Java17展望
当前Java面临一个非常严峻的问题,那就是在技术的不断升级更新,之前Java号称一次编译到处运行的口号;在微服务、云原生时代这个优势已经被容器削弱了,
同时大家开始希望能够用到什么才去加载什么,而Java却是在程序还未开始时Java虚拟机就需要耗费不少资源,导致启动时间很长的问题。未来对于原生语言的挑战,最有力最彻底的反击无疑是将字节码直接编译成可以脱离Java虚拟机的原生代码。
如果真的能够生成脱离Java虚拟机的运行的原生程序,将意味着启动时间长的问题能够彻底解决,因为次此时已经不存在初始化虚拟机和类加载过程。
Java支持提取编译的困难在于它是一门动态链接的语言,它允许程序在任何时候可以通过类加载器去加载新的类。而要进行提前编译就必须放弃这些动态特性,也就是要运行的代码都必需在编译期就是可知的,
这一点就很大的影响大了类加载器的正常运行,随之受影响的是反射、动态代理、字节码生成库等一切会运行时产生新代码的功能不可用,如果将这些功能抽离了,hello world还是可以正常运行的,
但是当前Spring全家桶、Hibernate这些直接就没法玩了,这将导致整个Java生态中几乎团灭。
云原生时代,Java体系之前很多的假设都受到了挑战,但是Java语言已经意识到这些,同时以及开始向这方面做努力了,在即将发布的Java17长期支持版就将会增加新的能力,减少Java虚拟机的影响,如果真的能够实现将是一个里程碑的版本,期待Java的转型成功,再攀高峰。
Nacos最新安全漏洞,可绕过身份验证
漏洞描述详情:https://github.com/alibaba/nacos/issues/4701
nacos官方在1.4.1版本中新增了服务间的鉴权机制;即在1.2~1.4.0版本期间,考虑到服务端之间的通信应该是可信的,因此直接通过User-Agent中是否包含Nacos-Server来进行判断请求是否来自其他服务端。
但是这种方式非常的简单,我们在使用中相信你也感受到了,就是项目配置中只是配置了nacos的地址等信息,对应鉴权信息就没有配置了,
这意味着如果配置中心支持公网访问的话,那么其他人可以直接通过相关API就能够获取到我们的相关配置了,因此可能存在安全隐患。新发布的1.4.1版本增加的这个服务间的鉴权机制就是为了解决这个问题的。
但是刚刚发布的新版本1.4.1上又出现了新的安全漏洞 ,即只要在API接口地址后面多加上一个/就会可以直接绕过鉴权执行请求;比如:
一个正常的访问,比如curl -XPOST 'http://127.0.0.1:8848/nacos/v1/auth/users?username=test&password=test' ,得到的path将会是/nacos/v1/auth/users ,而通过特殊构造的url,比如curl -XPOST 'http://127.0.0.1:8848/nacos/v1/auth/users/?username=test&password=test' ,得到的path将会是/nacos/v1/auth/users/
由于代码中判断存在问题,这种多一个/ 的会被直接放行进行执行;基于此我们就可以直接调用添加用户接口新增一个用户,之后直接用新增的用户直接登陆即可。
目前官方已经修复了这个问题,因此大家部署的时候直接拉取最新的1.4.1版本即可。
微软更改Defender杀毒软件策略:发现病毒会自动删除
原文链接:https://news.mydrivers.com/1/735/735767.htm
如果不需要或者不信任第三方杀毒软件,微软 Win10 自带的 Defender 杀毒软件也够用了,比较烦人的就是它太敏感了,动不动就提示病毒。
通常情况下,Defender 杀毒软件发现病毒或者危险文件之后,会询问用户如何处理,删除、隔离或者啥也不做都是用户来判断的,不过微软已经决定改变这个策略,至少对部分用户如此。
据报道,微软计划从 2021 年 2 月 16 日开始的下一个预览版 Win10 中,将 Defender for Endpoint 的杀毒策略从默认的半自动改为全自动,这意味着在发现病毒等情况下,它会自动删除病毒,不再需要用户手动选择。
针对这一改变,微软解释说,通过过去一年的数据分析,相比使用低级别的处理策略(也就是半自动),全自动处理策略的客户删除的高可信度恶意软件数量提升了 40%。
微软表示,全自动处理策略释放了客户的安全资源,以便他们可以将更多精力放在他们的战略计划上。
你开始社区团购了吗?
