今天看到同事转的一个防止扫码登录钓鱼的文章，在 Github，原文链接：https://github.com/OWASP/QRLJacking/wiki/Recommendations-and-Mitigations

里面给了几个防止钓鱼的建议，和一个声纹识别的风控方案，简而言之：

1. 登录交互中，生成显示 二维码页面 或 网站提供者 的指纹信息，并在扫码页面上展示；

2. 检查生成二维码登录页 和 扫码设备 的网络、地域，并做限制；

3. 利用声纹技术，闭环检测；

限制不同网络、地域的扫码，可能会误伤，可以在 App 扫码确认的页面，展示被扫页面的信息，如二维码生成的城市、终端信息，提示用户是不是正常的。这也是第一条提到的指纹信息。

很有意思的是声纹技术，比如在 PC 浏览器中显示二维码登录，使用 App 扫码，在 App 确认登录的页面，让手机发出带有验证码信息的声音，然后让 PC 浏览器识别，相当于页面回填验证。只是实现起来依赖设备的语音输入是否正常了。

文章翻译如下：

Recommendations and Mitigations 推荐和防护方案

Our top recommendation is to just stop using Login with QR code except when it is necessary also there is a lot of ways to mitigate such issue and here is some ways to be used together or standalone: 

我们最推荐的方式，是不使用二维码登录，除非实在有必要。当然这也有一些方案可以防护这些问题，可以配合或单独使用：

1. Session Confirmation, We recommend implementing a confirmation message/notification displaying characteristic information about the session made by the client/server.  会话（Session）确认：我们推荐实现一种消息或通知确认的会话（Session）机制，这个会话（Session）中需要展示客户端和服务端生成的特征信息。

2. IP Restrictions, Restricting any authentication process on different networks (WANs) will minimize the attack window. 网络限制策略：限制所有跨网络的认证过程，将缩小攻击窗口。

3. Location-based Restrictions, Restricting any authentication process based on different locations will minimize the attack window. 基于地域的限制策略：限制所有跨地域的认证过程，将缩小攻击窗口。

4. Sound-based Authentication, One of the techniques to mitigate this kind of attack [And maintain the same usability level as to not require any additional interaction from the user other than scanning the QR ] is to add sound-based authentication step to the process , we have seen this kind of technology where it is possible to generate unique data and convert it to audio that can be recognized back into its original form [SlickLogin and Sound-Proof] so it is possible to include this technology in the process .  基于语音的身份验证：这是一种可以减少二维码钓鱼攻击的技术（它和扫码有一样的可用性，不会额外增加交互），在认证过程中增加语音验证环节。我们在SlickLogin公司的语音验证功能中，已经见识过这种技术：生成一个唯一的数据，在转化到音频中后，再识别还原。所以这技术可以用在认证过程中。

The purposes of this added step is to make sure that scanned QR code is generated in the same physical location as the mobile device that is doing the scan and therefore eliminating the possibility of a remote attacker deceiving the user into scanning his qr code.

增加语音验证环节的目的，是确保生成二维码的设备，和扫码的设备，在同一个物理位置。这样可以排除远程攻击的可能性：攻击者让用户扫攻击者中转的二维码。

Figure(5) An illustration of the login process [QR code login + Sound authentication]

图 5 展示了有语音验证环节的扫码登录过程。

The Attack Scenario (with the mitigation)：有防护策略的攻击场景

1. Attacker visits the website and opens a session. 攻击者访问网站，并打开一个会话（Session）

2. The Website Generates QR Code which holds a session key.网站生成一个含会话密钥（ Session key） 的二维码

3. Attacker crafts a phishing website with the received QR Code and sends it to the user. 攻击者伪造一个含有上述登录二维码的钓鱼网站，并发送给用户。

4. User scans the attacker's QR Code in the phishing website. 用户在钓鱼网站上尝试扫码登录。

5. The mobile App generates the authentication sound and play it to the phishing website. 扫码的 App 会生成含认证信息的语音，并播放让网站听。

6. The phishing website fails to process and capture the authentication audio as it requires additional browser permissions. 钓鱼网站无法识别到认证语音，因为这需要额外的浏览器权限，扫码登录认证流程失败。

7. Even if the attacker tries to generate the authentication sound based on the (User ID) he still lacks the private key. 即使攻击者试图生成这条认证语音，但他没有这个帐号的私钥信息，所以还是会失败。

Figure(6) An illustration of the login process [QR code login + Sound authentication] attacks & mitigation

