security 标签归档 | 土法炼钢兴趣小组的算法知识备份

【Agent 身份与安全】MCP 架构与安全基线

2026-06-18 | architecture · security | #mcp #model-context-protocol #oauth #agent #tool-calling #stdio #sse #security

Model Context Protocol 的 Host/Client/Server 三角、stdio 与 Streamable HTTP Transport 安全差异、OAuth 2.1 for MCP 草案边界，以及多 Server secret 隔离与 tool 攻击面。

【可观测性工程】多租户与安全：数据隔离、标签治理、PII 清洗

2026-06-18 | architecture · observability | #multi-tenancy #pii #data-isolation #label-governance #loki #mimir #tempo #grafana #security #chargeback

可观测性平台全公司共享时，查询隔离、写入限流、标签治理、PII 清洗与成本分摊的工程实现。以 Grafana Mimir/Loki/Tempo 的 X-Scope-OrgID 为主线，给出 Collector 配置与合规检查清单。

【操作系统百科】FreeBSD 与 OpenBSD 的不同选择

2026-06-17 | os · security | #freebsd #openbsd #bsd #kernel #zfs #pledge #security #operating-system #comparison

FreeBSD 和 OpenBSD 从同一个 BSD 根分出两条相反的路径：一个追求通用性能与广泛生态，一个追求安全正确性与代码洁癖。本文从安全模型、文件系统（ZFS vs FFS）、网络栈（pf vs pf 正统）、虚拟化（jail/bhyve vs vmm）、社区治理、包管理、硬件支持到生产案例做逐项对比，给出选型框架和不该选 BSD 的典型场景。

【身份与访问控制工程】OAuth 2.1 与 PKCE：现代授权主路径

2026-06-13 | architecture · security | #oauth2 #oauth21 #pkce #dpop #authorization-code #refresh-token #rar #dcr #security

OAuth 2.1 不是新协议，而是对 OAuth 2.0 的安全加固：废除 Implicit Grant 和 Resource Owner Password Grant，强制 PKCE 用于所有使用授权码模式的客户端，要求精确 redirect_uri 比对。本文从 PKCE 的密码学动机出发，拆解 OAuth 2.1 的授权码流程完整交互、Refresh Token 轮换与发送者约束、DPoP 令牌绑定，以及 DCR (Dynamic Client Registration) 和 RAR (Rich Authorization Requests) 的实际应用。

【eBPF 内核实现深度拆解】eBPF 安全模型：capabilities、非特权 BPF 与 Spectre 缓解

2026-06-12 | kernel · ebpf | #ebpf #security #capabilities #unprivileged-bpf #spectre #bpf_lsm #hardening #linux-kernel

BPF 程序在内核态执行——安全不只是 verifier 的事。本文讲清 CAP_BPF 与 CAP_SYS_ADMIN 的权限梯度、unprivileged BPF 的历史沿革与现状、Spectre v2 的 bpf_jit_harden 缓解（常数盲化与 retpoline）、Spectre v4 的 speculation_barrier、以及 BPF_LSM 的安全策略可编程性。

【系统架构设计】架构质量属性：不只是"高可用高性能"

2026-04-13 | architecture | #quality-attributes #architecture-design #availability #performance #modifiability #security #testability #trade-off #SEI #ATAM

需求评审时写下的'高可用、高性能、高并发'，到了架构设计阶段几乎无法落地——因为它们不是可执行的需求。本文从 SEI/CMU 的质量属性理论出发，用 stimulus-response 场景模型把模糊需求变成可量化、可验证的架构约束，并拆解属性之间的冲突与联动关系。

密码工程专题索引

2026-04-22 | cryptography | #cryptography #pqc #fhe #oprf #opaque #gm #security

汇总本站密码工程热点文章，覆盖 PQC、FHE、OPRF、OPAQUE、国密与工程化安全实践。

【大模型基础设施工程】二十四：成本、合规与安全

2026-04-22 | architecture · ai-infra | #llm #infra #cost #security #compliance #ai-act #prompt-injection #jailbreak #guardrails #owasp-llm #confidential-compute #tee

从卡时、电费到 AI Act 与 Prompt Injection——一份写给基础设施工程师的大模型成本、合规、安全三位一体手册。

【网络工程】TLS 攻防：降级攻击、中间人与协议漏洞

2025-08-08 | network | #tls #security #attack #beast #poodle #heartbleed #downgrade #cbc #engineering

TLS 协议在过去二十年里暴露了一系列严重漏洞。本文从攻击原理到防御工程，系统性剖析 BEAST、POODLE、Heartbleed、DROWN 等经典攻击的技术本质，详解版本降级攻击与 TLS_FALLBACK_SCSV 防御、CBC padding oracle 攻击的数学原理、以及生产环境的 TLS 安全配置检查清单。