过去的一年，我有幸为怎样保护一些重要且易受攻击的网络提供了咨询服务。我说它们易受攻击是因为他们已经遭受过多次攻击。所以，他们需要完善的安全措施。我知道，在网络安全业务中，即便投入了巨额预算，完美的安全保护措施仍是不可能的，相当不错的安全保护措施也很难做到。这就是为什么经常有人问我如何做好安全保护...

首先说明，这里所说的 Druid 并不是阿里巴巴的数据库连接池项目，而是 Eric Tschetter 创立的一个开源的分布式实时处理系统，希望为烧钱的大数据处理，提供一种更廉价的选择。为了解决查询延迟问题，使用 Hadoop 来实现交互式查询分析很难满足实时分析的需要。而 Druid 提供了以交互方式访问数据的能力，并权衡了查询的...

不久前，Visual Studio 2015上新增 Windows 10 应用的开发工具——Universal Windows App开发工具。这个发布拥有重大意义：开发者可利用最新的 .NET 技术开发 Universal Windows Platform (「UWP」) 应用，这些应用程序可运行在任一款 Windows 设备上——Windows 手机、平板电脑或者笔记本电脑、PC 机、Xbox 游戏机，以及 Wi...

Ping 是一个网络命令，主要是用于确定本地主机是否能与另一台主机交换（发送与接收）数据。根据返回的信息，就可以推断 TCP/IP 参数是否设置得正确以及运行是否正常。正常情况下，Ping 将返回若干个参数，丢失率为 0，当网络状态不佳或网络中断的情况下，Ping 操作将无法正常返回 TTL 参数（显示请求超时或其他 bug ）。

由于目前发现该漏洞存在于 Apache commons-collections， Apache xalan 和 Groovy 包中，也就意味着使用了这些包的服务器(目前发现有WebSphere， WebLogic，JBoss)，第三方框架(Spring，Groovy)，第三方应用(Jenkins)，以及依赖于这些服务器，框架或者直接/间接引用这些包的应用都会受到威胁，这样的应用的数量会以百万计。

**本文翻译自文章Web-Scale IT: The Enterprise Impact.作者Brendan Ziolo 在通信、网络和安全行业有着近20年的经验，在 Sipera Systems，Certicom 和 TimeStep 公司均担任过要职，他帮助这些公司构建并推出新的产品。**

随着互联网的发展，各种网络攻击手段也层出不穷，不管是大型企业还是中小企业，随时都有被攻击的危险，因此很多公司都会采取各种手段来维护自己服务器安全，其中比较常见的是采用内网环境，只设置一台代理服务器，其他服务器都走代理，这样即使遭受攻击对内网环境的服务器影响还是很小的。那这种情况下怎么监控服务器，...

我们知道大多数的 Android 应用程序都是通过和服务器进行交互来获取数据的。如果使用 HTTP 协议来发送和接收网络数据，就免不了使用 HttpURLConnection 和 HttpClient，而 Android 中主要提供了上述两种方式来进行 HTTP 操作。并且这两种方式都支持 HTTPS 协议、以流的形式进行上传和下载、配置超时时间、IPv6、以及连接...

OneAlert 是应用性能管理领军企业 OneAPM 公司旗下产品，也是国内首个 SaaS 模式的云告警平台，集成国内外主流监控/支撑系统，实现一个平台上集中处理所有 IT 事件，提升 IT 可靠性。想了解更多信息，请访问 OneAlert 官网 。

上一篇 WordPress 全方位性能优化指南（上）主要从网站性能指标、优化缓存、MySQL 等方面给大家介绍了如何进行 WordPress 性能优化，但还远远不够，毕竟像 WordPress 这样的大范围的被使用的主题模板，可以优化的地方还是很多的。

年关将至，Cloud Insight 正式版悄然上线了。没有大张旗鼓的宣传，也没有热热闹闹的庆祝，只是一群人在上线前踏踏实实的优化了两周，然后发版，就是这样一件简单的事。

如果你曾经遇到过 WordPress 管理界面加载缓慢、「MySQL 服务器崩溃」、网页一直无法加载等情况，或者你预计网站的流量将要大涨，相信本教程会对你有益。

我们都知道如果将所有的功能都写成 Library，那么我们在编写应用程序的时候就可以快速便捷的写出想要的功能，因为这些已经事先都实现过了，这样在写代码的时候就可以迅速的将 Library 依赖到我们的项目里。

不安全的直接对象引用时，Web 应用程序公开给用户内部实现对象。内部实现对象的一些例子是数据库记录、 Url 或文件。攻击者可以修改内部实现对象中企图滥用此对象上的访问控制。当攻击者这样做他们可能有能力访问开发人员不希望公开访问的功能。

