u012589031的专栏

这个比喻着实很不错。随后就是对于黑盒测试的缺陷开始论述——这个当然是为了证明课程的价值了，不过他说的还是有条有理的，比较适合理清具体的框架。 说明OS安全策略的局限性的时候，他的第一个理由是粒度不够。这是肯定的，OS做的太细既影响性能又显得臃肿。他的第二个理由我比较不解：不能（精确的）执行信息流策略。难道我所了解的，几个关于信息的秘密性和完整性做出的访问控制策略，都不算（精确）吗？这里只能先留个

安全的一个比较性的论述，说得很好 另外一个是软件缺陷，这里说到漏洞就是软件缺陷与安全有关的一种 软件缺陷分为抽象和实现，设计上叫flaw，学到了： 最后阐述了普通用户和攻击者的区别，说明了安全的重要性：

马里兰大学好像推出了一系列关于cyber security的课程 https://www.coursera.org/specialization/cybersecurity/7/overview 后面的都好理解，usable security是什么呢？我去那个课程那里看了一下简介，发现比这个技术上的安全实际上更让我感兴趣了。按照他所说的， This course focuses on

对于安全的分析需要大局观。可能是我水平还太浅薄吧，以为攻击只是停留在某个层面，或者说某个具体的对象上（比如说SQL INJECTION就是对数据库，CSRF就是针对WEB）。不过我觉得开发防护方面的人，会更关注整体一些。 感觉说是分类，这几项都差不多啊····后面的其他情况也看的迷迷糊糊的····

这个题目整体感觉还挺有意思的。测试的范围比较广。就是有的题感觉做的挺费劲的，而且是那种你明明了解的八九不离十，可就是不知道怎么选的难受。留个纪念： 其实这道题应该是算我英语太渣。我以为这种不知道结果的输出都算是crash，so···· 这个地方问哪里能crash。我也是一时想多，觉得atoi既然参数是命令行，就可以传入一个非指针类型来crash。第二个肯定是能的，因为buf的长