随着信息安全问题日益突出，信息安全已上升至国家战略，自主可控，国产化替代已成为历史趋势。2019年开始我国信息、网安领域企业逐渐发力“安全可靠工程”，安全可靠工程战略意义在于证明我国具有安全可靠关键系统、关键应用及关键软硬件产品的研发集成能力，能够初步实现对国外信息技术产品的全方位替代，在新的历史起点上构建起网络安全的“铜墙铁壁”。在党政办公及国家重要信息系统推进国产化替代，实现安全可靠、自主可控，保障国家信息安全的工作已全面展开。

安可名录

安全可靠技术和产业联盟主要成员单位包括联盟理事和联盟会员两大类。
其中联盟理事（19家）又分为：集成厂商（10家）、测试厂商（4家）、互联网厂商（3家）和高等院校（2家）四大类。

集成厂商（10家）包括：
华宇软件、神州航天软件、东华软件、东软集团、航天信息、浪潮软件集团、神州信息、太极股份、同方股份、中国软件

测试机构（4家）包括：
国家工业信息安全发展研究中心、中国电子技术标准化研究院、工业和信息化部电子第五研究所、中国电子信息产业发展研究院

互联网厂商（3家）包括：
阿里云、金山软件、华为技术

高等院校（2家）包括：
北京航空航天大学、北京理工大学

联盟会员则包含：芯片厂商（7家）、集成厂商（12家）、整机厂商（8家）、操作系统厂商（9家）、数据库厂商（6家）、中间件厂商（3家）、流版签厂商（7家）、外设固件厂商（3家）、安全厂商（6家）、网络厂商（3家）、互联网厂商（2家）、存储厂商（5家）和应用软件厂商（2家）共十二大类。

芯片厂商（7家）包括：
上海兆芯（X86）、东土军悦（交换机芯片、东土科技）、国科微（安防、存储、物联网芯片）、盛科网络（交换机芯片、中国电子、振华科技）、天津飞腾（ARM、中国长城、振华科技）、上海高性能集成电路设计中心（Alpha、申威）、龙芯中科（MIPS）

集成厂商（12家）包括：
百得科技、华胜天成、中软信息（中国软件）、广东省信息工程公司、中科软、南威软件、太极信息（太极股份）、烽火信息（烽火通信）、万达信息、中软系统（中国软件）、中科九洲、长城软件（中国软件）

整机厂商（8家）包括：
上海仪电智通、联想长风、华胜天成、长城科技（中国长城）、宝德网络、曙光信息（中科曙光）、百信信息、北京计算机技术及应用研究所（航天二院706所）

操作系统厂商（9家）包括：
中科方德（兆芯）、一铭软件、湖南麒麟信安（中国软件）、天津麒麟（中国软件）、思普投资（X86）、深之度、普华基础软件（中国电科）、航天国盛（航天科技）、中标软件（中国软件）

数据库厂商（6家）包括：
武汉达梦（中国软件）、神舟通用（航天科技）、人大金仓（太极股份）、南大通用、恒辉信达、瀚高基础软件

中间件厂商（3家）包括：
金蝶天燕中间件、东方通、中创软件

流版签厂商（7家）包括：
金格科技（电子签章）、方正国际软件（电子文档）、书生电子（启明星辰、安全文档）、数科网维（版式OFD）、航天福昕（文档OFD）、安证通（电子签章）、永中软件（office，办公软件）

外设固件厂商（3家）包括：
立思辰（文件管理）、中电科技（中国电子、BIOS等）、光电通信（传真机）

安全厂商（6家）包括：
星网锐捷（通信、安全）、中孚信息（安全保密）、安宁创新（邮件、消息）、中安网脉（密码、存储）、海泰方圆（密码、安全）、卫士通（密码、芯片、系统）

