阿采
阿采

Pretty-Bad-Proxy: I. INTRODUCTION

论文地址:Pretty-Bad-Proxy

I. INTRODUCTION

HTTPS is an end-to-end cryptographic protocol for securing web traffic over insecure networks. Authenticity and confidentiality are the basic promises of HTTPS. When a client communicates with a web server using HTTPS, we expect that: i) no HTTPS payload data can be obtained by a malicious host on the network; ii) the server indeed bears the identity shown in the certificate; and iii) no malicious host in the network can impersonate an authenticated user to access the server. These properties should hold as long as the end systems, i.e. the browser and the server, are trusted.

HTTPS是一种在不安全的网络上进行安全传输的端到端的安全协议。可靠性和保密性是HTTPS的基本承诺。当一个客户端和一个web服务端使用HTTPS进行通信,我们期待:1.所有承载在HTTPS上的数据均不会被网络上的恶意主机截获 2. 服务端和证书中的身份匹配 3. 网络上没有恶意主机可以仿冒认证用户连接服务器。 只要终端系统(例如浏览器和服务器)可信任,这些属性都应该保持。


In other words, the adversary model of HTTPS is simple and clear: the network is completely owned by the adversary, meaning that no network device on the network is assumed trustworthy. The protocol is rigorously designed, implemented and validated using this adversary model. If HTTPS is not robust against this adversary, it is broken by definition.

换句话说,HTTPS的对手模型就很清晰了:对手完全拥有网络,表示网络上的所有设备都是不可信任的。这个协议是严格根据这种对手模型设计实现并经过验证的。如果在针对这个对手的时候HTTPS不是健壮的,那么它从定义上就被破坏了。


This paper is motivated by our curiosity about whether the same adversary that is carefully considered in the design of HTTPS is also rigorously examined when HTTPS is integrated into the browser. In particular, we focus on an adversary called “Pretty-Bad-Proxy” (PBP), which is a man-in-the-middle attacker that specifically targets the browser’s rendering modules above the HTTP/HTTPS layer in order to break the end-to-end security of HTTPS. Figure 1 illustrates this adversary: PBP can access the raw traffic of the browser (encrypted and unencrypted), but it is unable to decrypt the encrypted data on the network. Instead, the PBP’s strategy is to send malicious contents through the unencrypted channel into the rendering modules, attempting to access/forge sensitive data (which flow in the encrypted channel on the network) above the target cryptography of HTTPS.

这篇论文是由于我们好奇当HTTPS整合入浏览器的时候,这种在HTTPS协议设计时就被仔细考虑过的攻击方式是否也被严格验证过。特别的,我们聚焦在一种被称为PBP的攻击手段上,它是一种中间人攻击方式,特别会把基于HTTP/HTTPS层上的浏览器渲染模块作为攻击对象来破坏HTTPS的端到端安全性。图1说明了这种攻击手段:PBP能截取浏览器上的原始传输流(包括加密和未加密的), 但是它不能在网络上解密加密数据。相反,PBP的策略是通过不加密通道发送恶意内容到渲染模型,试图接近/伪造在HTTPS上加密的敏感数据(在网络加密通道中传输的)。

Pretty-Bad-Proxy: I. INTRODUCTION


With a focused examination of the PBP adversary against various browser behaviors, we realize that PBP is indeed a threat to the effectiveness of HTTPS deployments. We have discovered a set of PBP-exploitable vulnerabilities in IE, Firefox, Opera, Chrome browsers and many websites. They are due to a number of subtle behaviors of the HTML engine, the scripting engine, the HTTP proxying, and the cookie management. By exploiting the vulnerabilities, a PBP can obtain the sensitive data from the HTTPS server. It can also certify malicious web pages and impersonate authenticated users to access the HTTPS server. Although all attacks fool the HTTP/HTTPS layer and above, the manifestations of the vulnerabilities are diversified: some require the scripting capability of the browser while others use static HTML contents entirely; some require the HTTP-proxy mechanism enabled in the browser while others do not need this requirement. The existence of the vulnerabilities clearly undermines the endto-end security guarantees of HTTPS. 

