fishmen26
fishmen26

Android中SecureRandom类的安全性浅析

背景

2013年比特币开发商在一篇博客中透露,由于Android系统存在一处关键漏洞,该平台上的比特币电子钱包很容易失窃。比特币开发商称,该漏洞影响到Android平台上的每一个比特币电子钱包应用程序,包括流行的比特币钱包(Bitcoin Wallet)、blockchain.info钱包(blockchain.info wallet)、BitcoinSpinner钱包(BitcoinSpinner Wallet)和Mycelium钱包(Mycelium Wallet)等。

该漏洞存在于Android系统随机生成数字串安全密钥的环节中。该漏洞的生成原因是对SecureRandom类的不正确使用方式导致的。翻看Android的官方文档会发现。对于SecureRandom类的构造函数SecureRandom(byte[] seed)和SecureRandom#setSeed方法有一段安全性提醒:

A seed is an array of bytes used to bootstrap random number generation. To produce cryptographically secure random numbers, both the seed and the algorithm must be secure.

By default, instances of this class will generate an initial seed using an internal entropy source, such as /dev/urandom. This seed is unpredictable and appropriate for secure use.

Using the seeded constructor or calling setSeed(byte[]) may completely replace the cryptographically strong default seed causing the instance to return a predictable sequence of numbers unfit for secure use. Due to variations between implementations it is not recommended to use setSeed at all.

遗憾的是Android官网并未对此做过多的解释。setSeed方法为什么会引起安全风险?应该怎样使用SecureRandom类?这些问题都要从SecureRandom的原理说起。

SecureRandom如何生成随机数?

SecureRandom随机性是通过它的seed来保证的。如果输入相同的seed会导致生成重复的随机数。SecureRandom内部维护一个internal random state,它生成随机数的方式具有确定性。(如果输入相同的seed那么生成的随机数也相同)具体过程如下图:
在生成一个随机数时internal random state会从seed源中取出一个seed。通过内部运算生成随机数。所以SecureRandom依靠输入随机的选取seed来保证自己能够生成出不相同的随机数。

SecureRandom的安全隐患

在SecureRandom生成随机数时,如果我们不调用setSeed方法,SecureRandom会从系统的中找到一个默认随机源。每次生成随机数时都会从这个随机源中取seed。在linux和Android中这个随机源位于/dev/urandom文件。 如果我们在终端可以运行cat /dev/urandom命令,会观察到随机值会不断的打印到屏幕上。

setSeed方法为何有安全风险?

在Android 4.2以下,SecureRandom是基于老版的Bouncy Castle实现的。如果生成SecureRandom对象后马上调用setSeed方法。SecureRandom会用用户设置的seed代替默认的随机源。使得每次生成随机数时都是会使用相同的seed作为输入。从而导致生成的随机数是相同的。下面是一段存在安全风险的使用方法:
SecureRandom secureRandom = new SecureRandom();
  byte[] b = new byte[] { (byte) 1 };
  secureRandom.setSeed(b);
  // Prior to Android 4.2, the next line would always return the same number!
  System.out.println(secureRandom.nextInt());

4.2以上的SecureRadom类为什么没有这个问题呢?因为经过比特币钱包漏洞之后Google修改了SecureRandom的内部实现,用基于OpenSSL的算法替代了老版的Bouncy Castle。用户调用setSeed时会将用户设置的seed添加到随机源(/dev/urandom)中而不是简单的替换。

如何在Android 4.2以前安全的调用SecureRadom类的setSeed方法呢?

我们可以通过SecureRandom#nextBytes(byte[] bytes)避免这个问题。具体做法是调用setSeed方法前先调用一次SecureRandom#nextBytes(byte[] bytes)方法。为什么这样就可以避免默认随机源被替代呢? 我们可以从源码中找到答案。(本文所引用代码全部基于Android API 16)

在SecureRandom初始化时, 会生成一个SecureRandomSpi对象。SecureRandom的核心方法都由SecureRandomSpi对象代理。 下面是SecureRandomSpi类的子类SHA1PRNG_SecureRandomImpl的初始化

  public SHA1PRNG_SecureRandomImpl() {

        seed = new int[HASH_OFFSET + EXTRAFRAME_OFFSET];
        seed[HASH_OFFSET] = H0;
        seed[HASH_OFFSET + 1] = H1;
        seed[HASH_OFFSET + 2] = H2;
        seed[HASH_OFFSET + 3] = H3;
        seed[HASH_OFFSET + 4] = H4;

        seedLength = 0;
        copies = new int[2 * FRAME_LENGTH + EXTRAFRAME_OFFSET];
        nextBytes = new byte[DIGEST_LENGTH];
        nextBIndex = HASHBYTES_TO_USE;
        counter = COUNTER_BASE;
        state = UNDEFINED;
    }

SecureRandom#nextBytes方法会调用SecureRandomSpi#engineNextBytes方法 

protected synchronized void engineNextBytes(byte[] bytes) {

        int i, n;

        long bits; // number of bits required by Secure Hash Standard
        int nextByteToReturn; // index of ready bytes in "bytes" array
        int lastWord; // index of last word in frame containing bytes
        final int extrabytes = 7;// # of bytes to add in order to computer # of 8 byte words

        if (bytes == null) {
            throw new NullPointerException("bytes == null");
        }

        lastWord = seed[BYTES_OFFSET] == 0 ? 0
                : (seed[BYTES_OFFSET] + extrabytes) >> 3 - 1;

        if (state == UNDEFINED) {

            // no seed supplied by user, hence it is generated thus randomizing internal state
            updateSeed(RandomBitsSupplier.getRandomBits(DIGEST_LENGTH));
            nextBIndex = HASHBYTES_TO_USE;

        } else if (state == SET_SEED) {
        ...