原文链接:https://news.cnblogs.com/n/685570/
今天你出门买菜了吗?或者,你也可以在小区团购微信群看一眼今日特价菜信息,在微信小程序下单,选择送货上门或下班顺路自提。
以生鲜市场切入、依托线下城市社区、采取“线上预定,线下自提”方式的“社区团购”模式自 2016 年出现,至 2019 年底时,多个社区团购项目曾面临着裁员、倒闭与合并的局面。
而 2020 年疫情发生,此前陷入发展困境的社区团购再度火热,现已成为继打车、外卖、共享单车后,互联网巨头们瞄准的新风口。但还是希望这些互联网巨头们能够多去做更酷的事。
8.2K星标“程序员考公指南”登顶GitHub
996 文化之下,程序员们也要另谋出路了。
最近一个“程序员考公指南(coder2gwy)”项目在 GitHub 上火了。短短几天收获了 8.2k Star、 1.1k Fork。
这并不让人感到意外。近几年“工作 996,生病 ICU”已经成为这个高薪行业的普遍状态。“过劳猝死”、“35 岁程序员被劝退”等事件被频频曝出后,不少程序员开始寻找新的出路。
作者阿特就是其中一个。
这是一个分享程序员如何逃离996另谋出路,为想进体制内的程序员写了这份考公务员/事业编制/教师的指南。
网友报告QQ扫描并上传用户的浏览器历史
1 月 18 日消息,腾讯消息应用 QQ 以及 QQ 办公版 TIM 被发现会扫描用户的浏览器历史,搜索购物记录选择性上传。
清静了:Flash Player已在Windows 10上停止工作!
按照 Adobe 方面正式公告,Flash Player 已经在 Windows 10 上停止工作。
微软方面已经证实,其正在逐步提供自动的 Windows 10 更新,将在 2021 年彻底结束 Adobe Flash Player 的运行。
这一 Windows 10 更新不会影响任何第三方程序和 Chrome 或 Edge 浏览器插件,但 Adobe 现在推出了一个服务器端更新,阻止 Flash Player 内容。
最成功中国出海游戏!消息称《原神》开发商成上海服务业纳税金额第一
原文链接:https://news.mydrivers.com/1/735/735626.htm
作为去年最成功的中国出海游戏,《原神》给了腾讯很大的压力,其背后的开发商米哈游也是大赚特赚。
据 GameLook 报道,网上传出了一份服务业及商业企业入库税金前 30 名的名单,其中,米哈游以 2.28 亿元纳税金排在了榜首,第二名为鹰角,纳税金额达到 1.7 亿元,
第三名游族网络两家公司入榜合计 1.31 亿元,第四名的莉莉丝两家公司入榜合计缴税 1.17 亿元,此外叠纸、紫龙上海分公司也在榜单内。
在 NGA 上有玩家表示,根据纳税金额分析,这个排名应该是 2019 年的数据,因为 2020 年的数据搜集并没有这么快。
正规军来了 中国首批电竞专业学生即将毕业
原文链接:https://news.mydrivers.com/1/735/735689.htm
2016 年 9 月,教育部发出通知,要求高校应在体育类项目中增加“电子竞技运动与管理”专业。
2017 年,多所高校开设电竞相关专业,首批电竞专业学生入学。经过 4 年,这批学生今年夏季即将毕业,面临就业的大考。
据悉,高素质的电竞人才需要综合掌握经济学、管理学、传媒、计算机编程等领域的知识,为满足一些企业拓展海外市场,有的还要具有较强的外语能力。
不可思议!为啥眼睛感觉不到冷?奇怪的知识又增加了
原文链接: https://news.cnblogs.com/n/685497/
寒冬腊月,简直是一刻都不想出门。 如果非要出门,那也是衣服、帽子、围巾统统安排上。 但你发现没有,眼睛好像从来都没有什么防护。
不论天气有多冷,即便眼睫毛上都有白霜了,眼睛还能活动自如。那这是究竟为什么呢?
原来是眼睛的结构比较特殊,眼球镶嵌在眼眶里,门口由上下眼睑守护,结构分眼球壁和内容物两部分。
其中眼球壁分三层,纤维膜、血管膜和视网膜。内容物是由角膜、水状液、晶体状和玻璃液组成的折光系统,以及后端负责连接大脑的视神经。
而身体之所以能感到冷,是因为在每个人的体表皮肤上都有冷热感受器,这个感受器以“点”分布,分别感受“冷点”和“热点”。
人体的角膜、结膜、巩膜上触觉和痛觉神经安排了挺多,眼睛上管冷热的感受器却一个都没有。 这样一来,因为眼睛上没有感受器向大脑反馈信息,所以每次降温,自然感受不到冷暖。
