2015年4月26日 星期日

14 Differences between QA and QC in Software Testing

Reference: 
http://testingbasicinterviewquestions.blogspot.tw/2015/03/top-14-differences-between-qa-and-qc-in.html

      Quality Assurance
         Quality Control
1. Quality Assurance helps us to build processes.
1. Quality Control helps us to implements the build processes.
2. It is the Duty of the complete team.
2. It is only the Duty of the Testing team.
3. QA comes under the category of Verification.
3. QC comes under the category of Validation.
4. Quality Assurance is considered as the process oriented exercise.
4. Quality Control is considered as the product oriented exercise.
5. It prevents the occurrence of issues, bugs or defects in the application.
5. It always detects, corrects and reports the bugs or defects in the application.
6. It does not involve executing the program or code.
6. It always involves executing the program or code.
7. It is done before Quality Control.

7. It is done only after Quality Assurance activity is completed.

8. It can catch an error and mistakes that Quality Control cannot catch, that is why considered as Low Level Activity.
8. It can catch an error that Quality Assurance cannot catch, that is why considered as High Level Activity.

9. It is human based checking of documents or files.
9. It is computer based execution of program or code.
10. Quality Assurance means Planning done for doing a process.
10. Quality Control Means Action has taken on the process by execute them.
11. Its main focuses on preventing Defects or Bugs in the system.
11. Its main focuses on identifying Defects or Bugs in the system.
12. It is not considered as a time consuming activity.
12. It is always considered as a time consuming activity.
13. Quality Assurance makes sure that you are doing the right things in the right way that is the reason it is always comes under the category of verification activity.
13. Quality Control makes sure that whatever we have done is as per the requirement means it is as per what we have expected, that is the reason it is comes under the category of validation activity.
14. QA is Pro-active means it identifies weaknesses in the processes.
14. QC is Reactive means it identifies the defects and also corrects the defects or bugs also.

Secure Code Characteristics

1. Validate input
2. Does not allow dynamic construction of queries using user-supplied data
    - 可能很難做到。
3. Audit and logs business-critical functions
4. Is signed to verify the authenticity of its origin
5. Does not use predictable session identifiers
6. Does not hard-code secret inline
7. Doe not cache credentials
8. Is properly instrumented
9. Handles exceptions explicitly
10. Does not disclose too much information in its errors
11. Does not reinvent existing functionality, and uses proven cartographic algorithms
12. Does not use weak cartographic algorithms
13. Use randomness in derivation of cartographic keys
14. Stores cartographic key securely
15. Does not use banned APIs and unsafe functions
16. Is obfuscated or shrouded
17. Is built to run with least pivilege

2015年4月25日 星期六

Some examples of sensitive information in comments

1. database connection strings
2. validation routines
3. production and test data
4. production and test accounts
5. business logic.

Chrome Security Plugin

1. Avast Online Security
2. ScriptSafe

2015年4月23日 星期四

永恆的價值 - 巴菲特傳

1. 當傑出企業發生龐大、但可紓解的危機時,就是絕佳的投資良機。

2015年4月18日 星期六

希臘羅馬神話

1. 在酒神 (戴奧尼索斯) 的影響下,人的勇氣倍增,恐懼消散。他鼓舞他的追隨者,他讓他們覺得自己可以成就本來不可能做到的是。當然所有歡樂、自由與自信,在酒醒或酒醉的那一刻都會消失。不過,只要所有這些感覺存在,他們就會覺得有某種比自己更大的力量推動他們。人們因此對酒神有一種特殊的感情。酒神不止是一個外在於他們的神祉,他也存在它們裡面;他們感覺自己正在轉變,變得更酒神一樣。酒帶來短暫歡欣,而這種感覺給人一種暗示,即人內在的力量,遠遠多於他們所知道的,或「他們自己也可能成神」。

2. 關於創造人類的故事,一說眾神把這個任務委託給普羅米修斯和他的弟弟伊比米修斯 (Epimetheus) 。 普羅米修斯這個名字意思是遠慮,他是個很有智慧的神,甚至比眾神更有智慧。但伊比米修斯的意思是追悔,所以這位弟弟是個沒甚麼大腦,總是衝動行事,不時改變主意的神。連創造人類這等重要的任務,他也是如此行事。原來伊比米修斯在創造人類之前,他已經把最好的禮物都給了動物,包含力量、迅捷、勇氣、機靈、毛皮、羽毛、翅膀、甲殼等等。等到他終於著手創造人類時他已經沒剩下甚麼東西可以給人類,既無保護的皮毛,也沒有任何一項特質可以讓人類對抗野獸。太遲了。他最後只好向哥哥求救。普羅米修斯於是接手創造人類。他想出一個方法讓人類比動物強大:他給人類設計一個較高貴的外型,讓人直立行走,就像是眾神一樣。然後他到天庭找太陽神「借」一把火,帶回人間送給人類。火是人類最好的保護,比毛皮、羽毛、力量、迅捷等東西都好。

2015年4月12日 星期日

Make Mistakes Part of Your Career Success.

