#2186
展开↯#2187
作者:广西南宁市
太冲热点了 以至于内容比较简单,建议多一些写月饼那件事虽小,但对阿里的反思,比如:今天这4个员工为了一己之私侵吞公司财产,内部消化,以致阿里丧失C端口碑,将来可能在更深层的领域侵吞财产,是定时炸弹,而不是落在网络安全这根落脚点上。
文章:《阿里盛世下的蝼蚁》 发表时间:2016-09-14, 10:07:15
#2188
作者:广西南宁市
扯蛋,你真要保障员工利益,就不要用技术的方式。人家用技术获取利益了,你又要讲道德了。你不改进你自身的漏洞,却说别人抢了利益。嗯,这做法确实很符合绝大部分国人的思考习惯。阿里果然不是技术公司,就一挣钱的商业“巨子”而已!
文章:《阿里盛世下的蝼蚁》 发表时间:2016-09-14, 10:06:39
#2189
展开↯#2190
作者:广西南宁市
我觉得这是职业操守的问题,安全人员不诚信,触及到了阿里诚信的底线了,三观不正,技术再好有什么用,留着是定时炸弹。
公司做的月饼内卖页面肯定是交给技术,设想作为内卖页面,而且是中秋节临时上的,作为技术肯定只要满足基本需求就OK了,谁会像坐外部页面那样检查各种漏洞,毕竟技术每天处理各种需求,上班很忙,这种内卖页面肯定能简化的就简化,大家都是内部员工,只要几本需求就OK了。
所以不是漏洞不漏洞和技术简单还是复杂的问题。也跟geek精神一毛钱关系也没有。
公司做的月饼内卖页面肯定是交给技术,设想作为内卖页面,而且是中秋节临时上的,作为技术肯定只要满足基本需求就OK了,谁会像坐外部页面那样检查各种漏洞,毕竟技术每天处理各种需求,上班很忙,这种内卖页面肯定能简化的就简化,大家都是内部员工,只要几本需求就OK了。
所以不是漏洞不漏洞和技术简单还是复杂的问题。也跟geek精神一毛钱关系也没有。
文章:《阿里盛世下的蝼蚁》 发表时间:2016-09-14, 10:03:31
#2191
作者:广西南宁市
白帽子说法相当小题大做,本身就是很简单快速的开发一个秒杀功能给内部员工使用,一开始就没想着被人刷这档子事,否则阿里这么多年的技术也真是够扯淡了,随便一个脚本就破解了?不过说到处罚,确实是重了
文章:《阿里盛世下的蝼蚁》 发表时间:2016-09-14, 10:02:56
#2192
作者:广西南宁市
有一个细节很重要,当事人说本来没考虑过抢多个这回事,只是没想到点击了“抢购”之后没有跳转进入订单或者支付页面,所以导致脚本不停的点击“抢购”,因此才买了很多个。想抢一两盒和想抢一百盒可完全是两回事。
而从通常角度判断,都会认为点了“抢购”按钮之后页面会自动跳转,继续在原按钮位置点击“抢购”自然不会有实际效果。
而从通常角度判断,都会认为点了“抢购”按钮之后页面会自动跳转,继续在原按钮位置点击“抢购”自然不会有实际效果。
文章:《阿里盛世下的蝼蚁》 发表时间:2016-09-14, 10:02:36
#2193
作者:广西南宁市
发现一个很有趣的现象,觉得阿里做得对的,多是企业老板,或高管;觉得阿里做得太绝的,都是员工。。。。其实都是站在自己的立场和利益角度表达立场而已
文章:《阿里盛世下的蝼蚁》 发表时间:2016-09-14, 09:59:52
#2194
作者:广西南宁市
几点看法:关于阿里的「月饼事件」
阿里巴巴的“月饼门”火了。昨天(9月12日)在内部抢购抢购月饼的时候,阿里的五名技术人员利用js脚本刷单,然后有四个被开除。知乎上有被开除的员工现身说法,认为自己根本不是利用漏洞来获利,只是无心之失。
1、阿里的HR,几乎每隔一年,就会在知乎火上一次,而且已经有了段子:阿里内网的技术升级,永远来自HR的强力驱动。曾经因为马云抱怨内网信息总是外泄,HR连夜催着技术给每个员工的访问界面增加了一层肉眼不可识别的单独匹配代码,这样在截图出去的时候,技术可以根据图片锁定是谁截的这张图。去年,阿里的HR又伪造离职谈话记录,被愤怒的离职员工贴到知乎,阿里对HR只是处以记过处分,而负责开发内网的团队则因「安全事故」——就是让离职员工看到面谈记录——被打了不合格的绩效。有人翻出马云在2010年声称「阿里内网要向全社会开放、公开透明是阿里的企业文化」的发言,倒是证明了言多必失的古老道理。
