LinkedIn CEO韦纳推荐了一套系统，可以更有效地与各级别员工沟通。

几年以前，一位赫赫有名的消费者网络公司创始人暨首席执行官曾分享过这样的趣闻：有一家公司的产品团队花费了几个星期时间，加班加点地想要完成在一个至关重要的发布日如期推出产品的目标。

在对这种产品进行最终评测的过程中，这家公司的首席执行官不经意地说道，他原本希望该产品的一个关键设计元素以另一种颜色出现。说完以后，他自己并没把这句话当回事儿，而是继续进行评测了。

但在几个星期以后，这位首席执行官怒气冲冲地质问产品团队为何会错过发布日，后者作出的解释是，他们暂时搁置了所有工作，全力对这种产品进行重新设计，以便使其符合他的口味。对于这个回答，这位首席执行官作出的反应是：“你们都做了什么啊？！”

其结果就是，这位首席执行官的“非正式观察”被产品团队错误地解读为“全员集合”式的命令，从而导致这种产品被迫推迟发布。

尽管这只是极端的例子，但确实凸显出了一个重要的问题：你所处的职位越高，那么发生这种事情的可能性就越大。对于那些经验不足的管理者来说，由于他们尚未适应自己新获得的权威，因此这个问题可能会显得尤其尖锐；然而，即使是在那些从业时间很长的公司高管中，类似的情况也屡见不鲜，这是因为他们已经忘记了自己的职位会给整个公司投下多么长的影子。

在几年以前，一名直接向我汇报工作的下属让我认识到了这一点。虽然他和他的团队欢迎我提出的意见，但他注意到，很多时候我所认为的“非此即彼”的言论会带来一场极具破坏性的“消防训练”，让所有人都在突然之间变得忙个不停。直到那时，我才发现原来我的观点会被如此看重。

为了解决这个问题，确保我和这个团队在遇到与此类似的情况时能保持一致的步调，我们将我可能提供的任何反馈信息（无论是在对话中提供的信息，还是通过电子邮件提供的信息）划分成了三个类别：个人观点、强烈建议以及强制命令。

后来的实施结果证明，这套系统起到了很大的帮助作用，因此我一直沿用至今。在这套系统的帮助下，我得以更加有效地与公司各个级别的员工进行沟通，尤其是那些可能还不太熟悉我的反馈信息风格或频率的新员工。

1.个人观点

在我提供的反馈信息中，绝大多数都可归入个人观点这一类别中。基本上来说，这是一种主观的、带有轶事性质的观点；也就是说，公司员工应该将其视为来自于一名用户、客户或是团队成员的观点。在完成沟通以后，到底是否按照我所提出的这种建议来采取行动，完全由项目的负责人来作出决定。

当提供个人观点这一类别的反馈信息时，你的头衔和权力都不应被考虑在内。需要指出的是，想要做到一点可谓知易行难，原因是你可能需要花费一些时间才能让团队中的初级成员认识到，对于他们挑战一名高级上司所作指导的作法，你确实是并不在意。

鉴于团队本身会拥有自己的强烈信仰，而且团队成员会忙于很多具有更高优先性的工作，再加上对于你所提出的产品改变，他们才是更加了解具体规格和成本的人，因此你要做好你的建议会被他们所摒弃的准备。如果你所给出的确实只是个人观点，而同时你手下又拥有真正合适的人才，那么你的建议遭到抛弃其实是件好事。

2.强烈建议

比“个人观点”类别高一级的则是“强烈建议”。与前者相比，“强烈建议”的程度当然要更高一些，但仍旧并非由你告诉产品团队该做些什么。

通常情况下，当一名高管想要通过自身经验来向产品团队给出建议，但同时又希望给后者以冒险、犯错和磨练其才能的机会，并最终扩大公司内部决策程序的范畴时，可使用“强烈建议”这种类别的反馈信息。

想要以这种方式来成功地提供反馈信息，那么你就必须信任你所任命的负责人，赋予他们以最终发言权。与此同时，想要做到这一点还需要团队本身能保持开放的思路，并在必要的时候尊重你所作出的更好的判断。不管是哪种情况，都需要你自己或是产品团队控制住自己的自负情绪，作出最符合公司利益的决定。

如果说这样的要求听起来像是一种很难达成的平衡的话，那是因为事实确实如此。

3.强制命令

在有些时候，无可避免地会出现产品团队判断错误的情况，这种错误的判断可能会带来非常严重的后果，而此时你需要做的就是先发制人地阻止这种后果成为事实，这跟允许产品团队冒险、犯错并从错误中汲取经验教训是一样重要的。

打个比方，如果你想要教会别人知道醉驾到底有多么危险，那么你要做的不是等着他们去喝点酒然后坐上驾驶座，从而让他们从亲身体验中认识到醉驾的危险性。

作为一名管理者，你需要判定如果一个团队履行你不认同的一项决定，那么随之而来的风险将会有多么巨大。然后，你必须确保如果这种风险有可能会对个人、团队和/或公司造成持续性的损害，那么你就应该采取合适的措施来干预其中，并在阻止这种风险以后对相关团队进行教育。

在确有必要时发布强制性的命令，能让公司避免犯下代价高昂的错误，这对公司来说是非常有利的。但是，如果过于频繁地发布强制命令，或是在没有正确理由可提供支持的情况下发布这种命令，那么这种表现就意味着你对团队缺乏信任，从而导致团队失去动力。在有可能的情况下，还是尽量避免采用这种类型的信息反馈方式为好。

作者：杰夫·韦纳（Jeff Weiner），LinkedIn首席执行官。（ 本文最初发表在LinkedIn）

来源： 腾讯科技

（关注更多人人都是产品经理观点，参与微信互动（微信搜索“人人都是产品经理”或“woshipm”）

• —软件人才免语言低担保 赴美带薪读研！—

• —软件人才免语言低担保 赴美带薪读研！—

Apache Qpid 0.28 发布了，该版本包含众多的新特性和 bug 修复，详细列表请看 发行说明。

Apache Qpid (Open Source AMQP Messaging) 是一个跨平台的企业通讯解决方案，实现了高级消息队列协议。提供了 Java、C++ 两种服务端版本以及 Java、C++、.NET、Python和Ruby语言的客户端。

其中C++版本的服务器端具备高性能/低消耗以及RDMA支持，可运行于Windows/Linux和Solaris平台；而Java版本的服务器则支持JMS，以及各种平台。

关于RDMA的相关知识：

【 文/ 任英杰】

去年5月17日，阿里巴巴支付宝最后一台IBM小型机在下线，标志着阿里完成去IOE。随后一场去IOE运动不断发酵，甚至传闻IBM中国去年损失了20%的合同额。

阿里在下一盘什么样的棋？按说阿里的营收和利润不菲，货真价实的土豪，只要业务系统正常运转，还会在乎区区几千万的服务费？阿里云已经耕耘了若干年，14年将是它大局拓展的年份。但云计算服务是要靠扩大规模平摊成本来维持运营的，要赚大钱不太容易，与阿里的其他业务比起来利太薄。但为什么阿里还有投？云平台不是目的是手段，是获取数据的基础，是未来阿里进军其他行业的构建新型业务形态的通道。阿里去IOE的实质是想引导市场转向阿里的公有云服务，这一点在阿里的“去IOE工程师”招聘广告中可以揣摩得到，当然，Amazon和Azure也可以搭车收益。

-----------------------------------------------------------------

       欢迎关注老任微信公号： IT-Veteran

• 更新后的个人资料后几乎可以实时的出现在招聘搜索页面
• 更新后的个人资料后几乎可以实时的出现在人脉网页
• 分享一个更新，可以近实时的出现在新闻feed页面
• 然后会更新到其他只读页面，像”你可能认识的人“、”看过我资料的人“、”相关搜索“等。

