類的，用零信任的持續(xù)認證落地費用和改造都不容易。 a10: 不一定零信任，vpn/sdwan/零信任前置認證接口門戶，疊加短信驗證碼、證書、校驗碼等，成為內網第一道門戶，這才是企業(yè)內網安全最要命的地方，大門口不安全。 a11： 零信任你的用ad/sso這類系統(tǒng)做用戶驗證。那就還的加上其它認證做疊加，然后你會發(fā)現都是窟窿。 a12： 必然的，看數據源了。 a13： 所以，內網盡量做到窟窿最小是最優(yōu)解。 a14： 這些是必然要做的，但是門口防護也重要，大門不弄好，里面再好也沒用，你不能放蒼蠅蚊子臭蟲進來亂試亂搞吧。 freebuf 觀點總結 從lastpass嚴重的數據泄露事件可以看出，密碼安全是近期網絡安全風險的“高發(fā)點”之一，企業(yè)如何保管好手頭的密碼成為防范這類風險的首要屏障，除了密碼本身最好采取多位數加特殊字符、大小寫組合并定期修改外，對共享密碼可采取集中管理，以用戶系統(tǒng)授權的方式管理用戶訪問行為。此外，對于弱口令（密碼）可通過hids或者edr進行監(jiān)測，或加入弱密碼庫進行管理。 對于企業(yè)常用的政務OA系統(tǒng)如何制定鎖定策略，不同的公司、行業(yè)可以制定各自的規(guī)則，但無論如何都繞不開多次登錄錯誤、弱口令、密碼變更等風險因子。至于特權賬號管理，雖然在技術上還存在諸多難點，但總體思路仍需要從密鑰管理、身份認證、審計及監(jiān)控等角度出發(fā)，構建出成體系的方案思路。 本期話題討論到此結束啦~

青少年編程教育現狀:

在山東省和浙江省的初中信息技術教材中涉及到了編程語言vb，在江蘇省的信息技術教材中談到了物聯網、機器人以及人工智能等。整體教材內容還是偏知識科普以及常用電腦工具軟件的使用，涉及到編程的內容依舊很少。 2014年，英國教育大綱規(guī)定計算機編程是5-16歲兒童必修課程。 2015年，美國政府投資40億美元開展青少年編程教育，呼吁全國青少兒學習編程。 南京教育部門今年也正式將科技特長生列入了南京市的中考特招項目，引起了諸多家長的關注。 最后，大家夢寐以求的清華北大對于信息技術特長生是有降分錄取和自主招生的喔。 另外，山東省的初高中信息技術教材也做了相應的改版，將編程語言phton以及人工智能、機器學習等課程加入到了中學信息技術教材中。以上種種，不得不說，編程教育已經到家門口了。 真實韶華即逝啊，我?guī)洑獾哪橗嬕讶粵]有了昨天的模樣。本著為人民服務的宗旨，感覺自己應該把所學知識普及給祖國的花朵。

美國土安全局在華盛頓特區(qū)發(fā)現手機間諜設備:

據外媒報道，美國國土安全局( dhs )近日公開表示，他們在華盛頓特區(qū)發(fā)現了電子監(jiān)控設備的存在。 但美國政府從未提及外國間諜也在使用同樣的技術，這種情況一直持續(xù)到 dhs 在 3 月 26 日寫信給俄勒岡州民主黨參議員 ron wyden 之后?，F在信件的內容則被媒體報道了出來。 信件寫道：“ nppd 認為外國政府對imsi捕捉器的使用將可能會威脅到美國國家和經濟安全?！?br>
用結構化數據自定義搜索結果摘要:

系列叢書：一系列的書，可以使用所屬的屬性包含的書籍； 教育機構：一個教育機構； 事件：在特定時間和地點發(fā)生的事件，例如音樂會，演講或節(jié)日， 可通過優(yōu)惠屬性添加票務信息，重復事件可以構造為單獨的事件對象； 政府機構 ：一個政府機構； 本地商戶：特定的實體業(yè)務或組織的分支，本地商戶包括餐館，連鎖餐廳的特定分支，銀行的分支，醫(yī)療實踐，俱樂部，保齡球館等； 電影：一部電影； 電影系列：一系列電影，可以使用所屬實體的逆屬性指包含的電影 ； 音樂專輯：音樂曲目的合集； 音樂團體：音樂團體，如樂隊，管弦樂隊或合唱團，也可以是獨奏音樂家； 機構：學校，非政府組織，公司，俱樂部等組織； 期刊：任何媒介的出版物，以連續(xù)的部分發(fā)布，帶有數字或時間順序的指定 ":"https://www.linyongmin.com/wp-content/uploads/2018/05/harborne-logo.png" } </script> 提交聯系電話 <script ":"https://www.linyongmin.com/wp-content/uploads/2018/05/harborne-logo.png", "contactpoint" : [

微信殺入企業(yè)級市場？那就放馬過來唄~:

眾多erp、政務OA廠商會不會如t客所言遭遇“滅頂之災”呢？由于企業(yè)微信號還沒發(fā)布，我們不妨先猜猜他們想干嘛，能干嘛？簡單一點，無非是做應用和做入口兩條路。先說做應用，這應該是傳統(tǒng)企業(yè)管理軟件比較擔憂的。 如果是面向中小企業(yè)的oa，也不是那么容易。企業(yè)管理不像電商系統(tǒng)那樣已經形成規(guī)范，很多公司還是土法煉鋼，業(yè)務設計時不考慮合不合理，而是怎么方便老板怎么來，個性化極強。 難以形成一個包打天下的產品市場，都是零敲碎打的。這也是為什么國內管理軟件市場雖然大，卻沒有誕生世界級的公司。但產業(yè)鏈上幾千上萬家服務商，又可以找到自己的一畝三分地。 殊不知中國企業(yè)“麻雀雖小五臟俱齊”，管理應用上希望大而全，all in one，一套系統(tǒng)搞定?！拔铱梢圆挥?，但你不能沒有?！?體驗好不好另說了，還要針對你的框架重新開發(fā)系統(tǒng)。我何苦來呢？綜上所述，若微信自己做功能，只會對一部分缺乏移動端應用，產品單一，又沒有定制服務能力的政務OA廠商有沖擊，大面積的“滅頂之災”不會到來。

轉載請注明出處,本站網址：http://www.shenzhen-haerbin.com/news_2340.html