bf88必发,bf88必发官网,bf88必发官方网站

                                                                                                                                                                          赌大小-最值得信赖的网上赌场

                                                                                                                                                                          赌大小携手顶级信誉博彩评级网100亿巨资打造最新玩法娱乐城,为您提供最新最真实的《网上》《赌场》《评级》最新鲜刺激的游戏体验,形成一站式服务娱乐平台。
                                                                                                                                                                            

                                                                                                                                                                            胡欣红

                                                                                                                                                                            近日,一位13岁的浙大新生引起了舆论的极大关注。

                                                                                                                                                                            6岁上小学,7岁读初中,9岁以广东省湛江市第13名的优异成绩考上湛江二中高一实验班(全市仅招60人),12岁参加高考,以总分620分、高出一本线135分的成绩被浙大医学试验班(5+3)录取——陈舒音的求学经历,引起一片惊叹声。

                                                                                                                                                                            古往今来,“神童”都是一个充满争议的热门话题。一方面,芸芸众生或多或少滋生过对自己或儿女的“神童”之梦;另一方面,一旦被贴上“神童”标签,似乎总难免“伤仲永”式的惨淡结局。长此以往,公众渐渐对“神童”形成一种既向往又等着看笑话的复杂心态。

                                                                                                                                                                            但陈舒音式的“神童”,或许不在此列。

                                                                                                                                                                            面对“天才少女”的赞叹,舒音和她的父母却始终觉得“没什么特殊”——“没上过补习班,父母也没有额外辅导,就是跟着老师的节奏一步步学下来。”从小就特别喜欢看书, “很坐得住”,“在任何时候都能静得下心学习”。正是由于从小就有浓厚的阅读兴趣,自学和理解能力又特别强,舒音在读小学前就掌握了小学的大部分知识。高二的时候,她就利用课余时间学习了大学基础课程。不仅学业优异,舒音的心态也特别好,而且与同学们的交往完全没有问题。父母也很相信舒音的自理能力、学习能力与人际交往能力。

                                                                                                                                                                            专注力极强,心态好,拥有出色的自理能力、人际交往能力……如此“神童”,确实“不一般”。除了她“开了挂”般的求学经历之外,更在于与传统的“人造神童”相比,她的自然成长简直就是“野蛮生长”,显得很不一般。舒音这样的“神童”,让人们有理由相信她绝不会重蹈“伤仲永”式的覆辙。

                                                                                                                                                                            通常情况下,“神童”们尽管有些天赋,但更关键是家长刻意“制造”的产物。去年一度被媒体“曝光”而引发热议的“湖南神童”魏永康堪称典型:2岁掌握1000多个汉字,4岁基本学完了初中阶段的课程,8岁进入湖南省华容县属重点中学读书,13岁以高分考入湘潭大学物理系,17岁又考入中科院高能物理研究所,硕博连读,但像古时“伤仲永”一样,神童魏永康并没有在长大后延续神奇,读了3年研究生后,连硕士学位都没拿到,就被学校劝退了……

                                                                                                                                                                            魏永康之所以从“辉煌”到“泯然众人”,原因是显而易见的。一言以蔽之:成也母亲,败也母亲。正是因为母亲曾学梅对他从小全方位的“悉心”教育,曾代劳他生活上的一切,包括喂饭,心无旁骛、智商极高的魏永康迅速在同龄孩子中脱颖而出。然而,考进中科院脱离了母亲的照顾后,极度缺乏生活自理能力的魏永康“失控”了,他完全无法安排自己的学习和生活:热了不知道脱衣服,大冬天不知道加衣服,穿着单衣、趿着拖鞋就往外跑;房间不打扫,屋子里臭烘烘;他经常一个人窝在寝室里看书,却忘了还要参加考试和撰写毕业论文,为此他有一门功课记零分,而没写毕业论文也最终让他失去了继续攻读博士的机会……面对儿子的“失利”,母亲曾学梅深深忏悔:“是我害了他。”

                                                                                                                                                                            两相比较,我们不难发现,自然生长才是“神童”的教育之道。换言之,人中龙凤首先应该是个正常的人,应当形成基本的个体自治,可以自我管理、自我安排,用自己的意识对接现实、畅想未来。也就是说,在教育孩子之时,首先要把孩子当成一个正常的“人”, 顺其自然,孩子才能有如“神”助,最大程度地发挥出潜能,做最好的自己。