令人震惊的是，如果我们使用较好的宽带，这些页面可以在数毫秒内完成加载！让我们向 LinkedIn工程师团队致敬！

从LinkedIn的数据处理机制学习数据架构，首发于 博客 - 伯乐在线。

  去年年底的时候在一篇 博客中，用ANN的框架解释了BOW模型[1]，并与LSH[2]等哈希方法做了比较，当时得出了结论，BOW就是一种经过学习的Hash函数。去年再早些时候，又简单介绍过LLC[3]等稀疏的表示模型，当时的相关论文几乎一致地得出结论，这些稀疏表示的方法在图像识别方面的性能一致地好于BOW的效果。后来我就逐渐产生两个疑问：

1）BOW在检索时好于LSH，那么为什么不在任何时候都用BOW代替LSH呢？
2）既然ScSPM，LLC等新提出的方法一致地好于BOW，那能否直接用这些稀疏模型代替BOW来表示图像的特征？

      粗略想了一下，心中逐渐对这两个问题有了答案。这篇博文我就试图在检索问题上，谈一谈Bag-of-words模型与LSH存在的必要性。

• 一、回顾LSH      

 LSH方法本身已经在很多文章中有过介绍，大家可以参考 这里和 这里。其主要思想就是在特征空间中对所有点进行多次随机投影（相当于对特征空间的随机划分），越相近的点，随机投影后的值就越有可能相同。通常投影后的值是个binary code（0或者1），那么点xi经过N次随机投影后就可以得到一个N维的二值向量qi，qi就是xi经过LSH编码后的值。
问题是LSH是一种随机投影（见图1），上篇博客中也提到这样随机其实没有充分利用到样本的实际分布信息，因此N需要取一个十分大的数才能取得好的效果。因此，[2]中作者理所当然地就想到对LSH的投影函数进行学习（用BoostSSC和RBM来做学习），效果可以见图3。经过学习的LSH就可以通过更少的投影函数取得更好的区分性。这就和BOW的作用有点像了（都是通过学习对原始的特征空间进行划分），只不过BOW对特征空间的划分是非线性的（见图2），而LSH则是线性的。

图1

图2

图3

• 二、LSH VS BOW：检索的时候对什么特征做编码？

• 三、LSH VS BOW：检索和排序的过程有何不同？

    （1）

这就是LSH编码后两个样本之间的 汉明距离。假设我们有一个dataset，把dataset里面的图片记做di。有一个查询图片query，记做q。假设已经对dataset和query的所有图片经过LSH编码了，会有两种方式进行图片检索:
a) 建立一张哈希表，di编码后的code做为哈希值（键值）。每个di都有唯一的一个键值。query编码后，在这张哈希表上进行查找，凡是与query不超过D个bits不同的codes，就认为是与query近邻的，也就把这些键值下的图片检索出来。这种做法十分快速（几乎不用做任何计算），缺点在于Hash table将会非常大，大小是。
b) 如果N大于30（这时(a)中的hash table太大了），通常采用exhaustive search，即按照（1）式计算q到di的hamming距离，并做排序。因为是binary code，所以速度会非常快（12M图片不用1秒钟就能得到结果）。

再来说说BOW如何做检索（这个大家都很熟悉了）。假设已经通过BOW得到了图像的全局特征向量，通常通过计算两个向量的直方图距离确定两个向量的相似度，然后进行排序。因为BOW特征是比较稀疏的，所以可以利用 倒排索引提高检索速度。

• 四、BOW能否代替LSH

BOW是从一组特征到一个特征之间的映射。你可能会说，当“一组特征”就是一个特征（也就是全局特征）的时候，BOW不也能用来对全局特征做编码么？这样做是不好的，因为这时BOW并不和LSH等效。为什么呢？一幅图像只能提取出一个GIST向量，经过BOW编码后，整个向量将会只有在1个bin上的取值为1，而在其他bin上的取值为0。于是乎，两幅图像之间的相似度要么为0，要么为1。想像在一个真实的图像检索系统中，dataset中的相似度要么是0要么是1，相似的图片相似度都是1，被两级化了，几乎无法衡量相似的程度了。所以说BOW还是比较适合和局部特征搭配起来用。其实LSH的索引a）方法也很类似，Hash值（codes）一样的图像之间是比较不出相似程度的。确实也如此，但是LSH和BOW相比仍然有处不同，便是经过LSH编码后不会像BOW那样极端（整个向量只有1个值为1，其它值为0）。所以通过1）式计算出的相似度依然能够反映两特征原始的相似度。所以在比较全局特征的时候，还是LSH比较好用些。

• 五、LSH能否代替BOW

BOW在处理局部特征的时候，相当于两幅图像之间做点点匹配。如果把LSH编码的所有可能级联成一维向量的话，我觉得在一定程度上是起到了BOW相似的作用的。

• 六、LLC能否代替BOW

不完全可以吧。尽管在识别问题上，LLC性能是比BOW好，但是由于HKM[4]和AKM[5]的提出，BOW的码书可以训练到非常大（可以达到1000000维）。而LLC之类的学习方法就没那么幸运了，说到天上去也就几万维吧。尽管相同维数下BOW性能不那么好，但是放到100万维上，优势就体现出来了。所以在检索问题上，BOW依然如此流行。

---------------------------- 

参考文献：

【1】Video Google: A Text Retrieval Approach to Object Matching in Videos

【2】Small Codes and Large Image Databases for Recognition

【3】Locality-constrained Linear Coding for Image Classification

【4】Scalable Recognition with a Vocabulary Tree

【5】Object retrieval with large vocabularies and fast spatial matching

-----------------

jiang1st2010

转载请注明出处：http://blog.csdn.net/jwh_bupt/article/details/27713453

• —软件人才免语言低担保 赴美带薪读研！—

• —软件人才免语言低担保 赴美带薪读研！—

转载请注明出处： http://blog.csdn.net/guolin_blog/article/details/18234477

本篇文章主要内容来自于Android Doc，我翻译之后又做了些加工，英文好的朋友也可以直接去读原文。

http://developer.android.com/guide/topics/ui/actionbar.html

Action Bar是一种新増的导航栏功能，在Android 3.0之后加入到系统的API当中，它标识了用户当前操作界面的位置，并提供了额外的用户动作、界面导航等功能。使用ActionBar的好处是，它可以给提供一种全局统一的UI界面，使得用户在使用任何一款软件时都懂得该如何操作，并且ActionBar还可以自动适应各种不同大小的屏幕。下面是一张使用ActionBar的界面截图：

其中，[1]是ActionBar的图标，[2]是两个action按钮，[3]是overflow按钮。

由于Action Bar是在3.0以后的版本中加入的，如果想在2.x的版本里使用ActionBar的话则需要引入 Support Library，不过3.0之前版本的市场占有率已经非常小了，这里简单起见我们就不再考虑去做向下兼容，而是只考虑4.0以上版本的用法。

添加和移除Action Bar

ActionBar的添加非常简单，只需要在AndroidManifest.xml中指定Application或Activity的theme是Theme.Holo或其子类就可以了，而使用Eclipse创建的项目自动就会将Application的theme指定成Theme.Holo，所以ActionBar默认都是显示出来的。新建一个空项目并运行，效果如下图所示：

而如果想要移除ActionBar的话通常有两种方式，一是将theme指定成Theme.Holo.NoActionBar，表示使用一个不包含ActionBar的主题，二是在Activity中调用以下方法：

ActionBar actionBar = getActionBar();
actionBar.hide();

修改Action Bar的图标和标题

<activity
    android:name="com.example.actionbartest.MainActivity"
    android:logo="@drawable/weather" ></activity>

<activity
    android:name="com.example.actionbartest.MainActivity"
    android:label="天气"
    android:logo="@drawable/weather" ></activity>