网络厂商（3家）包括：
紫光集团（从芯到云）、迈普通信（中国电子、网络设备）、仰联信通（交换机）

互联网厂商（2家）包括：
拓尔思、恒生电子

存储厂商（5家）包括：
滕凌科技（存储）、亚细亚智业（存储灾备）、同有科技（存储）、鲸鲨软件（存储）、鼎甲科技（中国电子、灾备）

应用软件厂商（2家）包括：
慧点科技（太极股份、管理软件）、华电园技术（办公自动化）

国产化软硬件资源

应用软件
监控国产数据库：达梦数据库、南大通用、人大金仓、神舟通用；

大数据产业下，对金融、电信、航空、制造等行业影响非常明显，其中国产数据库的作用被不断提升，担负起捍卫国家信息安全和技术的重任。
监控国产中间件：东方通、中创、金碟等中间件；

中间件一直是基础软硬件发展中不可缺少的一环，占居重要的地位。2018年以来本土中间件加快进入电信、金融、政府等行业，由东方通作为开拓者和领导者，中创、宝兰德等追其后。

操作系统
监控中标麒麟、银河麒麟、深度科技、红旗、中兴新支点等操作系统；

在持续的贸易战背景下，由于我们受到了外国的管控，操作系统等核心技术一度面临被限制使用的局面，于是国产操作系统被推到了风口浪尖。

硬件资源
监控国产服务器：华为、曙光、H3C、联想、浪潮；
国产服务器发展已将近二十载，二十载潮起潮落，国产服务器已涌现出联想、曙光、浪潮、华为等一批民族品牌。现在国产服务器已抢占更多服务器市场份额。

监控国产存储设备：华为、曙光、H3C、同有、浪潮；

网络资源
监控国产网络设备：华为、H3C、仰联、TP-LINK、ZTE中兴、锐捷等；

监控国产安全设备：天融信、启明星辰、绿盟、网康、趋势科技、山石网科等；
中国最核心的网络安全设备大部分依赖于进口，不具有强大的防御与反击能力，安全问题依然严峻。单靠技术无法抑制网络安全事件增长。核心网络设备国产化是解决这一问题最好的办法。



应用环境
兼容国产数据库：达梦数据库、南大通用、人大金仓、神舟通用；

兼容国产中间件：东方通、中创、金碟等中间件；

硬件环境

兼容国产服务器：华为、曙光、H3C、联想、浪潮；
兼容国产 CPU：龙芯、飞腾、海思、鲲鹏、展讯通信；

系统环境
兼容国产操作系统：中标麒麟、银河麒麟、深度科技、红旗、中兴新支点；

DMARC是一种基于现有的SPF和DKIM协议的可扩展电子邮件认证协议，在邮件收发双方建立了邮件反馈机制，便于邮件发送方和邮件接收方共同对域名的管理进行完善和监督。

DMARC要求域名所有者在DNS记录中设置SPF记录和DKIM记录，并明确声明对验证失败邮件的处理策略。邮件接收方接收邮件时，首先通过DNS获取DMARC记录，再对邮件来源进行SPF验证和DKIM验证，对验证失败的邮件根据DMARC记录进行处理，并将处理结果反馈给发送方。

DMARC能够有效识别并拦截欺诈邮件和钓鱼邮件，保障用户个人信息安全。

例子：paypal.com的dmarc记录

_dmarc.paypal.com       text = “v=DMARC1\; p=reject\; rua=mailto:d@rua.agari.com\; ruf=mailto:dk@bounce.paypal.com,mailto:d@ruf.agari.com”