2、「月饼事件」在两个圈子里呈现出了截然不同的舆论倾向,我的微信朋友圈里——成员多以互联网从业者为主——大部分都为那四个程序员叫屈,认为阿里的奇葩HR又是在展示他们价值观的地板,而在微博上,那些将之视作公共事件的看客,则大都奇怪于为什么开除这种监守自盗的员工也会引起轩然大波。毋庸置疑的是,观念的迥异取决于立场的割裂,每个人都试图扮演其中一方的角色,并将利益得失代入其中,有人体验居安思危,有人感到为民除害。
3、在看到当时员工的自述之前,我也以为这几个程序员是用了多么高端的技术手段攻破了阿里的安全系统,结果原来仅仅只是写了一个不间断提交申请的脚本,在网页端完成了秒杀活动所需要的行为条件。这种做法,委实和春运时期网民们通过各种工具到12306抢票没有任何分别,当12306升级算法时你们倒是骂得痛快觉得又给人民添堵了,怎么换到这次事件里你们又站在道德的制高点上大骂作弊者不要脸了呢。
4、即使是为了保障公平的目的,前置的制度设计也远比后置的解释权力要更加有效,阿里本身没有对活动做出「同一帐号只能购买一次」的设置,导致重复购买都被算入库存消耗,有人阴差阳错且在没有造成实际损失——那几个程序员主动向上级报备了这次事故——的情况下,这差不多是教科书式的白帽子案例,也提供了解决漏洞的契机。
5、当然,当乌云仍在「因故升级」的时期,这套白帽子的逻辑可能无法得到多少认同,它有点像是将某些互联网文化纳入法外之地的诡辩。然而事实就是如此,在西方互联网,黑客的恶作剧精神源自海盗传统——迄今为止,苹果每年生日都还会在库萨比诺的总部升起骷髅旗——这种挑战法律和规则的叛逆造就了互联网对于开源和自由的信仰,也让各种开放式的协议组成了人人皆可享用而不受到任何政权支配的数字世界。
6、然而,白帽子的所作所为在事实上相当于有人撬了你家的门锁,发现了装置的漏洞,然后通报了你,有人感谢撬锁者帮助自己排除了一项安全隐患,也有人控诉撬锁者侵犯了自己的住宅,不同的认知将会递进出不同的态度。尽管即使是最简单的经济学原理也告诉我们扼杀白帽子看似能够带来一个短期内的安全环境但在长期看来会让安全隐患不断滋生最终酿成大祸,只是社会的接受程度决定了这种舶来文化的生存空间,别无他法。美国国防部旗下一百个多网站在去年发生了不同规模的信息泄露事件,导致五角大楼在今年年初拿出数十万美元奖励那些攻破政府网站的白帽子,以便于自己提高查找和修复漏洞的效率。
7、事实上,在2014年,支付宝也曾被白帽子找到过一个登录漏洞,在公布之后,阿里向白帽子奖励了5万元人民币,还发出公告,继续拿出500万重奖那些有能力突破阿里安全防线的白帽子,这种态度在当时获得了相当高的业界评价。
8、从「月饼事件」谈到白帽子或许有些小题大做,但因「月饼事件」而开除员工并让后者背负职业污点——这在企业用人时的背景调查相当致命——同样显得小题大做。这种手法承应于阿里内部反腐运动的高压线,希望起到杀鸡儆猴的恐吓作用,但是拿着金牌令箭斩人上瘾的快感,大概只会复兴东厂式的威风。是的,就算你一万次强调1983年的「严打」不搞不行那时的车匪路霸已经嚣张上天了,我也会一万次的回复你把一个为自己女朋友拍了几张裸照的男青年判处死刑是他妈的脑子抽风。
9、我要说的是,这的确属于企业文化的选择问题,无论企业如何作为,它都必然有着合乎情理的缘由,并对企业的形象做出客观上的锚定。令人遗憾的是,在远不到最为恶劣的条件时,事情有了最为恶劣的结果,这种伤害对于阿里这家公司本身,也没有那么容易被忽视。你要了农民的温顺和驯服,就别指望得到海盗的桀骜和灵性,求仁得仁。
10、说了这么多,谁给我寄一盒阿里的月饼尝尝?
