OpenSSL

Signal是一款开源的聊天软件，通过提供端到端加密能力，能够保证用户通信的安全。这篇文章主要是想向读者介绍这款流行的软件，它的历史、安全性以及影响。 背后的男人——Moxie Marlinspike Moxie Marlinspike，Signal软件的创造者，Open Whisper Systems项目的联合创始人，是一名澳大利亚裔美国人，同时也是一名安全研究者、密码学家、企业家。作为密码学家，他提出的Signal协议已经被WhatsApp、Facebook Messenger和Skype等通信软件采纳，用来实现端到端加密功能。作为安全研究者，他连续几年登上DEF CON发表演讲，并做出了许多瞩目的研究成果。 2016年，财富杂志评选Moxie Marlinspike为年度40名最有影响力的年轻领导者之一，因为他创办了Open Whisper Systems项目并且“加密了全球数百万人的通信”。2017年，他因为开发和推广Signal协议而被授予由Real World Cryptography颁发的Levchin Prize奖项。 Signal的历史 从上世纪九十年代开始，Moxie Marlinspike先后为多家科技公司工作。2010年，Marlinspike和Stuart Anderson一起创办了Whisper Systems——一家商业移动安全创业公司，并担任CTO

本文主要讲解mall整合OSS实现文件上传的过程，采用的是服务端签名后前端直传的方式。 OSS 阿里云对象存储服务（Object Storage Service，简称 OSS），是阿里云提供的海量、安全、低成本、高可靠的云存储服务。OSS可用于图片、音视频、日志等海量文件的存储。各种终端设备、Web网站程序、移动应用可以直接向OSS写入或读取数据。 OSS中的相关概念 Endpoint：访问域名，通过该域名可以访问OSS服务的API，进行文件上传、下载等操作。 Bucket：存储空间，是存储对象的容器，所有存储对象都必须隶属于某个存储空间。 Object：对象，对象是 OSS 存储数据的基本单元，也被称为 OSS 的文件。 AccessKey：访问密钥，指的是访问身份验证中用到的 AccessKeyId 和 AccessKeySecret。 OSS的相关设置 开通OSS服务 登录阿里云官网； 将鼠标移至产品标签页，单击对象存储 OSS，打开OSS 产品详情页面； 在OSS产品详情页，单击立即开通。 创建存储空间 点击网页右上角控制台按钮进入控制台 选择我的云产品中的对象存储OSS 点击左侧存储空间的加号新建存储空间 新建存储空间并设置读写权限为公共读 跨域资源共享（CORS）的设置 由于浏览器处于安全考虑，不允许跨域资源访问，所以我们要设置OSS的跨域资源共享。 选择一个存储空间

一直以来，让TESLA引以为傲的是其所谓的在线更新技术，在线更新可以自动推送新 代码来修复bug和添加新功能。但一位安全研究人员已经展示了特斯拉ModeIX的 无密码进入系统的安全漏洞：黑客可以通过蓝牙连接覆盖固件，解锁密码，并在几分 钟内窃取ModeIX。 比利时大学KULeuven的安全研究员Lennert Wouters今天透露了他在特斯拉 ModeIX汽车及其无密码入口中发现的_系列安全漏洞。他发现：任何偷车贼都可能 利用这些漏洞，他们设法通过挡风玻璃读取到汽车仪表板上的车辆识别号码--在距离 受害者的钥匙大约15英尺以内作案。搭建盗劫所需的硬件装备花费了 Wouters大约 $300,将这些硬件放进背包内，窃贼通过手机进行控制。在90秒内，便可以提取出 射频密码，解锁ModeIX； Wouters发现的第二个弱点是：一旦偷车贼进入车内， 利用1分钟的时间，将自己的钥匙与受害者的钥匙配对之后，便可驾驶汽车离开。 术结合在一起的话，车主将遭受更惨重的攻击。〃他计划在今年1月的 RealWorldCrypto大会上展示他的发现。 Wouters说，他已经在今年8月份警告过特斯拉Model X无密码进入黑客技术的危 险性。特斯拉公司回复说，计划在本周开始对软件进行更新，可能还涉及汽车的硬 件，以阻止两组攻击之中的至少_组攻击。WIRED还与特斯拉联系，以了解更多关于

