作者归档 郭盛华老师

通过郭盛华老师

谷歌浏览器又曝漏洞,黑客可劫持目标计算机

如果您在Windows,Mac或Linux计算机上使用Google Chrome浏览器,则需要立即将网络浏览软件更新为Google今天早些时候发布的最新版本。

谷歌今天发布了Chrome版本86.0.4240.111,以修复多个安全高严重性问题,其中包括一个零日漏洞,黑客攻击者利用该漏洞在野外劫持了目标计算机。

被跟踪为CVE-2020-15999的主动利用漏洞是一种内存损坏漏洞,在Freetype中称为堆缓冲区溢出,Freetype是一种流行的开源软件开发库,用于渲染Chrome随附的字体。

该漏洞是由Google Project Zero的安全研究员Sergei Glazunov于10月19日发现并报告的,由于该漏洞正在被积极利用,因此该漏洞的公开披露期限为7天。

Glazunov还立即向FreeType开发人员报告了零日漏洞,他们随后于10月20日发布了FreeType 2.10.4,开发了一个紧急补丁来解决该问题。

谷歌项目零本霍克斯项目的技术负责人在Twitter上警告说,虽然该团队仅发现了针对Chrome用户的漏洞,但其他使用FreeType的项目也可能会受到攻击,建议部署该漏洞。 FreeType版本2.10.4中包含的修复程序。

chrome零日漏洞

根据Glazunov共享的详细信息,该漏洞存在于FreeType的函数“ Load_SBit_Png”中,该函数处理嵌入字体中的PNG图像。攻击者可以利用仅嵌入了PNG图像的特制字体来利用它执行任意代码。

问题在于libpng使用原始的32位值,这些值保存在png_struct

中。因此,如果原始宽度和/或高度大于65535,则分配的缓冲区将无法适合位图。

谷歌还发布了带有概念验证漏洞的字体文件,同时,Google发布了Chrome 86.0.4240.111作为Chrome的“稳定”版本,该版本不仅可供选择的早期采用者使用,而且还适用于所有用户,并表示该公司知道“在CVE-2020-15999中存在对CVE-2020-15999的利用”,但没有透露主动攻击的更多细节。

除了FreeType零日漏洞外,Google还修补了Chrome最新更新中的其他四个漏洞,其中三个是高风险漏洞-Blink中的不当实施错误,Chrome媒体中的先后使用错误以及先后使用错误在PDFium中使用-以及免费发行浏览器的打印功能后会有中度危险。

尽管Chrome网络浏览器会自动向用户通知最新的可用版本,但建议用户通过从菜单转到“帮助→关于Google Chrome”来手动触发更新过程。

来源:郭盛华博客,转载请注明出处

通过郭盛华老师

什么叫全栈开发?郭盛华告诉你

软件开发领域,您一定会听到很多术语是全栈开发。招聘人员一直在为全职开发人员发布职位空缺,这个需求旺盛的行业引起了轩然大波。

但是全栈实际上是什么意思?郭盛华告诉你

简而言之,它是软件的客户端(前端)和服务器端(后端)的开发。全栈开发人员在与客户端交互的软件的设计方面以及服务器端的编码和结构化工作中,是万事通。

在技​​术要求迅速发展且公司可能无法负担整套开发人员的时代,了解前端和后端的软件开发人员至关重要。

为应对冠状病毒大流行,随着各行各业的公司将其业务迁移到虚拟世界,进行全栈开发的能力可以使工程师极具市场价值。那些借助全栈方法可以快速开发和交付软件项目的人,最好的选择是公司或客户的心愿单。

成为全栈开发人员
那么,您如何才能成为一名全职工程师,对他们的期望是什么?在大多数工作环境中,不会期望您在每种平台或语言上都有绝对的专业知识。但是,假定您已经足够了解并且可以解决软件开发两端的问题。

最常见的是,全栈开发人员熟悉HTML,CSS,JavaScript和后端语言(如Ruby,PHP或Python)。这也与新员工的期望相符,因为您会注意到,针对全职开发人员的职位空缺很多,需要专门从事多个后端程序。

