网络安全指北之Sensitive Data Exposure:敏感数据暴露
Posted on Mon 02 March 2026 in Tech • Tagged with tech, blog, security, privacy • 2 min read
敏感数据暴露从来不是黑客多聪明,而是我们自己太大意:日志、报错、对象存储、备份、调试接口——每个环节都可能把数据"顺手递出去"。这篇文章给你一份可直接照抄的"数据防裸奔"清单。
Continue reading
Continue reading
网络安全指北之防止 XSS 的典型套路
Posted on Sat 28 February 2026 in Tech • Tagged with security, xss, owasp, 安全, web • 4 min read
XSS(Cross-Site Scripting,跨站脚本攻击)是 Web 安全里最常见的注入类漏洞之一。本文用通俗类比从 What/Why/How 说起,面向小白讲清楚 XSS 是什么、为什么危险、怎么防,给出 Java/Go/Python 三语言正反示例与常用框架,最后收束成防御套路与自检清单。
Continue reading
AI 时代的软件工程
Posted on Sat 28 February 2026 in Tech • Tagged with tech, blog, ai, 软件工程 • 4 min read
AI 让"写代码"更便宜, 但让"证明没坑"更贵。软件工程的重心正在从"把需求写成代码", 转向"能力编排与治理": 把 prompt 当契约, 把评估当门禁, 把可观测性当边界, 把回滚当退路。
Continue reading
网络安全指北: 为什么 BAC 访问控制失效总能霸榜
Posted on Sat 28 February 2026 in Tech • Tagged with security, owasp, access-control, bac, 安全, 访问控制 • 4 min read
OWASP Top 10 每隔几年更新一次,榜首却从未换过——BAC(Broken Access Control,访问控制失效)连续霸榜。本文从这个现象出发,用酒店房卡类比说清楚 BAC 是什么、为何难做对、典型场景和缓解措施,并给出 Java/Go/Python 三语言正反示例、常用框架、最佳实践和自检清单。
Continue reading
微服务之外:被忽视的 "SDK 治理"
Posted on Sat 28 February 2026 in Tech • Tagged with sdk, 微服务, 治理, contract-testing, semver • 3 min read
职场工具箱之 OODA 循环:高手为什么总能比你更快做出靠谱判断?
Posted on Fri 27 February 2026 in Method • Tagged with 职场工具箱, 决策, 复盘, 沟通, OODA • 3 min read
claude code 平替: opencode + deepseek/qwen
Posted on Wed 25 February 2026 in Tech • Tagged with opencode, claude-code, qwen, deepseek, openai-compatible, ai-sdk, tls, ca • 2 min read
用 opencode 接入公司私有部署的 Qwen/DeepSeek(OpenAI-compatible API),日常写代码、改文档基本够用,还能省掉订阅费与 token 焦虑;关键是把 TLS 自签证书这关过掉,别用“关掉校验”这种野路子。
Continue reading
职场工具箱之向上管理:不是拍马屁,而是帮领导做决策更容易
Posted on Wed 25 February 2026 in Journal • Tagged with 职场工具箱, 向上管理, 沟通, 汇报, 决策 • 2 min read
Go crypto/tls Config.Clone session resumption pitfalls (CVE-2025-68121)
Posted on Wed 25 February 2026 in Tech • Tagged with go, security, tls, cve • 5 min read
CVE-2025-68121 涉及 Go crypto/tls 的两个会话恢复(session resumption)问题:Config.Clone 复制了自动生成的 session ticket keys,导致不同 tls.Config 之间意外共享会话票据;以及服务端在判断会话是否可恢复时,只检查 leaf 证书过期而忽略完整证书链,可能让过期链条下的会话继续被恢复。
Continue reading
设计一个学习职场英语的 AI Agent(LLM Agent 架构 + 日常闭环 + 打分)
Posted on Mon 23 February 2026 in Tech • Tagged with ai-agent, llm, agents, learning, spaced-repetition, english • 4 min read
一份纯技术向的设计:用 LLM-powered agent 跑一个固定的日常学习闭环(morning learn → evening test → next-day review),并用双维度打分管理句子库:实用度(1–5)与熟练度(1–5)。
