支持伪造的服务器龙芯发布新芯片

在Cookie里放个JSESSIONID

在Cookie里放个JSESSIONID，在服务器中存上状态，用户请求来了，根据JSESSIONID去服务器里查状态，这是Tomcat的实现方法。
把所有状态都存在Cookie里，服务器给个签名防止伪造，每次请求来了，直接从Cookie里提取状态，这是JWT的实现方法。
在Cookie里放个token，状态不存在中间件里，而是存在Redis里，这也是一种Session实现方法。
正确的说法是，把Session存储在Web中间件中（比如存储在Tomcat中），这种做法正在被淘汰，因为这种方案对负载均衡不友好，也不利于快速伸缩。

把Session存在Redis和前端的方案正在慢慢崛起，尤其是现在微服务架构大行其道的情况下。

只要HTTP还是无状态的，只要保存状态还是刚需，Session就不会消失，变化的只是它的实现方式。

在中国芯片业最大“造假丑闻”——“汉芯一号”发布20周年之际

在中国芯片业最大“造假丑闻”——“汉芯一号”发布20周年之际，在国内大批芯片企业在成功骗补后关门倒闭的大背景下，大河报《国内首发！龙芯在河南鹤壁发布3D5000服务器CPU》一文所带来的国内反应，是更多的质疑，是希望得到更多普通百姓能看得懂的信息。
先介绍一下“汉芯事件”。20年前由上海交通大学微电子学院院长陈进一手制造的“汉芯造假门”事件，其产品“汉芯一号”的炮制过程实在是令人咋舌：陈进从美国买来10片MOTO-freescale的56800芯片，找来几个民工将芯片表面的MOTO等字样全部用砂纸磨掉，然后找浦东的一家公司将表面光滑的芯片打上“汉芯一号”字样，并加上汉芯的LOGO。就这样，他竟然能轻易骗取高达上亿元的科研基金。
3月下旬，《国产芯片“遮羞布”掉落？超5700家企业倒闭，央媒的呼吁该重视了》写道，为了突破西方技术封锁、实现芯片自给自足，国家拿出9700多亿元进行产业投资扶持，并成立了世界级的芯片基地“东方芯港”。
在过去一年时间里，国内倒闭的芯片企业累计多达5746家，较2021年的3420家，又多退出了2326家，同比减幅将近68%！这相当于平均每天都至少有15家芯片企业消失。
自从中美“芯战”拉开帷幕以来，国内芯片市场就一直处于“亢奋”状态。特别是在“缺芯”的2021年，芯片造假可以说到了登峰造极的地步，《芯片公司倒闭3400多家，统统清一色骗补贴的公司，芯片却原地踏步》一文让你看了触目惊心，《警惕！近万家企业进军芯片行业，当真有实力还是为了骗补贴？》让我提高了警惕。
半年前，我看到《芯片巨头美光：成功绕过了EUV光刻技术》一文时，除了激动也有质疑：唯一有点遗憾的是，如此重大的科技成果不是由科技类杂志宣布，也不是由官方的央视、人民日报宣布，仅仅是一些自媒体宣布，这令我高兴之余，还真的不敢百分百相信。
此次大河报发布的消息，技术层面的还是看不懂，看了几遍，我的印象有两点。第一点是：4月8日上午，2023中国·鹤壁信息技术自主创新高峰论坛召开，龙芯中科技术股份有限公司副总裁张戈发布了新款高性能服务器处理器——龙芯3D5000。
第二点是：龙芯3D5000的推出，也标志着龙芯中科在服务器CPU芯片领域进入国内领先行列。
这个“国内领先行列”究竟处于国际上什么位置？是不是突破了一项“卡脖子”技术？这一点才是读者所关心的，否则“国内领先行列”意义并不大。
网友的留言也十分实在：我选有关技术性能方面几位网友留言，供大家参考：