阿里巴巴的“月饼门”火了。昨天(9月12日)在内部抢购抢购月饼的时候,阿里的五名技术人员利用js脚本刷单,然后有四个被开除。知乎上有被开除的员工现身说法,认为自己根本不是利用漏洞来获利,只是无心之失。
1、阿里的HR,几乎每隔一年,就会在知乎火上一次,而且已经有了段子:阿里内网的技术升级,永远来自HR的强力驱动。曾经因为马云抱怨内网信息总是外泄,HR连夜催着技术给每个员工的访问界面增加了一层肉眼不可识别的单独匹配代码,这样在截图出去的时候,技术可以根据图片锁定是谁截的这张图。去年,阿里的HR又伪造离职谈话记录,被愤怒的离职员工贴到知乎,阿里对HR只是处以记过处分,而负责开发内网的团队则因「安全事故」——就是让离职员工看到面谈记录——被打了不合格的绩效。有人翻出马云在2010年声称「阿里内网要向全社会开放、公开透明是阿里的企业文化」的发言,倒是证明了言多必失的古老道理。
2、「月饼事件」在两个圈子里呈现出了截然不同的舆论倾向,我的微信朋友圈里——成员多以互联网从业者为主——大部分都为那四个程序员叫屈,认为阿里的奇葩HR又是在展示他们价值观的地板,而在微博上,那些将之视作公共事件的看客,则大都奇怪于为什么开除这种监守自盗的员工也会引起轩然大波。毋庸置疑的是,观念的迥异取决于立场的割裂,每个人都试图扮演其中一方的角色,并将利益得失代入其中,有人体验居安思危,有人感到为民除害。
3、在看到当时员工的自述之前,我也以为这几个程序员是用了多么高端的技术手段攻破了阿里的安全系统,结果原来仅仅只是写了一个不间断提交申请的脚本,在网页端完成了秒杀活动所需要的行为条件。这种做法,委实和春运时期网民们通过各种工具到12306抢票没有任何分别,当12306升级算法时你们倒是骂得痛快觉得又给人民添堵了,怎么换到这次事件里你们又站在道德的制高点上大骂作弊者不要脸了呢。
4、即使是为了保障公平的目的,前置的制度设计也远比后置的解释权力要更加有效,阿里本身没有对活动做出「同一帐号只能购买一次」的设置,导致重复购买都被算入库存消耗,有人阴差阳错且在没有造成实际损失——那几个程序员主动向上级报备了这次事故——的情况下,这差不多是教科书式的白帽子案例,也提供了解决漏洞的契机。
5、当然,当乌云仍在「因故升级」的时期,这套白帽子的逻辑可能无法得到多少认同,它有点像是将某些互联网文化纳入法外之地的诡辩。然而事实就是如此,在西方互联网,黑客的恶作剧精神源自海盗传统——迄今为止,苹果每年生日都还会在库萨比诺的总部升起骷髅旗——这种挑战法律和规则的叛逆造就了互联网对于开源和自由的信仰,也让各种开放式的协议组成了人人皆可享用而不受到任何政权支配的数字世界。
