腾讯云服务器控制台,腾讯刀锋安全团队发现的Magellan?

1、腾讯云服务器控制台，腾讯刀锋安全团队发现的Magellan？

近日腾讯刀锋（Tencent Blade）安全团队发现了一组名为“Magellan 2.0”的SQLite漏洞，允许黑客在Chrome浏览器上远程运行各种恶意程序。这组漏洞共有5个，编号分别为CVE-2019-13734、CVE-2019-13750、CVE-2019-13751、CVE-2019- 13752和CVE-2019-13753，所有使用SQLite数据库的应用均会受到Magellan 2.0攻击影响。

Magellan 2.0（麦哲伦）是一组存在于SQLite的漏洞。它由Tencent Blade Team发现，并验证可利用在基于Chromium内核的浏览器的Render进程中实现远程代码执行。作为知名开源数据库SQLite已经被应用于所有主流操作系统和软件中，因此该漏洞影响十分广泛。经测试，Chrome浏览器也受此漏洞影响，目前Google与SQLite官方已确认并修复了此漏洞。

根据腾讯刀锋安全团队官方博文，除了所有基于Chromium的浏览器和Google Home智能音箱设备受到影响之外，苹果旗下iPhone, iPad, MacBook, iMac, Apple Watch, Apple TV等多款热门产品也受到影响。

SQLite漏洞是Tencent Blade Team在安全研究中，通过人工代码审计与自动化测试发现的。这一组漏洞被团队命名为“Magellan（麦哲伦）”。根据SQLite的官方提交记录，麦哲伦漏洞中危害严重的漏洞可能已经存在8年之久。利用麦哲伦漏洞，攻击者可以在用户电脑上远程运行恶意代码，导致程序内存泄露或程序崩溃。

目前，Tencent Blade Team已联合Google、Apple、Facebook、Microsoft及SQLite官方安全团推动漏洞修复进展。与此同时，Tencent Blade Team也提醒用户及时关注系统与软件更新通知，需将SQLite升级到目前最新的3.26.0 版本。

上周发布的谷歌Chrome 71，也已经修补该漏洞。Vivaldi和Brave等基于Chromium的浏览器，都采用最新版本的Chromium。但Opera仍在运行较老版本的Chromium，因此仍会受到影响。

另外，虽然并不支持Web SQL，但Firefox也会受到这个漏洞的影响，原因在于他们使用了可以在本地访问的SQLite数据库，因此本地攻击者也可以使用这个漏洞执行代码。腾讯Blade安全团队建议，使用Chromium系产品的团队，请尽快更新至官方稳定版本71.0.3578.80，如果使用产品中涉及SQLite，请更新到3.26.0.

另外，如暂时没有条件采用官方提供的修补方案，也有一些应急建议方案：

1）关闭SQLite中的fts3功能；

2）禁用WebSQL：编译时不编译third-party的sqlite组件。由于WebSQL没有任何规范，目前仅有Chrome、Safari支持。

最后，验证方法：重新编译后的内核应无法在控制台调用openDatabase函数。

2、如何选择适合云服务器的操作系统？

云服务器操作系统分为两类：Linux和Windows，每个都包括不同的版本。总的来说，如果需要asp、ASP.NETSQLServer体系结构和Linuxforphp MySQL体系结构，则必须使用Windows系统。首先，linux操作系统，包括Ubuntu、debian、CentOS和其他系统，这些都是非常优秀的开源系统，功能基本相同，界面和操作方法略有不同，请参考您对系统和首选项的熟悉程度。Ubuntu系统适合资金充足的网站管理员使用。Ubuntu拥有明亮的用户界面，完善的软件包管理系统，强大的软件源代码支持，丰富的技术社区，以及ubuntu对计算机硬件的支持优于Centos和Debian，兼容性强，Ubuntu应用程序很多，但对于云服务器系统来说，不需要太多的应用程序，需要的是稳定、易于操作、维护简单的系统。如果您需要在服务器端使用图形界面，ubuntu是一个不错的选择，您需要注意的是，图形界面占用了大量内存，内存云服务的价格越高。Debian系统是技术力量雄厚的站长首选系统。与Ubuntu相比，它不太花哨和稳定，对于服务器系统来说是一个不变的事实。Debian是一个Linux系统，底层非常稳定，内核和内存占用都很小，在小内存中VPS可以正常运行Debian，比如128 M内存，但是Debian没有多少帮助文档和技术信息。对于小型内存，debian是非常熟悉linux系统的云服务器老手的首选，而debian则是首选。CentOS系统是初学者配置云服务器的首选CentOS是由redhat源代码编译的重新发布版本。CentOS删除了许多独立于服务器功能的应用程序，系统简单但非常稳定，消耗的资源也较少。命令行操作可以方便系统和应用程序的管理，并有帮助文档和社区的支持。第二，Windows操作系统是通用的，Server 2003和Server 2008r2中常用Windows操作系统，分为x86和x64。x86是32位，x64(64位)主要限于内存。由于32位本身的限制，可以最大限度地支持4GB内存。如果您需要使用大于4GB的内存，请使用64位操作系统。选择版本2003或2008？推荐的版本越高，越好，因为较高版本的漏洞较少，IIS5提供了比IIS6更多功能和更方便的控制台。

