南大用“推荐算法”分宿舍，这波操作 666；JavaScript 易受 ReDoS 攻击

Posted 2021-04-17 技术最前线

0、南大用“推荐算法”分宿舍，这波操作 666

去年，南京大学通过网络问卷调查，给新生按照生活习惯分宿舍，“早起鸟”和“夜猫子”互不干扰，这项颇为人性化的举措曾经赢得一片叫好。

今年，南大的宿舍分配方案有了更为优化的 2.0 版，通过校园迎新网的数据调查，学校统计了新生的生活习惯，兴趣爱好等，通过大数据“推荐算法”，量化评估各项数据之间的相似度，帮助新生更快找到志趣相投的舍友，更好的适应大学新生活。

 “推荐算法”量化评估新生兴趣爱好相似度 

学校使用了大数据“LFM推荐算法”，对学生们的信息进行了量化处理。他以今年新增的调查选项“兴趣爱好”举了个例子。“00后群体兴趣爱好广泛，分散度高，传统的匹配方法很难量化评估新生之间的兴趣爱好相似度。”而“隐语义模型”算法就可以恰到好处的给出解决方案。

通过“隐语义模型”，爱好广泛的新生很容易找到志同道合的舍友，建立共同话题。

记者从南京大学了解到，学校不光是宿舍分配用上了“数据挖掘”，校园卡的办理也使用了人脸识别技术，可以分析两张脸属于同一个人的可能性大小，以毫秒量级响应新生上传的个人身份照片，利用高考报名照底图来核验新生身份。

1、PyCharm 2018.2.2 发布

PyCharm 2018.2.2 发布了，PyCharm 是由 JetBrains 打造的一款 Python IDE。PyCharm 拥有一般 IDE 具备的功能，更新内容如下：

● pipenv 支持的一些改进

● 解决了未自动检测到 virtualenvs 的回归问题

● 解决了版本控制支持中的一些问题：当你右键单击一个提交来重写它（更改其提交消息）时，PyCharm 无法正确识别提交的新哈希（详情：https://jetbrains.com/pycharm/download）

2、Angular 6.1.4 发布，默认滚动位置恢复为禁用

Angular 6.1.4 发布了，Angular 是一款十分流行且好用的 Web 前端框架，目前由 Google 维护。更新如下：

● router: 默认滚动位置恢复为禁用

● ......（详情：https://github.com/angular/angular/blob/master/CHANGELOG.md）

3、原生应用构架 React Native 0.57.0-rc.2 发布

React Native 0.57.0-rc.2 发布了，React Native 可以基于目前大热的开源 javascript 库 React.js 来开发 ios 和 android 原生 App。React Native比起标准Web开发或原生开发能够带来很多好处，目前未见相关更新说明（详情：https://github.com/facebook/react-native/compare/v0.57.0-rc.2...master）

4、Linux 软件包管理工具 Snapcraft 2.43 发布

Snapcraft 2.43 发布了，Snaps 是易于创建和安装的容器化软件包。由于捆绑了它们的依赖关系，所以可以在所有主要的 Linux 系统上运行而不用修改。更新内容包括：

● snapcraft 现在可以透明地处理源代码并构建更改并相应地重新执行。此版本中的配置已启用此新模式（它将是下一版本中的默认模式）。

● 每个项目添加了 SSH 密钥管理支持，每个项目都会生成自己的密钥。

● 为了更好地跟踪可交付成果，如果设置了 SNAPCRAFT_BUILD_INFO，则生成的 manifest.yaml 将包含用于创建快照的 snapcraft 版本。

● ......（详情：https://github.com/snapcore/snapcraft/releases/tag/2.43）

5、JavaScript Web 应用程序和服务器易受 ReDoS 攻击

JavaScript Web 应用程序和 Web 服务器容易受到称为正则表达式（regex）拒绝服务（ReDoS）的特定类型的漏洞/攻击。当攻击者将大量复杂的文本发送到基于 JavaScript 的 Web 服务器或应用程序的开放输入时，就会发生这些漏洞。

如果服务器组件或应用程序库不是专门设计用于处理各种边缘情况，则攻击者的输入最终会一次阻止整个应用程序或服务器几秒钟或几分钟，而服务器会分析并模式匹配输入。

各种编程语言和 Web 服务器技术在模式匹配操作和 ReDoS 攻击的性能方面存在类似的问题，由于大多数 JavaScript 服务器的单线程执行模型，每个请求都由同一个线程处理，因此在 JavaScript 的情况下它们被夸大了。

2017 年发布的后续研究显示，Node.js 库和应用程序中发现的漏洞总数中有 5％ 是 ReDoS 漏洞。在上周的一次安全会议上，ReDoS 问题由于多年未得到解决，在 JavaScript 社区引起重视。来自德国达姆施塔特技术大学（Technical University in Darmstadt, Germany）的两名学者 Cristian-Alexandru Staicu 和 Michael Pradel 表示，他们在流行的 Node.js 模块中发现了 25 个以前未知的漏洞。

Staicu 和 Pradel 说这些漏洞的主要原因是缺乏对正则表达式匹配性能的关注，因为大多数开发人员似乎都专注于准确性，在代码中留下了大量漏洞，攻击者可以使用 ReDoS 攻击来利用这些漏洞。

两人经过进一步研究，设计出了一种在实际网站上检测这些漏洞而无需实际使用 ReDoS 漏洞利用代码的方法。他们使用这种方法扫描 2,846 个流行的基于 Node.js 的站点，显示 339 个大约 12％ 的站点容易受到至少一个 ReDoS 漏洞的攻击。研究小组表示，“ReDoS 对这些网站的可用性构成严重威胁，我们会开发用于检测和缓解 JavaScript 中 ReDoS 漏洞的技术。”

觉得这些资讯有帮助？请转发给更多人

关注 技术最前线 ，看 IT 要闻