 如果state的状态为UNDEFINED,那么nextBytes会使用默认的随机源。并将state设置为NEXT_BYTES之后如果调用setSeed方法,最终会调用到SecureRandomSpi#engineSetSeed方法.源码如下:





protected synchronized void engineSetSeed(byte[] seed) {

        if (seed == null) {
            throw new NullPointerException("seed == null");
        }

        if (state == NEXT_BYTES) { // first setSeed after NextBytes; restoring hash
            System.arraycopy(copies, HASHCOPY_OFFSET, this.seed, HASH_OFFSET,
                    EXTRAFRAME_OFFSET);
        }
        state = SET_SEED;

        if (seed.length != 0) {
            updateSeed(seed);
        }
    }





 当state == NEXT_BYTES时会恢复原有的hash再更新seed,因为nextBytes时已经设置了系统的seed所以setSeed中传入的seed将添加到系统seed的尾部。



所以在调用setSeed方式之前一定要先调用nextBytes方法。保证seed随机源不会被替代。





SecureRandom的一种误用模式



最近网上流传一种利用SecureRandom输出固定随机值并用这个随机值当作加密秘钥的用法。这种模式利用前一节中提到的用特定seed代替系统随机源的方法,故意让SecureRandom每次都输出固定的随机值。通过这个固定值作为秘钥加密本地文本。其使用方式和流程如下:












Android中SecureRandom类的安全性浅析_第1张图片












代码例子:





public static byte[] encrypt(byte[] data, String seed) throws Exception {

    KeyGenerator keygen = KeyGenerator.getInstance("AES");
    SecureRandom secrand = SecureRandom.getInstance("SHA1PRNG");
    secrand.setSeed(seed.getBytes());
    keygen.init(128, secrand);

    SecretKey seckey = keygen.generateKey();
    byte[] rawKey = seckey.getEncoded();

    SecretKeySpec skeySpec = new SecretKeySpec(rawKey, "AES");
    Cipher cipher = Cipher.getInstance("AES");
    cipher.init(Cipher.ENCRYPT_MODE, skeySpec);
    return cipher.doFinal(data);
}

public static byte[] decrypt(byte[] data, String seed) throws Exception {

    KeyGenerator keygen = KeyGenerator.getInstance("AES");
    SecureRandom secrand = SecureRandom.getInstance("SHA1PRNG");
    secrand.setSeed(seed.getBytes());
    keygen.init(128, secrand);

    SecretKey seckey = keygen.generateKey();
    byte[] rawKey = seckey.getEncoded();

    SecretKeySpec skeySpec = new SecretKeySpec(rawKey, "AES");
    Cipher cipher = Cipher.getInstance("AES");
    cipher.init(Cipher.DECRYPT_MODE, skeySpec);
    return cipher.doFinal(data);
}


 这种方式确实可以对原始秘钥做一定的隐藏。起到混淆的作用。但google官方博客否定了该方式的使用。 其原因大致如下:



    

  1. 对资深的攻击者而言这种方式的加密太过简单。他们可以轻易的看懂这里在干什么,并构造有效的攻击代码。
    2. 

  2. 整个加密的过程依赖SecureRandom的实现细节,这种依赖使得程序非常的健壮性和可扩展性都非常脆弱。例如在Android API 17以后SecureRandom的默认实现方式从Cipher.RSA 换到了 OpenSSL。SecureRandom新的实现方式不能将自己的seed替换掉系统的seed。造成这段代码在API 17以上不能工作。APP必须强制升级才能继续运作。对某个类内部细节的依赖是软件设计中的大忌。
    3. 

  3. 从seed到生成key的过程非常的廉价,时间成本和资源要求的很低。如果攻击者采用暴力破解这种加密方式将显的很脆弱。
    4. 











如何正确的从password生成一个秘钥?



标准的秘钥生成方式应该使用PKCS#5算法。该算法主要有两个优点。

 1. 利用随机盐加强秘钥的强度。随机盐可以有效的防止暴力破解。同一个passwrod可以生成多个秘钥。攻击者不得不针对每个salt构造不同的秘钥字典。

 2. 通过迭代方式增加秘钥生成的时间成本。使得攻击者破解秘钥的时间大大增加。



 Android的JCE provider 现在能支持PBKDF2WithHmacSHA1。下面的代码将展示如何通过PBK算法将passowrd生成为一个秘钥。













String password  = "password";
int iterationCount = 1000;
int keyLength = 256;
int saltLength = keyLength / 8; // same size as key output

SecureRandom random = new SecureRandom();
byte[] salt = new byte[saltLength];
randomb.nextBytes(salt);
KeySpec keySpec = new PBEKeySpec(password.toCharArray(), salt,
                    iterationCount, keyLength);
SecretKeyFactory keyFactory = SecretKeyFactory
                    .getInstance("PBKDF2WithHmacSHA1");
byte[] keyBytes = keyFactory.generateSecret(keySpec).getEncoded();
SecretKey key = new SecretKeySpec(keyBytes, "AES");

Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
byte[] iv = new byte[cipher.getBlockSize());
random.nextBytes(iv);
IvParameterSpec ivParams = new IvParameterSpec(iv);
cipher.init(Cipher.ENCRYPT_MODE, key, ivParams);
byte[] ciphertext = cipher.doFinal(plaintext.getBytes("UTF-8"));


 更多内容请参看参考文档:










http://android-developers.blogspot.co.uk/2013/02/using-cryptography-to-store-credentials.html

 http://crypto.stackexchange.com/questions/11260/why-is-sharing-the-seed-and-using-securerandom-deterministically-so-bad

 http://stackoverflow.com/questions/13433529/android-4-2-broke-my-encrypt-decrypt-code-and-the-provided-solutions-dont-work

 http://nelenkov.blogspot.com/2012/04/using-password-based-encryption-on.html

 http://android-developers.blogspot.com/2013/08/some-securerandom-thoughts.html

 http://emboss.github.io/blog/2013/08/21/openssl-prng-is-not-really-fork-safe/

 https://bitcoin.org/en/alert/2013-08-11-android

















































你可能感兴趣的:(Android中SecureRandom类的安全性浅析)






    

  • 追凌同人文(7)
年午

    “你为什么一直不来找我,我做错了什么吗?为什么,你知道我有多担心,有点像你吗?我还以为我再也见不到你了……”金凌一个劲的抱怨着,眼泪止不住的掉着,是不是扯一扯蓝思追胸口的衣襟。“对不起,我不该一走就沓无音讯,对不起,是我不好,但是,我这种人不…”蓝思追还没说完就被金凌捂住了嘴。“不许你这么说自己,这个世界上你比谁都值得!”金凌嘟囔着说。“嗯,阿凌,我心悦你,你愿意…”金凌附上了自己的唇,蓝思追再也
    

    • 

  • 课题研究的过程
谈西_

    第一阶段:准备阶段分析现有研究现状,比较当前群文阅读的各种模式,收集现有的关于群文阅读的研究成果,纵向了解群文阅读教学的形成过程,横向对比群文阅读教学研究中的不同方向,发现目前群文阅读教学研究中的不足。总结经验,寻找启发。第二阶段:交流学习、探索教学模式通过网络学习、文献学习等,深入了解群文阅读教学的教学模式。了解学情,确立目标,设计教案,开展教学实践,初步形成“1+X"群文阅读教学模式。第三阶段
    

    • 

  • 说陪读
三世织

    今晚亦未能忍住,在临睡前的听写作上破功,风雨大作。已经持续一周了。自从有了第一晚的对抗,我保持多年的耐性和脾气,有他拉开书包链的一刹那,消失殆尽。乱画书、玩橡皮、坐不直......所有这些小毛病,有如一桶桶臭水往我这清澈的玻璃缸里灌,液位噌噌往上涌。不消多久,碰上哪一笔写偏了,一声哀怨的“呃........”瞬间水位上窜,溃堤泄坝,电闪雷鸣。没什么能比陪小学生写作业更考验人性。不陪,总有那么些是家
    

    • 

  • 孕期日记 | 黎明前的黑暗
天边的星

    孕18周4天,今日宝宝,158mm,240g。小宝宝的皮肤呈暗红色,皮脂腺已发育,并且开始分泌,脱落的上皮细胞和皮脂粘合而成为胎脂,覆盖在宝宝的皮肤表面。小宝宝应该是发育得挺好的吧,我最近总觉得肚子有动静,当然,这更多的肯定是肠胃在蠕动,但是我就觉得是宝宝在动,想想还觉得挺兴奋的。这几天不太好睡。晚上睡得比较晚,入睡困难,中途会醒,大概都没怎么进入深度睡眠。今天早上也是闹钟还没响就醒了。于是干脆去
    

    • 

  • 【20200316】今日十点感悟
邱小美是Kelly

    1、不管遇到什么事情,都不要退缩,想一想有没有别的解决方法;2、千万不要在你生气的时候做决定,尤其不要在晚上生气的时候做决定;3、很多事情的发展是超乎你的想象的,当初并没有确定会发生这样的事情,但最后可能会背道而驰,调整好自己的心态,迎接一切就可以了;4、如果可以尽量和你身边的人打好关系,不管是室友还是小区的管理人员;5、一个不管走到哪里都笑眯眯的人,总是会收获更多的好运的,因为别人不会刁难她,反
    

    • 

  • SRS:流媒体服务器如何实现负载均衡
音视频开发老马
音视频开发流媒体服务器Android音视频开发服务器负载均衡java音视频视频编解码

    当我们的业务超过单台流媒体服务器的承受能力,就会遇到负载均衡问题,一般我们会在集群中提供这种能力,但实际上集群并非是唯一的实现方式。有时候负载均衡还会和服务发现等时髦词汇联系起来,而云服务的LoadBalancer无疑不可回避,因此,这个问题其实相当复杂,以至于大家会在多个场合询问这个问题,我打算系统地阐述这个问题。如果你已经知道了以下问题的所有答案,并且深刻了解背后的原因,那么你可以不用看这篇文
    