添加Action按钮

<menu xmlns:android="http://schemas.android.com/apk/res/android"
    xmlns:tools="http://schemas.android.com/tools"
    tools:context="com.example.actionbartest.MainActivity" ><item
        android:id="@+id/action_compose"
        android:icon="@drawable/ic_action_compose"
        android:showAsAction="always"
        android:title="@string/action_compose"/><item
        android:id="@+id/action_delete"
        android:icon="@drawable/ic_action_delete"
        android:showAsAction="always"
        android:title="@string/action_delete"/><item
        android:id="@+id/action_settings"
        android:icon="@drawable/ic_launcher"
        android:showAsAction="never"
        android:title="@string/action_settings"/></menu>

@Override
public boolean onCreateOptionsMenu(Menu menu) {
	MenuInflater inflater = getMenuInflater();
	inflater.inflate(R.menu.main, menu);
	return super.onCreateOptionsMenu(menu);
}

响应Action按钮的点击事件

@Override
public boolean onOptionsItemSelected(MenuItem item) {
	switch (item.getItemId()) {
	case R.id.action_compose:
		Toast.makeText(this, "Compose", Toast.LENGTH_SHORT).show();
		return true;
	case R.id.action_delete:
		Toast.makeText(this, "Delete", Toast.LENGTH_SHORT).show();
		return true;
	case R.id.action_settings:
		Toast.makeText(this, "Settings", Toast.LENGTH_SHORT).show();
		return true;
	default:
		return super.onOptionsItemSelected(item);
	}
}

通过Action Bar图标进行导航

@Override
protected void onCreate(Bundle savedInstanceState) {
	super.onCreate(savedInstanceState);
	setTitle("天气");
	setContentView(R.layout.activity_main);
	ActionBar actionBar = getActionBar();
	actionBar.setDisplayHomeAsUpEnabled(true);
}

	@Override
	public boolean onOptionsItemSelected(MenuItem item) {
		switch (item.getItemId()) {
		case android.R.id.home:
			finish();
			return true;……
		}
	}

<activity
    android:name="com.example.actionbartest.MainActivity"
    android:logo="@drawable/weather" ><meta-data
        android:name="android.support.PARENT_ACTIVITY"
        android:value="com.example.actionbartest.LaunchActivity" /></activity>

<activity
    android:name="com.example.actionbartest.MainActivity"
    android:logo="@drawable/weather"
    android:parentActivityName="com.example.actionbartest.LaunchActivity" ></activity>

@Override
public boolean onOptionsItemSelected(MenuItem item) {
	switch (item.getItemId()) {
	case android.R.id.home:
		Intent upIntent = NavUtils.getParentActivityIntent(this);
		if (NavUtils.shouldUpRecreateTask(this, upIntent)) {
			TaskStackBuilder.create(this)
					.addNextIntentWithParentStack(upIntent)
					.startActivities();
		} else {
			upIntent.addFlags(Intent.FLAG_ACTIVITY_CLEAR_TOP);
			NavUtils.navigateUpTo(this, upIntent);
		}
		return true;
        ......
	}
}

添加Action View

<menu xmlns:android="http://schemas.android.com/apk/res/android" ><item
        android:id="@+id/action_search"
        android:icon="@drawable/ic_action_search"
        android:actionViewClass="android.widget.SearchView"
        android:showAsAction="ifRoom|collapseActionView"
        android:title="@string/action_search" />
    ......</menu>

@Override
public boolean onCreateOptionsMenu(Menu menu) {
	MenuInflater inflater = getMenuInflater();
	inflater.inflate(R.menu.main, menu);
	MenuItem searchItem = menu.findItem(R.id.action_search);
	SearchView searchView = (SearchView) searchItem.getActionView();
	// 配置SearchView的属性
	......
	return super.onCreateOptionsMenu(menu);
}

@Override
public boolean onCreateOptionsMenu(Menu menu) {
	MenuInflater inflater = getMenuInflater();
	inflater.inflate(R.menu.main, menu);
	MenuItem searchItem = menu.findItem(R.id.action_search);
	searchItem.setOnActionExpandListener(new OnActionExpandListener() {
		@Override
		public boolean onMenuItemActionExpand(MenuItem item) {
			Log.d("TAG", "on expand");
			return true;
		}
		@Override
		public boolean onMenuItemActionCollapse(MenuItem item) {
			Log.d("TAG", "on collapse");
			return true;
		}
	});
	return super.onCreateOptionsMenu(menu);
}

Overflow按钮不显示的情况

@Override
protected void onCreate(Bundle savedInstanceState) {
	......
	setOverflowShowingAlways();
}

private void setOverflowShowingAlways() {
	try {
		ViewConfiguration config = ViewConfiguration.get(this);
		Field menuKeyField = ViewConfiguration.class.getDeclaredField("sHasPermanentMenuKey");
		menuKeyField.setAccessible(true);
		menuKeyField.setBoolean(config, false);
	} catch (Exception e) {
		e.printStackTrace();
	}
}

让Overflow中的选项显示图标

@Override
public boolean onMenuOpened(int featureId, Menu menu) {
	if (featureId == Window.FEATURE_ACTION_BAR && menu != null) {
		if (menu.getClass().getSimpleName().equals("MenuBuilder")) {
			try {
				Method m = menu.getClass().getDeclaredMethod("setOptionalIconsVisible", Boolean.TYPE);
				m.setAccessible(true);
				m.invoke(menu, true);
			} catch (Exception e) {
			}
		}
	}
	return super.onMenuOpened(featureId, menu);
}

有媒体传出消息，“今日头条”日前完成了C轮融资，融资额度为1亿美元，对应的，公司估值5个亿美元。这个数字很夸张，一来因为一年前B轮融资的时候，估值还不过6000万美元。仅仅一年，就迅速扩大近十倍。二来，一个新闻客户端，居然值那么多钱？

i黑马昨日发表了一篇很长的对今日头条创始人张一鸣的专访，从这篇专访中，大致可以看出点端倪。其中有两点，引起了我的注意。

第一点，今日头条讲的是个什么故事？或者说，它是一个什么定位？

从一般用户认知来说，今日头条就是一个新闻客户端，但在产品方自己，有这样一段话：“张一鸣多年来的积累——好的搜索技术，基础运算工具，在整个社交网络里获得和分发信息的能力——均指向这个现在被定名为今日头条的产品。”

在这段话里，有搜索技术，有运算工具，有分发能力，就是没有“新闻客户端”。这一长串话，按照我多年的写作经验和访谈经历，很像是今日头条自身的描述。更有意味的是，在i黑马这篇极长的文字中，“新闻客户端”这五个字只出现了四次，而且每次都是这样写的：“腾讯和搜狐等新闻客户端”，这篇长文从来没把这五个字用在今日头条上。

这已经很有些稿成后送访谈者过目修订的痕迹了，或者也有可能是事先就点明这一点：不要说今日头条是新闻客户端。这五个字用与不用，和它的融资大有关联。

近一两年来，整个互联网投资市场热情高涨，无论是巨头出手并购，还是专业投资商出手投资。这些热情高涨必然的投资方法是“估值推动型”，而不是“业绩推动型”。估值推动型的投资，一般会找一个对标，其实在过去新浪中国的雅虎，百度中国的谷歌，人人中国的脸谱等等等等大戏中轮番上演。对标非常重要，直接决定了这个项目到底值多少钱。对标找得好，估值很极其惊人，对标找得不好，估值缩水屡见不鲜。

找对标，就是找“讲故事的角度”。一个产品，你从这个角度来看，嗯，是一个新闻客户端，从那个角度看，嗯，是推荐渠道、分发渠道、搜索渠道。I黑马那篇长文，前后出现了三十次“推荐”、九次“分发”、二十四次“搜索”，牢牢地对标在这三大渠道之上。