在对PBP针对广泛浏览器操作的攻击进行集中检查之后,我们发现PBP对HTTPS的开发者的有效性确实是一个威胁。在IE,FireFox,Opera,Chrome浏览器和很多网站,我们发现了一系列利用PBP的漏洞。它们归咎于HTML引擎,脚本引擎,HTTP代理和cookie管理中的许多细微的操作。利用这些漏洞,一个PBP攻击者可以从HTTPS服务端获取到敏感信息。它也可以证明恶意网页并假冒认证用户连接HTTPS服务器。虽然所有的攻击都只欺骗HTTP/HTTPS和以上层,但漏洞的表现形式是多样的:一些需要浏览器的脚本能力,而另一些则完全只利用静态HTML网页内容;一些需要在浏览器里设置HTTP代理可用,而另一些则没有这个需求。漏洞的存在很明显破坏了HTTPS上端到端的安全可靠性。


People who are less familiar with HTTPS sometimes argue that the HTTPS security inherently depended on the trust on the proxy, and thus the assumption about a malicious proxy was inappropriate. This argument is conceptually incorrect since HTTPS’ goal is to achieve the end-to-end security. Also, we show that in practice the trust on the proxy is too brittle for HTTPS to depend on. We constructed two versions of attack programs to show two levels of threats: (1) the first level, which is already serious, is due to the wide use of proxies for web access. The integrity of proxies is generally difficult to ensure. For instance, malware and attackers may take over legitimate proxies in hotels and Internet cafes, because they are not well managed. Many free third-party open proxies are also essentially unaccountable, etc; (2) the second level, which is more severe, is due to the fact that browsers’ proxyconfiguration mechanisms and browsers’ communications with proxies are often unencrypted in many network environments. This makes a user vulnerable even when he/she is not knowingly connected to an untrusted proxy, as long as an attacker has the MAC layer access to the victim’s network. In our Ethernet and WiFi experiments, the attacker simply needs to connect to the same Ethernet local area network (LAN) or wireless access point (AP) to launch the attacks. The damages of such attacks are the same as those caused by physically taking over a legitimate proxy. With the PBP vulnerabilities in browsers, the end-to-end security guarantees promised by HTTPS are lost because users basically need to trust the network in order to trust HTTPS. 

不太熟悉HTTPS的人有时候会争论HTTPS安全需要依赖于代理的可靠性,所以假设一个恶意代理是不合适的。这种争论从概念上就是不准确的,因为HTTPS的目标就是达成端到端的安全性。另外,我们可以展示,在实际中HTTPS所依赖的对代理的信任实在是太脆弱了。我们构建两个版本的攻击程序来展示两种威胁的级别:1. 第一种是严重级别,归咎于网络连接中广泛使用的代理。代理的可靠性很难得到确保。比如,恶意软件和攻击者可能利用酒店和网络咖啡店里可发的代理,因为他们并没有被很好的管理。很多免费三方代理也从本质上是不可依赖的,诸如此类。2. 第二种是更严重的级别,归咎于浏览器的代理配置机制以及浏览器使用代理的通信机制在很多网络环境下往往是不加密的。当一个用户不知道自己连接到了一个不可信任的代理,只要一个攻击者获取了和受害者网络MAC层的连接,这个用户就很容易受到攻击。在我们的以太网和wifi实验中,攻击者只需要简单的连接到同一个LAN域或者无线热点就可以发起攻击。这种攻击的危害和在物理上接管一台合法代理造成的危害一样。使用浏览器里的PBP漏洞,HTTPS失去了所承诺的端到端安全保障,因为用户基本上需要信任网络才能信任HTTPS。


We have reported the discovered vulnerabilities to browser vendors. They have acknowledged the attack scenarios. The status of vendor responses is given later in the paper in Table III. Most of the vendors have patched or planned on patching their browsers.

我们向浏览器供应商报告了已发现的漏洞。他们被知悉了攻击场景。供应商的反应在本论文表三中给出(译者注:根据不同的场景不同浏览器产商响应程度不一样,在下文解释了攻击场景之后再详细给出)。大部分供应商已经或者计划给他们的浏览器打上补丁。

A note about this paper: This work was finished in July 2007, except for the paper writing and the vulnerability testing on the Google Chrome browser released in beta in Sept. 2008. The paper submission has been withheld until this conference. To present this work in a necessary context, we will describe how our effort is related to some of the efforts from other researchers in this time frame.

关于本论文的一个注解:这项工作基本完成于2007年七月,到2008年九月正式完成论文书写和在chrome beta浏览器上的漏洞测试。论文一直保留到这次会议才提交。为了以一种必要的形式呈现这份研究,我们将描述在这个时间框架内我们的努力是如何和其他研究者的努力联系起来的。


The rest of the paper is organized as follows. Section II introduces the basic concepts about the browser security model and the HTTPS protocol. Section III and Section IV describe various PBP attacks. In section V, we demonstrate the feasibility of exploiting these vulnerabilities and study their security implications in real-world settings. Section VI discusses possible fixes and mitigations. Section VII covers related work and Section VIII concludes.