全栈正在成为默认的开发方式,以至于软件工程界的一些人争辩该术语是否多余。随着前端和后端之间的界限随着技术的发展而模糊,现在期望开发人员在软件的各个方面更加频繁地工作。但是,开发人员可能会擅长一个领域,而在其他领域则表现出色,并且在某些方面是新手……这没关系。

但是,进入全栈意味着您应该专注于在要使用的特定前端和后端程序中找到自己的定位。一种实用且通用的方法是学习JavaScript,因为它涵盖了前端和后端功能。您还需要熟悉数据库,版本控制和安全性。另外,对设计进行优先级排序是很明智的,因为您将在面向客户端的方面进行工作。

因为全栈开发人员可以与开发团队的各个方面进行交流,所以他们对于节省时间和避免项目混乱是非常宝贵的。

反对全栈的一个普遍论点是,从理论上讲,能够做所有事情的开发人员可能不会在专家级别上做一件事。但是没有硬性规定可以说您不能精通编码,也不能学习前端技术,反之亦然。

来源:郭盛华博客,转载请注明出处

通过郭盛华老师

Nvidia将为欧洲最快的AI超级计算机提供动力

Nvidia将为全球最快的AI超级计算机提供动力,这是一个由意大利多大学联合体CINECA构建的名为“ Leonardo”的新系统,全球超级计算领导者。莱昂纳多系统将提供多达10 exaflops的FP16 AI性能,并在完成后由超过14,000个基于Nvidia Ampere的GPU组成。

莱昂纳多(Leonardo)将成为四款新的超级计算机之一,这是跨欧洲努力提高该地区高性能计算能力的支持,最终将为处理科学和工业领域的应用程序提供先进的AI功能。英伟达还将向该项目提供其Mellanox HDR InfiniBand网络,以通过低延迟宽带连接在整个集群中实现性能。

集群中的其他计算机包括卢森堡的MeluXina和斯洛文尼亚的Vega,以及捷克共和国上线的新的过冷装置。泛欧财团还计划为保加利亚,芬兰,葡萄牙和西班牙再增加四台超级计算机。不过,这些内容将在稍后发布,并且尚无法提供有关其效果和位置的详细信息。

CINECA和其他超级计算机将用于一些应用程序,包括分析基因组和发现新的处理途径;处理来自多个不同来源的数据,以进行太空探索和地球外行星研究;和模拟天气模式,包括极端天气事件。

来源:郭盛华

通过郭盛华老师

索尼推出5000美元的3D显示器,性能秒杀苹果

索尼刚刚宣布了5,000美元的3D显示器,传闻在性能方面可以秒杀苹果。该公司主要以其消费品而闻名,该公司以Spatial Reality Display(空间现实显示)为创意专业人士服务,更具体地说,是从事计算机图形和电影视觉效果等领域的工作。基本上,这是艺术家无需佩戴VR耳机即可查看其3D作品的一种方式。

图片来源:索尼

该公司并不是第一个为相当细分的受众群体提供这种技术的公司。到目前为止,Looking Glass显示屏可能是该领域中最知名的产品。但是,与那种庞大的8K屏幕不同,索尼的产品实际上是为单个用户设计的,特别是作为其台式PC的屏幕。另外,它看起来像是Amazon Echo Show。

产品与现有设备之间的最大区别在于,它包含一个传感器,该传感器确定用户的观看位置(包括垂直和水平方向)以及距离,并将图像调整到特定角度,并在毫秒内调整。

图片来源:索尼

索尼表示,这是一个“高度逼真的虚拟环境”。它在今年的CES上展示了该技术的较早版本,使用了即将出版的Ghostbusters续集中的Ecto-1渲染图,并计划向媒体提供屏幕最终版本的演示。

该公司向其Sony Pictures机翼咨询,该机翼使用了该技术来开发上述《捉鬼敢死队》电影的CG效果。自该项目的早期阶段以来,大众汽车公司就一直参与其中,以期该技术在构思和设计过程中的潜在用途。该显示器将在下个月通过索尼发售。