分发渠道，有对标。文章一开头就提及百度收购91手机助手的事，19亿美元。91手机助手是APP的分发，今日头条就是内容以及内容源的分发。搜索渠道，有对标。移动设备里的搜索入口——这事，想想就兴奋，想想就大得不得了，投资人自己也这样表示：“今日头条更大的价值在于，可以把它看作一个移动端的信息入口”。搜索找个对标更猛的地方在于，Google这个搜索公司在移动端里的广告ARPU值可以达到40美元左右，是Facebook的6倍，twitter的20倍。

推荐渠道，对标不重要了，这是今日头条的核心竞争力。张一鸣表现出对其它门户客户端的自信，完全建立在这上头。你要是三个东西都有对标，核心竞争力不好找了，被对标灭死可能性大了，故事也就不好听了。

整个故事，大致就是这么讲述而成的，值得所有创业者好好学学：对标+核心竞争力，两者兼具，再加上“1.2亿装机，日活1300万”，非常完美的故事。

第二点：今日头条估值推动有了，但总要有业绩的那天。它的业绩在哪里？

请允许我再次引用那篇长文：“今日头条的收入仍来自广告，而且张一鸣认为它是可见的唯一收入来源。”问题在于：移动广告真得如“对于广告商，在今日头条上投放不影响用户体验的信息流广告，效率比在门户网站上高得多。”这样表述吗？

支持者会搬出近日Mary Meeker的2014版互联网趋势报告来说事。在女皇的报告里，她毫不掩饰地表达了对移动广告的信心。但很遗憾，中美移动广告市场，完全不同。

中国移动互联网领域中，互导流量互推用户非常司空见惯，存在大量的“僵尸用户”，这造成了中国移动广告市场整体ARPU值并不高，巨流无线董事长黄维在他的《实战第三屏》一书给出了ARPU五毛的数字——当然，这个数字相对老一点。近期，普华永道发布相当乐观的中国移动广告市场预期，对2014年给出的数字是130亿人民币，相对于中国八亿移动用户，也就是个年15元ARPU的水平。它还乐观地表示，2017年中国市场能达到250亿人民币，考虑到那个时候的用户规模，估计也就是个年20元的水准。对比一下游戏市场，有研究表明，ARPU值今天已经可以做到100元左右。

坐拥1.2亿用户的今日头条，ARPU值显然还没有做到15元的水平，不然一年进项18亿人民币，不可能是“目前已基本可以达到收支平衡”，反而会赚得钵满盆满。即便按照黄维那个相当夸张的五毛党标准，6000万收入的可能性也不好讲（有一种说法是今日头条广告年入过亿）。91手机助手估值那么高，因为今天中国应用的获新成本已经到了20元CPA的规模（中国移动广告ARPU值15元，估计都是被这种APP导流给抬上去的），但给内容/内容源做分发导流，还能有这个ARPU值吗？

当文中提及，像腾讯这样的巨头也举起“推荐”这个大旗，今日头条如何应对时，张一鸣是这样回答的：

“腾讯这样的公司，有巨多的用户、巨多的钱，什么时候都可以杀进来，只是性价比实在不划算。”

有趣。什么叫性价比？

对巨头来说，自己做一个性价比高？还是收一个性价比高？——呵呵，这只是这段话的解释之一罢了。姑妄言之，姑妄听之罢。

—— 钛媒体 供稿 ——

说明：
1、本博客文字，除特别注明外，均为本人原创，可以自由转载，谢绝长微博形式转载；
2、转载时请注明本人大名，魏武挥，不是魏武辉，不要搞错。
3、转载时请保留此段：本文由扯氮集博主魏武挥原创撰写，欢迎于微信/网易云阅读/腾讯新闻客户端中搜索ItTalks以订阅公众账号，或于钛媒体/搜狐新闻客户端科技频道订阅“魏武挥”
4、本人不接受商业文章（俗称软文）撰写的合作，不要再询问我如何合作法。

• —软件人才免语言低担保 赴美带薪读研！—

import java.io.RandomAccessFile;
import java.nio.MappedByteBuffer;
import java.nio.channels.FileChannel;


public class MemoryMappedFileInJava {


    private static int count = 10485760; // 10 MB


    public static void main(String[] args) throws Exception {


        RandomAccessFile memoryMappedFile = new RandomAccessFile("largeFile.txt", "rw");


        // Mapping a file into memory
        MappedByteBuffer out = memoryMappedFile.getChannel().map(FileChannel.MapMode.READ_WRITE, 0, count);


        // Writing into Memory Mapped File
        for (int i = 0; i < count; i++) {
            out.put((byte) 'A');
        }
        System.out.println("Writing to Memory Mapped File is completed");


        // reading from memory file in Java
        for (int i = 0; i < 10; i++) {
            System.out.print((char) out.get(i));
        }
        System.out.println("Reading from Memory Mapped File is completed");


        memoryMappedFile.close();
    }


}

• —软件人才免语言低担保 赴美带薪读研！—

每当从各种公司听到他们正在尝试自动化部署/测试的事情，我都非常关注，但通常会很吃惊，他们很少会考虑去实行代码审查制度。

看到这种情况，我通常想问： 如果代码没有经过其它人的审查，你如何知道你要测试的是什么？这答案(如果有的话)通常是捏着手指头说 有几个人在做代码审查或“正在考虑中”。

没有代码审查？真的吗？ 不可思议？！？

代码审查不是可有可无的。

不论你采用什么形式的测试过程，什么形式的部署过程，没有代码审查——game over。为什么？因为代码的质量是一种人能看懂的质量。不管你如何测试，有如何严谨的部署流程，只有当另外一个人看了这些代码，并且表明能看懂时，这些代码才有意义。如果看不懂，你认为这样的代码——虽然测试通过、部署符合流程——可以上线吗？

没有经过代码审查，测试说明不了任何问题。测试通过但没有经过代码审查的代码仍然是有bug的。

什么是代码审查？

请参考 谷歌是如何做代码审查的。

设计中使用的“走廊UX测试”是说：在开始实现你的设计前，至少需要有一个人看过你的设计。代码审查是相同的道理。

代码审查是说：在把你的代码合并到代码库里之前，请至少找一个人看看你的代码。

如何进行代码审查？

下面是代码审查基本的步骤：

1. 把身体向左转。
2. 看到另外一个程序员？拍拍他的肩膀。
3. 让他看你的显示器。
4. 说：这代码你能看懂吗？我打算把它提交到代码库里。
5. 听他的建议。
6. 自己做决定：是应该修改一下，还是继续提交到代码库里。

就这样。

现在，我想告诉你， 有大量的代码审查工具可以使用。它们都能高度的自定义配置。它们的作用都是让你代码审查过程更方面、灵活。

简单的几款代码审查工具

下面是我推荐的几款简单的代码审查工具(如果你的公司的程序员少于5千人)。

1. less
2. diff,或 wdiff
3. GitHub pull requests

就是这些。虽然还有很多很多的 代码审查工具，我很少听说哪个程序员说喜欢它们的。而我的观点，less, diff, github pull requests能解决我们正常开发中的大部分代码审查问题。

如果你的代码审查过程过于复杂，需要使用大量的工具，这说明你过分的依赖于一些不 必要的形式，你应该简化它们。你可以说成你的反对的观点，或在 微博上和我们讨论。

请阅读全文： 你们公司做代码审查吗？。

本文由 外刊IT评论网( www.vaikan.com)原创发表
文章地址： 你们公司做代码审查吗？，
[英文原文： Do you do code review? ]

你也许会喜欢这些文章：

1. 代码审查中的暴力冲突
2. 事后诸葛亮：如何写出没有bug的软件
3. 代码审查：ThoughtBot官方给出的代码审查指导原则
4. 谷歌是如何做代码审查的
5. 代码审查和不良编程习惯