这份论文以下内容结构如下:第二部分介绍了浏览器安全模型和HTTPS协议的基本概念,第三部分和第四部分描述了多种PBP攻击方式,第五部分我们证明了利用这些漏洞的可能性并研究他们对真实世界设置的安全启示。第六部分讨论可能的修复或缓解方案。第七部分覆盖了相关研究,第八部分结尾。


你可能感兴趣的:(Pretty-Bad-Proxy: I. INTRODUCTION)

  • 【WRF-Chem教程第六期】WRF-Chem KPP Coupler 简介 WW、forever WRFWRF-Chem
    WRF-ChemKPPCoupler简介6.1介绍(Introduction)6.2KPP编译所需的系统环境(KPPRequirements)6.3编译WKC(CompilingtheWKC)6.4使用WKC实现化学机制(ImplementingchemicalmechanismswithWKC)当前可用机制(基于WKC的KPP实现)6.5WKC的目录组织结构(LayoutofWKC)WKC所在目
  • [分享]钛极OS(TiJOS)物联网操作系统介绍
    钛极OS(TiJOS)物联网操作系统介绍官方链接:http://dev.tijos.net/overview/TiJOS_overview/1.tijos_introduction/钛极OS(TiJOS)是一个支持使用Java开发嵌入式智能硬件应用的物联网操作系统,支持多种MCU芯片,为开发者提供高效、成熟的物联网应用开发平台,让智能硬件及IoT应用开发更快捷简单。钛极OS(TiJOS)可运行于低
  • R for data science翻译笔记1.1 introduction 七月0317 MNE-Python翻译版-中文官方文档笔记信息可视化
    本书第一章节(1.1-1.8)的目标是让读者尽快掌握数据探索的基本工具。数据探索是查看数据、快速生成假设、快速测试,然后不断重复的艺术。数据探索的目标是生成许多有希望的线索,我们可以稍后进行更深入的探索。在本书的这一部分中,你将学习一些有用的工具,它们可以立即带来回报:可视化是R编程的绝佳起点,因为反馈非常明显:你可以绘制优雅且信息量大的图形来帮助你理解数据。在数据可视化中,您将深入可视化,学习g
  • 深入浅出SOME/IP协议:基本概念和原理 泡沫o0 智能驾驶·C++中间件与平台开发实践tcp/ip网络linux数据结构c语言c++开发语言
    目录标题1.引言(Introduction)1.1背景介绍:车载网络的演进与挑战1.2SOME/IP协议的兴起背景2.SOME/IP协议概述2.1定义与特点2.2SOME/IP与传统车载网络协议的比较3.基本工作原理(BasicWorkingPrinciple)3.1消息结构与传输方式(MessageStructureandTransmissionMode)3.2远程过程调用支持(Supportf
  • FPGA时序违例全面总结:原因、检测和解决方法 CodeGu fpga开发matlab
    FPGA时序违例全面总结:原因、检测和解决方法在FPGA设计中,时序违例是一个常见的问题,特别是当设计达到高速、高密度且使用高级功能时。时序违例会导致系统性能降低、电磁兼容性问题甚至系统不稳定。本文将详细总结FPGA时序违例的原因、检测和解决方法。I.时序违例的原因时序违例发生的原因主要包括以下几个方面:1.时钟树设计不合理时钟树设计不合理是时序违例最常见的原因之一。在FPGA中,时钟是系统的重要
  • Java 实现grpc TanYYF javajavarpc
    1.grpc简介官方地址:https://grpc.io/docs/what-is-grpc/introduction/在gRPC中,客户机应用程序可以直接调用不同机器上的服务器应用程序上的方法,就像它是本地对象一样,使您更容易创建分布式应用程序和服务。与许多RPC系统一样,gRPC基于定义服务的思想,指定可以远程调用的方法及其参数和返回类型。在服务器端,服务器实现这个接口,并运行gRPC服务器来
  • canvas使用滑杆交互_如何使用JavaScript和Canvas开发交互式文件上传器 cukw6666 jsjavascriptcssvuepythonViewUI
    canvas使用滑杆交互介绍(Introduction)Howniceorfuncanwemaketheinteractionsonawebsiteorwebapplication?Thetruthisthatmostcouldbebetterthanwedotoday.Forexample,whowouldnotwanttouseanapplicationlikethis:我们可以在网站或Web
  • 从实习生到AI原生应用架构师:Copilot学习路径与成长经验 AI量化价值投资入门到精通 AI-nativecopilot学习ai
    好的,这是一篇以“从实习生到AI原生应用架构师:Copilot学习路径与成长经验”为主题的技术博客文章,希望能满足你的要求。从实习生到AI原生应用架构师:Copilot驱动的学习路径与成长经验全解析一、引言(Introduction)钩子(TheHook)“嘿,实习生,这个API文档有点复杂,你先研究一下,下周给我一个调用示例?”还记得刚入职时,面对密密麻麻的技术文档和陌生的代码库,那种手足无措、
  • 日入一词_120 present [verb] cppUncleSix