1. 學會好好地利用失敗,是一項重要的領導特質。 在權衡一個經理人是不是有能力承擔領導職務時,觀察對方如何回應失敗,遠比評量他的成就更有效。
     傑出的領導者往往能夠從失敗中汲取教訓。他們很快就能體認到錯誤已經發生,而且能夠有效率地評估自己可以從失敗中挽救些什麼、獲取什麼。

2. 持續讓自己置身一個風險相對低的情境裡,並不見得是一件好事,因為每當壞事發生時(有時候你就是會天降厄運,碰上倒楣事),你的學習和復原能力就會隨之降低。
     當然,即使是在冒險,也還是要十分謹慎小心。你必須策略性地冒險,確保風險高到足以使你有所成長,又能夠避開可能會毀掉你的重大失敗。

3.堅強的領導者能夠勇於坦承自己究竟犯了什麼錯,又錯在哪裡。這是很困難的事,人們經常會傾向把失敗怪罪給別人,卻把高績效歸功於自己的作為。

4. 在表現同樣優秀的一群人當中,具備學習靈活度 (learning agility) 的人,才會被視為是深具潛力的領導人,足以擔當起高階主管的重責大任。
     高階主管之所以被升遷,不是因為他們過去的成就,而是他們展現出過人的學習靈活度:

  • 自我察覺 (self-awareness) ,能夠靜心自問,我怎麼做可以更好?
  • 適當回應 (respond to change),身處艱難情境下,對於變革回應的能力。
5. 成功是個爛老師。它引誘聰明人自以為永遠不會輸。 不管你有多成功,多厲害,務必保持謙遜之心,因為生命的常態就是不斷的改變。


經理人 2015 三月號
   

比別人多一小步

1. 以創意取勝,別人沒做你有做: 額外的溫馨服務
2. 別人有做,但你比較早做: 提前送上生日祝福
3. 別人有做,但你做的比較徹底: 宴會切勿提前離席
4. 別人有做,執行的層級不同: 層級越高愈尊重對方
5. 別人不願意做,你願意做: 親自送樣品給客戶

大聯大副董事長  曾國棟

巴菲特選股

法則1:公司的盈餘是否足夠,是否持續成長:每股盈餘(EPS)連續10年成長,或是每股盈餘從未出現負值。
法則2:公司的財務操作是否保守?長期債務負擔與現有淨盈餘的比值小於5,理想情況是小於2。
法則3:公司每年維持高股東權益報酬率:股東權益報酬率若能年年保持在15%以上,代表公司管理團隊每年都有足夠盈餘作為經營之用。過去40年來,美國企業的平均股東權益報酬率為12%,略低於巴菲特的目標。
法則4:公司是否年年維持高資本報酬率:10年平均資本報酬率為12%;如果你的投資標的為銀行、投資銀行或其他金融機構,股東權益報酬率必須超過12%。
法則5:公司是否有必要再度投資資本?擁有可自由支配的現金流量是好的,理想上也應如此。
法則6:保留盈餘所增加的價值是否有助於提升公司的市值?而且過去10年,保留盈餘成長率與股價成長率必須為正值。
法則7:股價是否確實反映企業的真實價值嗎。
法則8:計算初期報酬:首先決定股票的初始報酬率(initial return,股票首次上市的報酬率),以及股票價值是否優於政府公債。對巴菲特而言,如果股票收益率高於長期政府公債殖利率,絕對是投資好標的。

2015年4月11日 星期六

Google 美股選股

https://www.google.com/finance?hl=en&ei=ZaEoVcGOEJD6uAT5zIHoCg#stockscreener

Market Capital: > 10B
本益比: 5~40
ROE: > 20%
ROA: > 5%
毛利率: > 25%
營業利益率: >10%
EPS growth rate: >5%


