Anduin Xue
Anduin Xue

Anduin's Tech Blog

Software Development Software Development


软件定制行业为何应当发展软件订阅制?

当前软件定制行业普遍存在买断制软件质量低下的顽疾表面繁荣下隐藏着代码漏洞功能残缺与责任真空的深层矛盾这种模式导致开发商在验收后即撤离维护责任荒废形成技术债务的恶性循环而订阅制的出现正在重塑这一产业格局通过按时间用量付费的模式软件服务从一次性交易转变为持续性承诺服务方必须承担可用性维护迭代等全生命周期责任这种商业逻辑倒逼开发者构建更健壮的代码体系某高校教务系统从买断制转向订阅制的案例揭示了变革的力量当服务方将软件部署在自建数据中心并承诺99%可用性时维护成本从单人负担转化为专业团队规模化运营DevOps自动化测试灰度发布等现代工程实践得以普及甲方则从维护噩梦中解脱风险控制从百万级买断转向可随时终止的年度订阅这种价值交换重构了供需双方的博弈关系定价策略的灵活性更激发市场活力例如按用户日均元的计费模式让试错成本降至极低阈值而数据主权与财务审计等现实障碍则成为订阅制普及的最后堡垒当微软用Office 365的订阅模式战胜盗版困局时中国软件行业却仍在买断制的泥潭中挣扎这种认知鸿沟暗示着软件服务化革命的深层阻力:企业是选择短期可控的买断成本还是长期可持续的订阅价值?当订阅制将软件从产品变成服务时我们是否正在见证一场超越代码本身的产业进化?--Qwen3

DevOps China Software Development SaaS Subscription Software Subscription

在前端哈希密码是否是个不错的方案?

在前端对密码进行哈希处理是否真的能提升安全性?这种看似巧妙的设计反而可能将服务器暴露在更危险的境地——当哈希计算在客户端完成时,服务器接收到的其实是经过加密的"明文",这反而让数据库中的哈希值成为可以直接调用的账号凭证。历史上腾讯QQ曾采用的双哈希策略揭示了这种设计的荒谬性:即便在前端完成第一层加密,只要攻击者能截获中间传输的哈希值,就能通过API直接完成身份冒用。这种安全方案的失效性暴露了一个本质问题:任何试图通过加密手段在传输层面上完全防御攻击的尝试,都可能在协议层面被更高明的攻击者绕过。随着TLS技术的普及,现代HTTPS协议通过复杂的握手机制和证书验证体系,让中间人攻击变得异常困难。但安全防线的漏洞往往出现在意想不到的角落——浏览器插件的权限滥用、用户对钓鱼网站的识别盲区,都在提醒我们:当技术防御达到极限时,安全防护的最后防线始终是用户的安全意识。在密码学技术不断进步的今天,我们是否真的需要重新思考"安全"的定义?当所有技术手段都被突破时,人类对抗网络威胁的核心能力究竟是什么?--Qwen3

Security Password Hash password security hashing algorithm manual in the middle attack