資安

雪花算法 為什麼需要分佈式全局唯一ID 以及分佈式ID的業務需求？ 在複雜分佈式系統中，往往需要對大量對數據和消息進行標識 如在美團、支付、餐飲 中 系統的數據日漸增長，對數據分庫分表需要有一個唯一來標識一條數據或消息 此時一個能夠生成全局唯一ID的系統是非常有必要的 ID生成規則部分硬性要求 全局唯一 ：不能出現重複的ID，要 唯一標識 趨勢遞增 ：在Mysql 的InnoDB引擎使用的是聚集索引，由於多數RDBMS 使用的是Btree數據結構來存儲數據，在主鍵的選擇上面我們應該儘量使用有序的主鍵保證數據寫入 單調遞增 ：保證下一個ID一定大於上一個ID，例如事物版本號，增量消息 信息安全 ：如果ID是連續的，惡意用戶的扒取數據就非常容易來，直接按照順序下載指定的URL，如果是訂單號就更危險來，競爭對手可以知道我們一天的單量，所以在一些應用場景下，需要ID不規則

話題一：【阿里雲 Elasticsearch 產品發佈暨智能化運維之路】 當Elasticsearch 集群規模越來越多，自動化已經無法滿足運維同學的需求，如果Elasticsearch能提供智能診斷及數據分析能力，將會是一件“早下班的事”。 播放時段：13:00 – 13:10:39點擊播放：阿里雲 Elasticsearch 產品發佈暨智能化運維之路嘉賓講師：吳迪——阿里巴巴集團高級技術專家 話題二：【阿里雲 Elasticsearch 內核優化實踐】 貼合企業業務需求，並做到穩定、可用、安全特性是十分不易且高成本的事情，但阿里雲Elasticsearch不僅是“做到”而且是“做好” 播放時段： 13:10:39 – 13:20:03點擊播放：阿里雲 Elasticsearch 內核優化實嘉賓講師：馬華標

伴隨著互聯網浪潮的雄起，全球經濟體因互聯網發展及蔓延，自上而下發生了質的變化，企業線上化運營也成為了主要手段。線上化的第一步就是要在互聯網上擁有一張名片，也就是搭建一款屬於自己的企業網站。 初創企業或者創新項目要搭建一個官方網站，要面對大大小小服務商的千差萬別，產品的五花八門要如何選擇呢？怎麼選才能滿足企業的預期？搭建過程中要注意什麼？怎麼可以不踩“坑”？ 那我們講一講搭建過程中，要考慮的問題和需要躲過的一些“坑”。 【需求要整理】對於自身預期功能要精簡，去除天馬行空，以本質出發。（PS：最重要的是告訴客戶你要做什麼？無良服務商，會將複雜需求會變成太高價碼的基準。） 至於未來設想的長遠規劃採用分階段方式實現，切記在初期不要一次性完成現階段全部設想，因為在經營過程中會有變數，很大概率無法按預期直接觸達。 網站為了所謂的“未來”做了半年、一年甚至更久，導致遲遲沒有上線，會極大的影響企業的發展，造成業務無法落地，甚至導致企業直接倒閉。 所以分階段的需求整理，是必要的！ 【價格要合理】如果是初創期，也是驗證模式的階段，前期的投入資金無需過多，避免過程中轉型或失敗導致投入產出比嚴重不符。首次費用建議1000-10000元/年即可。到達中後期，可根據自身業務進展選擇升級配置、功能迭代、業務結合等，再單獨按需要的功能或形式進行投入。 很多商家打出“免費建站”的廣告語，這裡一定要了解清楚未必是真的免費。天下沒有免費的午餐，不要被廣告矇騙，對應產品要不是試用，或者閹割主要功能，後期還是要付費的。還有一種是免費的開源產品（PS:需要技術背景哦）但是獨立部署也需要承擔服務器的成本，並不是真正的“0”投入。（如下圖） 另外網站上線，還要擁有一個域名，域名的價格大概幾十塊錢一年非常便宜，一定不要讓別人欺騙。網上有很多的案例買一個域名花了幾萬元… 【選型要準確】建站市場現在有很多種類型，有智能自助建站，模板建站，半定製建站，全定製建站。比如阿里雲建站的速美和雲企建站。 如果時間充裕，並有興趣自己動手，可以選擇智能自助建站的方式，市面上很多智能建站產品，無需懂代碼也可以輕鬆製作網站，方便快捷，價格還不貴。 如果有技術實力，懂的編寫代碼，可以選擇一些開源的模板建站產品，通過獨立部署完成建站的方式。 如果沒有時間，也沒有技術背景，同時需要更好的視覺感，貼合自身業務的功能點，可以選擇半定製建站或全定製建站，由專業團隊來協助你完成。 選擇半定製/全定製建站產品，建議是一定選擇成熟的品牌服務商，才能安心選擇，使得網站快速上線。品牌服務商一定具備以下特徵：產品打磨有優勢，人員專業有積累，服務標準有保障。用阿里雲建站來舉例，從技術角度看，應用雲計算安全穩定，備案便捷，價格透明，產品豐富，體系化服務，很多客戶都可以快速選擇。 選擇服務商說的再直白一點，至少這家服務商不能比你的公司先倒閉吧？沒有到服務期限就找不到人了，網站出現問題都無從下手，再更換其他服務商的成本不次於重新制作，而且人力、物力及時間還不可控。 特別提醒：初期不太建議自己招募技術團隊，專項為公司官網負責開發，從招聘過程，人員規模，上崗培訓，無論是時間成本還是人力成本都會高於預算，沒有長期迭代的開發計劃，非常不適合。如果後期公司規模比較大，業務需求明確可以再選擇自己組建團隊。 【運營要便捷】網站上線後是需要企業組針對於企業官網要長期維護的，不是上線了這項工作就告一段落了，上線其實是運營的剛剛開始，最簡單的需要定期更新一些網站的的相關內容，所以一定要選擇便於自己維護的產品，而不是每次修改都需要經過服務商。 之前有個案例：客戶要參加某展會，急需修訂產品信息，但是服務商一直聯繫不到，聯繫到之後愛答不理說修改還要單獨付費，沒有辦法企業組因為急需只能黯然接受。 所以很多服務商收取每年維護費用，選擇時一定要弄清楚維護包括哪些內容，不要犯上面案例的錯誤。