                                                                                                                                                                            13岁上浙大,这位“天才少女”的成长案例值得天下父母师长们深思。“神童”的教育之道需要顺其自然,寻常孩子又何尝不是如此。

                                                                                                                                                                            2014年笔者刚加入同盾科技时即负责设备指纹1.0版本研发,随着产品的迭代升级以及无数次与客户现场的沟通,也逐渐积累了一些自己的思考。今天就让我们抛开具体的技术细节,从一个更高的视角来共同探讨设备指纹的发展。

                                                                                                                                                                            设备指纹诞生于网络未知

                                                                                                                                                                            在互联网发展初期,人们发现商业的边疆可以被极大的拓展,我们可以跟某个素不相识的人在一秒以内完成一笔真实交易。但是,更多的机会也带来了更多的风险。很多在人们看来理所当然的线下正规业务场景,一旦转换到线上,就会衍生出意想不到的风险。比如,从前一个卖家可以通过“察言观色”、“一手交钱一手交货”、“摄像头监控”等等方式很精准的去判定一个买家是不是欺诈者。这意味着对于“什么人”在“什么时候”用“什么方法”做了“什么事”这个亘古不变的业务链条,每个环节卖家都一清二楚。但如今在互联网上,所有的识别环节都被打破,实实在在的行为被打散为不同的单个请求,并且这些请求分布在许多复杂的业务模块中,线下积累的经验无法直接适配线上。于是人们发明了各种各样的方式试图重新去补全这个业务链条,而“设备指纹”就是当下用于判定业务主体是“什么人”的一种重要技术。

                                                                                                                                                                            设备指纹的“前世今生”

                                                                                                                                                                            早期,在一些对安全要求非常高的线上场景中,例如一些银行的网上银行,常常使用U盾这样的纯硬件技术去追踪业务主体,也就是上文所说的定位“什么人”。同时,因为业务往往都是发生在浏览器页面中,而浏览器是属于操作系统上层的应用程序,运行在其中的脚本代码受到沙盒的限制,所以用户也需要安装一个可以跳出浏览器沙盒直接跟操作系统对接的控件,来读取U盾里面的安全数据。

                                                                                                                                                                            相对来讲,这很安全。不过随着互联网的发展,这种“控件”+“U盾”的结合方式已经越来越落伍。笔者总结了如下几点原因:

                                                                                                                                                                            1、使用控件的用户体验非常差,需要冗长安装、更新流程,普通用户难以操作;

                                                                                                                                                                            2、移动互联网已成为绝对主流,而iOS,Android等移动互联网入口都不支持控件;

                                                                                                                                                                            3、不仅仅在移动端,某些控件在pc端适用范围都很小,很多只支持PC上的IE内核浏览器。同时Chrome和Firefox等份额较大的桌面浏览器也在逐步淘汰控件的使用;

                                                                                                                                                                            4、基于控件的本地溢出漏洞层出不穷,用户很容易中木马或者被钓鱼,反而给系统的安全造成严重危害。

                                                                                                                                                                            基于以上几点,纯依赖js的web设备指纹技术逐渐被越来越多的厂商使用。它具有”免安装”、”动态更新”、”用户无感知”、”兼容移动和桌面端所有操作系统浏览器”的优点。此外,由于js天然受到浏览器沙盒的限制,在某些安全性要求更高的场景,内嵌于各种app的SDK设备指纹技术也得到广泛的应用。

                                                                                                                                                                            “好”的设备指纹是怎样的

                                                                                                                                                                            很多人对设备指纹不了解,容易一开始便纠结在一些意义不大的机制和参数上。下面就让我们一起探讨下什么是“好”的设备指纹。

                                                                                                                                                                            1、不侵犯用户隐私

                                                                                                                                                                            这是所有设备指纹产品需要严格遵守的红线。侵犯用户隐私,基于用户敏感信息(比如用户浏览历史记录,用户输入的敏感数据等)研发的设备指纹产品,即使功能再强大,也毫无意义,这无需多言。

