GCM

访问路径： 用户 --> www.chinasoft.cn(nginx反向代理) --> www.chinasoft.com(nginx反向代理) --> python服务端程序 经过多层代理 第一层代理： # cat /usr/local/nginx/conf/vhost.d/ www.chinasoft.cn.conf server { listen 80 ; server_name www.chinasoft.cn chinasoft.cn; access_log /data/www/logs/nginx_log/access/ chinasoft.cn_access.log main ; error_log /data/www/logs/nginx_log/error/ chinasoft.cn_error.log ; #root /data/www/vhosts/chinasoft.cn/ httpdocs ; index index.html index.shtml index.php ; #include rewrite.d / chinasoft.cn.conf ; error_page 404 403 / 404 .html; rewrite ^/(.*)$ https: // www.chinasoft.cn/$1 permanent; #跳转到Https

对于移动app，性能优化是永无止境的话题，而在性能指标中，耗电量又是重中之重，android的大神们当然也在为此努力，所以从android 6.0开始，谷歌引入了两项新的省电技术延长电池使用时间，分别是Doze（休眠）和App Standby（app待命模式），只要app是运行在6.0（api 23）及以上的系统， 无论app编译时是否使用的target=23，都会受到这两种技术的限制 。 一、理解什么是Doze模式 如果设备满足 1、屏幕关闭； 2、没有连接电源， 这样持续一段时间后系统就会进入Doze模式，在Doze模式下，系统通过限制app访问网络和其对CPU使用来达到省电的目的，app的网络访问功能会被禁用，同时延时执行作业，异步任务及标准闹钟事件。 同时，为了保证app的工作，系统会周期地退出Doze模式，以保证app完成那些被延时的任务，如下图，这个状态被称作maintenance window（维护窗口）。且随着系统处于Doze模式时间增长，进入maintenance window的频率会降低。 二、Doze 模式下的限制 网络访问功能被关闭 系统会忽略wake locks，即app无法持续占有电源 标准闹钟 AlarmManager（包括 setExact() )和 setWindow() )）都会被延时到下一个maintenancewindow才激活 1 .

PHP的Sodium加密扩展函数了解 这是本次加密扩展系列的最后一篇文章，也是我们要学习了解的最后一个 PHP 加密扩展。Sodium 出现的目的也是为了代替 Mcrypt 这个原来的加密扩展。在 PHP7.2 之后，Mcrypt 已经被移除，在 PHP7.1 时就已经被标记为过时。不过，Sodium 扩展的应用也并不是很多，大部分情况下我们都会使用 OpenSSL 来进行加密操作，同时，Sodium 扩展提供的函数也非常多，所以，我们这篇文章只做了解即可。当然，最主要的是，关于这个扩展即使是官方文档也没有完善，大部分函数的参数说明都没有，搜索出来的资料也是非常少。 Sodium 扩展在 PHP7.2 后是跟随 PHP 源码一起发布的，只需要在编译的时候加上 --with-sodium 即可安装成功。如果是 PHP7.2 之前的版本，需要单独安装这个扩展。同时，操作系统中也需要安装 libsodium-devel 库。 AEAD_AES_256_GCM 加解密 首先是这个 AEAD_AES_256_GCM 加解密能力函数的应用。在微信支付相关的开发中，有一个接口就是使用的这种方式进行数据加密，在官方文档中，也提供了 PHP 对应的解密方式，其中使用的就是 Sodium 扩展库中的函数。（见文末参考文档中第二条链接） $data = '测试加密' ; // 原始数据 $nonce =