    • 

  • 成长不是自动造成的
成长记录成大器

    之前有个想法,随着年龄的增长,很多能力和见识会自动的完成,这个错误的想法让自己进步很慢了很多年,其实。成长从来都不是全自动运行,全自然发生的,这意味着你必须进行非常非常艰难的工作,切要迅速的完成他
    

    • 

  • C++进阶-特殊类设计
bingo691
C++进阶c++开发语言

    1.请设计一个类,不能被拷贝拷贝只会放生在两个场景中:拷贝构造函数以及赋值运算符重载,因此想要让一个类禁止拷贝,只需让该类不能调用拷贝构造函数以及赋值运算符重载即可。C++98将拷贝构造函数与赋值运算符重载只声明不定义,并且将其访问权限设置为私有即可classCopyBan{//...private:CopyBan(constCopyBan&);CopyBan&operator=(constCop
    

    • 

  • 【海长江说时间管理】复利管理-Selena
海有时间艳子

    一、复利的概念1、计算利息的方式,本金+利息=最终回报。本金就是你自己,利息是比如你今天早起运动、写作,这就是利息。今天的你进步了一点,就是你第二天的自己,叫做最终回报。2、巴菲特:财富里面最重要的不是现在赚的少,而是复利效应。3、爱因斯坦:复利是世界第八大奇迹。二、两个维度了解复利1、坡的长度。投资从小就开始,一种是年龄的小,一种是从一件小的事情做起,慢慢来。从小的训练量开始,一开始就做太多反而
    

    • 

  • 每日一省(孩子出现攻击行为的对策)
hu沭阳锦程

    第一个,就是去除攻击行为的奖励物,就是有的时候攻击完之后,他能得到一些他想要的东西,比如说任性,发脾气,给父母搞心理博弈,这个给父母进行抗衡,咱们学习过的家长你得明白,有的时候孩子不敬畏你,他就是不尊重你,他不是一个简单一个什么攻击行为,他背后还有个深刻的原因,就是对你不尊重,所以你得让孩子明白,敬畏你,尊重你,孝顺你是一件很重要的事,他攻击完之后,他的行为决定了他最终的结果他还实现不了。那么就会
    

    • 

  • 氧券邀请码多少?官方邀请码及邀请码填写教程?氧券邀请码怎么获取
日常购物小技巧

    这个消费升级和智能网购的时代,很多人为了获得更多的优惠和返利开始使用氧券。然而,对于初次进入氧券世界的人们来说,如何获取邀请码成为他们最为关心的问题之一。因此,本文将向大家介绍氧券邀请码的获取渠道及相应注意事项,让您在使用氧券时能够更加顺畅、便利,同时享受更多的优惠返利。一、什么是氧券?氧券是一款由杭州氧券科技有限公司研发的综合导购优惠券返利应用程序。开发和运营团队具备专业性和良好的口碑。这款ap
    

    • 

  • R语言使用rpart包构建决策树模型实战、使用prune函数按照指定复杂度对决策树剪枝、使用rpart.plot包中的prp函数可视化训练、剪枝好的决策树
statistics.insight
r语言决策树数据挖掘机器学习

    R语言使用rpart包构建决策树模型实战、使用prune函数按照指定复杂度对决策树剪枝、使用rpart.plot包中的prp函数可视化训练、剪枝好的决策树、type参数、extra参数、fallen.leaves参数控制决策树精细化显示目录R语言使用rpart包构建决策树模型、使用prune函数按照指定复杂度对决策树剪枝、使用rpart.plot包中的prp函数可视化训练、剪枝好的决策树、type
    

    • 

  • 软件测试笔记|web自动化测试|如何进行web自动化测试中的元素定位?
阳哥整理软件测试笔记
web自动化测试自动化

    在Web自动化测试中,元素定位是关键步骤之一,主要有以下几种方法:一、通过ID定位1.特点:•ID在HTML页面中通常是唯一的,所以通过ID定位元素是一种比较准确和快速的方式。•如果页面元素有明确的ID属性,优先考虑使用这种方式进行定位。2.示例代码(以Selenium为例):fromseleniumimportwebdriverdriver=webdriver.Chrome()driver.ge
    

    • 

  • CentOS 7 - Yum无法安装的超全解决办法
墨萦
centoslinux运维docker容器微服务kubernetes

    【本文首发于CSDN个人博客,转载请注明出处。】欢迎交流想法!若有错误请指出。P.S.欢迎【关注&点赞&收藏】哈~本文的初始动机在于我最近在自学Dockers,没想到还没开始安装dockers的包就被创飞了,在VMware虚拟机上花了四五个小时终于解决了yum无法安装的问题。本贴全是血泪经验我哭死。下面的内容针对由于无法安装yum的各种报错提供全面check的方法。尤其是如果你的报错是Cannot
    

    • 

  • 【mysql】03通过命令行快速导出带字段名的csv格式数据
余欲与鱼语渔
mysql数据库

    导出数据命令如下:mysql-uyour_username-p-e"SELECT*FROMdatabase.table"--batch>filename.csv导出的数据以制表符’\t’分隔字段更换分隔符想换逗号可以在‘>’前面加上:|sed's/\t/,/g'不想要字段名不想要字段名,可以在batch后面再加个参数:--skip-column-names读取数据在python中读取数据注意设置编
    