在邮件/日历/SNS等客户端里，客户端数据要不断与服务端进行数据同步，在同步过程中，只拉取有修改的数据，称为增量更新，增量更新方案一般有两种，一是对比，二是日志。

对比

对比就是客户端请求服务端所有关键数据，跟本地已有的数据进行对比，筛选出增删改的数据进行更新。

用对比方法的好处是服务端什么都不用做，坏处是客户端逻辑复杂，耗网络流量。在这种方案里，数据的新增和删除很容易判断，根据客户端数据的id列表和服务端数据的id列表进行对比就行，若要判断哪个数据有修改则比较麻烦，需要取回数据进行对比，如果从服务端拉回所有对所有数据进行对比会很耗网络流量，有一个优化方式，就是对每个数据的修改进行标记。
以日历为例，一个日历可修改的字段很多，例如时间段，内容，邀请人等，全部拉回来对比不现实，对此可以在服务端给每个日历事件新增一个字段tag，表示这个日历事件的版本，服务端更新一个日历事件时会同时更新这个tag，客户端只需要取回每个id对应的tag，跟本地保存的tag对比，不一致表示这个日历事件已经更新，再去获取日历实体就完成更新了。

若服务端因为某些原因无法给每个数据保存一个版本标记，可以实时计算，在客户端和服务端约定一个算法，把所有可变参数拿出来，通过特定算法hash出一个值，对比这个hash值判断是否需要更新。

邮件协议IMAP，日历协议CalDAV就是用这种方式做增量更新，IMAP并没有做上述的优化，在判断邮件有没有更新时只能乖乖把所有数据请求回来对比，数据是XML，算是相当低效的协议。CalDAV给每个日历事件加了上述的tag，直接对比即可知道是否需要更新。

日志

日志指服务端记录数据的每一次增删改，用一个类似版本号的sync-key标记这次修改，客户端通过一个旧的sync-key向服务端请求，服务端返回这个sync-key与最新sync-key之间所有的修改给客户端，完成增量更新。

这个sync-key在服务端的实现上可以是时间，也可以是一个自增的id，sync-key之间有顺序关系就行。在一个数据集里，每次数据有更新，就新增一个sycn-key，并记录这次更新。图示这个过程：

这个方案客户端逻辑很简单，但服务端负担较大，每次数据更新都要记录，客户端请求时需要查询给出相应的数据。这个方案在实际操作中还有两个问题：

一是时间长了服务端保存数据量过大。可以通过限制记录的条数解决，超过限制就删除最旧的记录。这样做会出现一个问题，若客户端带着在服务端已被删除的sync-key上来请求，该如何处理？一般做法是返回一个错误给客户端，让客户端重新拉取所有数据。

二是若客户端sync-key过旧，增量数据可能过大。客户端数据太老，有太多数据需要更新，若一次性返回所有增量数据，这个请求可能会很大，请求时间太长，成功率也会很低。解决方式是分多次请求，客户端和服务端可以约定一个字段作为阀值，服务端每次返回的增量数据量不超过这个阀值，若总数据超过这个阀值，则分多次请求，通过每次请求返回的sync-key定位下次请求该返回哪些数据。例如客户端sync-key是100，服务端最新sync-key是1000，阀值是50，客户端第一次带sync-key=100请求，服务端第一次返回sycn-key 100-150这一段增量数据，并返回sync-key=150，并有一个值告诉客户端这个sync-key还不是最新，客户端再带上sync-key=150请求，以此类推，直到sync-key=1000。

微软的Exchange/ActiveSync就是用这种方式实现增量更新，ActiveSync还用WBXML压缩了数据，更适用于移动端。此外日历协议CalDAV的也有一个扩展协议 RFC6578使用这种方式。ActiveSync和CalDAV扩展协议都有分多次请求增量数据的策略。

————

对于Timeline式的数据，增量更新方式多是以上两种，或者这两种的变体，可以根据业务特性修改或简化其中的逻辑，例如对于微博Timeline，它可以不考虑微博的修改，不考虑同步评论转发数的变化，不考虑同步删除的微博，并且每一条微博都有一个递增的id，那它的增量更新逻辑就很简单，只需要把客户端最新一条微博的id作为since_id传到服务端，返回比这个id更新的微博就行了，这里微博id相当于日志方式的sync-key，算是对日志方式的一种简化。

Java生成二维码方法有三种：

1： 使用SwetakeQRCode在Java项目中生成二维码 
http://swetake.com/qr/ 下载地址 
或着http://sourceforge.jp/projects/qrcode/downloads/28391/qrcode.zip 
这个是日本人写的，生成的是我们常见的方形的二维码 
可以用中文 如：5677777ghjjjjj 

2： 使用BarCode4j生成条形码和二维码 
BarCode4j网址：http://sourceforge.net/projects/barcode4j/ 

barcode4j是使用datamatrix的二维码生成算法，为支持qr的算法 
datamatrix是欧美的标准，qr为日本的标准， 
barcode4j一般生成出来是长方形的

如：88777alec000yan 
这个博客这方面说的挺清楚的： 
http://baijinshan.iteye.com/blog/1004554

3、现在详细介绍第三种也是常用的方式：利用Zxing生成二维码

Zxing是Google提供的关于条码（一维码、二维码）的解析工具，提供了二维码的生成与解析的方法，现在我简单介绍一下使用Java利用Zxing生成与解析二维码。

第一步:将Zxing-core.jar 包加入项目中。

第二步 添加以下三个Java文件，三个文件功能如下：

MatrixToImageWriter.java  生成二维码图片。

BufferedImageLuminanceSource.java   解析二维码图片。

BarcodeFactory.java  生成带头像的二维码。

MatrixToImageWriter.java

import com.google.zxing.BarcodeFormat;
import com.google.zxing.EncodeHintType;
import com.google.zxing.MultiFormatWriter;
import com.google.zxing.common.BitMatrix;

import javax.imageio.ImageIO;
import java.io.File;
import java.io.OutputStream;
import java.io.IOException;
import java.util.Hashtable;
import java.awt.image.BufferedImage;

public final class MatrixToImageWriter {

	private static final int BLACK = 0xFF000000;
	private static final int WHITE = 0xFFFFFFFF;

	private MatrixToImageWriter() {
	}

	public static BufferedImage toBufferedImage(BitMatrix matrix) {
		int width = matrix.getWidth();
		int height = matrix.getHeight();
		BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);
		for (int x = 0; x < width; x++) {
			for (int y = 0; y < height; y++) {
				image.setRGB(x, y, matrix.get(x, y) ? BLACK : WHITE);
			}
		}
		return image;
	}

	public static void writeToFile(BitMatrix matrix, String format, File file) throws IOException {
		BufferedImage image = toBufferedImage(matrix);
		if (!ImageIO.write(image, format, file)) {
			throw new IOException("Could not write an image of format " + format + " to " + file);
		}
	}

	public static void writeToStream(BitMatrix matrix, String format, OutputStream stream) throws IOException {
		BufferedImage image = toBufferedImage(matrix);
		if (!ImageIO.write(image, format, stream)) {
			throw new IOException("Could not write an image of format " + format);
		}
	}
	public static void main(String[] args) throws Exception {
		String text = "二维码内容，可以是链接也可以是文本";
		int width = 300;
		int height = 300;
		Hashtable hints = new Hashtable();
		hints.put(EncodeHintType.CHARACTER_SET, "utf-8");//内容所使用编码  
		BitMatrix bitMatrix = new MultiFormatWriter().encode(text, BarcodeFormat.QR_CODE, width, height, hints);

		File outputFile = new File("E:/qrtest/生成普通二维码.jpg");
		//File.separator
		String format = "jpg";//二维码的图片格式  
		MatrixToImageWriter.writeToFile(bitMatrix, format, outputFile);