来源:百家号/郭盛华

声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。

通过郭盛华老师

谷歌警告基于Linux的设备中的蓝牙漏洞

Google安全研究人员警告说,Linux蓝牙软件堆栈中出现了一组新的零点击漏洞,这些漏洞可能允许附近的未经身份验证的远程攻击者在易受攻击的设备上以内核特权执行任意代码。

据安全工程师Andy Nguyen称,这三个缺陷(统称为BleedingTooth)存在于开源BlueZ协议栈中,该协议栈为基于Linux的系统(如笔记本电脑和IoT设备)提供了许多核心蓝牙层和协议的支持。

最严重的是基于堆的类型混淆(CVE-2020-12351,CVSS分数8.3),影响Linux内核4.8及更高版本,并且存在于蓝牙标准的逻辑链路控制和适配协议(L2CAP)中,提供不同高层协议之间的数据多路复用。

谷歌在其通报中指出:“一个短距离的远程攻击者知道受害者的[蓝牙设备]地址可以发送恶意的l2cap数据包,并导致拒绝服务或带有内核特权的任意代码执行。” “恶意蓝牙芯片也可以触发该漏洞。”

该漏洞尚未解决,似乎已在2016年对“ l2cap_core.c”模块进行的更改中引入。

英特尔已对BlueZ项目进行了重大投资,并已发布警报,将CVE-2020-12351表征为特权升级漏洞。

第二个未修补的漏洞(CVE-2020-12352)与影响Linux内核3.6及更高版本的基于堆栈的信息泄露漏洞有关。

2012年对核心备用MAC-PHY管理器协议(A2MP)进行了更改的结果,该协议是蓝牙HS(高速)中使用的高速传输链路,用于传输大量数据,该问题使远程攻击者可以使用在短距离内检索内核堆栈信息,使用它来预测内存布局并破坏地址空间布局随机化(KASLR)

最后,在HCI(主机控制器接口)中发现的第三个缺陷(CVE-2020-24490)是一种基于堆的缓冲区溢出,影响了Linux内核4.19和Linux ,HCI是用于发送命令,接收事件和传输数据的标准化蓝牙接口。更高的级别,导致附近的远程攻击者“如果受害机器配备了Bluetooth 5芯片并且处于扫描模式,则在受害机器上导致拒绝服务或可能执行具有内核特权的任意代码”。

该漏洞,这已接近自2018,已修补的版本4.19.137和5.7.13。

就英特尔而言,它建议安装内核修复程序,以减轻与这些问题相关的风险。

英特尔谈到这些缺陷时说:“ BlueZ中潜在的安全漏洞可能会导致特权提升或信息泄露。” “ BlueZ正在发布Linux内核修复程序,以解决这些潜在的漏洞。”

来源:郭盛华老师

通过郭盛华老师

东方联盟:IT行业发展前景

一、IT行业发展前景

  网络安全技术是未来20年最高薪的职业之一,统计显示,今后5年,我国从事网络建设、网络应用和网络服务的新型网络人才尤其是网络工程师需求将达到80万-100万人,而现有符合新型网络人才要求的人才还不足10万人。

