首页 文章 精选 留言 我的

精选列表

搜索[代码生成],共10000篇文章
优秀的个人博客,低调大师

巴克莱银行用网页时光机当作某些 JS 代码的“CDN”

云栖号资讯:【点击查看更多行业资讯】在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来! 巴克莱银行似乎一直在使用互联网档案馆的网页时光机(Wayback Machine)作为一个“内容分发网络”来获取一个 Javascript 文件。Twitter 用户 @immunda 发现了这个奇妙的事实,他在上周四发现这家英国金融机构正在从互联网档案馆调用 JS。 他与巴克莱 Twitter 账号的聊天机器人就此事白费了一番口舌,但随后他说自己已经找到了一位真人员工,后者承诺解决这个可笑的错误。据 The Register 的调查,这个奇妙错误的具体内容,应该是巴克莱在从互联网档案馆中的这个 URL 提取一个文件: web.archive.org/web/20200601165625/https://www.barclays.co.uk/content/dam/javascript/dtm/target.js 如果 web.archive.org 出现故障,可能也会拖垮巴克莱的网站。更大的风险是,如果有人设法更改这个 URL 上的 JS 文件,他们可以注入……拜托,他们想注入什么不是随意吗。JS 是互联网上以金融机构为目标的犯罪团伙最喜欢用的攻击媒介之一。萨里大学的 Alan Woodward 教授说:“受黑客利用的潜在风险只是问题的一个方面。归根结底,在网站上集成所有这些资产的是组织自己,决定从其他网站引用哪些资产的也不是别人,但想要确保自家网站安全性的话,起码你得搞清楚自己的网页都放了什么内容吧。”他还说:“谁会使用互联网档案馆来获取重要资产呢,比如本案中的 JS 文件或类似的重要数据?”信息安全研究员 Scott Helme 也在 Twitter 上讨论了这个话题,他做了一番研究,试图弄清为什么巴克莱要做这么愚蠢的事情。 他认为巴克莱的网站没有内容安全策略,所以开发人员可以随意添加第三方 JS 内容。另外他们也没有子资源完整性检查,所以如果互联网档案馆想在这个 JS 文件上做手脚,放一个键盘记录器、密码窃取程序、恶意重定向之类的黑客工具,那巴克莱会遭殃也是活该。 这种做法以前也有人咨询过,但那时就有人说这个想法太糟糕了,而且互联网档案馆并不想支持这种行径。信息安全公司 Eset 的 Jake Moore 认为这可能是某种测试,但后果失控了。他说:“这件事又一次提醒我们,测试流程应该完整而全面,尤其金融机构更应如此。” 媒体已要求巴克莱银行提供解释,但想来他们只会说:“我们有责任非常认真地保护客户的数据,这是我们最重视的工作。我们想告诉客户,这个错误并不会给他们的数据带来威胁。” 互联网档案馆的网页时光机功能主管 Mark Graham 也回应了此事:网页时光机的任务是帮助打造更好用,更可靠的互联网。人们在使用这一功能时探索出了众多创造性的用法来帮助实现上述目标,我们经常为他们的新奇想法而赞叹不已。特别是记者、学生、研究人员、学者、事实检查人员、活动家和公众,他们总能想出一些新点子。但银行一般并不会搞出什么花样来。 显然,巴克莱的某个人犯了一个错误(我们谁又没犯过错呢!)如果这一事件可以帮助更多的人了解网页时光机提供的免费服务,那这也未尝不是好事嘛! 【云栖号在线课堂】每天都有产品技术专家分享!课程地址:https://yqh.aliyun.com/zhibo 立即加入社群,与专家面对面,及时了解课程最新动态!【云栖号在线课堂 社群】https://c.tb.cn/F3.Z8gvnK 原文发布时间:2020-07-10本文作者:Gareth Corfield本文来自:“InfoQ ”,了解相关信息可以关注“InfoQ”

优秀的个人博客,低调大师

magic-api(原名 ssssssss)0.1.1 发布,无代码 HTTP 接口快速开发框架

magic-api 是一款以xml为基础自动映射为HTTP接口的框架,免去写controller、service、mapper等方法,XML采用与mybatis非常类似的语法,主要应用于中小型前后端分离的项目 本次更新内容: 改名为magic-api,原名ssssssss 新增支持缓存(默认实现LRU+TTL),可自定义 修复多数据源时无法使用默认数据源的BUG 修复分页查询时未释放数据库连接的BUG 修复打成Jar后无法读取XML的问题 优化缓存获取数据库方言 取消验证dtd 完善文档 相关博客:开发http接口只需要写SQL就可以了?magic-api:是的

资源下载

更多资源
Mario

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长,特征是大鼻子、头戴帽子、身穿背带裤,还留着胡子。与他的双胞胎兄弟路易基一起,长年担任任天堂的招牌角色。

Nacos

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称,一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Rocky Linux

Rocky Linux

Rocky Linux(中文名:洛基)是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版,作为CentOS稳定版停止维护后与RHEL(Red Hat Enterprise Linux)完全兼容的开源替代方案,由社区拥有并管理,支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性,采用模块化包装和SELinux安全架构,默认包含GNOME桌面环境及XFS文件系统,支持十年生命周期更新。

Sublime Text

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能,例如代码缩略图,Python的插件,代码段等。还可自定义键绑定,菜单和工具栏。Sublime Text 的主要功能包括:拼写检查,书签,完整的 Python API , Goto 功能,即时项目切换,多选择,多窗口等等。Sublime Text 是一个跨平台的编辑器,同时支持Windows、Linux、Mac OS X等操作系统。

用户登录
用户注册