    • 

  • 家乡的集市
沈丹丹601

    听,这里已人声鼎沸;看,这里又车水马龙!琳琅满目的商品,熙熙攘攘的人群,这里是我家乡的集市,堪比节日的盛会!赶集喽!每到集市日,姥姥都会放下手里的农活,整理下身上的着装,不管买多少东西,总要到集市上走一走,当然最兴奋的人是我,我心中有自己的小算盘。集市上人山人海,人头攒动,人群中还夹杂着车辆,不停地鸣笛,艰难地前行着。叫卖声、吆喝声、讨价还价声此起彼伏,它们谱写了热闹集市的主题曲;新鲜的蔬菜、香甜
    

    • 

  • 三思新解
高哥的学习笔记

    我们经常说做事之前要“三思而后行”,指的是要谨慎,再三思考后才行动。今天听了一个故事,其中对“三思”进行了新的解释。三思,首先“思危”。我们采取一个行动,往往会遇到很多问题和困难。只有把这些困难考虑清楚,才能在行动中从容应对。其次,“思退”。这里是“退”,不是说就不做了,而且要回到行动的初心,我问的目的是什么,只有更清楚自己的目的,才能采取更好的行动。最后,“思变”。也许开始行动之前,我们已经做了
    

    • 

  • 【随手记】excel中的text函数使用
zcongfly
随手记excelui

    参考链接:https://support.microsoft.com/zh-cn/office/text-%E5%87%BD%E6%95%B0-20d5ac4d-7b94-49fd-bb38-93d29371225c我自己的一个需求是,将我在excel中格式为0.13422319(0.29373067)0.25659165(0.44515750)+0.31426764(0.46226351)-0.
    

    • 

  • 你的人生目标是奋力直击还是自然无为呢?
知海无涯

    “夫唯不争,故天下莫能与之争”,这是宗教或者是道家对人生目标常常是顺势而为,或不为,“无为而之”,呼呼哀哉。这是一种宿命论,有心栽花花不开,无心插柳柳成荫。要么安贫乐道,但真的可以吗?可以吃的普通,穿得普通,住的普通,但有一天,你生病了呢?如何抵御病魔的袭击,需要金钱去治疗,物质的贫乏会导致精神的贫乏。我们常常说奋斗,你是想要一亿的结果还是奋斗的过程,也许真的就是希望这个过程,其实过程和结果并不冲
    

    • 

  • 工作的第613天
昵称阳光青年莒县

    今天是我工作的第613天,天气晴车间卫生每天打扫2遍,拣膜车间卫生每天打扫2遍其它车间卫生每天打扫2遍,院内卫生每天打扫2遍,加油加油加油!当一个合格的卫生员,相信自己。
    

    • 

  • 岁寒三友(四)
疏影_d68a

    高原景色我们是第一次走进原始森林,一棵棵参天大树挤在一起,看不见蓝天,阳光穿过树梢形成五彩的光带、织成魔幻般的景色,足下厚厚的落叶盖过足背、有的地方超过双膝。穿行于森林里,远远看见枯叶中一朵朵如拳头大小的橙色蘑菇鲜艳夺目,走近仔细打量:蘑菇底部如蛋白一样包裹着如蛋黄的蘑菇头,惊艳中我们小心的摘下,咨询林场的同学,知晓名如其形:“鹅蛋菌”,是高原上为数不多的好看又好吃的蘑菇。图片来自网络我和竹背诵着
    

    • 

  • 设计模式-代理学习(篇一)
weixin_40923061
设计模式代理动态代理

    代理静态代理静态代理需求为了将业务代码与扩展逻辑分离,有利于开发仅关注业务逻辑部分。另外,模块水平扩展更方便,添加业务实例后,只要更新代理就好了。2.静态代理实现略(由于静态代理可维护性差,而且硬编码冗余代码多,一般不采用)动态代理动态代理需求静态代理需要创建代理类(实现业务接口)并实现业务接口所有方法,由代理类创建实例。通过调用代理类实例的方法去调用委托类实例的方法,但当扩展业务接口中的方法时,
    

    • 

  • SQL函数--- SQL SUM()
weixin_33735077

    SQLSUM()函数SUM()函数SUM函数返回数值列的总数(总额)。SQLSUM()语法SELECTSUM(column_name)FROMtable_nameSQLSUM()实例我们拥有下面这个"Orders"表:O_IdOrderDateOrderPriceCustomer12008/12/291000Bush22008/11/231600Carter32008/10/05700Bush42
    

    • 

  • 你是否吃过一顿午餐?叫做:让你给多少钱就给多少钱!
蜉蝣儿

    别人都是每逢佳节胖三斤,而我是不瘦到骨子里不舒心。二月,对厦门而言不过是另一个旅游旺季。人山人海倒也多了几分热闹,散发着春节的余温。这种时候,商家可以肆无忌惮地给菜单贴上价格标签,还不需要为此找理由,物价水涨船高完全是顺势而为。有一个朋友,过年没有回家,选择去咖啡厅兼职。与其说是为了养活自己,似乎排遣寂寞才是根本目的。上班的地方不远(一小时车程)、时间不长(一天10小时)、工资不高(……),最重要
    