二、DMARC记录中常用参数

adkim：（纯文本；可选的；默认为“r”）表明域名所有者要求使用严格的或者宽松的DKIM身份校验模式，有效值如下：

       r: relaxed mode

       s: strict mode

aspf：（纯文本；可选的；默认为“r”）表明域名所有者要求使用严格的或者宽松的SPF身份校验模式，有效值如下：

       r: relaxed mode

       s: strict mode

fo：故障报告选项（纯文本；可选的；默认为0），以冒号分隔的列表，如果没有指定“ruf”，那么该标签的内容将被忽略。

       0：如果所有身份验证机制都不能产生“pass”结果，那么生成一份DMARC故障报告；

       1：如果任一身份验证机制产生“pass”以外的结果，那么生成一份DMARC故障报告；

       d：如果消息的签名验证失败，那么生成一份DKIM故障报告；

       s：如果消息的SPF验证失败，那么生成一份SPF故障报告。

p：要求的邮件接收者策略（纯文本；必要的）表明接收者根据域名所有者的要求制定的策略。

       none：域名所有者要求不采取特定措施

       quarantine：域名所有者希望邮件接收者将DMARC验证失败的邮件标记为可疑的。

       reject：域名所有者希望邮件接收者将DMARC验证失败的邮件拒绝。

pct：（纯文本0-100的整型；可选的，默认为100）域名所有者邮件流中应用DMARC策略的消息百分比。

rf：用于消息具体故障报告的格式（冒号分隔的纯文本列表；可选的；默认为“afrf”）

ri：汇总报告之间要求的间隔（纯文本32位无符号整型；可选的；默认为86400）.表明要求接收者生成汇总报告的间隔不超过要求的秒数。

rua：发送综合反馈的邮件地址（逗号分隔的DMARC URI纯文本列表；可选的）

ruf：发送消息详细故障信息的邮件地址（逗号分隔的DMARC URI纯文本列表；可选的）

sp：要求邮件接收者对所有子域使用的策略（纯文本；可选的），若缺省，则“p”指定的策略将应用到该域名和子域中。

v：版本（纯文本；必要的）值为“DMARC1”，必须作为第一个标签。

三、格式定义

dmarc-uri = URI [ “!” 1*DIGIT [ “k” / “m” / “g” / “t” ] ]

例如：“mailto:reports@example.com!50m”表示要求通过邮件发送给“reports@example.com”的报告的有效载荷不超过50MB。

dmarc-record = dmarc-version dmarc-sep

                            [dmarc-request]

                            [dmarc-sep dmarc-srequest]

                            [dmarc-sep dmarc-auri]

                            [dmarc-sep dmarc-furi]

                            [dmarc-sep dmarc-adkim]

                            [dmarc-sep dmarc-aspf]

                            [dmarc-sep dmarc-ainterval]

                            [dmarc-sep dmarc-fo]

                            [dmarc-sep dmarc-rfmt]

                            [dmarc-sep dmarc-percent]

                            [dmarc-sep]

dmarc-version = “v=DMARC1”

dmarc-sep = “;”

dmarc-request = “p=(none/quarantine/reject)”

dmarc-srequest = “sp=(none/quarantine/reject)”

dmarc-auri = “rua=dmarc-uri *(,dmarc-uri)”

dmarc-furi = “ruf=dmarc-uri *(,dmarc-uri)”

dmarc-adkim = “adkim=(r/s)”

dmarc-aspf = “aspf=(r/s)”

dmarc-ainterval = “ri= 1*DIGIT”

dmarc-fo = “fo=(0/1/d/s)*(:(0/1/d/s))”

dmarc-rfmt = “rf= Keyword *(:Keyword)”

                     ; 仅用于报告格式注册

dmarc-percent = “pct=1*3DIGIT”

四、例子

1、用dig命令查询DMARC记录

% dig +short TXT _dmarc.example.com.

