有幸收到AC2015参会邀请,怀着崇高的敬意和期待,昨天下午来到腾大参加这次活动。AlloyTeam出品过很多有意思的作品,也有许多知名的开源项目,想必作为前端er都会有所耳闻,最初知道这个团队是通过CodeTank ,也为后面“墙来了”H5体感游戏创意与新技术的契合所深深折服。AC2015是合金团队成立以来开办的首届技术大会,往后计划每年一期,会上分享合金团队这一年里产生的作品和技术成果。
12月
13
11月
08
离开只是选择
发表于 • 字数统计 447 • 阅读次数
很多知道我做出这个选择的人都会发问“腾讯待遇那么好,为什么去平安呢”,这里我想说的是,腾讯确实是很不错的机会,员工福利方面也是有口皆碑,但毕竟这么大的体量,内部也绝非铁板一块,有厚必有薄
(就好像这么问我的人,出发点大概也有几种:有的出于关心有的确实好奇,有的也许心里已有“答案”,只想看你如何应对)。对于处于我当时那种:有一定实战经验,能干活,但眼界欠缺且经济基础薄弱的情况,稳定舒适的环境未必尽好。重视的项目,除非资源紧张基本分配到资历深的人员;分配到手的任务,为了求稳也可能得在技术方案上做些妥协,否则就将面对一轮轮的系分、评审… 最后只能用“老员工这么考虑有其前瞻性”,“leader需要对项目进度把控”来说服自己。于是创意蛙所处池子水温+1… 当然这一切仍是公平的——毕竟同样岗位同样的活,前辈们付出更多、也放弃过机会,
但公平并不意味着你就该放弃放弃的权利。在加入TID满一年的关口我选择了退出,原因仍是探求最适合那时的自己的环境,就好比小时候爱玩沙子,长大一点了觉得积木更有趣,就这么简单。
最后,引用下腾讯校友会看到的一句话:离开只是选择。希望再次相遇的(如果有机会的话),是发展得更好的腾讯和成长的更好的自己。
10月
05
质疑小米帐号体系安全性的
发表于 • 字数统计 885 • 阅读次数
前段时间发现自己的小米帐号被盗,因为绑定过手机邮箱,本以为可以很方便地找回;却发现手机也被重新绑定了,邮箱被解绑,很显然是被恶意申诉了。随后提交的两次申诉都被驳回,无奈只好找客服反馈,还特意截了早期密保手机设置成功和异常登录提醒邮件的图。本以为胜券在握,上午接到的电话反馈才大吃一惊。
首先客服MM确认了帐号31385972目前的属主不是我的158***手机;原因是帐号被申诉通过,原有的绑定信息都被解除,而提交的两次申诉失败原因其实是因为客服在核对申诉信息前会联系目前绑定该帐号的手机确认,盗号者自然否认提出申诉了,于是申诉流程终止……
06月
06
05月
17
掌握这两招,让你变身K吧人气达人——论KM上的两个CSRF漏洞
发表于 • 字数统计 791 • 阅读次数
从绿盟科技的《2014互联网金融安全报告》中可以看到,XSS和CSRF漏洞依然是影响比较突出的两个安全问题。
在这里分享下之前发现的两个内网知识管理系统(KM)的问题,KM系统个人主页的访问记录和关注操作都接受GET请求,只需要构造请求就可以实施一次CSRF攻击。
先看看增加关注者的方法。通过网页代码可以看到,在他人的个人主页上点击“添加关注”按钮时调用的是getJSON方法,且未验证请求来源,于是要欺骗系统就变得异常简单,只需要满足两个条件:
- 构造请求到关注接口;
- cookie中带有用户信息(用户已经登录)。