    • 

  • html+显示在线时间,在html页面实时显示系统时间
洛阳小散户
html+显示在线时间

    原创散场前的温柔最后发布于2018-11-0513:24:58阅读数16005收藏展开在html页面实时显示系统时间桌面新建记事本,将下列代码复制粘贴,重命名后缀为.html,保存,用浏览器打开即可系统时间setInterval("document.getElementById('datetime').innerHTML=newDate().toLocaleString();",1000);代码解
    

    • 

  • 继续完成未完成的事儿
洪薇景德镇市陶新小学

    智慧作业培训工作终于告一段落,下周开始应该把老师们先推动起来,再推动家长了,为寒假做好准备,寒假学生在家观看寒假作业视频,还是有好处的,总比不会做乱做或者空着不做好吧!老师们愿意积极学习就学习,不愿意也不勉强,有些人赶鸭子上架也是上不去的,自己不动,靠别人推着走,终究走不长远!目前最重要的事儿就是完成课例,继续完成为完成的事儿。课件做了一天也没做好,小祖宗围在跟前转,没法儿干活,唉,在家里办公,毫
    

    • 

  • 参观朱熹故里,探究宋诗文化。
耘梦儿

    朱熹像到尤溪朱子文化苑参观,还是在前年陪领导到尤溪项目检查时,顺便去看了看,朱子文化苑位于福建尤溪县,尤溪县城是一座美丽的小城。四面环山,一条大河(尤溪)从城中流过,风景优美、空气湿润。著名的宋代理学家、思想家、哲学家、教育家、诗人朱熹就出生在这里。1朱熹是闽学派的代表人物,儒学集大成者,世尊称为朱子。朱熹是唯一非孔子亲传弟子而享祀孔庙,是“二程”(程颢、程颐)的三传弟子李侗的学生,与二程合称“程
    

    • 

  • 计划
Mrchanges

    前一阵子做职业性格测试,其中有个问题是关于计划的,这让我不得不审视自己,我对于做计划这件事的态度是怎样的?或者说,计划在我的生活中,究竟扮演着怎样的角色?经过一阵反思,我发觉在我有限的人生经历中,似乎没有一件事是经过井井有条的计划,然后丝毫不差地完成的,即使出于被迫或者自我尝试做了一些计划,我也在实行的过程中不停地调整计划,最终的结果和计划也有着不小的偏差。就拿最近来说,下周要考两门试,我计划在周
    

    • 

  • 2023-1-1晨间日记
那一瞥的惊鸿

    今天是什么日子起床:8时30分就寝:23时天气:晴心情:急躁纪念日:元旦节任务清单昨日完成的任务,最重要的三件事:1.每天进行半小时阅读2.每天十一点前入睡3.每天写一段话改进:恒心不足,不能准时入睡。习惯养成:希望习惯成自然周目标·完成进度学习·信息·阅读健康·饮食·锻炼人际·家人·朋友工作·思考最美好的三件事1.阅读2.锻炼3.旅行思考·创意·未来
    

    • 

  • 2022-06-09 未知容易吓唬人
天才白痴钱钱钱

    还是举工作中的例子,程序员这一工作,真不好做。我觉得最大的原因是工作中经常会有各种挑战。有很多人说一直在做重复工作,其实我不那么认为。因为你做的东西可能涉及到整个行业,而对于这个领域我们大概率是不熟悉的。所以每次有新需求的时候,经常会碰到很多行业内的概念,以及一些复杂、繁琐的流程。这也是我非常头疼的点。每次都会有一种莫名其妙的挫败感和恐惧感,觉得自己很难完成这些任务。但是当我咬咬牙做了那么几天后,
    

    • 

  • eclipse maven
IXHONG
eclipse

    eclipse中使用maven插件的时候,运行run as maven build的时候报错
-Dmaven.multiModuleProjectDirectory system propery is not set. Check $M2_HOME environment variable and mvn script match.
 
可以设一个环境变量M2_HOME指
    

    • 

  • timer cancel方法的一个小实例
alleni123
多线程timer

    package com.lj.timer;
import java.util.Date;
import java.util.Timer;
import java.util.TimerTask;
public class MyTimer extends TimerTask
{
private int a;
private Timer timer;
pub
    

    • 

  • MySQL数据库在Linux下的安装
ducklsl
mysql

    1.建好一个专门放置MySQL的目录
/mysql/db数据库目录
/mysql/data数据库数据文件目录
2.配置用户,添加专门的MySQL管理用户
>groupadd mysql ----添加用户组
>useradd -g mysql mysql ----在mysql用户组中添加一个mysql用户
3.配置,生成并安装MySQL
>cmake -D
    

    • 

  • spring------>>cvc-elt.1: Cannot find the declaration of element
Array_06
springbean

    将--------
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3
    

    • 

  • maven发布第三方jar的一些问题
cugfy
maven

    maven中发布 第三方jar到nexus仓库使用的是 deploy:deploy-file命令
有许多参数,具体可查看
http://maven.apache.org/plugins/maven-deploy-plugin/deploy-file-mojo.html
以下是一个例子:
mvn  deploy:deploy-file -DgroupId=xpp3 
    