    ThischapterpresentedabriefoverviewofSQLServerpartitioning,includinganintroductiontothekeyconceptsandtermsneededtogainageneralunderstandingofthepartitioningprocess.verb/prɪˈzɛnt/1togivesomethingtosomeo
  • 第十九届浙江省 I. Barbecue Snow_raw 省赛c++算法开发语言
    第十九届浙江省I.Barbecue题意:两个同学Putata和Budada在玩一个游戏,一开始给定一个固定长度的字符串,接下去有mmm次询问,每次询问给定一个范围[l,r][l,r][l,r],即从原字符串中截取[l,r][l,r][l,r]的部分。从第一个同学Putata开始操作,每次操作必须从字串开头或末尾移除一个字符,如果操作前后字串变成回文串那么操作的同学判负,问每次询问哪个同学会赢?Ti
  • JWT 翻译 lsswear 学习
    jwt官网:JSONWebTokenIntroduction-jwt.iohttps://jwt.io/introduction标准RFC7519:https://datatracker.ietf.org/doc/html/rfc7519#section-4.1https://datatracker.ietf.org/doc/html/rfc7519#section-4.1JWT定义JWT全称JS
  • 【论文蒸馏】Recent Advances in Speech Language Models: A Survey Greener_Pat 论文蒸馏语言模型人工智能AudioLM
    AbstractLLM蓬勃发展,但从交互的自然性上看语音大模型(SpeechLM)有巨大的发展空间。直接的方法是ASR(语音转文字)+LLM+TTS(文字转语音),但是这样有其固有的限制,而端到端的SpeechLM表现更好,本文及其方法论做了一个概览的综述1.Introduction大语言模型提供了强大的AI基础支架,在其它领域有着广泛应用。但交互上不自然,所以需要声学大模型。一种直接的实现方式是
  • 2022年第六次一周小结(09.11-09.17) 龚宇佳
    上周总结:1.阅读28h。第一,上周整理了《深度思维》剩余笔记,目前整本书的笔记都整理完成。第二,开始阅读黄奇帆的《分析与思考》,之前看过他的《结构性改革》,两本书有相似的地方,但值得一看。第三,继续精读《态度改变与社会影响》,需要思考和做笔记的比较多,因此进度比我想得要慢,上周没有达成计划目标。2.写作2h。上周继续保持日更。3.语言学习12.5h。I.粤语学习方面。模仿电影《回魂夜》,且听黄子
  • PHP continue与break区别 苏康申
    Modelwhile($foo){<--------------------┐continue;---goesbackhere--┘break;-----jumpshere----┐}|<--------------------┘Example$i=10;while(--$i){if($i==8){continue;}if($i==5){break;}echo$i."\n";}输出976
  • AUTOSAR OS Introduction -- Part 1(Task&ISR) 寻找幸存者 ClassicAUTOSARautosar
    GeneralAUTOSAROS由OSEKOS衍生出来,同时也满足ISO-17356-3对于实施操作系统的要求,本文以ETASOS为例进行介绍Task我们写的所有Function都需要被OS调度才可以运行,那么负责调度这些Function就是OSTaskTaskTypeOsTask依据是否关联OSEvent.可以分为BasicTask(不包含OSEvent)和ExtendedTask(包含OSEv
  • [NIPST AI]对抗性机器学习攻击和缓解的分类和术语 Anooyman 人工智能网络安全人工智能大语言模型网络安全安全
    原文link:https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-2e2025.pdfIntroduction人工智能(AI)系统在过去几年中持续全球扩展。这些系统正在被众多国家开发并广泛部署于各自的经济体系中,人们在生活的许多领域都获得了更多使用AI系统的机会。本报告区分了两大类AI系统:预测型AI(PredictiveAI,PredAI)和生成型A
  • 第31次一周小结(2023.02.19-02.25) 2023.02.26 龚宇佳
    上周总结:1.阅读21h。第一,精读《社会性动物》,有些内容和《态度改变与社会影响》、《思考,快与慢》想通,读起来很顺畅。第二,翻看《夏商周:从神话到史实》以及《汉字就是这么来的》。2.写作3.5h。保持日更。3.语言学习5h。I.粤语学习方面。上周模仿了电视剧《新四十二章经》,在工作中和同事用粤语交流,II.英语学习方面。每天至少听写或翻译一篇,跟读电影扎导版《正义联盟》。4.PPT学习3.5h
  • 【C#、C++ 和 Java】实现重力迷宫游戏 鱼弦 游戏开发c#c++java游戏
    引言(Introduction)重力迷宫是一种益智游戏,玩家通过旋转整个游戏区域(迷宫),改变重力的方向,使得玩家角色和其他可动物体(如箱子、球)沿着新的重力方向下落。玩家的目标是利用重力到达迷宫的出口。实现重力迷宫需要管理复杂的网格状态(地形和物体),处理旋转输入,并实现根据当前重力方向模拟物理下落的逻辑。技术背景(TechnicalBackground)实现重力迷宫主要涉及以下核心技术概念:游