6、然而,白帽子的所作所为在事实上相当于有人撬了你家的门锁,发现了装置的漏洞,然后通报了你,有人感谢撬锁者帮助自己排除了一项安全隐患,也有人控诉撬锁者侵犯了自己的住宅,不同的认知将会递进出不同的态度。尽管即使是最简单的经济学原理也告诉我们扼杀白帽子看似能够带来一个短期内的安全环境但在长期看来会让安全隐患不断滋生最终酿成大祸,只是社会的接受程度决定了这种舶来文化的生存空间,别无他法。美国国防部旗下一百个多网站在去年发生了不同规模的信息泄露事件,导致五角大楼在今年年初拿出数十万美元奖励那些攻破政府网站的白帽子,以便于自己提高查找和修复漏洞的效率。
7、事实上,在2014年,支付宝也曾被白帽子找到过一个登录漏洞,在公布之后,阿里向白帽子奖励了5万元人民币,还发出公告,继续拿出500万重奖那些有能力突破阿里安全防线的白帽子,这种态度在当时获得了相当高的业界评价。
8、从「月饼事件」谈到白帽子或许有些小题大做,但因「月饼事件」而开除员工并让后者背负职业污点——这在企业用人时的背景调查相当致命——同样显得小题大做。这种手法承应于阿里内部反腐运动的高压线,希望起到杀鸡儆猴的恐吓作用,但是拿着金牌令箭斩人上瘾的快感,大概只会复兴东厂式的威风。是的,就算你一万次强调1983年的「严打」不搞不行那时的车匪路霸已经嚣张上天了,我也会一万次的回复你把一个为自己女朋友拍了几张裸照的男青年判处死刑是他妈的脑子抽风。
9、我要说的是,这的确属于企业文化的选择问题,无论企业如何作为,它都必然有着合乎情理的缘由,并对企业的形象做出客观上的锚定。令人遗憾的是,在远不到最为恶劣的条件时,事情有了最为恶劣的结果,这种伤害对于阿里这家公司本身,也没有那么容易被忽视。你要了农民的温顺和驯服,就别指望得到海盗的桀骜和灵性,求仁得仁。
10、说了这么多,谁给我寄一盒阿里的月饼尝尝?
文章:《阿里盛世下的蝼蚁》 发表时间:2016-09-14, 09:58:52
#2196
作者:广西南宁市
怎么说呢==抛开这件事本身的对错不谈。。
我比较担忧的是,百般努力进了公司,勤勤恳恳做了几年,在工作市按揭买了房。
但是我每天都睡不好,我知道我只是个螺丝,激怒了上司也好,不小心发了不合适的言论也好,被别人陷害也好,刷单炫技也好,我都可能在2个小时内失去我赖以为生的工作,没有任何补救的空间。
倒不是我没有能力找一个类似的工作,只是在我买了房,找了女友(目前这些对于我还都不成立),准备在某城市定居的时候,下一步的选择将非常受限——为了供房子急需一个工作,就算是差点也只能将就。
明代皇帝一不高兴就杖责大臣,折子触怒圣意就让你脑袋搬家。每一天都活得如履薄冰,写行代码都要瞻前顾后。
假设这样一个场景:
某天我不幸写了一行有bug的代码,不巧的是这行代码的触发条件非常苛刻,一路测试过去都没发现这个问题。结果上线的那天,出问题了。
所有的矛头都指向我,我也没什么可说的,那行代码确实是我写的。管理层咬定我负主要责任,我想辩解说这事测试也有锅,但是想了想又咽了回去。
人家测试也不容易,这么古怪的触发条件,也不能怪人家对吧。谁叫你挖了这坑呢?