2015年4月7日 星期二

巴菲特原則

1. 一個二流的企業最有可能仍舊是二流的企業,而投資人的結果也可能是二流的。廉價購買所帶給投資人的好處會被二流企業的低收入所侵蝕。華倫知道時間是傑出企業的好朋友,卻是二流企業的詛咒。
    他也發現,一個傑出企業的經濟狀況是完全不同於那些二流企業的,如果能買到某家傑出企業,相對於二流企業的靜態價值,傑出企業會有擴張價值,其擴張價值最終會使股市帶動股票價格。

2. 商品型企業: 一個企業所生產的產品,價格是消費者最主要的購買因素之一。 這些公司所生產的產品,在市場上面臨強勁的競爭。
    商品型企業的未來成長空間非常小,由於價格的競爭,這些公司的利潤一直很低,所以公司較缺乏經費擴充企業,或是投資更新,更有賺錢能力的企業。就算設法開始賺錢,資金通常用來更新工廠的設備,以保持競爭的能力。

3. 當傑出的管理階層碰上了不良的企業,通常是不良的企業依然保持原狀。

4. 商品型企業特徵: 低利潤,低股東權益報酬率,品牌忠誠度低,有大量的競爭者,過度的生產力,經常變動的利潤,以及完全依賴管理階層有效運用公司可見的資產已獲利。

5. 兩個不同性質的企業,同樣都是在年度內賺取200萬美元的淨利。但不同的是,喜斯公司已800萬美元的淨有形資產就創造出200萬美元的淨利,相對的,鋼鐵廠卻以1800萬美元的淨有形資產才創造出200萬美元的利潤。 如果兩家公司都計畫更換生產設備,而生產設備的價格因為通膨的因素上漲一倍,喜斯公司要花費1600萬美元,而鋼鐵廠卻要花3600萬美元的資金進行設備的更新。 => 說明資產報酬率(ROA)的重要性,選擇用較小的淨有形資產卻能創造高獲利的公司。

6. 華倫相信通貨膨脹事實上無所不在,因為通貨緊縮無異是扼殺那些政客的政治生命,而通貨膨脹會造成財富增加的假象。30年前花了10萬美元買的房子',現在價值50萬美元,難保你不會暗自竊喜。縱使你決定賣掉原來的房子買一間和原先大小相符的新房要花費50萬美元,你也覺得自己變得更為富有。 30年前,你的年收入2萬美元,現下你的年收入10萬美元,但實際上購買力並沒高出許多,所以,你變得富有了嗎?其實不然。如果你的收入固定,或者購買長期債券或手中持有現金,你的實質財富大多會減少。

7.格拉罕覺得經濟長期趨勢會偏向通貨膨脹,並穿插一段通貨緊縮時期,而且普通股無疑是一種對抗通貨膨脹的理想保障和避險工具。如果想增加自己的實質購買力,你所設定的投資報酬率最起碼要等於通貨膨脹率加上所得稅率,才是其對實質財富所造成的抵減幅度。

8. 格拉罕發現,如果以低於該股實質價值的價值買進一支股票,持股的時間越愈長,那麼預期的年複利報酬率愈低。因為如果某人以每股20美元改進某支實質價值為30美元的股票,在第一年,該股價格才上漲到其實質價值,那麼年複利報酬率就掉到22%。如果花了3年時間,年複利報酬率為14.4%, 4年則為10.6%,5年則為8.4%,6年則為6.9%,7年5.9%,到了第八年為5.1%。
     為了解決這個持股愈久。報酬率愈低的問題,格拉罕所採取的方法是,唯有在某支股票的價格和它的實質價值有足夠的差距幅度時,才進場買進,這樣才能提供投資人相對的安全邊際 (Margin of Safety),而安全邊際就是用來保護投資人萬一買到那些長時間才能夠充分反應實質價值的股票。

9. 孟格和費雪提出,只要投資人買到一家正在成長的優良企業的股票,而且公司的經營管理階層以股東的權益最為最大考量,那就不必出脫這支股票,除非整體環境發生變化或者有更好的投資標的。他們認為此種投資策略,可以獲得最佳報酬,因為投資人可以充分享受企業運用保留盈餘進而產生的複利報酬效果。

10. 要拔除的是花園裡的雜草,而不是那些會開花結果的植物。

11. 測試一,一眼看出公司的預估盈餘
      投資人只要比較公司歷年每股盈餘是不是呈現穩健的態勢,是否持續成長,還是上下起伏震盪。
      測試二,決定自己的期初報酬率: 每股盈餘 / 每股價錢
      測試三,決定每股的盈餘成長率,比較5年及10年間的每股盈餘成長率