    • 

  • MYSQL下载及安装
357029540
mysql

        好久没有去安装过MYSQL,今天自己在安装完MYSQL过后用navicat for mysql去厕测试链接的时候出现了10061的问题,因为的的MYSQL是最新版本为5.6.24,所以下载的文件夹里没有my.ini文件,所以在网上找了很多方法还是没有找到怎么解决问题,最后看到了一篇百度经验里有这个的介绍,按照其步骤也完成了安装,在这里给大家分享下这个链接的地址
    

    • 

  • ios TableView cell的布局
张亚雄
tableview

      cell.imageView.image = [UIImage imageNamed:[imageArray objectAtIndex:[indexPath row]]];
   
 
    CGSize itemSize = CGSizeMake(60, 50);
  &nbs
    

    • 

  • Java编码转义
adminjun
java编码转义

     import java.io.UnsupportedEncodingException;
/**
* 转换字符串的编码
*/
public class ChangeCharset {
/** 7位ASCII字符,也叫作ISO646-US、Unicode字符集的基本拉丁块 */
public static final Strin
    

    • 

  • Tomcat 配置和spring
aijuans
spring

    简介
Tomcat启动时,先找系统变量CATALINA_BASE,如果没有,则找CATALINA_HOME。然后找这个变量所指的目录下的conf文件夹,从中读取配置文件。最重要的配置文件:server.xml 。要配置tomcat,基本上了解server.xml,context.xml和web.xml。
Server.xml --  tomcat主
    

    • 

  • Java打印当前目录下的所有子目录和文件
ayaoxinchao
递归File

    其实这个没啥技术含量,大湿们不要操笑哦,只是做一个简单的记录,简单用了一下递归算法。
 
import java.io.File;
/**
* @author Perlin
* @date 2014-6-30
*/
public class PrintDirectory {
public static void printDirectory(File f
    

    • 

  • linux安装mysql出现libs报冲突解决
BigBird2012
linux

    linux安装mysql出现libs报冲突解决
安装mysql出现
file /usr/share/mysql/ukrainian/errmsg.sys from install of MySQL-server-5.5.33-1.linux2.6.i386 conflicts with file from package mysql-libs-5.1.61-4.el6.i686
 
    

    • 

  • jedis连接池使用实例
bijian1013
redisjedis连接池jedis

    实例代码:
package com.bijian.study;
import java.util.ArrayList;
import java.util.List;
import redis.clients.jedis.Jedis;
import redis.clients.jedis.JedisPool;
import redis.clients.jedis.JedisPoo
    

    • 

  • 关于朋友
bingyingao
朋友兴趣爱好维持

      成为朋友的必要条件:
   志相同,道不合,可以成为朋友。譬如马云、周星驰一个是商人,一个是影星,可谓道不同,但都很有梦想,都要在各自领域里做到最好,当他们遇到一起,互相欣赏,可以畅谈两个小时。  
  志不同,道相合,也可以成为朋友。譬如有时候看到两个一个成绩很好每次考试争做第一,一个成绩很差的同学是好朋友。他们志向不相同,但他
    

    • 

  • 【Spark七十九】Spark RDD API一
bit1129
spark

    aggregate
package spark.examples.rddapi
import org.apache.spark.{SparkConf, SparkContext}
//测试RDD的aggregate方法
object AggregateTest {
def main(args: Array[String]) {
val conf = new Spar
    

    • 

  • ktap 0.1 released
bookjovi
kerneltracing

    Dear,
I'm pleased to announce that ktap release v0.1, this is the first official
release of ktap project, it is expected that this release is not fully
functional or very stable and we welcome bu
    

    • 

  • 能保存Properties文件注释的Properties工具类
BrokenDreams
properties

            今天遇到一个小需求:由于java.util.Properties读取属性文件时会忽略注释,当写回去的时候,注释都没了。恰好一个项目中的配置文件会在部署后被某个Java程序修改一下,但修改了之后注释全没了,可能会给以后的参数调整带来困难。所以要解决这个问题。
    &nb
    

    • 

  • 读《研磨设计模式》-代码笔记-外观模式-Facade
bylijinnan
java设计模式

    声明: 本文只为方便我个人查阅和理解,详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/
/*
* 百度百科的定义:
* Facade(外观)模式为子系统中的各类(或结构与方法)提供一个简明一致的界面,
* 隐藏子系统的复杂性,使子系统更加容易使用。他是为子系统中的一组接口所提供的一个一致的界面
*
* 可简单地
    

    • 

  • After Effects教程收集
cherishLC
After Effects

    1、中文入门
http://study.163.com/course/courseMain.htm?courseId=730009
2、videocopilot英文入门教程(中文字幕)
http://www.youku.com/playlist_show/id_17893193.html
英文原址:
http://www.videocopilot.net/basic/
素
    

    • 

  • Linux Apache 安装过程
crabdave
apache

    Linux Apache 安装过程
 
下载新版本:
apr-1.4.2.tar.gz(下载网站:http://apr.apache.org/download.cgi)
apr-util-1.3.9.tar.gz(下载网站:http://apr.apache.org/download.cgi)
httpd-2.2.15.tar.gz(下载网站:http://httpd.apac
    