1、直接说，性能相当于英特尔哪一款CPU。
2、多少纳米工艺的？
3、哪位大哥来解释一下相当于因特尔什么级别的？
4、首先应该严格查证一下是否真国产，还是挂羊头卖狗肉的骗补助项目。如果是真国产，我建议可以在政府采购中加大比例，推动芯片发展。慢慢的不说能够比肩英特尔，至少在一些算力要求不高的领域可以以价格优势抢一些市场慢慢发展。如果是骗补助的，一定要严惩。
5、国产率占多少？
6、有相应的光刻机吗？
7、希望这次不是请农民工打磨的吧。
我的一个观点就是，检验一个产品优劣的最有效方法是市场认可度。我希望龙芯的3D5000服务器CPU能很快受到国内企业的青睐。

CSRF攻击的原理：先登录受信任网站A

CSRF攻击的原理：先登录受信任网站
A，并在本地生成Cookie，然后在不登出A的情况下，访问危险网站
B。
如果不满足以上两个条件中的一个，就不会受到CSRF的攻击。

Spring Security使用CsrfFilter 过滤器来解决跨站请求伪造（Cross-Site Request ery，CSRF）攻击，使用的模式是同步器令牌模式（Synchronizer token pattern，STP）。

STP 模式本意是每个请求都生成一个不同的、随机的、不可预测的token用于CSRF保护。
这种严格的模式CSRF保护能力很强。但是每请求必验给服务端增加了额外的负担，另外它也要求浏览器必须保持正确的事件顺序，从而会带来一些可用性上的问题（比如用户打开了多个Tab的情况）。所以Spring Security中把这种限制放宽到了每个session使用一个csrf token，并且仅针对会对服务器进行状态更新的HTTP动作：PATCH、POST、PUT、DELETE等。

Spring Security 开发实践-技术专栏从零开始详细介绍了Spring Security的工作原理和开发实践过程，包括认证、授权和常规攻击防御等等。

Spring Security开发实践

什么是HPKP

什么是HPKP？
HPKP 技术是为了解决伪造证书攻击而诞生的。
HPKP（Public Key Pinning Extension for HTTP）在 HSTS 上更进一步，HPKP 直接在返回头中存储服务器的公钥指纹信息，一旦发现指纹和实际接受到的公钥有差异，浏览器就可以认为正在被攻击
和 HSTS 类似，HPKP 也依赖于服务器的头部返回，不能解决第一次访问的问题，浏览器本身也会内置一些 HPKP 列表。

微信小程序的这个漏洞检测吓我一跳

微信小程序的这个漏洞检测吓我一跳
刚把小程序提交审核，然后去看一下系统日志，发现日志疯狂滚动（平常哪有这个访问量……）
看了一下好多都是伪造token和其他参数进行访问，好多还带有sql注入的语句，第一反应就是服务器被攻击了。然后去查看nginx日志，发现106.55.202.118这个ip在疯狂请求，二话不说，赶紧先给加入黑名单；再次排查nginx日志看着像是腾讯在请求，然后顺着链接点了过去才知道原来小程序在做安全检测，虚惊一场
话说这检测频率也太高了吧

什么是伪造证书攻击

什么是伪造证书攻击？
HSTS 只解决了 SSL 剥离的问题，然而即使在全程使用 HTTPS 的情况下，我们仍然有可能被监听。
假设我们想访问 ，但我们的 DNS 服务器被攻击了，指向的 IP 地址并非 Google 的服务器，而是攻击者的 IP。当攻击者的服务器也有合法的证书的时候，我们的浏览器就会认为对方是 Google 服务器，从而信任对方。这样，攻击者便可以监听我们和谷歌之前的所有通信了。
可以看到攻击者有两步需要操作，第一步是需要攻击 DNS 服务器。第二步是攻击者自己的证书需要被用户信任，这一步对于用户来说是很难控制的，需要证书颁发机构能够控制自己不滥发证书。

