MAIN.JS,卡巴斯基反病毒软件的CVE

MAIN.JS，卡巴斯基反病毒软件的CVE？

多年来，卡巴斯基反病毒软件一直在各项安全测试中名列前茅。然而近日曝出的数据泄露事件，竟使得第三方能够长期监视用户的网络活动。

德国网站 Heise.de 编辑 Ronald Eikenberg 指出，在其办公室电脑上的一个奇怪发现，让他知晓卡巴斯基反病毒软件造成了惊人的数据泄露。

（题图 via Heise.de）

作为 c't issue 3 / 2019 测试第一部分，小编会定期对反病毒软件进行测试，以观察其是否履行了企业所声称的安全承诺。

在刚开始的几周和几个月，事情似乎波澜不惊 —— 卡巴斯基软件的表现，与 Windows Defender 基本相同或差强人意。

然而忽然有一天，Ronald Eikenberg 在查看了任意网站的 HTML 源码后发现，卡巴斯基竟然为其注入了如下代码：

显然，浏览器正在加载来自 Kaspersky 域、名为 main.js 的外部 JavaScript脚本。尽管 JS 代码并不罕见，但当深入查看浏览器中显示的其它网站的 HTML 源码时，几乎都有同样奇怪的发现。

毫无意外的是，Ronald Eikenberg 竟然在个人网银网站上，也查看到了来自卡巴斯基的脚本。因此其断定 —— 这件事可能与卡巴斯基软件有些关联。

为了验证，Ronald Eikenberg 尝试了 Mozilla Firefox、Microsoft Edge、以及 Opera 浏览器，结果发现相同的代码随处可见。

鉴于没有安装可疑的浏览器扩展程序，他只能简单理解为是卡巴斯基反病毒软件在操纵当前的网络流量 —— 在未获得用户许可的情况下，卡巴斯基僭越了！

在此事曝光前，许多人可能只会在网银木马类恶意软件上观察到这种行为，以图窃取或篡改关键信息（比如悄悄地变更了网银转账的收款方）。现在的问题是 —— 卡巴斯基你到底在干嘛呢？！

经过对 main.js 脚本展开的一番分析，可知卡巴斯基会在判别某个‘干净’网站链接后，在地址栏显示带有谷歌搜索结果的绿色图标。

然而还有一个小细节 —— 加载卡巴斯基脚本的地址，也包含了一段可疑的字符串：

https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js

链接加粗部分，显然属于某种“通用唯一标识符”（UUID）。但是作为一款计算机安全软件，卡巴斯基要拿这串字符去识别或追踪谁呢？

扩展扩展验证，Ronald Eikenberg 在其它计算机上也安装了卡巴斯基软件，发现它确实会向其它系统同样注入 JavaScript 代码、并且留意到了一个至关重要的区别。

源地址中的 UUID，在每台系统上都是不一样的。这些 ID 属于持久性的标识，即便过了几天也不会发生改变。显然，每台计算机都会拥有自己的永久分配 ID 。

而将这串 UUID 直接注入每个网站的 HTML 源码，绝对是一个糟糕头顶的主意。因为在网站域上下文环境中运行的其它脚本，都可以随时访问整个 HTML 源，甚至读取卡巴斯基这串 UUID 。

这意味着任何网站都可以读取并追踪卡巴斯基软件用户的网络 ID，只要另一个网站检测到了同一字符串，就能认定其访问源来自同一台计算机。

基于这种假设，卡巴斯基显然是打造了一套危险的追踪机制，甚至比传统的 cookie 更加极端 —— 就算你切换了浏览器，也会被追踪并识别到在使用同一台设备、让浏览器的隐身模式形同虚设。

为避免更多用户陷入风险，c't 决定立即向卡巴斯基通报这一发现、并且迅速得到了对方的答复，称其已着手调查此事。

大约两周后，卡巴斯基莫斯科总部对这一案例进行了分析，并证实了 c't 的这一发现。

该问题影响所有使用 Windows 版卡巴斯基安全软件的消费者版本，从入门机的免费版、互联网安全套装（KIS）、直至全面防护版（Total Security）。

此外，卡巴斯基小企业安全版（Small Office Security）也受到了该问题的影响，导致数百万用户暴露于风险之中。

Heise.de 调查显示，卡巴斯基从 2015 年秋发布的“2016”系列版本中引入了该漏洞。但既然普通网友都能在无意间发现这个漏洞，包括营销机构在内的第三方，也极有可能早就展开了野外利用。