因为服务器里在跑一些老项目兼容问题很多，一直运行PHP7.0版本没有升级。在对接微信分时需要使用到AES-256-GCM加密需要调整PHP环境，决定先升级到PHP7.2，升级后发现openssl_sign()报错，排查后做下简单兼容调整说明。 做三方对接时时常会出现问题，尤其是运行环境发生变化时。对于PHP环境主要分为：php版本、扩展库版本。如果出现兼容性问题则首先需要确认环境问题，避免走弯路。 openssl在对接支付等功能时基本上都会使用到，一般三方有对应写好的SDK，通常按指定的环境要求下运行问题不大。但有时SDK并没有太细说明，难免会出现兼容问题。 扩展库版本兼容 openssl版本在1.0.1及以下时要求证书内容分段换行，否则openssl_sign、openssl_verify使用证书的函数会报错，比如： openssl_sign(): supplied key param cannot be coerced into a private key in 查看php安装的openssl库版本直接通过openssl扩展提供的常量OPENSSL_VERSION_TEXT获取： var_dump(OPENSSL_VERSION_TEXT); 排查时首先确认证书是否有错、参数是否配置错误，环境是否匹配。 如果扩展库是openssl-1.0

作者：知道创宇404实验室翻译组 原文链接： https://blog.malwarebytes.com/cybercrime/2020/10/fake-covid-19-survey-hides-ransomware-in-canadian-university-attack/ 最近，我们观察到了Silent Librarian APT黑客组织针对 全球范围内大学 的 网络钓鱼 活动。10月19日，通过伪装的COVID-19调查，我们确定了针对哥伦比亚大学（UBC）员工的新型网络钓鱼文档，该文档是一个会自动下载勒索软件并勒索受害者的恶意Word文件。幸运的是，基于UBC网络安全团队的迅速对应措施，该网络钓鱼活动并未成功。 一、COVID-19强制性调查 黑客组织通过mailpoof.com服务器创建电子邮件地址，进而在Box.net和DropBox中注册帐户。不直接通过电子邮件发送假调查，而是将文档上传到Box和DropBox并使用其共享功能进行分发。这可能是为了规避会阻止来自信誉低电子邮件的网络钓鱼过滤器。黑客组织声称自己是管理员，并通过文件共享功能中发表以下评论： 晚上好，伙计们！管理员正在与您共享一项关于对组织应对流行病的反应的看法的强制性调查，请务必在周一前提交并尽快填写！ 文末附带物资申请表格，包括：手套、洗手液、口罩或消毒喷雾剂。只需签名并输入所需物资的数量便可获取

思维导图 说明：文章中部分内容参考了网络资源，如cocoaChina中的文章。 App Transport Security iOS9中新增App Transport Security（简称ATS）特性, 主要使到原来请求的时候用到的HTTP，都转向TLS1.2协议进行传输。这也意味着所有的HTTP协议都强制使用了HTTPS协议进行传输。在 iOS 9 和 OS X 10.11 中，默认情况下非 HTTPS 的网络访问是被禁止的。当然，因为这样的推进影响面非常广，作为缓冲，我们可以在 Info.plist 中添加 NSAppTransportSecurity字典并且将 NSAllowsArbitraryLoads设置为 YES来禁用 ATS。 不过，WWDC 16 中，Apple 表示将继续在 iOS 10 和 macOS 10.12 里收紧对普通 HTTP 的访问限制。从 2017 年 1 月 1 日起，所有的新提交 app 默认ATS Configuration Basics / ATS 配置基础知识是不允许使用 NSAllowsArbitraryLoads来绕过 ATS 限制的，也就是说，我们最好保证 app 的所有网络请求都是 HTTPS 加密的，否则可能会在应用审核时遇到麻烦 最新的消息是苹果迫于压力，已经延迟了必须ATS的限制，不过这事情早晚要做的，还是尽快搞好 ATS

我的域名是在阿里云万网上购买的，服务器是部署在腾讯云上，可以按照下面的步骤配置https 首先登陆阿里云网站控制台，申请免费证书，免费证书只能 单一域名 。测试地址如：https://gofly.sopans.com/ 申请稍等几分钟就能通过 把证书下载到本地，然后上传到腾讯云的服务器上，配置nginx就可以了 nginx的配置如下，注意证书的地址和域名的配置，同时也能支持websocket wss server { listen 443 ssl http2; ssl on; ssl_certificate conf.d /cert/ 4263285_gofly.sopans.com.pem; ssl_certificate_key conf.d /cert/ 4263285_gofly.sopans.com.key; ssl_session_timeout 5m; ssl_ciphers ECDHE -RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:! RC4; ssl_protocols TLSv1 TLSv1. 1 TLSv1. 2 ; ssl_prefer_server_ciphers on; #listen 80 ; server_name gofly.sopans.com; access