                                                                                                                                                                            2. 安全性和用户体验的平衡

                                                                                                                                                                            好的设备指纹需要在安全性和用户体验之间找到最佳的平衡点; 其实这个概念可以衍生到更广的层面,即“安全防护应该是在安全性和业务发展之间找到最佳平衡点”。

                                                                                                                                                                            对于安全从业者来说,这是我们要牢记的第一准则 —— 安全永远是为业务服务的。上文提到的淘汰“硬”设备指纹(U盾)而发展“软”设备指纹(js,SDK)就是对该理念的有力印证。虽然“软”设备指纹在某些情况下功能性和安全性稍差,但在用户体验上获得了极大的提升,再通过结合其他维度的综合风险识别,实践证明”软”设备指纹机制有效且风险可控。

                                                                                                                                                                            3、保证稳定性、兼容性和性能

                                                                                                                                                                            实验室创新并不等同于工厂技术,在实验室诞生的创新技术距离实际的工业化生产还有非常远的路要走。这在设备指纹领域也很明显,我们常常能看到不少”奇思妙想”的技术被炒作为可以用来做设备指纹,但考虑到兼容性和稳定性,实际上绝大多数都不能应用在线上环境中。这些往往只有真正开发设备指纹的技术人员才有深刻体会。

                                                                                                                                                                            稳定性,兼容性,性能等等都需要重点考虑,复杂的客户端环境和多样的使用场景,一款好的设备指纹产品一定是久经考验的“战士”。以同盾的SDK举例,我们做了大量的线上线下测试(针对众多偏门机器或者山寨机的兼容性测试、运行的耗电情况统计、上亿装机量的线上运行、高性能服务端集群压测、极端情况的完备降级处理方案等等)来确保最后交付的产品质量。

                                                                                                                                                                            4. 迎合技术发展

                                                                                                                                                                            无论是web技术还是移动端技术都在飞速发展,一些老旧的技术也在不断被淘汰,设备指纹是一种集合多种技术的集大成类产品,所以也一定要时时迭代,符合新技术发展的潮流。例如前几年HTML5技术刚兴起的时候,我们就对其中“websocket”、”canvas”、”cors”、”local storage”等进行了研究,挖掘了不少有价值可利用的技术。另一边,千疮百孔的flash已经在淘汰的边缘,绝大部分桌面端浏览器都已经默认不开启,我们也在最新的版本里给它判了“死缓”。

                                                                                                                                                                            不仅仅是功能迭代要利用新的技术,设备指纹的应用场景和使用方式也要尽可能与技术发展一致。比如当下很多厂商都采用“混合式app开发”框架,我们就有针对性的研发了适配功能,将app中的h5与本地的sdk结合起来做综合的设备识别。

                                                                                                                                                                            5. 贴合业务场景

                                                                                                                                                                            很多人都知道设备指纹有两个“著名”的评估标准:“稳定性”和“唯一性”。稳定性用来评估历史上出现过的设备依然能够被识别回来的能力。这就好像一个罪犯,不管怎么变装 易容,依然能被警察找到。唯一性则从另一个角度,评估把一个设备识别成另一个设备出错概率。同样的比方,警察知道一个罪犯的特征是“175公分”、“短头发”,但是并不能把大街上所有具有这两个特征的人都当罪犯抓起来,因为这两个特征并不能唯一定位到一个人。换句话说,这两个特征的“熵”太少。但是如果再加上另一个特征—— “左脸眼睛下面有一个3公分的横向刀疤”,这就非常明显了,通过这三个特征,警察有非常大的把握可以追踪到该罪犯。其中这个“刀疤”特征,就是一个不错的可以用来做设备指纹唯一性判定的参数。

                                                                                                                                                                            实际使用过程当中,“稳定性”和“唯一性”也是不可兼得的,此外性价比也是一个关键因素(会有一些办法可以在保证一个特性的同时加强另一个特征,但是其中投入的开发和技术成本,厂商也要考虑是否能承受)。

                                                                                                                                                                            那我们就又需要去找平衡点,怎么找到这个点呢? 答案就是要贴合业务场景。直白点讲,就是厂商想怎么去用设备指纹。我们举两个典型案例:

                                                                                                                                                                            案例一: 广告营销

                                                                                                                                                                            广告营销场景常常需要结合不同人群的兴趣爱好推送不同的广告,达到精准投放的目的。很多时候需要定位到一个用户的设备,然后画一个基于兴趣的设备画像。对于这个场景的设备指纹,其实可以放弃一部分的“唯一性”,去迎合“稳定性”。因为这个时候业务考虑更多的是人群总体覆盖度,而不用纠结在是不是每一个人每一台设备都定位精准了。所以有时候我们会发现在手机的app里浏览一个商品,过段时间电脑上就推荐了,这不是什么黑科技,有可能广告厂商用的仅仅是你的外网ip当作设备指纹。

                                                                                                                                                                            为了更好的解释这一点,我常常举这么一个例子:营销场景的设备指纹就好像给1000个人去标记兴趣,其中有一个人错了没啥大问题,顶多推荐一个他不喜欢的广告;反欺诈则不同,如果1000个里面有一个标记错了,非常有可能那一个人就是一个欺诈者,或者把一个优质的客户给误杀了,这个影响就很大。换一个角度说,用营销的设备指纹去做反欺诈,效果非常难以保证。

                                                                                                                                                                            刚刚提到了外网ip,我们可以简单扩展下思路,随着IPv6的发展,ip地址非常充裕,其实可以在一个人出生的时候就给他一个固定的ip用来上网,这样所有的网络行为都能做到精确追踪。不过这样可能也未必是什么好事。

                                                                                                                                                                            案例二 :可信设备体系

                                                                                                                                                                            反欺诈领域有两种不同的世界观:一种是从一堆未知请求中寻找可能的欺诈;一种是允许已知的优质用户操作,其余未知的都需要经过短信验证或者更严格的身份二次确认。两种方式一种增强了对坏人的覆盖度,一种增强了已知好人的用户体验。高级的反欺诈系统往往混合使用这两种机制。所谓的可信设备体系就是第二种,基于已知的可信操作沉淀出可信的设备体系。

                                                                                                                                                                            这种情况下使用的设备指纹应该更关注“唯一性”还是“稳定性”?

                                                                                                                                                                            答案依然是“稳定性”,不过应该比案例一的营销场景更偏一些唯一性。可以这么理解,对于黑产来说,想要伪装成一台全新的设备很容易,大不了重装系统。但是想要伪装成一台已知的可信设备就很难了。随着维度的增加,难度也会呈指数级增长。打个比方,如果我们是根据”ip归属地城市”、”系统语言”、”wifi名称”三个维度交叉得到的可信设备,那么对于一个特定的可信账号,黑产很难模拟出一套相同的环境。

                                                                                                                                                                            有人会问:为什么不完全偏向“唯一性”呢,这样似乎更安全?那是因为正常用户也会有一些潜在可能的环境变化,比如一个人在家里上网,可能用手机、台式机、或者笔记本电脑,而且常常在多个设备间切换,如果完全偏向“唯一性”,每一个参数的微小改动都需要用户重新进行全流程的二次验证,对于用户的体验会非常差;对厂商来讲,进行二次验证往往需要付出一些成本,比如发短信,当用户量大了之后这些成本的增加也很可观。

                                                                                                                                                                            以上只是众多业务场景中典型的两种,最终怎么设定设备指纹平衡点,完全看业务需要。从商业化的产品角度来看,怎么更好的解决这个问题呢?

                                                                                                                                                                            我们抛出一个答案 —— 灵活可配置化。同盾科技同时提供了多个id,每个id分别有不同的稳定性和唯一性偏好,客户可以根据自己的业务场景,灵活选择。

                                                                                                                                                                            上文所说的只是贴合业务场景的一个层面:“稳定性”和“唯一性”。其实作为“业务”风控产品,方方面面都要努力做到这一点。

                                                                                                                                                                            6. 设备异常环境识别

                                                                                                                                                                            很多人误解,设备指纹只能做设备的唯一标识,也就是“设备ID”的追踪。但其实设备指纹能做的远不止这些,甚至可以说设备ID的功能只占其全部功能的三成左右。上文我们举的两个案例:可信设备和广告营销,可以说这并不算反欺诈的典型业务。当下国内最典型的是“账户”和”营销”这些场景,也是黑产获利最多的场景。这些场景里,黑产往往可以通过伪造新设备或者伪造某些系统底层参数(比如地理位置,imei号等等)的方式来绕过业务的限制。上层设备指纹获取的所有参数都是伪造的,基于这些伪造的数据计算得到的设备ID就毫无意义了。就像一个美丽的空中楼阁,没有了深入地下的坚实基础。而夯实基础关键在于”系统环境异常的识别”。对于常见的黑产改机框架、改机软件、伪装软件等,设备指纹都一定要做到针对性的识别。只有确定当前的系统环境没有异常,设备ID才是可信、可用的。