内容安全策略 (CSP, Content Security Policy) 是一个附加的安全层，用于帮助检测和缓解某些类型的攻击，包括跨站脚本攻击 (XSS) 和数据注入等攻击。

早在九月份，编程界出现一个名为 json1.c 的文件，此前这个文件一直在 SQLite 的库里面。还有，笔者也曾总结通过使用新的 json1 扩展来编译 pysqlite 的技巧。但现在随着 SQLite 3.9.0 的发布，用户已经不用再费那么大劲了。

Java 8 已经发布一段时间了，许多开发者已经开始使用 Java 8。本文也将讨论最新发布在 JDK 中的并发功能更新。事实上，JDK 中已经有多处java.util.concurrent 改动，但本文重点将是 Fork-Join 框架的改进。我们将讨论一点 Fork-Join，然后实现一个简单的基准测试以比较 FJ 在 Java 7 和Java 8 中的性能。

对于商务运算来说一个比较稳定的趋势在于对 API 日渐增长的依赖性，几乎每一个代码级交互过程都会调用 API 来收集数据或触发某些关键过程。没有 API ，你将无法与同伴进行文件交流，没有 API ，沃尔玛也将无法运行其 VMI 系统。

在 OneAlert，我们经常与运维团队聊天。因为产品开发过程中，这样的对话有助于了解客户的真正痛点。「告警垃圾」——监控系统中时常涌现的告警洪流，是运维团队经常提到的一大痛处。

苹果公司通过 iPhone 6s 和 6s Plus 引入了与手机互动的全新方式：按压手势。你也许知道，苹果智能手表和苹果笔记本电脑早已具备这一功能，只是名称略有不同，为力感触控（Force Touch）。无不夸张地说，这一功能给用户界面增加了全新的维度。

在网上论坛，总是有成百上千的文章和帖子在讨论 PHP 和 ASP.NET，究竟谁才是更好的平台？不过很可惜，大部分人的观点总是带有偏见的，人们总会有意无意地推广自己喜欢的语言。

不断地校验与改进，不光是 OneAlert 提供安全方案的必备任务，也是持续监控与告警的必要条件。强健的系统能帮助我们主动找出问题，从而迅速解决。以下是常用的一些监控与告警技术。

现在越来越多的 App 都开始有广告了。特别是空气质量监测，和天气类的 App，广告还是蛮多的，眼花缭乱，真是够了。 最近刚好在用一款系统监控工具 Cloud Insight，它提供的 SDK 可以把任一数据上传到他们那做展示。 灵机一动，作为一个程序员，自己动手丰衣足食，没什么不能解决的。 pip install -i http://pypi.oneapm....

互联网的蓬勃发展，让无数的「屌丝」程序员在一夜之间，仿佛都变成了「香饽饽」。但是，没有几个做开发的同学真的想做一辈子「码农」，很多同学都希望当上CTO，最终迎娶「白富美」，从此过上幸福美满的生活。

本文主要分析以加密为目的的随机数生成问题。PHP 5 并未提供生成强加密随机数的简便机制，但是，PHP 7 引入了两个 CSPRNG 函数以解决该问题。系 OneAPM 工程师编译整理。

在 Droidcon London 听完一场 激励人心的演讲之后， 笔者决定深入研究安卓动画。本文集中展示了其研究结果，希望使开发者和设计者们意识到，为 Android 应用添加漂亮的动画并不复杂。

几年前，谷歌的一项统计表明，如果亚马逊页面加载每慢 100ms，将影响他们 1% 的收入；如果谷歌页面加载慢 500ms，流量将锐减 20%，这个数据现在必将更加恐怖！

任何企业对投资都有回报的要求，回报可能是直接的「利润」，达到短期、长期的目标，或者通过投资减少损失。因此每个项目的决策者在每笔投资前都要衡量 ROI，证明该投资能达到的效果和收益，以便在项目结束时可以考核和衡量项目是否成功。

对于许多 IT 和运维团队来说，Nagios 既是一个福音也是一个诅咒。一方面，Naigos 在 IT 应用的工作领域中，给予了你可以实时查看告警数据的可能性；但是另一方面，Nagios 也能够生成超级多的告警，对于任何一个运维人员或是运维团队来说都是 hold 不住的。

在这个计算机网络飞速发展的网络时代里，新兴的网络威胁正在不断「侵蚀」着的应用程序和核心数据的安全，各种繁杂的防护手段也随之接踵而来。众所周知，Gartner 是全球最具权威的 IT 研究与顾问咨询公司，WAF 和 RASP 就是在不同时期被 Gartner 分析师所推崇的两种防护技术。