图 6 展示了含有语音认证环节的扫码登录攻防过程。

原文：https://mp.weixin.qq.com/s/2taAwPUpy53aK1VKenegTQ

里面提到美国联邦政府的定位，挺有意思的，记录一下，对了解美国很有帮助。

简而言之：美国联邦政府负责对外，对内由州政府管理。

其实美国这样的国家，一般的战争，或者很严重的恐怖袭击，都是难以撼动其地位和实力的，但同样是美国这个国家，要是没有对外的冲突、对抗和战争，白宫基本上就没有太大存在的价值了。

因为美国建国之初，给联邦政府的定位，就是负责美国的外交和国防，内部事务都是各州自己的事情，根本就不是联邦政府该管的。

也就是说，联邦政府，最初就是美国各州的建国精英们“雇来”当保安和利益代言人的。

直至今日，美国哪届政府要是不制造点对外战争或贸易纠纷之类的，相当于是没有意志保护美国，没给美国人民争取利益，就是不称职。比如仅二战后的1945至2008年，美国平均每2.1年就要卷入或发动一场战争。至于针对各国市场的政治贸易纠纷，几乎每天都在发生。

不要以为这世界上每个国家民众对生存环境的理解都跟中国一样，比如以色列，很多人觉得以色列周边，什么黎巴嫩、巴勒斯坦、叙利亚等天天打仗，但你要问以色列人，这样不觉得危险吗？以色列人会告诉你，他们要是不乱，不打来打去，那我们就不安全了，所以谁弱我们就支持谁，越乱越好。

再比如阿富汗，被称为帝国坟场，在塔利班这种组织眼里，打仗就是工作，老子死了儿子接着打，所谓“你们有手表，我们有时间”，一代一代打下去，不打仗就相当于失业了，你说美国能赢吗？

所以，在理解很多国际问题上，你要单纯拿我们自己的认知去理解很多国家的民众和政府，恐怕是要犯常识性错误的。

在很多美国人眼里，如果不让联邦政府出去搞事情，那白宫的官员就会把手伸到美国国内，就会扩大自己的权力，就会插手州的事务。难道不让特朗普政府去跟中国对抗，让他天天讨论禁枪？堕胎？同性恋？（这些都是可以撕裂美国的问题）。

所以，只有海外事情足够多，联邦政府足够忙，他们就无暇顾及国内，民众呢，时不时给白宫一点掌声，给足他们政治荣誉，他们就会更加卖力的去外面搞事情，这样美国民众就可以更加自由的自己干自己的事情了。

。。。。。。

所以特朗普这种，对外口无遮拦，到处惹麻烦，对内美国人自己做啥都没意见的总统，实际上是最符合美国人对联邦政府定位的。

也就是说，联邦政府的官员，在全球各地煽风点火，制造冲突矛盾，甚至开战等等，这在我们中国人看来，似乎是给美国人惹麻烦，但其实在很多美国人眼里，这才是联邦政府应该干的事情，只是别把事情闹得太大就好。

我说这个什么意思呢，跟讨论疫情对美国的影响有啥关系呢，其实我要表达的意思是，这次疫情在美国的发酵，跟恐怖袭击、战争、金融危机都不同，这次疫情意味着联邦政府必须对国内来实施管制，联邦政府的对手变成了美国人自己，而不是其他国家和政府。

那么美国人就要让渡个人权利，可能会被隔离，可能会被军事管制，可能会被限制人生自由等等。这将会给美国人带来巨大的心理压力，这意味着联邦政府有足够的理由来介入民众的个人生活，这是很多美国人难以接受的。

比如恐怖袭击、对外战争、金融危机等，其实大家该干嘛还是在干嘛，该聚会聚会，该看电影看电影，该打球就去打球等，并没有大规模的开始限制个人的活动，也没有在国内扩大联邦政府的权利。

所以，这次疫情，挑战的是美国人自建国以来深入人心的价值观体系，远比一般的战争等恐怖。只是这种心理活动，不会表现出来，因为这种心理活动是极其矛盾的，一方面希望政府有所作为，但另一方面担心造成更大“后患”。

PHP 手册对 setcookie 的使用范例里提到：

注意：在发送 Cookie 时，值的部分会被自动 urlencode 编码。收到 Cookie 时，会自动解码，并赋值到可变的 Cookie 名称上。 如果不想被编码，可以使用 setrawcookie() 代替――如果你的 PHP 版本是 5 及以上。