I recently had to use a PFX certificate for client authentication, and for that reason, I had to convert it to a Java keystore (JKS). In this post, we will learn how to create both a truststore and a keystore, because based on your needs, you might need one or the other. The difference between truststore and keystore, if you are not aware is, according to the JSSE ref guide : TrustManager: Determines whether the remote authentication credentials (and thus the connection) should be trusted. KeyManager: Determines which authentication credentials to send to the remote host. Next, all you need is

想研究很久了，这次终于初步了解了flask session伪造(得知道密钥)。 python2和python3 session解密不一样，而且不都是base64，脚本 https://github.com/ZhangAiQiang/Flask/tree/master/%E8%A7%A3%E5%AF%86session%E8%84%9A%E6%9C%AC 参考文章: https://www.cnblogs.com/apossin/p/10083937.html ①首先需要知道的信息 flask是把session存在客户端的，而且只经过base64编码和用密钥签名，虽然没有有签名不可以伪造session，但是有很多信息我们可以直接从session解码找出来。 ②session伪造源码( https://github.com/ZhangAiQiang/Flask/tree/master/flask-session%E8%BA%AB%E4%BB%BD%E4%BC%AA%E9%80%A0%E7%AE%80%E5%8D%95%E6%BA%90%E7%A0%81 ) from flask import Flask,session,render_template,request,render_template_string app=Flask(__name__) app.config[

前言：网上有一篇教程，可惜有一句重要的命令写错了，但网上传的都是这个版本，看完不免有些问题。这篇文章引用他的内容，同时我修改了错误的部分。 1.首先安装Win32OpenSSL_Light-1_1_0g.exe，默认安装到了C盘根目录 2.将PFX证书粘贴到C:\OpenSSL-Win32\bin下 3.导出证书(进入CMD命令操作界面，进入openssl的bin目录) openssl pkcs12 -in &lt;path/to/*.pfx&gt; -clcerts -nokeys -out cert.pem（证书名） 其中<path/to/*.pfx>为pfx文件的路径 输入证书密码 进入bin目录查看证书文件 4.导出私钥(进入CMD命令操作界面，进入openssl的bin目录) openssl pkcs12 -in root用户签名.pfx -nocerts -out key.pem 输入证书密码 进入bin目录查看私钥文件 证书合并 openssl pkcs12 -export -in <path/to/ .cer> -inkey <path/to/key> -out <path/to/ .pfx> 来源： oschina 链接： https://my.oschina.net/u/4256877/blog/4899843

2020 年度的 ACM Fellow 名单已正式公布，共 95 人入选，其中包括陈怡然、周昆、颜水成、王义、吕晨阳等多位华人学者。 机器之心报道，机器之心编辑部。 ACM（Association for Computing Machinery, ACM）是美国计算机协会的简称，创立于 1947 年，是全世界计算机领域影响力最大的专业学术组织之一。 ACM Fellow 则是由该组织授予资深会员的荣誉，目的是表彰对于计算机相关领域有杰出贡献的学者，其审查过程十分严格，每年遴选一次。 2020 年，共有 95 人因其在人工智能、云计算、计算机图形学、计算生物学、数据科学、人机交互、软件工程、理论计算机科学和虚拟现实等领域中的号广泛和基础性贡献入选 ACM Fellow。他们的成就推动了技术、工业和个人生活等多个方面的显著进步和创新。 2020 ACM Fellow 来自全球各地的高等院校、企业及研究中心，包括澳大利亚、奥地利、加拿大、中国、德国、以色列、日本、荷兰、韩国、西班牙、美国、英国等国家和地区。所涉及的研究领域覆盖广泛，包括算法、网络、计算机架构、机器人学、分布式系统、软件开发、无限系统和网络科学等。 在 95 名入选者中，包括多位华人，如杜克大学教授陈怡然、浙大教授任奎等，更有多名图灵奖得主当选，可谓星光熠熠。 入选华人 姓名：陈怡然（Yiran Chen） 机构：杜克大学