網頁訪客第一眼看到的網站，不是優美的版式或者美麗的圖片，而是網頁的色彩。可見網頁色彩對於網頁設計是多麼重要，本篇重點講述網頁色彩設計與搭配的技術。 在任何一個設計中，色彩對視覺的刺激都起到的是第一信息傳達的作用。網頁中的色彩設計是最直接的視覺效果，不同顏色的運用會給人以不同的感受。 高明的設計師會運用顏色來表現網站的理念和內在品質。為了能更好地應用色彩來設計網頁，需要掌握以下色彩基礎知識。 **一、認識色彩** 自然界中的顏色五顏六色、千變萬化，比如紅色的玫瑰，藍色的大海，橙色的橘子……但最基本的色彩其實只有3種：紅、黃、藍。其他的色彩都可以由這3種色彩調和而成，通常稱這3種色彩為“三原色”。 大家平時看到的白色光經過分析，在色帶上可以看到，它包括紅、橙、黃、綠、青、藍、紫7種顏色，各種顏色之間自然過渡，其中紅、綠、藍是三原色，三原色通過不同比例的混合可以得到各種顏色。 現實生活中的色彩大致可以分為彩色和非彩色兩種，其中黑、白、灰屬於非彩色系列，其他的色彩都屬於彩色系列。任何一種彩色都具備三個特徵：色相、明度和飽和度，非彩色只有明度屬性。 同一色相的色彩調整一下亮度或純度很容易搭配，如深綠、暗綠、草綠、亮綠。例如，一些購物、兒童類網站用的是一些鮮亮的顏色，讓人感到絢麗多彩、生氣勃勃。明度越低，則顏色越暗。明度主要用於一些遊戲類網站，可使網站充滿神祕感。 非彩色只有明度屬性，沒有色相和飽和度屬性。那麼網站設計時用彩色還是非彩色好呢？根據專業研究表明：彩色的記憶效果是黑白色的3.5倍。也就是說，在一般情況下，彩色頁面相比黑白頁面更加吸引人。 通常是將主要內容（比如文字）用非彩色（黑色），邊框、背景、圖片這些用彩色。這樣整體頁面顯得不單調，和諧統一。 二、網頁的安全顏色 在網頁中，常以RGB模式來表示顏色的值，RGB表示紅（Red）、綠（Green）、藍（Blue）三原色。通常情況下，RGB各有256級亮度，用0~255表示。 對於單獨的R、G或B而言，當數值為0時，代表這種顏色不發光；如果為255，則代表這種顏色為最高亮度。當RGB這3種色光都發到最強的亮度時（RGB值為255、255、255），表示純白色，用十六進制數表示為“FFFFFF”。 相反，純黑色的RGB值是0、0、0，用十六進制數表示為“000000“。純紅色的RGB值是255、0、0，意味著只有紅色R存在且亮度最強，G和B都不發光。同理，純綠色的RGB值是0、255、0，純藍色的RGB值是0、0、255。 按照計算，256級的RGB色彩總共能組合出約1678萬種色彩，即256256256=16777216，通常也被簡稱為1600萬色或千萬色，也稱為24位色（2的24次方）。既然理論上可以得出16777216種顏色，那為什麼又出現了網頁安全顏色範疇為216種顏色呢？這是因為瀏覽器的緣故。 網頁被瀏覽器識別以後，只有216種顏色能在瀏覽器中正常顯示，多於這個範圍的顏色有的瀏覽器顯示時就可能發生偏差，不能正常顯示。因此將能被所有瀏覽器正常顯示的216種顏色稱為網頁安全顏色範疇。 現在瀏覽器的性能越來越高，網頁的安全顏色範疇也越來越廣，但最安全的還是216種顏色。在Dreamweaver中，提供了具有網頁安全顏色範疇的調色板，可將網頁的顏色選取控制在安全範圍之內。 RGB模式是顯示器的物理色彩模式，這就意味著無論在軟件中使用任何色彩模式，只要是在顯示器上顯示，圖像最終就是以RGB方式出現。**網頁色彩的搭配** 打開一個網站，給用戶留下第一印象的既不是網站的內容，也不是網站的版面佈局，而是網站的色彩。色彩對人的視覺效果非常明顯。一個網站設計得是否成功，某種程度上取決於設計者對色彩的運用和搭配。因為網頁設計屬於一種平面效果設計，在平面圖上，色彩的衝擊力是最強的，它最容易給用戶留下深刻印象。**三、如何處理色彩** 色彩是人的視覺中最敏感的要素。網頁的色彩處理得好，可以錦上添花，達到事半功倍的效果。