里面的措辞：“值的部分会被自动 urlencode 编码”令人佩服。

加号“+”不在发送时“值的部分”不被自动编码，但是在收到时，却被自动 urldecode 了：一来一回，加号“+”变成了空格。

太坑了，还是手动 rawurlencode 和 rawurldecode 比较靠谱。

命令行下使用 sort 对中文内容排序，可能会失效，应该是字符集的问题，命令行前面加“LC_ALL=C”可解。

如：LC_ALL=C sort wuliu.txt | uniq > wuliu-result.txt

关于LC_ALL请参考：

https://blog.csdn.net/ict2014/article/details/23946471

https://www.jianshu.com/p/368b556a32c6

https://blog.csdn.net/luoleicn/article/details/6162358

改到发文章这了。

提到监管，互联网从业人士的切身体会，可能是义愤填膺，毕竟科学上网和广电总急给了我们太多深刻、不可磨灭的印象。

其实，一个理性、有良知的监管机制带来的是良性循环。

先从行业身边事说起，请见我之前发布的文章：《三个价值观的故事》,如下：

1、牙膏开口大一毫米

传闻美国一个生产牙膏的公司，把牙膏的开口直径增加一毫米，销量大增。因为用户习惯每次挤出的长度，而不是体积，这样牙膏使用得更快。

2、每页内容从20减到15条

很多互联网公司每到KPI冲刺时，就把每页的内容从20条减少的15条，这样可以提高PV。因为决策人认为用户的内容吸收量固定，减少每页内容数量，可以增加翻页的几率。

3、马云开除把梳子卖给和尚的讲师

马云在一次演讲时提到，有一次他路过新员工的培训课堂，讲师在正说如何把梳子卖给和尚。马云听后很生气，把这个讲师开除了。因为马云觉得这是欺骗行为，和尚要梳子干什么？

一个KPI导向的公司，面对这三个场景，部门负责人会做出什么样的选择？如果公司老板不做出有力监管，我想大家心中都已经有了答案。换了你负责业务，你会不会做出面向数字、年终奖、晋升的选择？

是的，人之初，性本恶，你不必轻易挑战自己。

当面临强有力的监管，作恶的心才会被遏制。所以，当你看见公司业务部门，或者其他公司，做出令人匪夷所思的事情，那么可以肯定的是该司这个业务缺乏一个理性、有良知的监管。

可是为什么很多时候监管不力呢？

这，要看监管机构听谁的。

还是先看看我们行业的情况，吴军博士在Google和腾讯都有工作经验，在《吴军的谷歌方法论》中谈及硅谷和腾讯的一些企业文化的差异，说到：

我们经常感叹为什么中国人在硅谷晋升得没有印度人快，这里面有很多原因，其中一个小的原因是，中国人之间相互分享利益做得非常不好，不注重相互提携。

我到腾讯后，有一次公司请杰克∙韦尔奇的助手，GE和高盛的首席培训官科尔（Steve Kerr）对干部进行培训。科尔就特别强调部门之间需要分享利益，然后让大家讨论。让我吃惊的是，大部分干部根本不认同科尔的讲法，而更喜欢讲所谓的丛林法则，即要把所有的业务拿到自己的部门。这里面谁是谁非我不评论，但是那种丛林法则的说法和我在美国多年的经历是不一致的。

至少要把项目相关的业务拿到自己部门，相信看到这，你会会心一笑，你的部门领导可能每天就在琢磨这事。

为什么会这样呢？因为集中力量办大事，是我们熟知的套路，从上到下皆是如此。你可能没有意识到这个套路除了在宣传中看到，也能在你身边套路上。

这种情况下，监管听谁的呢？

如果听业务负责人的，那就会出现令人匪夷所思的事情。正如你所见的医疗竞价排名、血友病吧、全家桶、大数据杀熟、水滴直播、广告二跳，等等。

如果监管机构高一层，或者独立存在，最重要的是有一票否决、处罚的权利。如果这些权利都有了，还出现匪夷所思的事情，监管机构就要担责了。该优化的优化，该重构的重构。

好了，前面说了这么多，我们开始进入正题。

是的，刚进入正题。

疫苗，过去一周多了，没有听到疫苗监管机构优化、重构的的风声。只是在资本市场上看见证监会推进退市机制，亡羊补牢吧，但这只是让企业不能在二级市场捞钱而已。

可是药监局在干嘛呢？

我们来看看恒大研究院的分析：《疫苗事件和医药监管》

1.4       疫苗管理体系：重审批，轻监管，头重脚轻

整体而言，2011年我国首次通过世卫组织国家疫苗管理体系评估，并于2014年通过该体系复评，我国疫苗管理体系已初步形成。目前我国疫苗监督管理涵盖上市许可、批签发、上市后监管（包括接种后不良反应监测）、实验室管理、监管检查（GMP）和临床试验监管６项职能，覆盖了从疫苗研发到使用的各个环节。