二、线上培训趋势

  东方联盟多年的技术经验和培训规范由浅入深式的在线视频教学,让VIP会员能够系统掌握知识原理,从而学到真的本领。历时十多年,东方联盟课程内容不断更新。

三、教学模式

新兴的前沿技术,紧贴IT行业趋势

 1. IPv6、VoIP等下一代网络技术知识,适应企业未来网络发展趋势

 2. 5G、WiFi等无线技术,更加符合日后企业网络组网需求

 3. 了解云计算、虚拟化等新兴技术,拓展职业发展空间

实用的攻防技巧,保障企业信息安全

 1. 扫描与监听、入侵防护、软硬件防火墙,规划网络安全体系

 2. 系统优化、服务器监控、漏洞评估,确保系统应用安全

 3. 异地灾备、规模化部署、高可用群集,减少故障中断时间

丰富的课件类型,降低教学实施难度

 1. MP4动画,对复杂的理论原理进行生动、趣味性的展示

 2. 操作视频,对繁琐的实验步骤进行手把手的示范

 3. 项目案例,进一步扩展学员的工作阅历、实践体验

合理的学习周期,优化学员成长历程

 1. 根据内容深度、技能层次划分为2个阶段,学习过程循序渐进

 2. 采用阶梯式的技能体系结构,平稳提升技能水平

 3. 全面发展+技术方向,打造高专精技术人才

四、适合人群

 1、年龄不限,无需学历;完全零起点,无需基础,无专业技术要求。

 2、适合作为学习进修,求职转行,在职提升等各类人群。

 3、适合有志于进入IT软件行业发展的人群学习。

五、祝福语

  要成为一名技术精湛的网络安全工程师,如果没有真实项目案例和名师指导,很难学到过硬的网络安全技术,东方联盟是你理想选择地方,我们为培养IT精英人才创造了条件,未来信息技术人才将是所有行业耀眼的明星,我们将帮您成为其中的佼佼者。

无论你原来起点如何,无论原来的学历怎样,只要有一颗不甘平庸的心,愿意努力上进,你就有机会改变自己的现状,没有永远的屌丝,相信自己,相信东方联盟,加油吧,朋友!

文章来源:https://www.vm888.com/v/px.html

通过郭盛华老师

未来最吃香的四个专业,年轻人,你要不要看?

都说男怕入错行,女怕嫁错郎。那么在现代互联网中,个人认为有四个专业是在未来非常吃香的,就业前景也好,工作待遇非常高,前途可以说是一片光明。

1、网络安全专业

这个专业,让你跻身高薪一族的热门专业,随着近年来互联网的发展,在很多方面都出现了问题,其中之一,就是网络安全的问题。在互联网方面网络安全是非常重要的,同时在每年都会出现钱无缘无故不见了的事件,相信大家对于“网络安全”这个专业并不陌生了,因为网络安全认可度非常高的,并且毕业后的工作也是让很多人都羡慕的工作。

在国内,网络安全的人才也是非常的缺乏的,在网络安全方面的需求也是非常的大的,有数据表明,在我们培养信息安全专业的人才仅仅才几万人,可是市场上的需求是80万左右的需求,可想而知这是非常的缺乏的。伴随着互联网的高速发展网络安全尤为重要,在我们生活中都会使用手机电脑笔记本这些都是安全的隐患,所以说网络安全是必不可少的。因此,个人的观点是网络安全专业是非常不错的专业,市场需求大,是互联网高速发展的需要!

2、人工智能专业

人工智能专业很火,人工智能是这两年才随着科技的发展而提出的新型产业,国家在其方面也是非常的扶持。在现在的科技越来越发展的时代,人工智能将会逐步替代很多产业的员工。人工智能可以说是现在比较火的一门专业,在互联网时代发展的高速路上,人工智能越来越多的被运用在我们的生活中,比如,现在的手机AI技术的拍照,这是我们生活中用到并且接触的人工智能的一角,在将来人工智能会在各个领域用到!

人工智能专业的人才也是非常的缺乏的,有句话叫做“物以稀为贵”,刚刚兴起的行业都会出现人才缺乏的局面。在社会上很多大企业为了能够输入人工智能的高科技人才,提高很高的年薪以及工作待遇,在国内人工智能的人才被各大企业抢着要,目前国内人工智能这一专业的人才供不应求。在工作待遇工资问题上都提得非常高。所以,个人觉得人工智能专业是一门就业前景非常好的专业,也是适应互联网时代发展的专业!

3、大数据专业

进入互联网时代,中国的网民人数已超8亿,大数据的应用涉及到生活的方方面面。相信很多网友都不知道什么是大数据,大数据指的是从事数据分析,简单来说就是用数学来就算一件事情。大数据专业可以从事的工作很多,都是一些很有社会地位的工作。

比如,数据分析师,股票分析师,以及工程计算的工作。在大数据专业的人才就业工作也是很稀缺的。这是一个新兴的专业,为了互联网的发展而开创的专业,主要服务于数据分析专业。在国内的大数据需要的岗位可以说是巨大的需求,在市场上的需求是上百万的人才需求,在中高层次中的需求也是达到了几十万的人才需求!