2个小时之后,我离开了公司。坐在某低价楼盘的巨大广告牌下面,不知所往。
广告牌上的字倒是醒目:“拥抱变化”
=====================================
我一直觉得,公司里,人治是万万靠不住的,只有把规章制度细则化,定下来,依律办事,才让人心安,让人心服。否则拿个“价值观不符”的帽子就可以棒杀一切,不合我意就把你扫地出门,说不定哪天时辰不对我就被拿来杀鸡儆猴了呢?
关键在于,这种帽子掩盖了人性阴暗的一面。本来按规定办不了的事,通过掺杂了主观色彩和个人恩怨的帽子就可以堂而皇之的合法化。
欲加之罪,何患无辞?我是一个手艺人,只想活得纯粹一些。
=====================================
原来阿里的招聘时间都过了=。=
我还没报名……
明年可能要浪迹街头了。。
我比较担忧的是,百般努力进了公司,勤勤恳恳做了几年,在工作市按揭买了房。
但是我每天都睡不好,我知道我只是个螺丝,激怒了上司也好,不小心发了不合适的言论也好,被别人陷害也好,刷单炫技也好,我都可能在2个小时内失去我赖以为生的工作,没有任何补救的空间。
倒不是我没有能力找一个类似的工作,只是在我买了房,找了女友(目前这些对于我还都不成立),准备在某城市定居的时候,下一步的选择将非常受限——为了供房子急需一个工作,就算是差点也只能将就。
明代皇帝一不高兴就杖责大臣,折子触怒圣意就让你脑袋搬家。每一天都活得如履薄冰,写行代码都要瞻前顾后。
假设这样一个场景:
某天我不幸写了一行有bug的代码,不巧的是这行代码的触发条件非常苛刻,一路测试过去都没发现这个问题。结果上线的那天,出问题了。
所有的矛头都指向我,我也没什么可说的,那行代码确实是我写的。管理层咬定我负主要责任,我想辩解说这事测试也有锅,但是想了想又咽了回去。
人家测试也不容易,这么古怪的触发条件,也不能怪人家对吧。谁叫你挖了这坑呢?
2个小时之后,我离开了公司。坐在某低价楼盘的巨大广告牌下面,不知所往。
广告牌上的字倒是醒目:“拥抱变化”
=====================================
我一直觉得,公司里,人治是万万靠不住的,只有把规章制度细则化,定下来,依律办事,才让人心安,让人心服。否则拿个“价值观不符”的帽子就可以棒杀一切,不合我意就把你扫地出门,说不定哪天时辰不对我就被拿来杀鸡儆猴了呢?
关键在于,这种帽子掩盖了人性阴暗的一面。本来按规定办不了的事,通过掺杂了主观色彩和个人恩怨的帽子就可以堂而皇之的合法化。
欲加之罪,何患无辞?我是一个手艺人,只想活得纯粹一些。
=====================================
原来阿里的招聘时间都过了=。=
我还没报名……
明年可能要浪迹街头了。。
文章:《阿里盛世下的蝼蚁》 发表时间:2016-09-13, 17:52:01
#2199
作者:广西南宁市
就第二条感觉很奇怪,程序员永远成不了老总,是啊,一群有GEEK精神的年轻人。可是你们对代码质量要求这么高,怎么对做人的要求就没那么高了呢,值得深思。
文章:《阿里盛世下的蝼蚁》 发表时间:2016-09-13, 17:43:51
#2200
作者:广西南宁市
看了一半就不想看了,作弊抢月饼也能跟买火车票和医院挂号比较?火车票你替代的选择嘛?月饼满大街不都是?公司不送就吃不起了,如果他这个级别的程序员都吃不起,那大部分普通家庭就不要过中秋节了好吧
文章:《阿里盛世下的蝼蚁》 发表时间:2016-09-13, 17:43:13
#2201
作者:广西南宁市
我觉得写得不错 这几人但凡有点背景 也不会被开除 不管鸡不鸡汤 呼吁全社会对底层员工和群众的关注就是好事
文章:《阿里盛世下的蝼蚁》 发表时间:2016-09-13, 17:42:31
#2203
作者:广西南宁市
微信中a链接无法进行跳转
【问题】微信页面开发时,各个主页之间的跳转,完全是通过a链接进行的,但是来回跳转几次,再次从其他主页面跳回首页的时候,微信头部出现了跳转加载进度条,但是就是不跳转,也没有任何反应
【范围】只出现在微信内置浏览器上
【解决方法】只要在原本跳转的链接后面带上任意一个参数,即:
变成
【注】参数love可以是任意的,随个人喜好
【原因】正在寻找中...