3、你公司用什么协作工具和方法？

已经在家远程办公一周多了，总体来说远程办公的过程还是非常顺利的，当然也用了一些协同办公软件哈，看目前的回答有不少朋友都推荐了很多各式各样的软件，实际上我觉得有时候办公软件真的不要很多，多了反而给自己增加负担，导致效率变低。我们公司用了三款软件就解决远程办公难题，他们分别是微信、Zoom和轻流。1、微信这个就不多说了，我们公司内部划分比较细致，不同的工作有不同的小组，因此大家会有自己的部门群和项目群，每个群人保证关键人物在就行了，所以日常的沟通微信就轻轻松松解决了。2、ZOOM远程办公另外一个比较大的问题就是会议了，因为这个时候已经不能像平常一样在会议室开会了，为了解决远程会议问题，我们采用的时候Zoom这个工具，他的好处就是使用方便，参会者直接通过会议号或者链接就能参与会议。此外，没有所谓的延迟现象，声音也比较清楚。我们基本上是周一开一次大会，然后各个部门自己排自己的会议，基本上都是通过Zoom完成的。3、轻流远程办公除了基础上沟通、在线会议外，最重要的就是办公协同了！我们用的时候轻流系统。轻流是一款支持零代码搭建企业业务流程管理系统的工具，它针对这次疫情特地打造了一款高效远程办公解决方案，主要包含远程打卡/远程会议/请假申请管理、任务计划/个人任务管理、工作日报/工作周报管理、工单系统以及在线合同签署等板块。任务计划/个人任务管理任务计划设定好之后，系统会自动流转到任务分配人那里进行具体任务分配；分配好之后，系统会自动按照分配结果把子任务流转到对于的任务执行负责人那里；整个过程线上就可以即时完成。此外，轻流还有甘特图功能，可以方便你对任务进度的可视化把控。远程打卡/会议以及请假管理轻松实现会议的申请、提醒，让每个人不超过任何一场会议。在线会议发出之后，系统会自动抄送通知给相应的参会人，同会给会议记录负责人生成待办事项（方便其及时记录会议内容），让每一次会议都能够高效进行。工作日报/工作周报管理所有的工作日报/周报均可通过手机、电脑等方式进行提交，而且可以用日历视图的方式进行呈现。工单系统工单化协作，可以有效防止信息遗漏，同时保证权责到位，让跨部门协作更加高效。工单提交后，工单的分配、处理及最后的验收也可以指定相关的负责人，进行自动化处理。在线合同签署管理远程办公还会遇到的问题就是合同签署，由于实际条件的限制，纸质合同的打印和实体盖章有诸多不便，这时候最好的解决办法就是电子签章了。轻流系统内集成了电子签章功能，可以轻松实现在线化签署合同，而且权益受法律保护。

非常时期在家远程办公，可以阻击疫情保障员工身体健康，还能够大大节省了员工通勤时间，让其拥有更多时间上的自由度。

以上希望对大家的远程工作有帮助噢，也希望大家一起努力，让疫情早日消退。

4、建网站要用什么？

从另一个回答复制过来的，感觉大部份切合主题，所以贴到这里。

说到怎么建网站嘛？网上一搜一大堆，无非就是从域名、服务器、程序、模板等开始。说的会让小白云里雾里的，感觉多难一样，其实只要有一点基础，做个简单的站不是太难的，我当初也是从服务器开始。建立人生中第一个网站就是自己买的服务器，服务器就相当于一台电脑的主机，用来存放源码的文件的、

源码一般来说可以指源代码，可以理解为一个统称，就是一个网站所有的文件。如果还不理解的话，可以这么理解一下意思，比如说我们找人PS一张图片，别人把P好的图发给你，这时你可以用这张图片，也满足了你需求，你也可以使用它。一般公司不懂的到这一步，就完事儿了。但是这时会有一个问题，假如说，我想自己修改这个图片行不行？明显是不行的，因为你没有源文件，给你的那张图，是源文件生成出来的。放到做网站上就是，网站你可以用，但是源码在我这里。你要修改，还是得需要经过我这边。

讲到这里，也就明白了，源码是一个统称，一般来讲包含、网站程序和数据库文件。如果你是找别人做的网站，签合同之前，一定要说明这一点，会不会交付源码，有没有额外的需求，因为不交付源码，相当于这个站你只有使用权，而没有所有权。

再细一点讲，源码包含网站程序（程序代码文件与数据库）、模板文件、域名、再细还有静态文件比如说网站的图片、视频、音乐这些是可以单独存放在另一个地方的。再细的还有，模板授权、用wordpress建网站，通常会有这样的一个问题，如果是定制站就不用说了，如果对方买的是一个模板的授权，还需要问明白，这个授权的权限，可以授权几个域名使用，几个人使用、使用权限，部份还会有子域名需不需要授权。

