WhiteHat Security 的安全研究人员发布了内部开发的浏览器 Aviator，声称它比主流产品更安全，对隐私保护更周密。Aviator 是基于 Chromium，目前还是 beta 版，只支持苹果的 OS X 操作系统。

近几年来Internet变得更加不安全了。网络的通信量日益加大，越来越多的重要交易正在通过网络完成，与此同时数据被损坏、截取和修改的风险也在增加。

3.网络安全的方案设计3.1总体设计方案企业网络建设的基本目标就是在网络中心和各部门的局域网建设、及其广域网互联的基础上将互联网技术引入企业内部网，从而建立起统一、快捷、高效的内部网络系统。整个系统在安全、可靠、稳定的前提下，实现合理投入，最大产出。即符合最优经济的原则。中小型网络安全体系建设应按照“统一规划、统筹安排、统一标准、相互配套“的原则进行采用先进的”平台化“建设思想，避免重复投入、重复建设、充分考虑整体和局部的利益，坚持近期目标与远期目标相结合。

Spring Security（以下简称为SS）其前身是大名鼎鼎的ACEGI，后来正式合并至Spring框架，成为Spring框架中一员，由于它支持安全策略比较多，并且集成容易，现在也越来越多的系统采用它来进行安全管理。本系统中也采用它的基于角色的管理策略，以实现系统灵活的安全管理要求。

单例对象（Singleton）是一种常用的设计模式。在Java应用中，单例对象能保证在一个JVM中，该对象只有一个实例存在。正是由于这个特点，单例对象通常作为程序中的存放配置信息的载体，因为它能保证其他对象读到一致的信息。例如在某个服务器程序中，该服务器的配置信息可能存放在数据库或文件中，这些配置数据由某个单例对象统一读取，服务进程中的其他对象要获取这些配置信息，只需访问该单例对象即可。

With the spread of web-enabled desktop clients and web-server based applications, developers can no longer afford to treat security as an afterthought. It's one topic, in fact, that .NET forces you to address, since Microsoft has placed security-related features at the core of the .NET Framework. Yet, because a developer's carelessness or lack of experience can still allow a program to be used in an unintended way, Programming .NET Security shows you how the various tools will help you write secure applications.

克劳德·香农（Claude Shannon）在1948年发表的著名论文中引入了热力学的一个概念熵，根据平均概率定量报文所含信息的期望值。信息论中的熵又被称为香农熵。在通用通信系统中使用香农熵没有什么错误，因为数据流的特性会迅速收敛于统计平均。但如果将香农熵应用于密码学，则大错特错，因为密码学真正关心的不是平均情况，而是最坏情况。

SSL编程和基于Socket的编程类似，首先创建ServerSocket对象，传入端口号，然后执行ServerSocket对象的accept( )方法获取Socket类型的对象，并侦听端口以等待客户程序和服务器连接。最后通过Socket类型的对象获得输入和输出流，通过输入和输出流和客户程序进行通信。SSL编程和基于Socket的编程不同的地方在于其ServerSocket对象是通过一个特殊的对象：SSLServerSocketFactory类型的对象创建的，这样以后的输入和输出流将自动按照SSL协议指定的方法交换密钥并对数据进行加密。此外，需要指定包含证书的密钥库，以便客户程序确定SSL服务器是否可靠。

Matriux是一款功能齐全的安全工具包（套装）,它包含了一系列强大、开源和免费的工具可以用于多种目的，但也不限于此。例如：渗透测试、ethical hacking、系统与网络管理、网络取证调查、安全测试和漏洞分析等等。

PHP 5.3.12 and 5.4.2 刚刚发布了，修复一个讨厌的安全漏洞，该漏洞导致可通过网页给 PHP 解释器传递命令参数，该漏洞仅影响那些通过 CGI 机制调用 PHP 的情况，如果你使用了 Apache 的 mod_cgi 来运行 PHP，那么你可能被攻击。

密码设置过弱是个老生常谈的话题。2006 年一项针对 3.4 万个 MySpace 用户账号密码进行的调查显示，最常见的四个密码分别是 “password1″、”abc123″、”myspace1″、”password”。

移动和云计算的采用扩大了现代企业的安全边界，许多企业在更深入地了解其IT基础设施，以监控恶意活动或软件。这些潮流带来了越来越多有待评估的 威胁数据。想把这些数据转化成有意义的情报，就需要不仅限于传统安全信息和事件管理(SIEM)功能的工具，以便整合和分析不同类型的数据(包括结构化数 据和非结构化数据)。

Clair 是 CoreOS 最近发布的一款 开源容器漏洞扫描工具 。该工具可以交叉检查Docker镜像的操作系统以及上面安装的任何包是否与任何已知不安全的包版本相匹配。漏洞是从特定操作系统的通用漏洞披露（ CVE ）数据库获取。该工具当前支持的操作系统包括 Red Hat 、 Ubuntu 和 Debian 。

RATS 是一个代码安全审计工具，可扫描 C、C++、Perl、PHP 和 Python 源码，检查出一些常见的安全问题，例如缓冲区溢出和 TOCTOU (Time Of Check, Time Of Use) 。

自从出现以后，AngularJS已经被使用很长时间了。 它是一个用于开发单页应用(SPA)的javascript框架。 它有一些很好的特性，如双向绑定、指令等。 这篇文章主要介绍Angular路由安全性策略。 它是一个可用Angular开发实现的客户端安全性框架。 我已经对它进行了测试。 除了保证客户端路由安全性外，你也需要保证服务器端访问的安全性。 客户端安全性策略有助于减少对服务器进行额外的访问。

最近要对一个网页的源代码进行检测，Android Webview中没有直接获取网页源代码的接口，传统的addJavascriptInterface方法存在安全隐患，所以研究了一下Java和Javascript的安全交互。

在Hadoop1.0.0或者CDH3 版本之前， hadoop并不存在安全认证一说。默认集群内所有的节点都是可靠的，值得信赖的。用户与HDFS或者M/R进行交互时并不需要进行验证。导致存在恶意用 户伪装成真正的用户或者服务器入侵到hadoop集群上，恶意的提交作业，修改JobTracker状态，篡改HDFS上的数据，伪装成NameNode 或者TaskTracker接受任务等。 尽管在版本0.16以后， HDFS增加了文件和目录的权限，但是并没有强认证的保障，这些权限只能对偶然的数据丢失起保护作用。恶意的用户可以轻易的伪装成其他用户来篡改权限，致 使权限设置形同虚设。不能够对Hadoop集群起到安全保障。

这篇文章的灵感来自于另一篇文章，它是关于“在今天，构建Web应用之前要知道的事情”的。并不长，但遗漏了一些关于安全性的建议，所以我就此动笔，分享一些这方面的知识。

Android开源，开源就意味着无线可能和无线的不安全。现在（2016）市面上的所有Android安全方法基本上有以下几种：

很多企业或者开发人员都会忽略安全和管理，如果要简单的玩弄一下docker是很简单的，但是要在企业环境或生产环境使用docker却需要考虑这两方面的隐私。如果不清楚安全性或管理问题，这很可能是在引火烧身。