“v=DMARC1; p=none; rua=mailto:dmarc-feedback@example.com;

ruf=mailto:auth-reports@example.com”

注意：DMARC DNS TXT记录的拥有者字段必须始终为“_dmarc”，若指定该记录应用到域或子域，可以采用“_dmarc.example.com”的形式。

2、DMARC DNS记录

; DMARC record for the domain example.com

_dmarc IN TXT ( “v=DMARC1; p=none; “

                                   “rua=mailto:dmarc-feedback@example.com; “

                                   “ruf=mailto:auth-reports@example.com” )

参考文献

1、DMARC RFC协议：http://tools.ietf.org/html/rfc7489

2、DMARC官方网站：https://dmarc.org/

主要的发布版本是2.1与3.0两个版本。

2.1版本支持 windows版本的 IE5.5/6/7/8/9 ，不支持 mac版本的IE版本 及 opera、sanfari 等非MSIE浏览器。2.1版本，支持 兼容性视图的 IE10/11 降级使用编辑器。

3.0版本主要添加对mozilla基金会的 gecko 引擎 的支持，包括 firefox 2002之后的版本，基本是适应mozilla旗下早期阿尔法0.99版本之后的所有firefox。自2003年之后，添加 包括兼容 khtml（like gecko）的现代浏览器，这列表包括2007~2009之后的系列PC浏览器，包括 微软IE11、apple safari、Google chrome、Opera等。

2009年之后，apple safari mobile及google chrome moblie等 移动浏览器兴起，web标准逐步向移动化进化，作为桌面端浏览器的在线可见即可得编辑器的htmlArea到达生命周期的后期，作者停止后续维护。

待续

Cache-Control general-header字段用于指定指令，请求/响应链中的所有缓存机制都必须遵守这些指令。伪指令指定旨在防止缓存不利地影响请求或响应的行为。这些指令通常会覆盖默认的缓存算法。高速缓存伪指令是单向的，因为在请求中存在伪指令并不意味着在响应中将给出相同的伪指令。

      请注意，HTTP / 1.0缓存可能未实现Cache-Control和
      可能仅实现Pragma：no-cache（请参阅第14.32节）。

缓存指令必须由代理或网关应用程序传递，无论它们对该应用程序的意义如何，因为这些指令可能适用于请求/响应链中的所有接收者。无法为特定的高速缓存指定高速缓存指令。

    Cache-Control =“ Cache-Control”“：” 1＃cache-directive

    缓存指令=缓存请求指令
         | 缓存响应指令

    缓存请求指令=
           “无缓存”；第14.9.1节
         | “无存储”；第14.9.2节
         | “ max-age”“ =”增量秒；第14.9.3节，14.9.4节
         | “ max-stale” [“ =” delta-seconds]; 第14.9.3节
         | “ min-fresh”“ =”增量秒；第14.9.3节
         | “不变换”；第14.9.5节
         | “仅当缓存”；第14.9.4节
         | 缓存扩展 第14.9.6节

     缓存响应指令=
           “上市” ; 第14.9.1节
         | “ private” [“ =” <“> 1＃field-name <”>]; 第14.9.1节
         | “ no-cache” [“ =” <“> 1＃field-name <”>]; 第14.9.1节
         | “无存储”；第14.9.2节
         | “不变换”；第14.9.5节
         | “必须重新验证”；第14.9.4节
         | “代理重新验证”；第14.9.4节
         | “ max-age”“ =”增量秒；第14.9.3节
         | “ s-maxage”“ =”增量秒；第14.9.3节
         | 缓存扩展 第14.9.6节

    缓存扩展=令牌[“ =”（令牌|引号字符串）]

当出现没有任何1＃field-name参数的指令时，该指令将应用于整个请求或响应。当这样的指令带有1＃field-name参数时，它仅适用于一个或多个命名字段，而不适用于请求或响应的其余部分。该机制支持可扩展性。HTTP协议未来版本的实现可能会将这些指令应用于HTTP / 1.1中未定义的标头字段。

缓存控制指令可以分为以下一般类别：

      -对可缓存内容的限制；这些只能由
        原始服务器。

      -对缓存可能存储的内容的限制；这些可能是
        由原始服务器或用户代理强加。

      -修改基本到期机制；这些可能是
        由原始服务器或用户代理强加。

      -控制缓存重新验证和重新加载；这些可能只是
        由用户代理强加。

      -控制实体的转换。

      -扩展缓存系统。

https://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html

近日，著名解压缩软件WinRar被披露存在一个长达19年历史的漏洞, 该漏洞位于unacev2.dll库. 攻击者可构造恶意ACE文档, 使其在解压时释放任意文件到部分目录(由于winrar默认运行在中等权限级别下, 故该漏洞无法释放文件在一些需要管理员权限才能修改的目录)，赤豹安全实验室对该漏洞进行了详细分析。