                                                                                                                                                                            以同盾的设备指纹举例,目前我们几乎能识别所有的Android和iOS底层改机和伪造行为。此外通过对常见的黑产软件有针对性的监控和逆向研究,结合服务端的数据分析和建模,可以给设备打上30多种异常标签,包括“调试行为、“模拟器虚拟机”等等。

                                                                                                                                                                            对于”软”设备指纹,设备异常环境的识别可能比设备ID更重要。

                                                                                                                                                                            7.强大的自我保护机制

                                                                                                                                                                            设备指纹是一个从”端”到”云”的综合系统,这里面既有客户端的交叉验证、劫持检测,又有服务端的数据建模、联防联控,任何一点的疏忽都有可能被黑产攻破,所以需要对客户端的代码做很强健的加固保护。

                                                                                                                                                                            这也是为了在跟黑产对抗的过程中保持信息不对称性的优势,一定程度上我们就是通过这种信息不对称性在攻防之间保持微弱的领先优势。所以对很多设备指纹系统来讲,” 开源”也就意味着平庸和被绕过。双方都在绞尽脑汁拼个你死我活,突然就把家底送给别人看了,后果可想而知。

                                                                                                                                                                            谈论设备指纹时这些尖锐的问题你该知道

                                                                                                                                                                            这几年笔者现场接触了很多客户,也回答了很多设备指纹的问题,其中不乏一些专业到位、一针见血的问题。以下是笔者简单梳理出的一些问题与大家共分享。

                                                                                                                                                                            问题一: 怎么评估设备的“稳定性”和“唯一性”,有没有量化的标准?

                                                                                                                                                                            答:这似乎是一个悖论:如果能有一个良好的判定设备指纹的参数,为什么不拿它当设备指纹呢?

                                                                                                                                                                            不过仔细想想也未必没有解决方案。我们排除掉粗暴的大样本环境测试(样本再大相比线上也是九牛一毛),剩下最好的办法便是基于一些业务数据和生活常识去做这个判断。保密原因我不会详细说,但是我们内部已经形成了一套行之有效的评估预警机制。

                                                                                                                                                                            问题二: 如果我刷机,重装系统,你还能找回这个设备吗?是不是设备指纹就没用了。

                                                                                                                                                                            答:软件层面追踪硬件一定有它的局限性,某些小”trick”可以做到即使刷机和双清,仍然可以还原。但是如果真的是彻底的底层变更,甚至是修改硬件,比如换块硬盘,那光靠设备指纹一定是不够的,需要完整的风控系统。设备指纹不是银弹,我们做的也不是百分百绝对防御,提升黑产作案成本是关键。

                                                                                                                                                                            问题三: 可不可以这样用你们的设备指纹,我自己获取一些你们要的参数,然后传给你,你们给我们返回一个设备ID?

                                                                                                                                                                            答:这种方式没有太大意义。

                                                                                                                                                                            上文笔者提到,设备指纹是一个从”端”到”云”的系统,这种单纯使用”云”不使用”端”的方式,很有可能导致服务端接收的数据完全是黑产伪造的。我们常常说”数据决定了模型的上限”,很多客户更关注服务端模型,但数据的不可靠让模型的效果非常差甚至为负。

                                                                                                                                                                            问题四: 能不能把设备指纹开源给我们,我们担心你们做一些不安全的事情?