  • C语言自定义数据类型 Oo৹Oo৹Oo৹ C语言c语言开发语言青少年编程学习
    一.结构体1.结构体I.基本格式structtag{member-list;}variable-list;II.结构体声明structPERSON//结构体声明{intage;//声明成员类型longss;floatweight;charname[25];}family_member;//定义结构体变量family_memberIII.结构体的特殊声明在声明结构的时候,可以不完全的的声明//匿名结
  • Cool Pi CM5-LAPTOP Linux Quick Start Guide george-coolpi linux运维服务器开源arm开发AI编程
    MachineIntroductionCOOLPICM5open-sourcenotebookisaproductthatcombineshighperformance,portability,andopen-sourcespirit.Itnotonlymeetsthebasiccomputingneedsofusers,butalsoprovidesanidealplatformforthose
  • Excel to JSON API by WTSolution Documentation wtsolutions excel与json互相转换exceljsonWTSolutionsapi
    ExceltoJSONAPIbyWTSolutionDocumentationIntroductionTheExceltoJSONAPIprovidesasimplewaytoconvertExcelandCSVdataintoJSONformat.ThisAPIacceptstab-separatedorcomma-separatedtextdataandreturnsstructuredJSO
  • vue3.2 前端动态分页算法 web_Hsir 前端算法
    文章目录背景思路页面情况核心代码小结效果背景1.后台接口只是动态返回一个数组的数据,前端需要根据数据量的大小判断是否需要分页,页面高度固定2.页面根据页数大小有不同的展示a.只有一页头部+内容+统计+尾部b.多页i.第一页头部+内容+尾部ii.中间页内容+尾部iii.最后一页内容+统计+尾部思路1.先判断是否一页能满足如果能满足不做数据处理2.不满足则肯定是多页a.先计算第一页的逻辑,将数组分为[
  • 【图像去噪】论文精读:Noise2Self: Blind Denoising by Self-Supervision(N2S) 十小大 计算机视觉深度学习图像处理图像去噪人工智能论文阅读论文笔记
    请先看【专栏介绍文章】:【图像去噪(ImageDenoising)】关于【图像去噪】专栏的相关说明,包含适配人群、专栏简介、专栏亮点、阅读方法、定价理由、品质承诺、关于更新、去噪概述、文章目录、资料汇总、问题汇总(更新中)文章目录前言Abstract1.Introduction2.RelatedWork3.CalibratingTraditionalModels3.1.Single-Cell3.2
  • 个人总结 - LangChain4j应用(1) 艾露z AIjavalangchainai人工智能
    个人总结-LangChain4j应用(1)github:Releases·langchain4j/langchain4j·GitHub官方文档:Introduction|LangChain4j简要介绍:LangChain4j是一个旨在简化大语言模型(LLMs)与Java应用程序集成的框架。ChatandLanguageModels:LanguageModel:最简单的聊天模型,简单的接收字符串,不
  • Python数据可视化:使用Python创建令人惊艳的图表 master_chenchengg pythonpythonPythonpython开发IT
    Python数据可视化:使用Python创建令人惊艳的图表I.可视化的力量:为什么一张好图胜过千言万语II.工欲善其事必先利其器:选择合适的Python可视化库Matplotlib入门:打造你的第一张图表Seaborn的魅力:更美观、更统计学友好的绘图Plotly互动式图表:让你的数据动起来Bokeh与GeoPandas:探索地理空间数据的新维度III.从零开始:一步步教你构建基本图表散点图的艺术
  • sentinel 微服务流量治理工具,使用初步 RR1335 微服务Gateway#Springsentinel微服务架构
    官网入口introduction|Sentinel这是阿里巴巴的服务,中文支持很好maven配置入口https://mvnrepository.com/artifact/com.alibaba.csp/sentinel-corecom.alibaba.cspsentinel-core1.8.6sentinel控制台需要引入的依赖com.alibaba.cspsentinel-transport-s
  • 每日一题 2025-7-4 《最高的牛》 WYC135164 算法