但我国疫苗管理体系仍然存在“头重脚轻”的问题，即重审批、轻监管。疫苗监管包括上市前监管与上市后监管：上市前监管，主要是以注册审评为核心的注册审查体系，包括非临床研究资料、临床研究资料审查，以及生产体系考核，全部通过后方可取得药品注册批件及GMP证书；上市后监管，主要依据《药品生产质量管理规范》、《药品经营质量管理规范》等规章，通过检查、不良事件监测、疫苗召回等方式实现，具体检查措施有抽查、飞行检查、有因检查，抽检由中检院负责实施，飞行检查、有因检查由药品审核查验中心依据生产质量管理规范开展，检查过程中，主要依赖检查员现场核实，逐条检查。

在疫苗管理体系中，批签发是确保疫苗安全有效的最后一道关口。我国从2006年1月1日对全部上市疫苗实施批签发，即每批制品出厂上市或者进口时进行强制性检验、审核的制度。检验不合格或者审核不被批准，不得上市或者进口。批签发之前，中检院对疫苗的安全性、有效性进行检验，对于安全性是全部批次都检验，而对于有效性则进行随机抽样检验，不同品种抽验比例不同，大部分比例为5%。

根据中检院《2017年国家药品抽检年报》，2017年国家药品抽检共抽检生物制品91批次，涉及预防类4个品种、治疗类2个品种、诊断类1个品种。经检验，符合规定89批次，不符合规定2批次，均为吸附无细胞百白破联合疫苗。吸附无细胞百白破联合疫苗共抽取两个厂家4批次产品，所有批次检品的鉴别试验、安全性检测项目均符合规定，但有2批次疫苗效价测定不符合规定，其中1批次破伤风效价和百日咳效价不符合规定，1批次百日咳效价不符合规定。

资源限制导致质检重安全性、轻有效性。在国家疫苗管理体系中，批签发是疫苗上市使用前确保安全有效的最后一道关口，但目前中检院由于资源限制，只对疫苗安全性进行批批检验，有效性检验比例大部分仅为5%，而此次长生生物事件中的百白破疫苗正是有效性上出了问题。

我国药品管理法及地方药监的行政隶属关系导致处罚不力。我国药品管理法对生产销售假药及劣药的处罚做出了规定，罚款金额仅为货值金额的2-5倍及1-3倍，震慑力有限。另一方面我国地方食药监局在行政费用、人事任命等方面均由地方政府负责和管理，国家药监局只有业务指导权，也是地方食药监局对违规行为处罚不力的原因。

重审批、轻监管，地方食药监局隶属地方政府，也就是向税收这个业务负责人汇报。这不搞笑么？

在这种监管体系下，出多少匪夷所思的事情，都不奇怪。

虽然，你永远叫不醒一个装睡的人，但是，我们继续发声还是力所能及的。

为方便，喜欢这个写法：

foreach($array as &$_arr) {
    $_arr["key"] = "value";
}

但比较坑的是，$_arr可能后续再继续使用，这是便赋予了其它值，直接导致$array最后一个变量被改变。

为避免这种，最好用后即焚：

foreach($array as &$_arr) {
    $_arr["key"] = "value";
}
unset($_arr);

今天在vim中直接手写代码，历史惯用写法不加思索，有点超出预期啊

有三个故事，第二个故事大家可能都很熟悉。

1、牙膏开口大一毫米

传闻美国一个生产牙膏的公司，把牙膏的开口直径增加一毫米，销量大增。因为用户习惯每次挤出的长度，而不是体积，这样牙膏使用得更快。

2、每页内容从20减到15条

很多互联网公司每到KPI冲刺时，就把每页的内容从20条减少的15条，这样可以提高PV。因为决策人认为用户的内容吸收量固定，减少每页内容数量，可以增加翻页的几率。

3、马云开除把梳子卖给和尚的讲师

马云在一次演讲时提到，有一次他路过新员工的培训课堂，讲师在正说如何把梳子卖给和尚。马云听后很生气，把这个讲师开除了。因为马云觉得这是欺骗行为，和尚要梳子干什么？

你们公司有没有做过第二个故事的事情？

Google翻译APP真是神器，图片识别德文进行翻译。百度翻译APP也有这个功能，但就是渣，根本不能图像识别，至于有道翻译，呃，压根不支持德文。

以下是翻译，留以备用：

Zusammensetzung 组成

Energie 能量

Fett 脂肪

- gesättigte fettsäuren 饱和脂肪酸

- einfach ungesättigte fettsäuren 单不饱和脂肪酸

- mehrfach ungesättigte fettsäuren 多不饱和脂肪酸

kohlenhydrate 碳水化合物

- zucker 糖

aus Lactose, dem naturlichen Milchzucker (6,8 g/100 ml)  乳糖，天然奶糖

- Stärke 强度，力气

Ballaststoffe 植物纤维（粗饲料。。。）

Eiweiß 蛋白质

Salz 盐

errechnet aus dem natürlichen Gehalt der Zutaten

Die Analysenwerte unterliegen den bei Erzeugnissen aus Naturprodukten üblichen Schwankungen. Unter Schutzatmosphäre verpackt.