	}
}

import com.google.zxing.Binarizer;
import com.google.zxing.BinaryBitmap;
import com.google.zxing.EncodeHintType;
import com.google.zxing.LuminanceSource;
import com.google.zxing.MultiFormatReader;
import com.google.zxing.Result;
import com.google.zxing.common.HybridBinarizer;

import java.awt.Graphics2D;
import java.awt.geom.AffineTransform;
import java.awt.image.BufferedImage;
import java.io.File;
import java.util.HashMap;
import java.util.Map;

import javax.imageio.ImageIO;

public final class BufferedImageLuminanceSource extends LuminanceSource {

	private final BufferedImage image;
	private final int left;
	private final int top;

	public BufferedImageLuminanceSource(BufferedImage image) {
		this(image, 0, 0, image.getWidth(), image.getHeight());
	}

	public BufferedImageLuminanceSource(BufferedImage image, int left, int top, int width, int height) {
		super(width, height);

		int sourceWidth = image.getWidth();
		int sourceHeight = image.getHeight();
		if (left + width > sourceWidth || top + height > sourceHeight) {
			throw new IllegalArgumentException("Crop rectangle does not fit within image data.");
		}

		for (int y = top; y < top + height; y++) {
			for (int x = left; x < left + width; x++) {
				if ((image.getRGB(x, y) & 0xFF000000) == 0) {
					image.setRGB(x, y, 0xFFFFFFFF); // = white
				}
			}
		}

		this.image = new BufferedImage(sourceWidth, sourceHeight, BufferedImage.TYPE_BYTE_GRAY);
		this.image.getGraphics().drawImage(image, 0, 0, null);
		this.left = left;
		this.top = top;
	}

	@Override
	public byte[] getRow(int y, byte[] row) {
		if (y < 0 || y >= getHeight()) {
			throw new IllegalArgumentException("Requested row is outside the image: " + y);
		}
		int width = getWidth();
		if (row == null || row.length < width) {
			row = new byte[width];
		}
		image.getRaster().getDataElements(left, top + y, width, 1, row);
		return row;
	}

	@Override
	public byte[] getMatrix() {
		int width = getWidth();
		int height = getHeight();
		int area = width * height;
		byte[] matrix = new byte[area];
		image.getRaster().getDataElements(left, top, width, height, matrix);
		return matrix;
	}

	@Override
	public boolean isCropSupported() {
		return true;
	}

	@Override
	public LuminanceSource crop(int left, int top, int width, int height) {
		return new BufferedImageLuminanceSource(image, this.left + left, this.top + top, width, height);
	}

	@Override
	public boolean isRotateSupported() {
		return true;
	}

	@Override
	public LuminanceSource rotateCounterClockwise() {

		int sourceWidth = image.getWidth();
		int sourceHeight = image.getHeight();

		AffineTransform transform = new AffineTransform(0.0, -1.0, 1.0, 0.0, 0.0, sourceWidth);

		BufferedImage rotatedImage = new BufferedImage(sourceHeight, sourceWidth, BufferedImage.TYPE_BYTE_GRAY);

		Graphics2D g = rotatedImage.createGraphics();
		g.drawImage(image, transform, null);
		g.dispose();

		int width = getWidth();
		return new BufferedImageLuminanceSource(rotatedImage, top, sourceWidth - (left + width), getHeight(), width);
	}

	public static void main(String[] args) {
		//解析二维码
		try {
			MultiFormatReader formatReader = new MultiFormatReader();
			String filePath = "E:/qrtest/生成普通二维码.jpg";
			File file = new File(filePath);
			BufferedImage image = ImageIO.read(file);
			LuminanceSource source = new BufferedImageLuminanceSource(image);
			Binarizer binarizer = new HybridBinarizer(source);
			BinaryBitmap binaryBitmap = new BinaryBitmap(binarizer);
			Map hints = new HashMap();
			hints.put(EncodeHintType.CHARACTER_SET, "UTF-8");
			Result result = formatReader.decode(binaryBitmap, hints);

			System.out.println("result = " + result.toString());
			System.out.println("resultFormat = " + result.getBarcodeFormat());
			System.out.println("resultText = " + result.getText());
		} catch (Exception e) {
			e.printStackTrace();
		}
	}
}

import java.awt.Color;
import java.awt.Graphics2D;
import java.awt.Image;
import java.awt.geom.AffineTransform;
import java.awt.image.AffineTransformOp;
import java.awt.image.BufferedImage;
import java.io.File;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

import javax.imageio.ImageIO;

import com.google.zxing.BarcodeFormat;
import com.google.zxing.EncodeHintType;
import com.google.zxing.MultiFormatWriter;
import com.google.zxing.WriterException;
import com.google.zxing.common.BitMatrix;
import com.google.zxing.qrcode.decoder.ErrorCorrectionLevel;


public class BarcodeFactory {
	// 图片宽度的一般
	private static final int IMAGE_WIDTH = 80;
	private static final int IMAGE_HEIGHT = 80;
	private static final int IMAGE_HALF_WIDTH = IMAGE_WIDTH / 2;
	private static final int FRAME_WIDTH = 2;

	// 二维码写码器
	private static MultiFormatWriter mutiWriter = new MultiFormatWriter();

	/**
	 * 将srcImagePath嵌入到destImagePath
	 */
	public static void encode(String content, int width, int height, String srcImagePath, String destImagePath) {
		try {
			ImageIO.write(genBarcode(content, width, height, srcImagePath), "jpg", new File(destImagePath));
		} catch (IOException e) {
			e.printStackTrace();
		} catch (WriterException e) {
			e.printStackTrace();
		}
	}

	private static BufferedImage genBarcode(String content, int width, int height, String srcImagePath)
			throws WriterException, IOException {
		// 读取源图像
		BufferedImage scaleImage = scale(srcImagePath, IMAGE_WIDTH, IMAGE_HEIGHT, true);
		int[][] srcPixels = new int[IMAGE_WIDTH][IMAGE_HEIGHT];
		for (int i = 0; i < scaleImage.getWidth(); i++) {
			for (int j = 0; j < scaleImage.getHeight(); j++) {
				srcPixels[i][j] = scaleImage.getRGB(i, j);
			}
		}

		Map<EncodeHintType, Object> hint = new HashMap<EncodeHintType, Object>();
		hint.put(EncodeHintType.CHARACTER_SET, "utf-8");
		hint.put(EncodeHintType.ERROR_CORRECTION, ErrorCorrectionLevel.H);
		// 生成二维码
		BitMatrix matrix = mutiWriter.encode(content, BarcodeFormat.QR_CODE, width, height, hint);

		// 二维矩阵转为一维像素数组
		int halfW = matrix.getWidth() / 2;
		int halfH = matrix.getHeight() / 2;
		int[] pixels = new int[width * height];

		for (int y = 0; y < matrix.getHeight(); y++) {
			for (int x = 0; x < matrix.getWidth(); x++) {
				// 读取图片
				if (x > halfW - IMAGE_HALF_WIDTH && x < halfW + IMAGE_HALF_WIDTH && y > halfH - IMAGE_HALF_WIDTH&& y < halfH + IMAGE_HALF_WIDTH) {
					pixels[y * width + x] = srcPixels[x - halfW + IMAGE_HALF_WIDTH][y - halfH + IMAGE_HALF_WIDTH];
				}
				// 在图片四周形成边框
				else if ((x > halfW - IMAGE_HALF_WIDTH - FRAME_WIDTH && x < halfW - IMAGE_HALF_WIDTH + FRAME_WIDTH&& y > halfH - IMAGE_HALF_WIDTH - FRAME_WIDTH && y < halfH + IMAGE_HALF_WIDTH + FRAME_WIDTH)
						|| (x > halfW + IMAGE_HALF_WIDTH - FRAME_WIDTH && x < halfW + IMAGE_HALF_WIDTH + FRAME_WIDTH&& y > halfH - IMAGE_HALF_WIDTH - FRAME_WIDTH && y < halfH + IMAGE_HALF_WIDTH + FRAME_WIDTH)
						|| (x > halfW - IMAGE_HALF_WIDTH - FRAME_WIDTH && x < halfW + IMAGE_HALF_WIDTH + FRAME_WIDTH&& y > halfH - IMAGE_HALF_WIDTH - FRAME_WIDTH && y < halfH - IMAGE_HALF_WIDTH + FRAME_WIDTH)
						|| (x > halfW - IMAGE_HALF_WIDTH - FRAME_WIDTH && x < halfW + IMAGE_HALF_WIDTH + FRAME_WIDTH&& y > halfH + IMAGE_HALF_WIDTH - FRAME_WIDTH && y < halfH + IMAGE_HALF_WIDTH + FRAME_WIDTH)) {
					pixels[y * width + x] = 0xfffffff;
				} else {
					// 此处可以修改二维码的颜色，可以分别制定二维码和背景的颜色；
					pixels[y * width + x] = matrix.get(x, y) ? 0xff000000 : 0xfffffff;
				}
			}
		}

		BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);
		image.getRaster().setDataElements(0, 0, width, height, pixels);

		return image;
	}

	/**
	 * 把传入的原始图像按高度和宽度进行缩放，生成符合要求的图标
	 * 
	 * @param srcImageFile
	 *            源文件地址
	 * @param height
	 *            目标高度
	 * @param width
	 *            目标宽度
	 * @param hasFiller
	 *            比例不对时是否需要补白：true为补白; false为不补白;
	 * @throws IOException
	 */
	private static BufferedImage scale(String srcImageFile, int height, int width, boolean hasFiller) throws IOException {
		double ratio = 0.0; // 缩放比例
		File file = new File(srcImageFile);
		BufferedImage srcImage = ImageIO.read(file);
		Image destImage = srcImage.getScaledInstance(width, height, BufferedImage.SCALE_SMOOTH);
		// 计算比例
		if ((srcImage.getHeight() > height) || (srcImage.getWidth() > width)) {
			if (srcImage.getHeight() > srcImage.getWidth()) {
				ratio = (new Integer(height)).doubleValue() / srcImage.getHeight();
			} else {
				ratio = (new Integer(width)).doubleValue() / srcImage.getWidth();
			}
			AffineTransformOp op = new AffineTransformOp(AffineTransform.getScaleInstance(ratio, ratio), null);
			destImage = op.filter(srcImage, null);
		}
		if (hasFiller) {// 补白
			BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);
			Graphics2D graphic = image.createGraphics();
			graphic.setColor(Color.white);
			graphic.fillRect(0, 0, width, height);
			if (width == destImage.getWidth(null))
				graphic.drawImage(destImage, 0, (height - destImage.getHeight(null)) / 2, destImage.getWidth(null), destImage
						.getHeight(null), Color.white, null);
			else
				graphic.drawImage(destImage, (width - destImage.getWidth(null)) / 2, 0, destImage.getWidth(null), destImage
						.getHeight(null), Color.white, null);
			graphic.dispose();
			destImage = image;
		}
		return (BufferedImage) destImage;
	}

	public static void main(String[] args) {
		//src.jpg为头像文件
		BarcodeFactory.encode("http://www.baidu.com", 300, 300, "E:/qrtest/src.jpg","E:/qrtest/生成带头像的二维码.jpg");
	}
}

前言

大家好，我们是OpenCDN团队的Twwy。这次我们来讲讲如何通过简单的配置文件来实现nginx防御攻击的效果。

其实很多时候，各种防攻击的思路我们都明白，比如限制IP啊，过滤攻击字符串啊，识别攻击指纹啦。可是要如何去实现它呢？用守护脚本吗？用 PHP在外面包一层过滤？还是直接加防火墙吗？这些都是防御手段。不过本文将要介绍的是直接通过nginx的普通模块和配置文件的组合来达到一定的防御效 果。

验证浏览器行为

简易版

我们先来做个比喻。

社区在搞福利，在广场上给大家派发红包。而坏人派了一批人形的机器人(没有语言模块)来冒领红包，聪明工作人员需要想出办法来防止红包被冒领。
于是工作人员在发红包之前，会给领取者一张纸，上面写着“红包拿来”，如果那人能念出纸上的字，那么就是人，给红包，如果你不能念出来，那么请自觉。于是机器人便被识破，灰溜溜地回来了。

是的，在这个比喻中，人就是浏览器，机器人就是攻击器，我们可以通过鉴别cookie功能(念纸上的字)的方式来鉴别他们。下面就是nginx的配置文件写法。

if ($cookie_say != "hbnl"){      add_header Set-Cookie "say=hbnl";      rewrite .* "$scheme://$host$uri" redirect;  }

让我们看下这几行的意思，当cookie中say为空时，给一个设置cookie say为hbnl的302重定向包，如果访问者能够在第二个包中携带上cookie值，那么就能正常访问网站了，如果不能的话，那他永远活在了302中。 你也可以测试一下，用CC攻击器或者webbench或者直接curl发包做测试，他们都活在了302世界中。

当然，这么简单就能防住了？当然没有那么简单。

增强版

仔细的你一定会发现配置文件这样写还是有缺陷。如果攻击者设置cookie为say=hbnl（CC攻击器上就可以这么设置），那么这个防御就形同虚设了。我们继续拿刚刚那个比喻来说明问题。

坏人发现这个规律后，给每个机器人安上了扬声器，一直重复着“红包拿来，红包拿来”，浩浩荡荡地又来领红包了。
这时，工作人员的对策是这样的，要求领取者出示有自己名字的户口本，并且念出自己的名字，“我是xxx，红包拿来”。于是一群只会嗡嗡叫着“红包拿来”的机器人又被撵回去了。
当然，为了配合说明问题，每个机器人是有户口本的，被赶回去的原因是不会念自己的名字，虽然这个有点荒诞，唉。

然后，我们来看下这种方式的配置文件写法

if ($cookie_say != "hbnl$remote_addr"){      add_header Set-Cookie "say=hbnl$remote_addr";      rewrite .* "$scheme://$host$uri" redirect;  }

这样的写法和前面的区别是，不同IP的请求cookie值是不一样的，比如IP是1.2.3.4，那么需要设置的cookie是 say=hbnl1.2.3.4。于是攻击者便无法通过设置一样的cookie(比如CC攻击器)来绕过这种限制。你可以继续用CC攻击器来测试下，你会 发现CC攻击器打出的流量已经全部进入302世界中。

不过大家也能感觉到，这似乎也不是一个万全之计，因为攻击者如果研究了网站的机制之后，总有办法测出并预先伪造cookie值的设置方法。因为 我们做差异化的数据源正是他们本身的一些信息（IP、user agent等）。攻击者花点时间也是可以做出专门针对网站的攻击脚本的。

完美版

那么要如何根据他们自身的信息得出他们又得出他们算不出的数值？

我想，聪明的你一定已经猜到了，用salt加散列。比如md5(“opencdn$remote_addr”)，虽然攻击者知道可以自己IP， 但是他无法得知如何用他的IP来计算出这个散列，因为他是逆不出这个散列的。当然，如果你不放心的话，怕cmd5.com万一能查出来的话，可以加一些特 殊字符，然后多散几次。

很可惜，nginx默认是无法进行字符串散列的，于是我们借助nginx_lua模块来进行实现。

rewrite_by_lua '      local say = ngx.md5("opencdn" .. ngx.var.remote_addr)      if (ngx.var.cookie_say ~= say) then          ngx.header["Set-Cookie"] = "say=" .. say          return ngx.redirect(ngx.var.scheme .. "://" .. ngx.var.host .. ngx.var.uri)      end  ';