    K11802最高的牛题目描述FJ的N(1≤N≤100000)头奶牛排成一排编号为1到N。每头奶牛都有一个身高,用一个正整数表示。你已经知道了最高的奶牛的高度是H(1≤H≤10^6)以及该奶牛的编号i.同时FJ给出了R(0≤R≤100000)条记录信息,记录的格式是“奶牛17能看到奶牛34”,这条记录的意思是,奶牛34的高度至少与奶牛17的高度一样,而且从奶牛17到奶牛34之间的奶牛的高度严格小于奶
  • 【Python训练营打卡】day33 @浙大疏锦行 2301_77865880 MyPython训练营打卡python
    DAY33简单的神经网络知识点回顾:1.PyTorch和cuda的安装2.查看显卡信息的命令行命令(cmd中使用)3.cuda的检查4.简单神经网络的流程a.数据预处理(归一化、转换成张量)b.模型的定义i.继承nn.Module类ii.定义每一个层iii.定义前向传播流程c.定义损失函数和优化器d.定义训练流程e.可视化loss过程预处理补充:注意事项:1.分类任务中,若标签是整数(如0/1/2
  • LangChain检索器的核心功能与查询逻辑源码级分析(81) Android 小码蜂 LangChain框架入门langchain人工智能深度学习
    LangChain检索器的核心功能与查询逻辑源码级分析I.检索器在LangChain中的定位与作用1.1检索器的核心价值在LangChain框架中,检索器(Retriever)承担着从海量数据中快速定位相关信息的关键角色。其核心价值在于将用户输入与知识库中的内容进行匹配,为语言模型的推理提供上下文支持。例如,在问答系统中,检索器会根据用户提问从文档库中筛选出最相关的段落,避免语言模型因缺乏背景信息
  • Spring AI ETL Pipeline使用指南 超级小忍 SpringAIspring人工智能
    前言(Introduction)版本声明:本文基于SpringAI1.0.0版本编写。由于SpringAI目前仍处于活跃开发阶段,API和组件可能在后续版本中发生变化,请注意及时关注官方文档更新以保持兼容性。在当今大数据和人工智能快速发展的背景下,ETL(Extract,Transform,Load)系统已经不再只是简单的数据搬运工。ETL是数据仓库和数据分析流程中的核心环节,它负责将分散的数据从
  • 戴尔笔记本win8系统改装win7系统 sophia天雪 win7戴尔改装系统win8
    戴尔win8 系统改装win7 系统详述 第一步:使用U盘制作虚拟光驱:         1)下载安装UltraISO:注册码可以在网上搜索。         2)启动UltraISO,点击“文件”—》“打开”按钮,打开已经准备好的ISO镜像文
  • BeanUtils.copyProperties使用笔记 bylijinnan java
    BeanUtils.copyProperties VS PropertyUtils.copyProperties 两者最大的区别是: BeanUtils.copyProperties会进行类型转换,而PropertyUtils.copyProperties不会。 既然进行了类型转换,那BeanUtils.copyProperties的速度比不上PropertyUtils.copyProp
  • MyEclipse中文乱码问题 0624chenhong MyEclipse
    一、设置新建常见文件的默认编码格式,也就是文件保存的格式。 在不对MyEclipse进行设置的时候,默认保存文件的编码,一般跟简体中文操作系统(如windows2000,windowsXP)的编码一致,即GBK。 在简体中文系统下,ANSI 编码代表 GBK编码;在日文操作系统下,ANSI 编码代表 JIS 编码。 Window-->Preferences-->General -
  • 发送邮件 不懂事的小屁孩 send email
    import org.apache.commons.mail.EmailAttachment; import org.apache.commons.mail.EmailException; import org.apache.commons.mail.HtmlEmail; import org.apache.commons.mail.MultiPartEmail;
  • 动画合集 换个号韩国红果果 htmlcss
    动画 指一种样式变为另一种样式 keyframes应当始终定义0 100 过程 1 transition  制作鼠标滑过图片时的放大效果 css .wrap{ width: 340px;height: 340px; position: absolute; top: 30%; left: 20%; overflow: hidden; bor
  • 网络最常见的攻击方式竟然是SQL注入 蓝儿唯美 sql注入
    NTT研究表明,尽管SQL注入(SQLi)型攻击记录详尽且为人熟知,但目前网络应用程序仍然是SQLi攻击的重灾区。 信息安全和风险管理公司NTTCom Security发布的《2015全球智能威胁风险报告》表明,目前黑客攻击网络应用程序方式中最流行的,要数SQLi攻击。报告对去年发生的60亿攻击 行为进行分析,指出SQLi攻击是最常见的网络应用程序攻击方式。全球网络应用程序攻击中,SQLi攻击占
  • java笔记2 a-john java
    类的封装: 1,java中,对象就是一个封装体。封装是把对象的属性和服务结合成一个独立的的单位。并尽可能隐藏对象的内部细节(尤其是私有数据) 2,目的:使对象以外的部分不能随意存取对象的内部数据(如属性),从而使软件错误能够局部化,减少差错和排错的难度。 3,简单来说,“隐藏属性、方法或实现细节的过程”称为——封装。 4,封装的特性:       4.1设置