雲服務器與物理服務器哪一種更適合企業應用部署呢？ 全球企業早已意識到利用高端技術來提高工作效率並獲得競爭優勢。從目前的輿論方向來看，部分企業的轉型主要圍繞著如何將舊系統和應用遷移到“雲”。而選用“雲”的原因，是因為它的可伸縮性，高效率和高可用性。然而，有些人也發現將業務從“雲”返回到傳統數據中心或進行內部部署基礎架構似乎更有意義。類似這樣的問題，每家企業每天都在煩惱著，是選擇雲服務器還有傳統服務器。 “雲”作為一種虛擬基礎架構，它並不是將數據本地存儲在個人計算機或公司網絡上，而是通過安全和集中的遠程平臺提供數據和共享資源。從本質上講，“雲”是數據中心的遠程版本，位於遠離公司的某個位置，讓你通過互聯網訪問數據。“雲”提供商執行持續的維護和更新，通常在多個地理位置擁有多個數據中心，以在中斷和其他故障期間保護客戶的數據。 一般所說的數據中心，它指一個物理數據存儲中心，由服務器和其他一系列配套設備組成的。這些設備可以保持數據在物理和虛擬上都可訪問。 而云計算服務是必須建立在數據中心等硬件平臺上。所以，無論它如何發展，也離不開物理數據中心的背後支持。 安全 雲計算改變了企業的工作方式。但它不是使用企業自己的服務器，而是將數據放置在提供此類服務的第三方手中。因此與物理數據中心相比，它可能不太安全或需要更多工作來確保安全性。 成本 說到成本，眾所周知，數據中心就是一隻燒錢的巨獸，主要體現在電費上。但在過去的十年裡，風能和太陽能等可再生能源的價格在補貼的支援下急劇下降。部分數據中心更是利用大自然的力量提供穩定的電力和冷卻效果，繼石油和煤等稀缺且昂貴的傳統能源，數據中心獲得了強大的運營成本支撐。 因此對於選用服務器託管的用戶來說，一來不用擔心未來電力供應不穩定導致停機的問題，二來逐漸降低的電費也是大家可期待的願景。 對於選用服務器租用的用戶來說，相較於託管，租用服務器成本較低，而且不用操心太多在服務器、帶寬、供電乃物理空間等諸多因素，安心專注業務發展即可。 哪個更適合 目前大部分指標都表明，雲已成為企業的關鍵戰略。最重要的是，混合和多雲的解決方案已為企業帶來了許多競爭優勢。 所以這兩者並沒有說孰優孰劣。只有充分了解自身業務，配合各自長處，才是最適合企業的選項。瞭解阿里雲企業級實例！ 雲服務器ECS地址：阿里雲·雲小站