    • 

  • Shell学习 之 变量赋值和引用
daizj
shell变量引用赋值

    本文转自:http://www.cnblogs.com/papam/articles/1548679.html
Shell编程中,使用变量无需事先声明,同时变量名的命名须遵循如下规则:
首个字符必须为字母(a-z,A-Z)
中间不能有空格,可以使用下划线(_)
不能使用标点符号
不能使用bash里的关键字(可用help命令查看保留关键字)
需要给变量赋值时,可以这么写:

    

    • 

  • Java SE 第一讲(Java SE入门、JDK的下载与安装、第一个Java程序、Java程序的编译与执行)
dcj3sjt126com
javajdk

    Java SE 第一讲:
Java SE:Java Standard Edition
Java ME: Java Mobile Edition
Java EE:Java Enterprise Edition
Java是由Sun公司推出的(今年初被Oracle公司收购)。
收购价格:74亿美金
J2SE、J2ME、J2EE
JDK:Java Development 
    

    • 

  • YII给用户登录加上验证码
dcj3sjt126com
yii

    1、在SiteController中添加如下代码:
/**
* Declares class-based actions.
*/
public function actions() {
return array(
// captcha action renders the CAPTCHA image displ
    

    • 

  • Lucene使用说明
dyy_gusi
Lucenesearch分词器

    Lucene使用说明
1、lucene简介
1.1、什么是lucene
    Lucene是一个全文搜索框架,而不是应用产品。因此它并不像baidu或者googleDesktop那种拿来就能用,它只是提供了一种工具让你能实现这些产品和功能。
1.2、lucene能做什么
    要回答这个问题,先要了解lucene的本质。实际
    

    • 

  • 学习编程并不难,做到以下几点即可!
gcq511120594
数据结构编程算法

    不论你是想自己设计游戏,还是开发iPhone或安卓手机上的应用,还是仅仅为了娱乐,学习编程语言都是一条必经之路。编程语言种类繁多,用途各 异,然而一旦掌握其中之一,其他的也就迎刃而解。作为初学者,你可能要先从Java或HTML开始学,一旦掌握了一门编程语言,你就发挥无穷的想象,开发 各种神奇的软件啦。
1、确定目标
学习编程语言既充满乐趣,又充满挑战。有些花费多年时间学习一门编程语言的大学生到
    

    • 

  • Java面试十问之三:Java与C++内存回收机制的差别
HNUlanwei
javaC++finalize()堆栈内存回收

    大家知道, Java 除了那 8 种基本类型以外,其他都是对象类型(又称为引用类型)的数据。 JVM 会把程序创建的对象存放在堆空间中,那什么又是堆空间呢?其实,堆( Heap)是一个运行时的数据存储区,从它可以分配大小各异的空间。一般,运行时的数据存储区有堆( Heap)和堆栈( Stack),所以要先看它们里面可以分配哪些类型的对象实体,然后才知道如何均衡使用这两种存储区。一般来说,栈中存放的
    

    • 

  • 第二章 Nginx+Lua开发入门
jinnianshilongnian
nginxlua

    Nginx入门
本文目的是学习Nginx+Lua开发,对于Nginx基本知识可以参考如下文章:
nginx启动、关闭、重启
http://www.cnblogs.com/derekchen/archive/2011/02/17/1957209.html
agentzh 的 Nginx 教程
http://openresty.org/download/agentzh-nginx-tutor
    

    • 

  • MongoDB windows安装 基本命令
liyonghui160com

     
windows安装
 
 安装目录:
 
D:\MongoDB\
 
新建目录
 
D:\MongoDB\data\db
 
4.启动进城:
 
cd D:\MongoDB\bin
 
mongod -dbpath D:\MongoDB\data\db
 
&n
    

    • 

  • Linux下通过源码编译安装程序
pda158
linux

    一、程序的组成部分   Linux下程序大都是由以下几部分组成:   二进制文件:也就是可以运行的程序文件   库文件:就是通常我们见到的lib目录下的文件   配置文件:这个不必多说,都知道   帮助文档:通常是我们在linux下用man命令查看的命令的文档   
二、linux下程序的存放目录   linux程序的存放目录大致有三个地方:   /etc, /b
    

    • 

  • WEB开发编程的职业生涯4个阶段
shw3588
编程Web工作生活

    觉得自己什么都会
2007年从学校毕业,凭借自己原创的ASP毕业设计,以为自己很厉害似的,信心满满去东莞找工作,找面试成功率确实很高,只是工资不高,但依旧无法磨灭那过分的自信,那时候什么考勤系统、什么OA系统、什么ERP,什么都觉得有信心,这样的生涯大概持续了约一年。
根本不是自己想的那样
2008年开始接触很多工作相关的东西,发现太多东西自己根本不会,都需要去学,不管是asp还是js,
    

    • 

  • 遭遇jsonp同域下变作post请求的坑
vb2005xu
jsonp同域post

    今天迁移一个站点时遇到一个坑爹问题,同一个jsonp接口在跨域时都能调用成功,但是在同域下调用虽然成功,但是数据却有问题. 此处贴出我的后端代码片段
$mi_id = htmlspecialchars(trim($_GET['mi_id ']));
$mi_cv = htmlspecialchars(trim($_GET['mi_cv ']));
 贴出我前端代码片段:
$.aj
    

    • 














按字母分类:
ABCDEFGHIJKLMNOPQRSTUVWXYZ其他