特斯拉后台数据是在中国联通的服务器上

特斯拉后台数据是在中国联通的服务器上，但是还是特斯拉掌控的，还有一份数据是上传到我国的车辆网的。这两份是经过网络传输的，有人会说数据是伪造的，不承认（实际伪造大量不同设备的日志数据很难）。 其实最准确的数据在EDR黑匣子，是国家强制安装的，是独立设备，博世生产的，不是特斯拉自己的。EDR数据直接采集自硬件，比如刹车踏板被踩下了，油门踩了多少，发动机转速多少，四个轮子转速多少…… 数据并非来自于车载电脑，哪怕车载电脑拆了照样记录。记录数据不可篡改，属于旁证。国家规定EDR记录能充当法律证据，用于事故分析。 之前公布的，说是特斯拉的后台数据和EDR的情况一致，虽然正式结果没出来，其实已经暗示车主长时间深踩油门的误操作已经被证实。 很多播主，可以同情车主，可以理解。但也要拿出有力证据。各种猜测，各种假设不能当证据。//@雍和唐韵:“这和后台数据反映的情况吻合：车辆电门被长期深度踩下，并一度保持100%；全程没有踩下刹车的动作”说明后台数据只反应车辆状态，却反应不了驾驶员做出的操控动作是否正确，所说“电门”被长期深度踩下，这就更说明特斯拉公司再混淆视听。单凭一个后台数据，特斯拉也只是臆想驾驶员的动作，却逃避回应特斯拉有可能出现电门踏板放开后，电子信号却未能立即断开，切断电源的缺陷，造成踩下制动踏板后，上一个指令未能终止，下一个电子指令信号没有反馈给电脑，致使刹车动作失效，这才是后台数据显示的正确分析方向。澎湃新闻澎湃新闻官方账号

特斯拉回应潮州事故：全程没有踩下刹车的动作，警方正在寻求第三方机构鉴定

叉车证电梯证吊车等上岗证如何辨别真假

叉车证电梯证吊车等上岗证如何辨别真假？
近期办假证的越来越多，说几个比较简单的识别办法：

1、先看发证单位，例如现在很多人花几百块甚至一千多办理的，广东建机、广东建协，北京建机，湖南建机等等建设工程协会发的证，办理的时候大部分机构都会跟你说全国通用，可以网查，其实大家查一下发证部门就一目了然了，发证部门并非国家机关事业单位，只是一个企业单位，企业内部直接打印出来，把数据上传到他们企业制作的官网上，成本就几十块钱。企业发的证，拿到证上班，顶多个别单位内部私企能应付一下，最终安全生产单位来查证，是百分百用不了，必须得市场监督管理局发的操作证原来是叫质监局，个别地区是由行政审批局发证，一般是当地的地级市发证！

2、还有一种假证，跟国家发的操作证是一模一样的，高仿的证件，扫描二维码也能查到，通过骗子们发的网址也能查到证件信息。其实网址跟二维码都是伪造的，服务器在国外，网址链接跟国家查询的网址相似，多个字母，或者少个字母，不认真看常人真会信以为真。辨别的方法也很简单，切勿用骗子发的网址查询，直接百度：国家市场监督管理总局，找到全国特种设备信息公示平台，输入身份证查询证书公示情况，只要能在国网查询到的都是真证，除此之外都是假证无疑，辨别真假，证件不是关键，证件可以伪造打印，要在国家的官网上能查到的才是真的没问题，现在已经全国联网了，包括相关部门到企业查询安全生产工作有无上岗证，光有证还不行，必须得在国家官网上能查到！

最后提几句，办理证书要理智，便宜和廉价只会带来更多苦恼！正常考试培训费都在800-2000左右（常规工种）每个地区都不同，个别地区有政策补贴，不去人几百或者一千多的绝对是假证，切勿贪便宜

龙芯发布新芯片

龙芯发布新芯片，即将超越英特尔？
我们的龙芯发布了一款名叫龙芯3D5000的芯片，官方说这个芯片采用自主指令系统龙架构，无需国外授权，具备超强算力、性能卓越的特点。
官方还说，这款芯片的推出，标志着龙芯中科在服务器CPU芯片领域进入国内领先行列。
我觉得这些话说得有点大吧，还是谦虚一点儿比较好，你才刚刚发布，是骡子是马得拉出来遛一遛才知道，你都还没有遛。什么时候，电脑上都用了之后，不用英特尔了，再说这话不迟。
提起国产芯片，我就想起当年的“汉芯造假”事件，以及华为的“麒麟”芯片失踪，真的是让人伤不起啊。一次次希望，带来的是一次次失望。芯片是我们的短板，国家投入大量科研资金，很多企业很多人都盯着这块肉，希望龙芯不是这样的“心”，是一个实实在在的“中国芯”。