通过这样的配置，攻击者便无法事先计算这个cookie中的say值，于是攻击流量(代理型CC和低级发包型CC)便在302地狱无法自拔了。

大家可以看到，除了借用了md5这个函数外，其他的逻辑和上面的写法是一模一样的。因此如果可以的话，你完全可以安装一个nginx的计算散列的第三方模块来完成，可能效率会更高一些。

这段配置是可以被放在任意的location里面，如果你的网站有对外提供API功能的话，建议API一定不能加入这段，因为API的调用也是没有浏览器行为的，会被当做攻击流量处理。并且，有些弱一点爬虫也会陷在302之中，这个需要注意。

同时，如果你觉得set-cookie这个动作似乎攻击者也有可能通过解析字符串模拟出来的话，你可以把上述的通过header来设置cookie的操作，变成通过高端大气的js完成，发回一个含有doument.cookie=…的文本即可。

那么，攻击是不是完全被挡住了呢？只能说那些低级的攻击已经被挡住而来，如果攻击者必须花很大代价给每个攻击器加上webkit模块来解析js 和执行set-cookie才行，那么他也是可以逃脱302地狱的，在nginx看来，确实攻击流量和普通浏览流量是一样的。那么如何防御呢？下节会告诉 你答案。

请求频率限制

不得不说，很多防CC的措施是直接在请求频率上做限制来实现的，但是，很多都存在着一定的问题。

那么是哪些问题呢？

首先，如果通过IP来限制请求频率，容易导致一些误杀，比如我一个地方出口IP就那么几个，而访问者一多的话，请求频率很容易到上限，那么那个地方的用户就都访问不了你的网站了。

于是你会说，我用SESSION来限制就有这个问题了。嗯，你的SESSION为攻击者敞开了一道大门。为什么呢？看了上文的你可能已经大致知 道了，因为就像那个“红包拿来”的扬声器一样，很多语言或者框架中的SESSION是能够伪造的。以PHP为例，你可以在浏览器中的cookie看到 PHPSESSIONID，这个ID不同的话，session也就不同了，然后如果你杜撰一个PHPSESSIONID过去的话，你会发现，服务器也认可 了这个ID，为这个ID初始化了一个会话。那么，攻击者只需要每次发完包就构造一个新的SESSIONID就可以很轻松地躲过这种在session上的请 求次数限制。

那么我们要如何来做这个请求频率的限制呢？

首先，我们先要一个攻击者无法杜撰的sessionID，一种方式是用个池子记录下每次给出的ID，然后在请求来的时候进行查询，如果没有的 话，就拒绝请求。这种方式我们不推荐，首先一个网站已经有了session池，这样再做个无疑有些浪费，而且还需要进行池中的遍历比较查询，太消耗性能。 我们希望的是一种可以无状态性的sessionID，可以吗？可以的。

rewrite_by_lua '  local random = ngx.var.cookie_random  if(random == nil) then  random = math.random(999999)  end  local token = ngx.md5("opencdn" .. ngx.var.remote_addr .. random)  if (ngx.var.cookie_token ~= token) then  ngx.header["Set-Cookie"] = {"token=" .. token, "random=" .. random}  return ngx.redirect(ngx.var.scheme .. "://" .. ngx.var.host .. ngx.var.uri)  end  ';

大家是不是觉得好像有些眼熟？是的，这个就是上节的完美版的配置再加个随机数，为的是让同一个IP的用户也能有不同的token。同样的，只要有nginx的第三方模块提供散列和随机数功能，这个配置也可以不用lua直接用纯配置文件完成。

有了这个token之后，相当于每个访客有一个无法伪造的并且独一无二的token，这种情况下，进行请求限制才有意义。

由于有了token做铺垫，我们可以不做什么白名单、黑名单，直接通过limit模块来完成。

http{      ...      limit_req_zone $cookie_token zone=session_limit:3m rate=1r/s;  }

然后我们只需要在上面的token配置后面中加入

limit_req zone=session_limit burst=5;

于是，又是两行配置便让nginx在session层解决了请求频率的限制。不过似乎还是有缺陷，因为攻击者可以通过一直获取token来突破 请求频率限制，如果能限制一个IP获取token的频率就更完美了。可以做到吗？可以。同时，我们也要感谢一下Tengine，Tengine的 limit模块可以支持多个变量。本文的所有的实验均在Tengine下完成。

http{  ...  limit_req_zone $cookie_token zone=session_limit:3m rate=1r/s;  limit_req_zone $binary_remote_addr $uri zone=auth_limit:3m rate=1r/m;  }  location /{  limit_req zone=session_limit burst=5;  rewrite_by_lua '  local random = ngx.var.cookie_random  if (random == nil) then  return ngx.redirect("/auth?url=" .. ngx.var.request_uri)  end  local token = ngx.md5("opencdn" .. ngx.var.remote_addr .. random)  if (ngx.var.cookie_token ~= token) then  return ngx.redirect("/auth?url=".. ngx.var.request_uri)  end  ';  }  location /auth {  limit_req zone=auth_limit burst=1;  if ($arg_url = "") {  return 403;  }  access_by_lua '  local random = math.random(9999)  local token = ngx.md5("opencdn" .. ngx.var.remote_addr .. random)  if (ngx.var.cookie_token ~= token) then  ngx.header["Set-Cookie"] = {"token=" .. token, "random=" .. random}  return ngx.redirect(ngx.var.arg_url)  end  ';  }

我想大家也应该已经猜到，这段配置文件的原理就是：把本来的发token的功能分离到一个auth页面，然后用limit对这个auth页面进行频率限制即可。这边的频率是1个IP每分钟授权1个token。当然，这个数量可以根据业务需要进行调整。

需要注意的是，这个auth部分我lua采用的是access_by_lua，原因在于limit模块是在rewrite阶段后执行的，如果在 rewrite阶段302的话，limit将会失效。因此，这段lua配置我不能保证可以用原生的配置文件实现，因为不知道如何用配置文件在 rewrite阶段后进行302跳转，也求大牛能够指点一下啊。

当然，你如果还不满足于这种限制的话，想要做到某个IP如果一天到达上限超过几次之后就直接封IP的话，也是可以的，你可以用类似的思路再做个 错误页面，然后到达上限之后不返回503而是跳转到那个错误页面，然后错误页面也做个请求次数限制，比如每天只能访问100次，那么当超过报错超过100 次(请求错误页面100次)之后，那天这个IP就不能再访问这个网站了。

于是，通过这些配置我们便实现了一个网站访问频率限制。不过，这样的配置也不是说可以完全防止了攻击，只能说让攻击者的成本变高，让网站的扛攻 击能力变强，当然，前提是nginx能够扛得住这些流量，然后带宽不被堵死。如果你家门被堵了，你还想开门营业，那真心没有办法了。

然后，做完流量上的防护，让我们来看看对于扫描器之类的攻击的防御。

防扫描

ngx_lua_waf模块 https://github.com/loveshell/ngx_lua_waf

这个是一个不错的waf模块，这块我们也无需重复造轮子。可以直接用这个模块来做防护，当然也完全可以再配合limit模块，用上文的思路来做到一个封IP或者封session的效果。

总结

本文旨在达到抛砖引玉的作用，我们并不希望你直接单纯的复制我们的这些例子中的配置，而是希望根据你的自身业务需要，写出适合自身站点的配置文件。

[via@ Twwy]

您可能也喜欢：
Nginx配置文件nginx.conf中文详解	nginx fastcgi配置失误+解析漏洞引发的漏洞	豌豆荚nginx解析漏洞，搜索型xss漏洞	nginx & flup & django & python3.x @ window7配置备忘录	记我配置Nginx代理的遭遇
无觅

The post 通过nginx配置文件抵御攻击 appeared first on 神刀安全网.

• —软件人才免语言低担保 赴美带薪读研！—