目前的大趋势是升级HTTP为HTTPS 本章介绍怎样实装HTTPS证书 # 如果报 ssl 错误是Nginx安装时未安装ssl 请重新编译nginx 可以参考我之前的博客 申请/获取https 这里就不详细述说了，本人使用腾讯云申请的 有免费证书（有效期1年，1年后需要重新申请） 当我们通过申请后会提供一个压缩文件下载，解压后如下 上传/引入 我们使用Nginx因此我们进入Nginx文件夹 我们将这两个文件上传至服务器的某个路径中（记住这个路径） 然后我们在存放 Nginx 配置的文件夹中新建一个配置（如何指定多个配置及 Nginx 安装请查看我之前的博客） 内容如下 server { listen 443 ssl; # 1 .1版本后这样写 server_name www.domain.com; #填写绑定证书的域名 ssl_certificate 1_www.domain.com_bundle.crt; # 指定证书的位置，绝对路径 ssl_certificate_key 2_www.domain.com.key; # 绝对路径，同上 ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1. 1 TLSv1. 2 ; #按照这个协议配置 ssl_ciphers ECDHE -RSA-AES128-GCM-SHA256:HIGH:

云栖号资讯：【 点击查看更多行业资讯 】 在这里您可以找到不同行业的第一手的上云资讯，还在等什么，快来！ HTTPS 为什么要有HTTPS，简单的回答是“因为HTTP不安全”。 什么是安全？ 通常认为，如果通信过程中具备了四个特性，就可以认为是“安全”的，这四个特性是：机密性、完整性、身份认证和不可否认。 机密性（Secrecy/Confidentiality）是指对数据的”保密“，只能由可信的人访问，对其他人是不可见的”秘密“，简单来说就是不能让不相关的人看到不该看的东西。 完整性（Integrity，也叫一致性）是指数据在传输过程中没有被篡改，不多也不少，”完完整整“地保持着原状。 身份认证（Authentication）是指确认对方的真实身份，也就是”证明你真的是你“，保证消息只能发送给可信的人。 不可否认（Non-repudiation/Undeniable），也叫不可抵赖，意思是不能否认已经发生过的行为，不能”说话不算数“”耍赖皮“。 什么是HTTPS？ HTTPS为HTTP增加了刚才所说的四大安全特性。 HTTPS其实是一个”非常简单“的协议，RFC文档很小，只有短短的7页，里面规定了新的协议名”https“，默认端口号443，至于其他的什么请求-应答模式、报文结构、请求方法、URI、头字段、连接管理等等都完全沿用HTTP，没有任何新的东西。 那HTTPS怎么做到机密性

什么是 AES-GCM加密算法 什么是 AES-GCM加密算法 转载 YongApple 最后发布于2018-02-06 12:18:09 阅读数 13564 收藏 展开 AES是一种对称加密算法，它的相关概念在此不赘述。 GCM ( Galois/Counter Mode) 指的是该对称加密采用Counter模式，并带有GMAC消息认证码。 在详细介绍AES-GCM之前，我们先了解一些相关概念。 下文中出现的符号: Ek 使用秘钥k对输入做对称加密运算 XOR 异或运算 Mh 将输入与秘钥h在有限域GF(2^128)上做乘法 ECB（ Electronic Mode 电子密码本模式） 当我们有一段明文，需要对其进行AES加密时，需要对明文进行分组，分组长度可为128，256，或512bits。采用ECB模式的分组密码算法加密过程如下图： 由上图可以看出，明文中重复的排列会反映在密文中。 并且，当密文被篡改时，解密后对应的明文分组也会出错，且解密者察觉不到密文被篡改了。也就是说，ECB不能提供对密文的完整性校验。 因此，在任何情况下都不推荐使用ECB模式。 CTR ( CounTeR 计数器模式) 在计数器模式下，我们不再对密文进行加密，而是对一个逐次累加的计数器进行加密，用加密后的比特序列与明文分组进行 XOR得到密文。过程如下图： 计数器模式下