内容涉及的技术与厂商方案
推荐文章
查看全部 →
OAuth 2.1 时代浏览器应用的安全边界:从 PKCE 到 BFF 的工程审计
RFC 9700 与 OAuth 2.1 将 PKCE 从可选提升为强制、废弃了 Implicit Flow,但浏览器应用的令牌安全边界并未因此自动闭合。本文从授权码拦截、令牌窃取、XSS 与 CSRF 四条攻击链出发,逐项审计纯前端 SPA、Token-Mediating Backend 与 BFF 三种架构的真实安全边界,给出可落地的选型矩阵与检查清单。
Sigma 规则进 CI/CD 之后:为什么自动化验证比转换更重要
从 Sigma 规则的 CI/CD 实践出发,分析检测工程中'转换成功'与'验证通过'之间的真实差距,给出可落地的流水线设计、回归测试策略和字段映射治理方案。
Trustwave 把 ModSecurity 交给 OWASP 之后,CRS v4 + Coraza 才是新的默认线
从 Trustwave 退场到 OWASP 接管,再到 Go 原生引擎 Coraza,自建 WAF 的栈正在换底。本文用一次本地复现实测拆开 Coraza v3.7.0 + CRS v4.27.0 的部署边界、规则评估代价与误报取舍。
把 PII 字段加密之后,等值查询从 0.05ms 变成 32 秒:字段级加密三种实现路径的工程边界
用 PostgreSQL 17 + pgcrypto 在 10 万行表上实测字段级加密的真实代价,对照 MongoDB Queryable Encryption 与 AWS DB-ESDK 的能力边界,给出选型与落地清单。
一个空闲 logical slot 把 pg_wal 涨到 339MB:PostgreSQL 复制槽 WAL 保留的工程边界
复制槽是 PostgreSQL 让下游可靠消费 WAL 的机制,但它会把磁盘风险静默转嫁回主库。本文用 PostgreSQL 17 实测验证 max_slot_wal_keep_size 的两种行为分支(lost / extended),结合 17 新增的 invalidation_reason / inactive_since 列,给出复制槽监控、heartbeat 与失效处置的工程边界。
用户在微软官网完成 MFA,却把令牌交给了攻击者:Entra ID 设备码钓鱼的检测与治理
设备码钓鱼把 OAuth 2.0 合法授权流变成绕过 MFA 的令牌窃取通道。本文先复核 RFC 8628 的安全假设,再用公开端点实测证明协议本身没漏洞,然后给出 Entra ID SignInLogs 检测信号、误报来源与 Conditional Access 治理路径。
为深度阅读而做
清晰的分级、舒服的排版、顺手的互动——为认真读技术的人准备。
清晰的内容分级
每篇文章都清楚标注谁能读:从完全公开,到会员、单篇购买,再到受邀可见。想读更深的内容,解锁路径一目了然。
硬核内容也读得清楚
数学公式、流程图、代码高亮与一键复制,复杂的技术细节呈现得明明白白。
想看就能解锁
会员畅读全部深度内容,或单独购买某一篇,支付后立即可读、永久有效。
一起交流
评论与回复、点赞收藏、订阅更新,把喜欢的文章留下、把想法说出来。
随时找到、持续追更
⌘K 全站搜索一键直达,RSS 订阅追更你关心的主题,不错过任何一篇。
常见问题
关于内容、会员与付费,你可能想知道的。
最低
$5 / 月
或 $40 / 年,约 $3.3 / 月,省 33%。也可在文章页单独购买某一篇。