点击上方 " 程序员小乐 "关注, 星标或置顶一起成长 后台回复“ 大礼包 ”有惊喜礼包！ 关注订阅号「 程序员小乐 」，收看更多精彩内容 每日英文 When you fall down, you just gotta get back up and keep on going. There’s no sense in just sitting there. 跌倒了，就重新站起来，继续向前走；傻坐在地上是没用的。 每日掏心话 人生，需要有一些时刻，慢下来，静下来，听一听花开的声音，看一看叶子舒卷的曼妙。不要以为你放不下的人，同样会放不下你，鱼没有水会死，水没有鱼却会更清澈。 来 自 ：高效运维 | 责编：乐乐 程序员小乐(ID:study_tech) 第 1089 次推文 往日回顾： Eclipse 官宣，干掉 VS Code ！ 正文 1 HTTP HTTP 协议是个无状态协议，不会保存状态。 2 Post 和 Get 的区别 先引入副作用和幂等的概念。 副作用指对服务器上的资源做改变，搜索是无副作用的，注册是副作用的。 幂等指发送 M 和 N 次请求（两者不相同且都大于 1），服务器上资源的状态一致，比如注册 10 个和 11 个帐号是不幂等的，对文章进行更改 10 次和 11 次是幂等的。 在规范的应用场景上说，Get 多用于无副作用，幂等的场景，例如搜索关键字。Post

点击上方“ 杰哥的IT之旅 ”，选择“ 星标 ”公众号 重磅干货，第一时间送达 1 HTTP HTTP 协议是个无状态协议，不会保存状态。 2 Post 和 Get 的区别 先引入副作用和幂等的概念。 副作用指对服务器上的资源做改变，搜索是无副作用的，注册是副作用的。 幂等指发送 M 和 N 次请求（两者不相同且都大于 1），服务器上资源的状态一致，比如注册 10 个和 11 个帐号是不幂等的，对文章进行更改 10 次和 11 次是幂等的。 在规范的应用场景上说，Get 多用于无副作用，幂等的场景，例如搜索关键字。Post 多用于副作用，不幂等的场景，例如注册。 在技术上说： Get 请求能缓存，Post 不能 Post 相对 Get 安全一点点，因为Get 请求都包含在 URL 里，且会被浏览器保存历史纪录，Post 不会，但是在抓包的情况下都是一样的。 Post 可以通过 request body来传输比 Get 更多的数据，Get 没有这个技术 URL有长度限制，会影响 Get 请求，但是这个长度限制是浏览器规定的，不是 RFC 规定的 Post 支持更多的编码类型且不对数据类型限制 3 常见状态码 2XX 成功 200 OK，表示从客户端发来的请求在服务器端被正确处理 204 No content，表示请求成功，但响应报文不含实体的主体部分 205 Reset

简介： 在魔幻的2020年，从勒索病毒新面孔WannaRen火上热搜，到知名B站UP主被勒索后在线求助，可以看出勒索病毒依然是网络病毒中的“顶流”。 2020年，注定是要被历史铭记的一年，除了肆虐全球的新冠病毒，网络“疫情”也没有消停，各种新型勒索病毒不断涌现，黑客组织陆续壮大，甚至不少国外一些主流的勒索病毒运营团队在国内寻找勒索病毒分销运营商，通过暗网与国外运营商进行合作，进行勒索病毒的分发传播，谋取暴利。 一、2020年勒索病毒事件 在魔幻的2020年，从勒索病毒新面孔WannaRen火上热搜，到知名B站UP主被勒索后在线求助，可以看出勒索病毒依然是网络病毒中的“顶流”。下面我们来盘点部分2020年全球勒索病毒大事件。 3月，特斯拉、波音、洛克希德·马丁公司和SpaceX等行业巨头的精密零件供应商，总部位于科罗拉多州丹佛的Visser Precision遭受勒索软件DoppelPaymer攻击，黑客已经泄漏Visser Precision与特斯拉和SpaceX签署的保密协议。 4月，葡萄牙跨国能源公司（天然气和电力）EDP（Energias de Portugal）遭Ragnar Locker勒索软件攻击，10TB的敏感数据文件遭泄，赎金高达1090万美金。根据EDP加密系统上的赎金记录，攻击者能够窃取有关账单、合同、交易、客户和合作伙伴的机密信息。 6月