12. 華倫的投資秘訣就是:好企業能抓牢客戶,持續為股東賺取高盈餘,就算本益比非常高,也往往還是合算的買賣。 (因為有持續的高RoE, 盈餘會持續成長,經過的時間愈久,EPS會愈高,長期下來,本益比就下降了,如果股價繼續維持高本益比,獲利更是不得了)

13. 華倫並不特別強調股價。他不說某股價值多少錢,然後像格拉罕的所作所為一樣,希望以半價買下。華倫反而會計算,如果以某價位買入一家公司股票,在已知的公司資料中,他的10年預期年報酬率是多少?決定了這個預期報酬率後,再將它與其他投資機會的報酬率以及超越通貨膨脹率必須的報酬率合併考慮。
     以這樣的心態,華倫可以不管華爾街股價如何反應,逕至決定買賣股票。他知道長期的投資報酬率大概會是多少。他也知道,長期來看,股價會隨公司淨值增加而有所反應。
     如果他的投資心態像格拉罕一樣,當他用5美元買價值10美元的股票,自會在股價到達10美元時,將它賣出。如果這樣,華倫就會每天緊盯著華爾街日報上的股價,忐忑不已。

14. 公司可以藉減少流通股數的方法,提高每股盈餘年平均成長率。分析股票要知道每股盈餘成長的原因。是公司經營績效提升呢?或是財務運用使然? 或者,兩者皆有?
     可以用公司淨利年平均成長率和每股盈餘平均成長率去比較。

15. 投資人所面臨的問題在於: 難以決定是否公司的管理部門在配置非保留盈餘限制上做出明確的抉擇。這是因為公司在主要事業以外的經濟活動上,能創造出鉅額的現金,並且掩飾管理部門在資金配置上所犯的任何錯誤。
     通貨膨脹也有助於掩飾管理部門的表現,物價指數成長10%,等於是產品售價提高10%,而盈餘也會提高10%。
   