【问题】微信页面开发时,各个主页之间的跳转,完全是通过a链接进行的,但是来回跳转几次,再次从其他主页面跳回首页的时候,微信头部出现了跳转加载进度条,但是就是不跳转,也没有任何反应
【范围】只出现在微信内置浏览器上
【解决方法】只要在原本跳转的链接后面带上任意一个参数,即:
<a href="http://www.baidu.com">百度一下</a>Run code
Cut to clipboard
变成
<a href="http://www.baidu.com?love">百度一下</a>Run code
Cut to clipboard
【注】参数love可以是任意的,随个人喜好
【原因】正在寻找中...
文章:常用html、demo代码 发表时间:2016-09-13, 16:31:07
#2204
作者:广西南宁市
HTML5实现自构造自定义输入框
HTML5 Content Editable实践基于此开发文档:https://developer.mozilla.org/zh-CN/docs/Web/Guide/HTML/Content_Editable
问题:通过contenteditable实现的输入框没有placeholder,所以自己实现了一下
<style>
.cd-write{background:#fafafa;padding:8px 12px;position:fixed;left:0;right:0;bottom:0;border-top:solid 1px #dfdede;z-index:10;}
.cd-write .btn{background:#fda626;color:white;height:34px;font-size:16px;width:60px;text-align:center;border-radius:5px;line-height:34px;position:fixed;bottom:11px;right:12px;}
.cd-write .input{overflow:hidden;padding:8px 6px;border:solid 1px #ebebeb;overflow:auto;background:white;border-radius:5px;min-height:16px;max-height:100px;line-height:140%;outline:none;margin-right:70px;}
.cd-write .input:empty:before{content: attr(placeholder);color:#bbb;}
</style>
<div class="cd-write">
<div class="btn">发送</div>
<div class="input" contentEditable="true" placeholder="评论"></div>
</div>Run code
Cut to clipboard
文章:常用html、demo代码 发表时间:2016-09-13, 16:28:46
作为安全部的人,利用漏洞秒抢月饼,我们做几个假设:
1)这四位宝宝知不知道这个行为是会被人发现的
2)这四位宝宝知不知道这个行为被发现后是会有什么样的后果
假如:
1.1宝宝们如果知道,这样的行为会受到这样的处罚,那么他们得到这样的处罚是应该的
1.2宝宝们如果不知道,会有那么严厉的惩罚,那么这个处罚结果对他们来说是严重的,或者出乎意料的,毕竟如果是不光彩的事要做的话,人越少越好,抢的量越少越好,但是从最终的结果看,四个人抢了一百多盒,其实他们更多的是把这个行为当做一个玩笑,但是这次是月饼,如果是其他的物品呢,会有什么样的后果,所以作为阿里有两个处理方式:
一是、四位宝宝支付100多盒月饼的钱(喜剧结果)二是、四位宝宝被开除(悲剧结果)
阿里选择了后者,这说明他们把这个事情看的还是比较恶劣的,也是告诉众人,不管是内部人还是外部人也好,都要遵守我定的规则,不遵守的话,后果是很严重的(当老大久了都这样)
但是我还是要为四位宝宝伸冤:
1.发现了漏洞,他们四人自己就去抢,而是没有让外部的人来做这个动作,说明他们本身对这个事情的定性就比较简单
2.四个宝宝作为安全部的人,能够发现漏洞,并利用漏铜,说明这四个宝宝技术还是过硬啊
所以这个处理结果:合里(阿里的里)不合情