                                                                                                                                                                            答:上文我们也提到,设备指纹的开源意味着设备指纹的死亡。对于一个商业产品来说,给一个客户的开源意味着给所有客户的开源,同样意味着给黑产的开源。安全类产品的核心代码一定是不开源,否则对黑产来讲就是照着说明书攻击了。

                                                                                                                                                                            安全上的担心,可以理解。但是换个角度,互联网的发展其实就是基于供应链各个环节互相的信任。我们从来不担心浏览器窃取用户隐私,不担心微信支付宝窃取用户隐私,即使他们大多数代码也是不开源的。对同盾来讲,作为坚持第三方中立的风控领域领头羊,我们非常感谢6000多家客户给予的信任和支持。

                                                                                                                                                                            问题五: 为什么要使用三方的产品,而不是自己进行技术研发?

                                                                                                                                                                            答:难度非常大,成本非常高,投入非常多,需要谨慎考虑。专业的事情还是交给专业的人做。

                                                                                                                                                                            问题六:为什么说同盾的设备指纹是最好的设备指纹?

                                                                                                                                                                            答:试过就知道。

                                                                                                                                                                            (作者系同盾反欺诈研究院丁杨)

                                                                                                                                                                            本报讯 马世强、记者郭晨报道:8月下旬,记者从军委后勤保障部采购管理局获悉,自今年4月在北京地区推行工程采购试点以来,已完成开标、评标23项,确定中标结果16项,招标控制价合计2亿元,实际中标金额1.78亿元,节资率达9.2%。该局负责人介绍,工程采购试点工作的顺利推进,是建立健全管经费、管物资、管采购、管工程等制度,提高军事经济效益的落地之举,更是军队采购系统整合管理职能、优化运行机制,打造阳光廉洁高效采购模式取得的重要成果。

                                                                                                                                                                            为加快改进军队采购领域反腐倡廉建设,解决违规违法问题,按照采购需求、采购计划、采购实施、两库管理、监督检查“五个进笼子”要求,全军自2013年起全面推行物资采购集中统管改革。此后,各级根据“依法采购、规范采购、廉洁采购”原则开展查纠整治活动,并针对“管理体制不顺、制度执行不力、采管分离不彻底”等8大类760余种问题,逐一“堵漏洞、打补丁”,先后出台10余项法规文件,紧扣采购关键环节细化操作规范、量化评分标准。

                                                                                                                                                                            为适应我军规模结构和力量编成改革,军队采购工作在整改提高的基础上,以“刀口向内”的勇气推进转型,一场军队采购领域脱胎换骨般的体系重塑拉开帷幕。

                                                                                                                                                                            ——采购业务集中统管。改变以往条块分割的采购模式,成立专门的采购管理部门,确保“物资、工程、服务”采购实现业务统一管理、政策统一制定、全军统一执行。

                                                                                                                                                                            ——采购平台统一建设。整合分散的采购信息系统、供应商和评审专家资源等采购运行基础条件,统一建设军队采购平台,逐步推行全军采购业务在统一平台上运行,使用统一信息库随机抽取供应商、评审专家。

                                                                                                                                                                            ——采购实施分区保障。打破建制隶属关系,按照“就近就便、集约高效”原则,规范采购机构任务来源渠道、明确采购机构保障区域范围。

                                                                                                                                                                            ——采购全程联合监管。协调纪检、审计部门联合下发《军队物资工程服务采购联合监管规定》,在战区、军种、联勤保障中心以上机关建立联合监管机制,对重要事项和敏感环节实行联合审议、充分监督。

                                                                                                                                                                            “体系重塑好比‘硬件更新’,相关配套机制等‘软件设计’也要跟上,二者共同发力才能使新的军队采购体系走上规范廉洁高效‘快车道’。”军委后勤保障部采购管理局负责人介绍,为进一步规范与新体系相适应的制度规定,他们着力对“需求编报、计划审核、采购实施、质疑投诉、合同履行、价格审核”等环节进行细化完善,建立充满竞争活力、可持续发展的军队采购体系,充分体现转型重塑成效。

                                                                                                                                                                            新体系焕发新效能。5年来,军队采购系统高效完成抗震救灾、演习演训等重大应急采购保障任务。在抗击埃博拉应急援外任务中,集中力量驻厂督导生产,及时发运活动板房2000多平方米;在某高原食品应急采购任务中,仅19天就完成从市场考察到竞谈订货工作,并协调跨地区采集原材料,第一时间将优质食品送达高原部队;在部队调整组建过程中,主动靠前对接采购保障关系,建立临时采购保障渠道,确保各类保障物资不断供、不漏供、不误供。