4、物联网专业

物联网专业我们第一想到的是物流产业,这是非常典型的物联网的例子。物联网可以说是继计算机,互联网和移动通信之后的一次新技术领域的运用了。又一次信息技术的变革,物联网的涉及非常的广泛,在各行各业都有其的影子!

在我国物联网的涉及的新型产业上的人才非常的稀缺,比如,物流专业的人才,在近几年的物流产业出现极度缺乏人才。随着物流产业的完善,需要的人才越来越多,就业岗位也是越来越多需要的人才就越多。在工作待遇方面也会提高很多,可以说在现在的从事物流工作的人员每个月的待遇都是非常高的。所以说,物流网专业是一个未来前景可观的行业,同时工作待遇好工资高,前途一片光明!

选什么专业一直困挠着很多学生和家长们,看完知道怎么选了吧?在选择专业的时候要慎重,未来职业前景和就业情况是至关重要的!

郭盛华个人资料郭盛华怎么联系郭盛华的电话号码是多少郭盛华 东方联盟郭盛华QQ微信

更多信息来自郭盛华博客:https://www.guoshenghua.com

通过郭盛华老师

AMP技术,提升您的移动网络体验


移动互联网的使用量在过去十年中呈爆炸式增长,到2025年移动网络用户数量预计将达到59亿。智能手机越来越普遍,在过去三年中,移动设备已经超越桌面作为浏览网络的主要设备。尽管明显转向移动浏览,但大部分网络都是针对有线连接上的台式机设计的。

加速移动项目(AMP)是谷歌最近开展的一项努力,其目标是改善移动浏览体验,为内容创建者提供基本上是标准Web开发工具的精简版和优化版。一些轶事证据表明AMP确实可以改善用户的网络浏览体验。

什么是AMP?

Google的AMP首次在2016年宣布,它是一个网络组件框架,旨在通过降低网站复杂性和利用Google在整个网络浏览渠道中的庞大基础架构和存在来提高移动网络性能。当用户通过启用AMP的浏览器执行搜索时,搜索结果可能会包含启用AMP的页面,并标有小闪电标记。当用户点击任何这些AMP链接时,将快速呈现AMP页面。

图1 – Google搜索结果页面中的AMP链接

图2 – AMP页面示例

快速页面加载主要来自三个来源:更简单的页面,AMP CDN中的缓存和页面搜索结果的预呈现。

首先,AMP大大简化了原始网页,并以高性能方式自行替换了一些标准HTML标签。此外,AMP限制使用作者编写的JavaScript并包含CSS文件,以便最小化文件大小并缩短加载时间。特别是AMP团队努力防止JavaScript和CSS在初始页面加载期间阻止DOM呈现,并使对象懒惰加载。

其次,AMP利用Google的AMP CDN进行缓存。最后,搜索结果中用户可能潜在点击的一些AMP页面(例如,最高结果)是预先渲染的,以便进一步减少加载时间。这种特殊技术可以实现对目标页面的即时访问。

不同版本在某种程度上有助于隔离AMP不同功能的贡献。

在非AMP版本就是这样,一个AMP网页的常规HTML版本,它可以在AMP页页眉的“链接”字段中很常见。该AMP原来的页面是由内容提供商或CDN其服务的AMP页面。

通常,AMP原始页面不会直接提供给用户,但首先会在Google自己的专用CDN上验证并缓存为AMP缓存版本。该AMP观众的版本是AMP缓存页面的渲染过的版本,潜在预渲染,甚至在其上的用户点击之前。

图3显示了这些版本的PLT(平均三个)

图3 – 不同AMP版本的页面加载时间(PLT)的累积分布函数(CDF)。

该图显示,对于大多数页面,任何版本的AMP都具有比非AMP版本更好(更低)的PLT,平均PLT从7.7秒下降到3.06秒,是2.5倍的改进。

正如预期的那样,AMP缓存具有最佳性能,因为它是最优化的版本,AMP页面之间的性能差距远小于AMP和非AMP页面之间的差异。

AMP查看器版本比此图表中的缓存版本更差,因为此图不会捕获预渲染的影响。

性能改进来自哪里?