今年十月，Google即將發佈Chrome瀏覽器86新版本的正式更新，這意味著Chrome將阻止所有類型非HTTPS的混合內容下載。 為進一步加固瀏覽器的安全防線，全球份額已達71%的瀏覽器霸主Chrome可謂“操碎了心”，早在今年2月份，Google宣佈：為了增強用戶下載防護體驗，Chrome瀏覽器將逐步阻止非“安全超文本傳輸協議”的混合內容下載，確保HTTPS安全頁面僅下載安全文件。 為什麼阻止HTTPS頁面的HTTP資源下載 HTTPS混合內容錯誤一直是網站推進HTTPS加密的一大阻礙。HTTPS混合內容錯誤是指，初始網頁通過安全的HTTPS鏈接加載，但頁面中其他資源（如：圖像、視頻、樣式表、腳本）卻通過不安全的HTTP鏈接加載，這樣就會出現混合內容錯誤（也就是不安全因素）。據谷歌報道，Chrome用戶在所有主要平臺上超過90%的瀏覽時間都使用HTTPS，但是這些安全頁面通常會加載不安全的HTTP子資源。 初期，Chrome屏蔽始於安全頁面的不安全下載。這種情況尤其讓人擔憂，因為Chrome當前無法向用戶表明其隱私和安全受到威脅。不安全的文件下載會威脅到用戶的安全和隱私。例如，攻擊者可以將通過HTTP下載的程序替換為惡意程序，竊聽者可以讀取用戶通過HTTP下載的銀行對賬單等。為了解決這些風險，谷歌計劃最終在Chrome中禁止加載不安全資源。作為去年宣佈的一項計劃的延續，Chrome將阻止“安全頁面”上的所有“非安全子資源”的接觸。 ​ Chrome阻止混合內容的六階段計劃表 從2020年4月的Chrome 82開始，Chrome瀏覽器便採取行動向用戶發出警告、進一步確保安全性，直至最終阻止“混合內容的下載” （安全頁面上的非HTTPS下載）支持。其中對用戶構成最大風險的文件類型（可執行文件）首先受到影響，後續版本將覆蓋更多的文件類型。 谷歌計劃首先在 Windows、macOS、ChromeOS 和 Linux 桌面平臺上推出對混合內容下載的限制。Chrome 團隊將這一過程分為六個步驟，分別是： ☞ Chrome 81（2020年 3

/* * 添加水印 * $imgSrc：目標圖片，可帶相對目錄地址， * $markImg：水印圖片，可帶相對目錄地址，支持PNG和GIF兩種格式，如水印圖片在執行文件mark目錄下，可寫成：mark/mark.gif * $markPos：圖片水印添加的位置，取值範圍：0~9 * 0：循環平鋪水印 * 1：頂部居左 2：頂部居中 3：頂部居右 4：左邊居中 * 5：圖片中心 6：右邊居中 7：底部居左

什麼是 Terraform 和雲產品開通 Terraform 一款開源的運行在客戶端的自動化資源編排工具，以 IaC 的理念實現雲資源的自動化運維。更多細節可以參考 Terraform 是什麼。 雲產品開通，顧名思義，就是阿里雲客戶在使用某些雲產品前，需要登錄雲產品官方控制檯，手動點擊開通按鈕來完成對當前雲產品的激活，在此之後才能通過 Terraform、CLI、API 等自動化的方式或者控制檯來操作和使用雲產品。就雲產品開通而言，阿里雲的雲產品分為兩大類： 免開通型產品即無需任何的手動開通操作，不管是 Terraform 等的自動化方式還是控制檯訪問，開箱即用，直接可以創建新的雲資源。典型的雲產品如彈性計算 ECS，網絡產品 VPC，負載均衡 SLB，彈性伸縮 ESS等。 開通型產品此類產品在使用和創建雲資源前，需要登錄控制檯完成開通動作，否則直接使用

前言   責任鏈是一種行為型模式。顧名思義，由多個有不同處理能力節點組成的一條執行鏈。當一個事件進來時，會判斷當前節點是否有處理的能力，反之轉入下一個節點進行處理。可以從支付的風控鏈這個場景，深入的理解責任鏈模式。 定義   責任鏈模式：包含了一些命令和一系列的處理對象。每一個處理對象決定了它能處理哪些命令對象，它也知道如何將它不能處理的命令對象傳遞給該鏈中的下一個處理對象。 如何理解   信用卡套現，花唄套現，白條套現，類似的名詞對於我們來講應該不陌生吧。在支付系統中會有一套風控系統，來避免發生類似的事情出現。而風控系統就是責任鏈模式的一種應用。 比如說給xxx商戶配置的風控規則是： TOP 信用卡 花唄 白條 木屋燒烤 500/日 300/日 300/日   當用戶向商家付款時，會根據不同的支付方式，來判斷是否觸發風控條件。如果達到觸發條件則不允許使用該方式支付。來避免發生信用卡套現類似的事情。 我們寫個簡單的風控程序來理解一下： UML 代碼示例 RiskHandler