为什么应该使用密码管理软件
https://medium.com/s/the-firewall/episode4-password-managers-ce5576e96e85

几种密码管理软件的比较
https://medium.com/@QuantopianCyber/head-to-head-evaluation-of-five-password-managers-8faa4851c767

看了第一篇文章对这个重要性应该就有基本认识了，文章有点啰嗦可选择性阅读。

我也遇到过这样的问题，在 V 站上也已经不是第一次出现，看起来这是一个特定情况下会出现的小概率 bug。

https://www.v2ex.com/t/524051

遇到这种事情大家会优先怀疑用户密码是不是记错了，而不是怀疑 Apple。

#18 @opengps 这样是完全错误的做法，全局替换非常容易造成一些安全问题，如果我这样写的话 \' 会变成 \''，会将第一个单引号转义，第二个单引号就逃逸出来了，造成 SQL 语句闭合引起注入。

很多问题都是因为一些程序员所谓的“小聪明”导致的，好的坏的程序员都犯过这种错误。 请严格遵守最佳实践。

@mostkia #7 如果是这样的话，在将这些字符还原的场景下，会带来一些意想不到安全隐患，考虑如下情况：

比如，你有一些数据需要展示出来，如用户名，地址等消息，我注册的时候随便填的数据，比如 <script>alert(1)</script>，你 base64 放到数据库了，展示的时候解码展示，就会造成 XSS。

为了避免上述问题，你还是需要对用户输入的数据进行过滤和限制，这就让你的 Base64 编码失去了最初的意义。 另外，由于你对入库的数据做了编码转换，这会导致一些数据不直观，数据还需要多做处理，浪费性能。

所以为了达到安全的最佳实践，建议不要自己想出一些方法，这会引起其他意想不到的问题。

总的的说，如果某方法简单有效，那么肯定有人已经想到且运用上了。

没搞懂 base64 怎么防注入的，我的理解是你传入后端的时候编码一下，你后端收到数据的时候再解码，然后拼接这个 SQL 语句进行查询，这样除了一些乱码外其他好像没啥作用啊，比如我写这样的语句，1' and 1=1，base64 编码解码后不还是一样的吗，怎么防止注入的？

噢应该可以防止宽字符注入，其他的好像不行。 要不就是我理解错你的意思了。

https://i.imgur.com/56WNNsS.png

已经 report abuse， 本来还想把之前挖矿的内容也写进去一起增加可信度的，没想到作者没扛住压力已经去掉来挖矿程序。https://github.com/b3log/pipe/commit/0782cc33c02f1778adc15c1937d5e5c1fa897052

这不是前端的问题，甚至跟前端一段关系都没有。

绝大部分安全问题都是后端，纯前端的问题较少且一般危害较小，如 XSS

写得不错，v2 上鲜能看见恶意样本分析的帖子，值得学习。

我看了一下，既然释放出来的样本和原始一样，那应该叫做复制吧，不是刚好很巧的哈希一样。刚好这一块没有看到你贴出来 ida 的分析图，不知道调用了哪些 api 实现的。这一块感觉可以改一下措辞。

进程通讯白加黑的这个技术也可以拓宽来讲一下。一般意义上的白加黑是用签名文件加 Dll 劫持来实现的，既然这里这个技术实现不一样，感觉可以作为亮点来突出一下。


一般会通过反转文件名和后缀来实现欺骗的效果，虽然过时，在 APT 的攻击套路中还是很常见的，配合一些探针，有时候有奇效。

另外威胁情报这一块很有价值，如果想让报告变得更加饱满有深度，可以尝试挖下这个组织的其他信息，当然这块还是有点难度的。

手机回复，纸上谈兵，有不对的欢迎指正。

因为 qq 没有给我正规邮箱的感觉。

最重要的一点，这么多年，连一个 TOTP 二次认证都不支持，更别说 smart card 之类的了，就给了一个固定密码验证，毫无大厂风范。

qq 邮箱历史上爆出过数次重大安全漏洞，黑产也更喜欢 qq 邮箱，这是我对 qq 邮箱不信任的最重要原因。

除开安全问题之外，qq 邮箱也很难称得上是一个好的邮箱。极低的入门门槛，无意义的数字邮箱，泛滥的广告，久而久之就让人觉得 qq 邮箱的不专业。

重新换一个其他的邮箱，门槛并不是很高，但会让人觉得你很重视邮箱这个东西，无论隐私或者安全等。

https://github.com/rapid7/metasploit-framework 这个项目应该不算小了。

基本的项目协作流程就是代码全通过新开分支，Pull Request 提交，任何人可以 code review，有权限的人来负责合并。所有的改动都由 PR 来实现。

大体上就是这样，还有一些其他的，比如 CI 测试、代码规范、写 commit 的要求等等就属于比较细节的东西了。整体说来这个项目的流程非常规范合理，值得学习。

和我家猫长得基本一样，都是大白猫，三岁半母猫。

https://i.imgur.com/0lSD5q3.png

如果你足够专业，能够分得清哪些应用存在问题，知道怎么去避免这些问题的话，windows 会让你感觉非常的干净清爽，也不需要装安全软件去和其他应用勾心斗角。如果你是小白的话，那么就火绒省心。

作为占有率最高桌面系统，windows 系统是没有多大问题的，问题出在使用者和应用制造厂家，不装或者少装国产软件是一个非常有效的准则。 另外，不是因为 windows 做得不好才导致流氓软件和病毒高发，而是因为占有率高。Mac 也一样有这样问题，只是缺少利益作者懒得做。

说到底，我们缺乏的是对国产软件的信心。

人家让你拿个 shell，你问啥意思，你确定你面试的是安全岗吗？

很多人不是 985 研究生，不在一线城市，也不清楚楼主的技术实力和工作情况，只听到一个 package 40 就开始纷纷指责眼高手低，有一句话叫吃不到葡萄说葡萄酸，好像就是说这种情况吧。

楼主是过来真心求教的，大部分人无论在技术还是心态等方面都不如他，你们瞎给意见无所谓，但我劝楼主有的楼说的话就不要在意了，以自身情况为主来考虑，对一份工作来讲，薪资一般就占 50%的比重。

同样的情况，现在每天看见那个地方来的电话就直接挂断。