2015年4月6日 星期一

English Learning

1. in laymen's terms (用外行人的話來說)   the GNP or, in the laymen's terms, the amount of goods produced by a country.
2. at the mercy of  (憑...的擺布)   Workers are entirely at the mercy of dishonest employers.
3. once and for all (一勞永逸)   The core issue can be resolved once and for all.
4. out of sight, out of mind (眼不見為淨)
5. Leaving little room for guesswork (講得清楚,無須揣測)
6. at the bare minimum (最低限度)   We need to hit $20,000 in sales at the bare minimum.
7. includes, but not limited to (包含,但不僅止於...)
8. catch-22 (進退維谷,無法擺脫的困境) You can't get a job without experience, but you can't get experience unless you have a job - it's (a) catch-22.
9. urban myth: 來路不明,證據薄弱,卻廣為流傳的說法。
10. A thief crying to stop thief (作賊喊抓賊)
11. To ship the advantage in our favor (將情勢轉向對我們有利)
12. Bridge the technology gap. 追上技術的落後
13. Build on a rock-solid foundation. 建築在堅若磐石的基礎上
14. Get out of hand 一發不可收拾   If the situation gets out of hand, it cannot be controlled any more.
15. state-of-the-art: 最先進的   state-of-the-art security features
16. in the nutshell: 簡而言之
17. viable 可行的   viable alternative
18. economies of scale: 規模經濟
19. code of conduct: 行為規範
20. incentive: 激勵, 誘因
21. liability: 責任
22. successor: 後繼者  <-> precessor: 前任    -> succession plan: 接替計畫
23. vital: 重要的
24. infrequent: 不常見
25, black swan: 黑天鵝
26. rationale = explanation
27. norm 規範
28. pragmatic 務實
29. in lieu of 替代
30 anchor point 錨點
31, payback period 投資回收期
32. stringent 嚴格的
33. encompass 環繞
34. adaptability 適應性
35. warranty 保證
36. conduct 執行
37. paradigm 範例, 典範
38. intervention 介入 
    manual intervention. 人員介入 => The process is automatic and no manual intervention needed.
39. contemporary 現代的
    contemporary software development practice.
40. adhere to 堅持, 附著
   ensure that the problem escalation procedures are being adhered to properly.
41. in compliance with 合規
   documentation are completed, up to date and in compliance with the established standards.
42. at the present time 在現在這個時刻
   Organization do want to acquire more than what they need at the present time.
43. defer 延遲
   Capacity management increase efficiency and cost saving by deferring the cost of new capacity to a later date and optimizing capacity to business needs.
44. find a niche 找到利基
  OODBMS has found a niche in areas such as engineering, science and spatial databases.
45. glue 膠
   Middleware serves as the glue between two otherwise distinct application and provides services such as identification, authentication, authorization, directories and security.
46. prerequisite 先決條件
   adequate backup is a prerequisite to successful recovery
47. elapsed time 經過時間
   Elapsed time for completion of prescribed tasks
48. conformity 一致性, 遵守
  ensure conformity to applicable laws, regulation and standards
49. unsolicited 不請自來
   unsolicited commercial email or junk mail
50. trivial 瑣碎, 微小
   Organization should know all the points of entry into its information resource infrastructure which, in many organization, will not be a trivial task,
51. enrollment process 註冊程序
   Entering a user's biometric into a system occurs through an enrollment process by storing a user's particular biometric feature.
52. commensurate 相稱
   The frequency of the security administrator's review of computer access reports should be commensurate with the sensitivity of the computerized information being protected.
53. seasoned 老練的
  They require the attention of the most seasoned and experienced person of the software security team.
54. practitioner 從業者
   We trust that the software security best practices and model presented in this book will make this clear to all who read this book, whether you are an executive, manager, or practitioner.
55. concise 簡潔
56. stepping-stone 墊腳石
57. judicious 明智的
   You have to be very judicious with your resources if you plan to be successful.
58. daunting task 艱鉅任務
   You will use recruitment and leverage of software champions to manage his daunting task.
59.empirical 經驗的
   Scrum adopts an empirical approach, accepting that the problem cannot be fully understood or defined.
60. facilitate 促進
   This concept facilitate the ability to handle churn resulting from customer that change the requirement during project development.
61. yield: 產生
   SDL will yield incremental improvements in an overall holistic approach to software security.
62. attestation 認證
  customer required third-party attestation.
63 immune from 免於
64. enormous 巨大
   IaaS provides fer if any application-like features, but enormous extensibility.
65. derivative 衍生物
   There are derivative cloud deployment model emerging due to the maturation of market offering and customer demand.
66. rule of thumb 經驗法則
   As a rule of thumb, perimeterized solutions are less effective than de-perimeterized solution.
67. sole 唯一
   The cloud infrastructure is operated solely for a single organization.
68. on-premise/off-premise
69. agreed-upon goals
   Information security governance should be collaboration between customers and providers to achieve agreed-upon goals.
70. abreast 並肩, 與時俱進
   The parties must keep abreast of the legal and other requirements and ensure that operations remain compliant with applicable laws.
71. plethora of 多如牛毛
   IT in the cloud is increasingly subject to a plethora of policies and regulations.
72. inhibitor 抑制源
   Compliance is not an inhibitor of organizational effectiveness, but a complement to internally determined policies.
73. Attestation 鑑證
74. act on sb's behalf 以某人之身分...
   One type of third party is authorized to act on the company's behalf and use data in accordance with the company's privacy practice.
75. inadvertent: 非故意的
   Prevent inadvertent sharing of PII with unintended audiences.
76. articulate: 說出, 明白地說
   This will help articulate real cost to management.
77. This questions need to be carefully considered to prevent future fire fighting.
78.  In a nutshell: 簡而言之
79. cursory review: 隨意,非正式review
   cursory review of open-source development process without the proper training and experience.
80. anomalous: 異常的
   anomalous interaction
81. joint effort 共同努力
   The test plan is a joint effort by the project management, development and security team.
82. showstopper: and obstacle to further progress.
83. circumvent 規避
   circumvent security feature of the system
84. flesh out: 充實
85. regiment: 一群, 團
   A development organization typically has a very regimented development process.
86. To maximum capability
   In many instances, the security mechanisms of an information system are not configured properly or used to their maximum capability.

撰寫投影片SIP原則

S (Simple): 單純簡潔、力求易懂
     一張投影片傳遞一則訊息(one slide, one message),不讓重點被過多訊息掩蓋掉。如果圖表很多,最好選擇能和主要訊息容易聯想再一起的圖表,並且以直覺就能懂的形式繪製。 困惑(confusion)會帶來憤怒 (anger)。如果聽者看了很久還是弄不懂,很可能會當場生氣,不可不慎。
     由於投影片標題就是主要訊息,所以可以省略贅字。可以在標題省去be動詞,以company B losing share代替Company B is losing share.