Continue reading
职场工具箱之 ABC 情绪理论:用它把 KPI 从“审判书”改成“导航图”
Posted on Mon 23 February 2026 in Method • Tagged with 职场, methodology, KPI, emotion, ABC, REBT • 2 min read
让你崩溃的往往不是 KPI(事实),而是你给 KPI 加的“字幕”(解释)。ABC 情绪理论把这条链路拆开,让你把 KPI 从“人格审判”改回“工程仪表盘”,情绪降噪、行动变清晰。
Continue reading
职场工具箱:用 AI Agent 学职场英语——早上学,晚上测,第二天复习
Posted on Mon 23 February 2026 in AI • Tagged with 职场, methodology, AI-agent, english, learning • 2 min read
别指望 AI “一次性把你教会”,把它当成一个会计划、会记忆、会用工具、会复盘的学习搭子更靠谱。照着“早上学—晚上测—第二天复习”的节奏跑一周,再用“实用性/熟练度”双打分(1~5)管理句子库,你会明显感觉到自己不是在背单词,而是在攒职场肌肉记忆。
Continue reading
职场工具箱之 MVP 思维:完美主义是最大的陷阱,先小步起跑再说
Posted on Fri 20 February 2026 in Method • Tagged with 职场, methodology, MVP, execution, perfectionism • 3 min read
想得太多做得太少,是许多职场人的隐形内耗。MVP 思维不是创业专属工具,而是个人工作的破局之道:先交付一个“够用的版本”,再迭代,而不是在脑海里反复打磨一个永远不敢面世的完美幻觉。
Continue reading
如何让 AI 真正“懂”你的项目?一套可落地的项目知识包
Posted on Mon 16 February 2026 in AI • Tagged with AI, 工程实践, 知识管理, 协作, 文档 • 3 min read
做不到让 AI 一次性彻底理解一切,但可以用工程化方式把项目做成“可被 AI 消化的知识包”,再配合分轮喂料与自动化索引,效果可以非常接近“项目专家 + 能上手改代码的工程师”。
Continue reading
职场工具箱之 SCAMPER:用 7 个动作,把"没想法"变成"有方案"
Posted on Sun 15 February 2026 in Method • Tagged with 职场, methodology, innovation, creativity • 3 min read
职场工具箱之非暴力沟通:如何把指责换成推进?
Posted on Sat 14 February 2026 in Method • Tagged with 职场, methodology, communication, NVC, leadership • 2 min read
你说了一句"正确的话",对方却当场翻脸——问题不在于你说的"对不对",而在于你说的方式触发了对方的防御机制。本文拆解马歇尔·卢森堡博士的非暴力沟通(NVC)四要素,并将其改造为职场可落地的沟通公式,帮你把每次冲突都转化为推进项目的契机。
Continue reading
职场工具箱之 RACI:为什么“谁负责”说了三遍还是会翻车?
Posted on Fri 13 February 2026 in Method • Tagged with 职场, RACI, 职场方法论, 责任矩阵, 协作 • 3 min read
“大家一起推一下”听起来像分工,其实是分糊涂。责任模糊导致三个人各做一半、方向还不一样。用 RACI 把“负责”拆成谁做、谁扛、谁问、谁知,一张表治好“我以为有人在管”。
Continue reading
职场工具箱之第一性原理——做事回归本质,做人回归自己
Posted on Fri 13 February 2026 in Life • Tagged with 职场, 第一性原理, 职场方法论, 思维方式 • 2 min read
夜深人静时,消息未回、日程拥挤、文档差一句收束,像未结的心事,不致命却挥之不去。很多内耗并非源于“事太多”,而是把外界评价当成了自己的坐标。用第一性原理做人做事:先看清,再行动。
Continue reading
AI 时代,我为什么还要写作
Posted on Thu 12 February 2026 in AI • Tagged with journal, writing, AI • 1 min read
做过两年文字秘书,写周记、总结、技术博客成了习惯,乐此不疲。可 AI 时代写技术博客似乎没啥意思,全让 AI 写也没意思。最近想明白了:主要是自娱自乐、满足表达欲;自己写草稿,让 AI 帮着改改,倒也没什么。
Continue reading
什么是时序攻击(Timing Attack)?
Posted on Thu 12 February 2026 in Tech • Tagged with security, timing-attack, constant-time, authentication, crypto • 2 min read
用 == 或 strings.Compare 比较密钥、密码或 HMAC 时,比较时间会随 "猜对多少" 变化,攻击者可以按响应时间逐字节猜出秘密;一文说清原理与常数时间比较的用法。
Continue reading