即便如此，卡巴斯基仍表示这种攻击过于复杂，因此发生的概率极低，对网络犯罪分子来说有些无利可图。

然而 Heise.de 并不赞同该公司的说法，毕竟许多企业都在努力监视每一位网站来访者，这个持续四年的漏洞，很有可能是其展开间谍活动的一个福音。

万幸的是，在认识到事情的严重性之后，卡巴斯基终于听从了爆料者的要求，在上月发布了 CVE-2019-8286 安全公告，且相关补丁也已经打上。

当然，为了安全起见，您也可禁用卡巴斯基软件中提供的相关功能：

点击主窗口左下角的齿轮（设置）图标 -> 点击‘其它 / 网络’-> 然后取消‘流量处理’下的‘将脚本注入 Web 流量以与网页交互’选项。

详解如何在vue项目里正确地引用jquery和jquery？

在Vue项目中引用jQuery和jQuery UI插件的步骤如下：

安装jQuery和jQuery UI

在Vue项目中使用jQuery和jQuery UI之前，需要先安装它们。可以使用npm或yarn来安装它们。在终端中输入以下命令：

npm install jquery jquery-ui

或者

yarn add jquery jquery-ui

引入jQuery和jQuery UI

在Vue项目中，可以在main.js文件中引入jQuery和jQuery UI。在main.js文件中添加以下代码：

import $ from 'jquery'

import 'jquery-ui'

在组件中使用jQuery和jQuery UI

在Vue组件中，可以使用$来访问jQuery和jQuery UI。例如，在组件的mounted钩子函数中，可以使用以下代码来初始化一个jQuery UI的日期选择器：

mounted() {

$(this.$refs.datepicker).datepicker()

}

这里假设组件中有一个ref为datepicker的元素，用于显示日期选择器。

需要注意的是，在Vue项目中使用jQuery和jQuery UI时，需要确保它们在Vue实例之前被引入。否则可能会出现一些问题，例如无法正确地初始化jQuery插件。

另外，建议在Vue项目中尽量减少使用jQuery和jQuery UI，因为它们可能会与Vue的数据绑定机制产生冲突，导致一些奇怪的问题。如果需要使用一些UI组件，可以考虑使用基于Vue的UI框架，例如Element UI、Vuetify等。

VUE多层路由嵌套实现代码？

在实际项目中我们会碰到多层嵌套的组件组合而成，但是我们如何实现嵌套路由呢？因此我们需要在 VueRouter 的参数中使用 children 配置，这样就可以很好的实现路由嵌套。 indexhtml，只有一个路由出口 [html] view plain copy mainjs，路由的重Vue怎么做实现路由跳转和嵌套

零基础自学Java可能吗？

当然可以学，前提是你得具备大专及以上学历，以及一定的逻辑思维和学习能力，其次，还要有一颗持之以恒的学习之心，毕竟IT行业不像学校学习，是需要不断的提升更新自己的技术，才不至于被淘汰，替代。

在你选择自学前，我希望你先问问自己这几个问题：自控能力够强吗？理解能力怎么样？如果你的学习能力足够强，自控能力没有问题，那你完全不用培训，可以通过自学入门。

如果你以上条件都满足了，接下来我们来聊聊如何学习。

以思维导图的方式展示java基础全内容，并细化解释了学习java要掌握的所有知识，及学习流程，建议WiFi下查看。

建议可以根据流程系统学习，在网上找一些项目来做一下，增加自己的项目经验，后期找工作会更加有利。毕竟现在很多公司都是需要项目经验的。

小程序如何搭建？

微信用户月活超12亿，极小的一部分都能为实体店商家带来巨大的人流量，小程序作为微信生态非常重要的一环，它丰富的功能操作、视觉冲击、流畅体验对商家来说是很不错的打开线上交易的入口，那么我们要如何把店铺开进用户的手机呢？

1.打开微信公众平台官网。

在微信公众平台上注册一个企业主体的小程序，（开店是不能注册个人主体的哦），选择“小程序”模块，进入小程序注册页面。

2. 找到一个小程序平台。

找到一个含有丰富模板的小程序平台，当然，如果你可以自主研发的话也可以自己开发哦，普通商家用小程序模板会更加方便快捷，得有店平台很适合新手，很好操作，还可一键套用，打开得有店官网注册得有店账号。

3.完善内容。

登录得有店账号，选择模板。里面有全行业场景适用的183+模板，选择自己喜欢的模板或者自己创建一套个性化的模板，新手也可一键套用，得有店提供了30+种场景的营销玩法，更有超多活动策划如拼团、秒杀、优惠券、分销、预售、满减送、会员卡、储值、积分、礼品卡、直播等等。可以根据自己的需求，直接点击活动，更改设置，便可发布活动，能大幅度增加用户的购买力。然后进行商品上架、商品管理、设置配送方式等内容完善这些基础操作，200多种电商工具随意免费使用。

4.通过得有店后台设置授权给得有店小程序，绑定小程序。

充分利用好小程序能为商铺带来更多的曝光量及到店流量，帮助实体店实现数字化转化，对店铺的发展起到很积极的正面作用。通过用户分裂还能使得店铺充分曝光，销量增长。无缝链接线上线下，流量也会源源不断。使用得有店可以快速完成搭建小程序的工作，平台功能完全免费，降低店铺支出成本。

以上就是小程序注册的完整流程，就可以正式运营了。