2 漏洞介绍

威胁类型：目录穿越漏洞

威胁等级：高

漏洞名称：

CVE-2018-20250

CVE-2018-20251

CVE-2018-20252

CVE-2018-20253

受影响系统及应用版本：

所有包含unacev2.dll的应用软件, 例如winrar, 2345好压, bandizip等.

补丁下载地址：直接删除库文件即可.

3 漏洞危害

当用户解压精心构造的ACE压缩文件时, 攻击者可在“C:Users<username>AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup”目录下释放恶意EXE文件. 当用户再次启动计算机时, 恶意代码随之执行. 系统被完全控制.

4 漏洞分析

1. 通过使得GetDevicePathLen的返回值大于0, 实现以压缩包内相对路径作为解压目的完整路径, 无视用户指定的解压目的文件夹.

2. 要实现1, 那么相对路径的选择有以下两种:

3. 相对路径在被传入1之前, 会经过unacev2.dll中CleanPath函数的处理, 该函数会将选项1中开头的”C:”删除一次, 所以为了保持不变, 可以设置两个”C:”:

选项2不受此函数影响.

4. winrar主体代码中有回调函数会再检验上述相对路径. 在ace文件解压过程中, 该回调函数会被调用, 用来检测相对路径的合法性, 若相对路径以’’开头, 那么解压过程会被终止, 故选项2不可行. 所以最终, 采用选项1的方式触发目录穿越漏洞.

5 解决方案

建议使用”Everything”软件(32位或64 位), 全盘搜索”unacev2.dll”并删除该文件.

对winrar, 可下载最新版32位或64位, 新版已删除了此文件.

Everything使用说明:

根据系统版本, 选择64位或32位安装包，安装完毕后, 打开该软件, 并输入”unacev2.dll”, 可以得到:

全选并删除即可:

来源参考：
1、InnoDB全文索引：N-gram Parser
2、MySQL中文全文检索demoSQL（ver<=5.6）
3、MySQL5.6 InnoDB中文全文索引测试
4、SCWS 中文分词 ^v1.2.3 SCWS中文分词，词典词性标注详解
5、MYSQL中的中文模糊搜索除了使用全文索引外还有什么办法呢？
6、MySQL中文全文搜索用迅搜还是Sphinx？

（segmentfault很靠谱） & 待查：

安装在Linux上的则需要进行转编码(urlencode / base64_encode / json_encode / 区位 / 拼音)等方案，具体方案参看其它博文。

你心目中最难忘的侯捷老师的文章有哪些？
https://www.zhihu.com/question/30354267

最後﹐給侯先生摘錄幾條一個Python暢銷書作者Mark Lutz自己列于網站的講課收費標準作參考﹐也讓大家看看什麼是美國的知識有價。($40k-$60k在這裡屬於中產階級的收入﹐大家可以比較一下)

Standard course fee: $7500 (3 days), $6000 (2 days)
Travel expenses fee: $1000 (average, or fixed)
For a 3-day on-site course, 15 students, you make copies: $8500
To keep things simple, I prefer to charge the $6000/$7500 flat-rate fee (plus expenses) for the course. But as a basis of comparison, at the $6000 2-day rate, this comes out to $3000 per day, or $400 per student (for 15 students). At the $7500 3-day rate, that’s $2500 per day, or $500 per student. Depending on your situation, also add in the copying costs and travel expenses to get more accurate day/student figures.

詳見: http://home.rmi.net/~lutz/mytrain.html

摘自：http://jjhou.boolan.com/article03-11.htm