  • [Andengine]Error:can't creat bitmap form path “gfx/xxx.xxx” aijuans 学习Android遇到的错误
            最开始遇到这个错误是很早以前了,以前也没注意,只当是一个不理解的bug,因为所有的texture,textureregion都没有问题,但是就是提示错误。 昨天和美工要图片,本来是要背景透明的png格式,可是她却给了我一个jpg的。说明了之后她说没法改,因为没有png这个保存选项。 我就看了一下,和她要了psd的文件,还好我有一点
  • 自己写的一个繁体到简体的转换程序 asialee java转换繁体filter简体
              今天调研一个任务,基于java的filter实现繁体到简体的转换,于是写了一个demo,给各位博友奉上,欢迎批评指正。          实现的思路是重载request的调取参数的几个方法,然后做下转换。          
  • android意图和意图监听器技术 百合不是茶 android显示意图隐式意图意图监听器
    Intent是在activity之间传递数据;Intent的传递分为显示传递和隐式传递   显式意图:调用Intent.setComponent() 或 Intent.setClassName() 或 Intent.setClass()方法明确指定了组件名的Intent为显式意图,显式意图明确指定了Intent应该传递给哪个组件。   隐式意图;不指明调用的名称,根据设
  • spring3中新增的@value注解 bijian1013 javaspring@Value
            在spring 3.0中,可以通过使用@value,对一些如xxx.properties文件中的文件,进行键值对的注入,例子如下: 1.首先在applicationContext.xml中加入:  <beans xmlns="http://www.springframework.
  • Jboss启用CXF日志 sunjing logjbossCXF
    1. 在standalone.xml配置文件中添加system-properties:     <system-properties>        <property name="org.apache.cxf.logging.enabled" value=&
  • 【Hadoop三】Centos7_x86_64部署Hadoop集群之编译Hadoop源代码 bit1129 centos
      编译必需的软件 Firebugs3.0.0 Maven3.2.3 Ant JDK1.7.0_67 protobuf-2.5.0 Hadoop 2.5.2源码包       Firebugs3.0.0   http://sourceforge.jp/projects/sfnet_findbug
  • struts2验证框架的使用和扩展 白糖_ 框架xmlbeanstruts正则表达式
    struts2能够对前台提交的表单数据进行输入有效性校验,通常有两种方式: 1、在Action类中通过validatexx方法验证,这种方式很简单,在此不再赘述; 2、通过编写xx-validation.xml文件执行表单验证,当用户提交表单请求后,struts会优先执行xml文件,如果校验不通过是不会让请求访问指定action的。 本文介绍一下struts2通过xml文件进行校验的方法并说
  • 记录-感悟 braveCS 感悟
    再翻翻以前写的感悟,有时会发现自己很幼稚,也会让自己找回初心。   2015-1-11 1. 能在工作之余学习感兴趣的东西已经很幸福了; 2. 要改变自己,不能这样一直在原来区域,要突破安全区舒适区,才能提高自己,往好的方面发展; 3. 多反省多思考;要会用工具,而不是变成工具的奴隶; 4. 一天内集中一个定长时间段看最新资讯和偏流式博
  • 编程之美-数组中最长递增子序列 bylijinnan 编程之美
    import java.util.Arrays; import java.util.Random; public class LongestAccendingSubSequence { /** * 编程之美 数组中最长递增子序列 * 书上的解法容易理解 * 另一方法书上没有提到的是,可以将数组排序(由小到大)得到新的数组, * 然后求排序后的数组与原数
  • 读书笔记5 chengxuyuancsdn 重复提交struts2的token验证
    1、重复提交 2、struts2的token验证 3、用response返回xml时的注意 1、重复提交 (1)应用场景 (1-1)点击提交按钮两次。 (1-2)使用浏览器后退按钮重复之前的操作,导致重复提交表单。 (1-3)刷新页面 (1-4)使用浏览器历史记录重复提交表单。 (1-5)浏览器重复的 HTTP 请求。 (2)解决方法 (2-1)禁掉提交按钮 (2-2)
  • [时空与探索]全球联合进行第二次费城实验的可能性 comsci
         二次世界大战前后,由爱因斯坦参加的一次在海军舰艇上进行的物理学实验 -费城实验   至今给我们大家留下很多迷团.....      关于费城实验的详细过程,大家可以在网络上搜索一下,我这里就不详细描述了      在这里,我的意思是,现在