最大的性能优势来自AMP中加载的各种对象数量的急剧减少。例如,AMP页面包括一半的HTML和平均四分之一的图像,而不是非AMP版本。除了节省提取和渲染这些附加对象的时间之外,更少的对象也意味着更少的DNS请求。

AMP或不AMP?

我们发现AMP确实可以降低网页的复杂性,这种降低确实可以显着提高移动用户的QoE性能。尽管围绕AMP的争议及其对网络健康的影响,随着谷歌继续推动AMP和用户认识到其优势,我们预计移动网络中越来越多的部分将选择类似AMP的技术。 

更多信息来自郭盛华博客:https://www.guoshenghua.com

通过郭盛华老师

微软谈如何通过AI帮助农业转型

  据外媒报道,微软最近经常对外介绍其AI服务如何在各个领域展开的应用,包括部署AI解决方案帮助濒危的物种、保障基础设施安全、解决环境问题等等。今日,这家科技巨头公司又详细介绍了其利用AI改造农业的一些方法。

微软重点强调了利用其AI服务的其他应用和措施。

  首先是这家公司跟位于印度东南海岸安得拉邦的非营利性国际半干旱热带作物研究所(ICRISAT)的合作。在这项合作试点项目中,工作人员通过AI技术播种进而帮助该地区的农民提高作物产量。期间,他们利用到了Azure用于提供确定种植作物的最佳时间、理想播种深度及其他用途的预测模型。需要再次强调的是,这项技术针对的是低收入社区,所以相关信息可以通过基础功能机的短信告知农民。在这个项目实施的几年时间里,参与其中的农民所种植农作物的收成获得了10%到30%的增长。

  另一个值得关注的项目是FarmBeats。这是在微软位于雷德蒙德总部附近的Dancing Crow农场推出。在这个项目中,工作人员使用传感器测量土壤湿度和温度等环境因素、利用无人机捕捉土地的空中图像。然后,将收集到的数据通过基于云的AI模型提供农场在特定时刻的整体状况,这有助于农民在何时采取何种行动这件事上能够做出更好的决定。获悉,这类技术将被用到较小的农场上。

  最后,微软提到了部署在澳大利亚联合牛奶公司(ACM)的AI运营管理系统,该系统旨在解决巨大的食品浪费问题。据了解,系统建立在Dynamics 365平台和Azure Cognitive服务的基础上,后者可以自动将牛奶从油罐车泵入筒仓。另外,ACM还通过微软的Azure和SQL等技术开发了一个温度监控系统,这不仅可以向农民和司机发送电力故障等重大问题的警报,还可以就温度轻微波动等简单问题发送警报。

  微软认为,上面提到的这些措施正在并将继续在增加生产、就业机会、效率等方面提供帮助,从而在多个方面改变农业产业。

通过郭盛华老师

AI人类首次可实时监测快速无线电爆发信号

  在过去十几年间,科学家一直在努力寻找神秘的、稍纵即逝的快速无线电爆发(FRB)信号。它具备能量高、持续时间极短的特征,但是想要追溯其源头却非常困难。不过来自澳大利亚斯威本科技大学的博士生Wael Farah研发了一种自动化系统,通过机器学习方法来实时捕捉FRB。

Credit: CSIRO/Dr Andrew Howells

  人类有记录的第一个FRB是在2007年从2001年的观测数据中发现的,而大多数后续的检测工作往往都是通过事后数据审查才发现的。Farah表示他研究FRB的部分动机是,他们可以用来研究星系之间宇宙中较暗的部分,否则这部分几乎是看不到的。

  他在一份声明中表示:“发现宇宙中穿行的信号,经过长达数十亿年的旅程之后到达我们的望远镜,并显示出复杂的结构,并且相隔不到1毫秒,这是非常有趣的。”Farah的系统目前已在澳大利亚的Molonglo无线电观测台使用,并且已经确定了五个FRB,包括有史以来最强大的FRB之一和范围最广的FRB之一。

  详细信息已发表在2019年9月的“天文学会月刊”上。项目负责人Matthew Bailes表示:“Molonglo的实时检测系统使我们能够充分利用其高时间和频率分辨率,并探测以前无法获得的FRB特性。”