目前国家对版权比较重视，大部份网站程序也需要授权了，比如说前段时间闹的比较火的织梦CMS突然要收版权费，搞的很多公司措手不及。

说到这里，我们再来理一下，一个网站需要哪些？

上图可能用手机看不太清楚，所以下面用文字来表述一下。

域名

网站在互联网上的一个地址，可以理解为门牌号，具有唯一性。阿里腾讯等，都可以注册，一年费用大约为50-70元。有些更便宜，有些更贵。注册的地方很多。

程序文件

用来实现网站某种功能的计算机语言文本，也是一个网站最重要的部份。比如说DESTOON网站程序、织梦程序、wordpress程序。

数据库

通常和网站程序统称为XXX网站系统，配合程序文件使用，用来存放网站数据。你可以简单理解为一系列EXCEL表格样式的内容文件。

静态文件

网站在使用中产生的音频、视频、图片、等其它的文件格式。如果总量不是太大的话，一般会包含在程序文件或者模板文件内。如果比较大，一般会考虑与程序文件分开存储。

模板文件

为实现网站样式的一系列代码文件。如果把程序和数据库比喻为汽车的主架构的话，那么模板就相当于网站的外壳、内饰等。

程序插件

一般是作为网站主程序功能的补充，比如说织梦、wordpress等，网站程序本身不带一些功能，二次开发又没有必要，可以通过市场上已经成熟的插件来实现。

其它细节

程序授权、模板授权、插件授权

一般提供的网站程序都会把模板、数据库、程序打成一个包，用来体验或者试用。不满意，可以自行修改。

讲到这里，我再来回答一下楼主的另一个问题“本来想做一个小网站玩一玩，可是网上没有我想要的源码，但是要定制一个又好贵，我想做一个有个性的网站，可是有了空间和域名没有合适的网站源码好郁闷，源码之家等各地方都找遍了，都没有我想要的源码”

这里有几点建议。

一、先明白，楼主要建什么网站，比如说

B2B电商，建议用DESTOON网站程序、主流B2B建站程序，而且经过发展，只要技术、资讯、图片、下载、招商加盟、电商都能满足，适合大型网站。

企业站、博客站、建议用国外的wordpress（无需授权），世界使用量第一。（国内访问除了有点点慢，其它的都很强大，而且能满足大部份小型网站的需求，还有一点的是，如果无论国内还是国外的模板都很多，好一些的就是有点贵，通常不过千。更换也比较简单。

国内适合小型网站的有迅睿（无需授权）、易优（需授权，但便宜）、ZBlog（需授权，但是没有人管。）帝国、千万别用织梦。

论坛类型的网站，首推国内的Discuz（无需授权）。

其它的像有百科程序、直播程序、CRM程序、C2C商城、文库等。

需要注意的一点是，程序是核心，模板是表皮，外人只能看到表皮，所以虽然像前面介绍的DESTOOON、讯睿、wordpress、帝国等有专属标签，但你依然可以改为各种样式。比如说教育类型、下载类型、小说类型的等等。只是如果不是对应的程序，虽然可以改，但用起来不是那么顺手。

二，要不要定制

强烈建议不要定制，比如说我，规划最多、投入最多的一个网站，当初计划投入20-30万来定制，最后发现用一个现成的网站程序就完全解决我的问题了，只是之前不懂。

从另一点来讲，一个网站有没有价值，不是说你网站做的有多好看，功能有多么的强大，而是看你网站的流量有多少，能有多少人去使用，其它一切都是白扯。举例一点来说，你仿个百度、仿个头条、甚至仿个微信也不需要多少成本，或者说远远低于他们现在维护的成本，甚至可以说比他们做的更好，但是那又怎么样，没有人用呀。

三、如何开始，

目前为止，我做了差不多有大、中、小型网站有几十个站了，不算多，但是体会就是，

如果自己玩，那就凑合着用。

如果想深入投入，那就按照步骤、先勉强能用-再能用-再到好用-再到好用又好看。

如果是小型网站，那就无所谓了。定制一个也没有多少钱。

最后讲一下模板站与定制站的区别

这一定可能不专业的人都会有一个误解。而专业的人又都约定成俗。

比如说定制一个普通企业站、费用大约为1万-2万之间。而一个模板站费用大约为600-1500之间。其它还有全定制、半定制等。

但一定要明白一下，几万块钱的站，是不可能有纯定制站的。这里说的纯定制站，是指从网站程序到网站源码完全自主开发的定制。一般人做网站最容易误解的就是“你按照我设计的，给我把这个网站样式做出来。”而这个样式就是在指模板。充其量就是原有的网站程序不能实现你说的功能，我在原有的网站程序进行二开，把功能做出来。

因为如果一个网站程序从头到尾完全自主开发，那个费用，没有几十万是下来的。况且如果不懂，那就更玩完了，怎么给你做的，你都不会知道。

题外篇，其实楼主不应该买一个虚拟空间，因为这样的话，一般只能存放一个网站。如果买一台服务器，那就好玩了，安装一个宝塔面板，后台提供的有几十种网站程序可以一键式部署。下附个不完全截图。