  • easy connect 之 ORA-12154: TNS: 无法解析指定的连接标识符 daizj oracleORA-12154
    用easy connect连接出现“tns无法解析指定的连接标示符”的错误,如下: C:\Users\Administrator>sqlplus username/[email protected]:1521/orcl SQL*Plus: Release 10.2.0.1.0 – Production on 星期一 5月 21 18:16:20 2012 Copyright (c) 198
  • 简单排序:归并排序 dieslrae 归并排序
    public void mergeSort(int[] array){ int temp = array.length/2; if(temp == 0){ return; } int[] a = new int[temp]; int
  • C语言中字符串的\0和空格 dcj3sjt126com c
       \0 为字符串结束符,比如说:                       abcd (空格)cdefg; 存入数组时,空格作为一个字符占有一个字节的空间,我们
  • 解决Composer国内速度慢的办法 dcj3sjt126com Composer
    用法: 有两种方式启用本镜像服务: 1 将以下配置信息添加到 Composer 的配置文件 config.json 中(系统全局配置)。见“例1” 2 将以下配置信息添加到你的项目的 composer.json 文件中(针对单个项目配置)。见“例2” 为了避免安装包的时候都要执行两次查询,切记要添加禁用 packagist 的设置,如下 1 2 3 4 5
  • 高效可伸缩的结果缓存 shuizhaosi888 高效可伸缩的结果缓存
    /** * 要执行的算法,返回结果v */ public interface Computable<A, V> { public V comput(final A arg); }   /** * 用于缓存数据 */ public class Memoizer<A, V> implements Computable<A,
  • 三点定位的算法 haoningabc c算法
    三点定位, 已知a,b,c三个顶点的x,y坐标 和三个点都z坐标的距离,la,lb,lc 求z点的坐标 原理就是围绕a,b,c 三个点画圆,三个圆焦点的部分就是所求 但是,由于三个点的距离可能不准,不一定会有结果, 所以是三个圆环的焦点,环的宽度开始为0,没有取到则加1 运行 gcc -lm test.c test.c代码如下 #include "stdi
  • epoll使用详解 jimmee clinux服务端编程epoll
    epoll - I/O event notification facility在linux的网络编程中,很长的时间都在使用select来做事件触发。在linux新的内核中,有了一种替换它的机制,就是epoll。相比于select,epoll最大的好处在于它不会随着监听fd数目的增长而降低效率。因为在内核中的select实现中,它是采用轮询来处理的,轮询的fd数目越多,自然耗时越多。并且,在linu
  • Hibernate对Enum的映射的基本使用方法 linzx0212 enumHibernate
      枚举   /** * 性别枚举 */ public enum Gender { MALE(0), FEMALE(1), OTHER(2); private Gender(int i) { this.i = i; } private int i; public int getI
  • 第10章 高级事件(下) onestopweb 事件
    index.html <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/
  • 孙子兵法 roadrunners 孙子兵法
    始计第一 孙子曰: 兵者,国之大事,死生之地,存亡之道,不可不察也。 故经之以五事,校之以计,而索其情:一曰道,二曰天,三曰地,四曰将,五 曰法。道者,令民于上同意,可与之死,可与之生,而不危也;天者,阴阳、寒暑 、时制也;地者,远近、险易、广狭、死生也;将者,智、信、仁、勇、严也;法 者,曲制、官道、主用也。凡此五者,将莫不闻,知之者胜,不知之者不胜。故校 之以计,而索其情,曰
  • MySQL双向复制 tomcat_oracle mysql
    本文包括: 主机配置 从机配置 建立主-从复制 建立双向复制   背景 按照以下简单的步骤: 参考一下: 在机器A配置主机(192.168.1.30) 在机器B配置从机(192.168.1.29) 我们可以使用下面的步骤来实现这一点   步骤1:机器A设置主机 在主机中打开配置文件 ,
  • zoj 3822 Domination(dp) 阿尔萨斯 Mina
    题目链接:zoj 3822 Domination 题目大意:给定一个N∗M的棋盘,每次任选一个位置放置一枚棋子,直到每行每列上都至少有一枚棋子,问放置棋子个数的期望。 解题思路:大白书上概率那一张有一道类似的题目,但是因为时间比较久了,还是稍微想了一下。dp[i][j][k]表示i行j列上均有至少一枚棋子,并且消耗k步的概率(k≤i∗j),因为放置在i+1~n上等价与放在i+1行上,同理
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他