从原料的天然含量计算分析值是受正常从天然产物为产生波动。在保护气氛的包装。

Mineralstoffe 矿质元素

Natrium 钠

Kalium 钾

Chlorid 氯

Calcium 钙

Phosphor 磷

Magnesium 镁

Spurenelemente 微量元素

Eisen Zink Kupfer Selen Mangan Fluorid

铁锌铜锰硒氟

Vitamine 18% 70 Hg  维生素

Vitamin A 17 1,2 Hg

Vitamin D 20 1,0 mg

Vitamin E 5,00 Hg 42

Vitamin K 22% 10 mg

Vitamin C 12 0,06 mg

Vitamin B1 190

Vitamin B2 0,13 mg 0,60 mg

Niacin 0,04 mg 烟酸

Vitamin B6 10 Hg

Folsäure 0,15 ug 叶酸

Vitamin B

Pantothensäure 17 0,50 mg 17% 泛酸

Biotin 1,7 Hg 生物素

Weitere Nährwerte 进一步的营养价值

Linolsäure (Omega 6) 0,7 g 0,07 g 亚油酸（欧米加6）

Linolensäure (Omega 3) 亚麻酸（欧米伽3）

Standardauflösung 标准分辨率 : 14g HiPP 2 BIO + 90ml Wasser 水 = 100 ml trinkfertige Nahrung 立即喝的食品.

1 gestrichener Messlöffel 量勺 = ca. 4,7 g HiPP 2 BIO

Zutaten 配料

Magermilch pflanzliche Ole (Palmöl, Rapsöl, Sonnenblumenöl), Molkenpulver teilentmineralisiert,

Lactose, Stärke, Emulgator Sojalecithine, Calciumcarbonat, Vitamin C, Kaliumchlorid, L-Tryptophan,

Calciumchlorid, Eisensulfat, Vitamin E, Vitamin A, Niacin, Zinkoxid, Pantothensaure, Kupfersulfat,

Vitamin K, Zinksulfat, Vitamin B1, Vitamin B6, Kaliumjodat, Mangansulfat, Folsäure, Vitamin B2,

Natriumselenat, Vitamin D,Biotin, Vitamin B12.

脱脂奶植物油（棕榈油，菜籽油，向日葵油），脱盐乳清粉部分

乳糖，淀粉，乳化剂大豆卵磷脂，钙，维生素C，氯化钾，L-色氨酸，

氯化钙，硫酸亚铁，维生素E，维生素A，烟酸，锌，泛酸，硫酸铜，

维生素K，硫酸锌，维生素B1，维生素B6，碘酸钾，硫酸锰，叶酸，维生素B2，

硒酸钠，维生素D，生物素，维生素B12。

Ohne glutrnhaltige Zutaten Laut Gesetz

aus biologischer Erzeugung

Bio-Palmol aus nachhaltigem Anbau.

zertifiziert von unabhängigen Kontrollstellen

不含麸质成分，根据法律规定

来自有机生产

有机棕榈油从种植可持续发展。

由独立检验机构认证

folgemilch 后续奶粉

nach dem 6. Monat 在六个月后

ideal im Claskostalter

Bio-Spitzenqualität 有机顶级品质

mit dem Besten aus der Natur 具有最佳性质的

爱他美：

Taurin 牛磺酸

Cholin 胆碱

Inositol 肌醇

香兰素（俗称）也叫香兰醛、香草醛。

德语是Vanillin

mit naturlichen；ballaststoffe; Milchsaurekulturen 和 wichtiges omega-3是什么营养物质？

天然成分；植物纤维 ；乳酸作物；多元化不饱和脂肪酸（DHA、EPA、DPA合称）

在知乎上看见一个回答，很有启发，做事情需要灵活的思路。

是否在一条路坚持走到底，需要结合自身情况考量前景，以及你的人生B计划是否靠谱，眼界很重要。

文章如下：

地址：http://www.zhihu.com/question/22872149/answer/23229416