I (Insightful): 提出客戶不知道、沒發現的觀點
     投影片或圖表標題,不能只是描述 (description),更要能提出洞察 (insight),點出客戶不知道且有針對性的主張 (Insight = something client does not know + specific to client)。 洞察就是談對方不懂的,而不是告訴對方已經知道的事情。

P (Pyramidal): 符合邏輯、前呼後應
     投影片的標題就是論點 (argument),下方是支持上方論點的事實 (facts)或圖表。由上往下可以解釋原因 (why so?),由下往上可以導出結果 (so what?)。每張投影片都必須避免矛盾,下一張必須佐證上一張。事實或圖表如果無法支持標題或論點,就會出現矛盾。

自我檢驗:
1. 內容是否太複雜
2. 圖表是否讓人難以理解
3. 標題是否只有描述,沒有訊息
4. 是否指羅列事實,沒有洞察
5. 前後投影片的訊息是否重複
6. 論點是否缺乏事實佐證或前後矛盾
7. 邏輯是否薄弱

如果簡報的對象是時間寶貴的最高主管,必須另外撰寫只講重點的「結論投影片」 (executive summary),通常放在簡報最前面,大約1~2頁即可。

參考至 經理人雜誌 2015三月號 (p.30~31) 作者 徐瑞廷
   

2015年4月5日 星期日

五個領導潛能

1. 認知力 - 能夠從眾多的資訊中,探究出其中的關鍵因果關係。
2. 學習力 - 願意主動學習公司或未來工作任務所需要的各種知識技能。
3. 人際力 - 能夠努力經營與同仁或顧客之間長期的夥伴關係。
4. 復原力 - 歷經挫敗能夠愈挫愈勇、屢敗屢戰。
5. 影響力 - 許多行為表現能引起同仁仿效。

名言佳句

1. 富蘭克林: 沒做好準備,就準備好失敗。 (By failing to prepare, you are preparing to fail.)

2. 金恩在之後的證詞總結中說,自己之所以走入歧途,是因為「站在魔鬼這一方的人,比站在上帝這一方的人更懂得向我推銷。」 - 企業裡的哲學家 <<商業冒險>>

3. 侵權法中有句格言:每條狗都有免費咬一口的法律保護,在一條狗咬人之前,你不能假定牠是凶惡的。<<商業冒險>>

4. 不是三世做官,不知道穿衣吃飯。 (有足夠的錢才能夠享受)  <<茂陵秋>>

5. 勤儉是美德,知足是快樂,工作是幸福,懶惰是罪惡。 - 台達電董事長鄭崇華父親寫的對聯

6. 仁不帶兵,義不行賈。

7. 我們看著自己很偉大,這十幾年幹得多辛苦,歷史怎麼看? 孔老二就是兩頁紙,秦始皇幾十個字,他一嚓,也沒了,所以把自己活好。 <<馬雲內部講話二>>

8. 以正治國,以奇用兵。

9. 小要擁抱變化,大不能擁抱變化,小的跟大的打要靠靈活,大的跟小的打是靠實力,慢慢出手,一拳把你給辦了。 <<馬雲內部講話二>>

10. 貴族懂得花錢,平民懂得掙錢,這個距離是永遠拉不攏的。貴族懂得花錢,懂得生活,他已經看透了,平民總是掙錢,掙錢。我們團隊要學會懂得讓人真正開心起來,錢是讓人開心的一個因數而已。 <<馬雲內部講話二>>

11. 悲觀的人越想越複雜,樂觀的人說那就做吧,開心的人說這就是生活。 <<馬雲內部講話二>>

12. 我以前學英語時有個夢想,早上在倫敦吃早飯,中午在巴黎吃午飯,晚上到布宜諾賽諾斯散步。現在我過上了這樣的生活,我覺得世上做痛苦的生活就是這樣的。 <<馬雲內部講話二>>

13. 天與不取,反受其咎。

14. 最可怕的事情不是別人比你聰明,而是比你聰明的人比你更努力。

15. 拳頭大的是哥哥,胳膊粗的是爺爺

16. A belt-and-suspenders approach ensures that a gentleman’s pants stay up.

17. 尼采:「唯有能夠控制自己情緒的人,才能得到真正的自由。」

18. 在商場上,重點不在於別人有沒有輸,而是你會不會贏。

19. 快快學,快快錯,快快改,最後快快會。

20. Performance is not how well a system works; performance is the service perceived by user and stakeholders.

21. failure is not an option

22. efficiency only is established, along with effectiveness

23. 吳淡如:「年輕人不應再你最能吃苦時,卻選擇了安逸。」 否則年老之後,將面臨更淒涼或流離的老年生活。


2015年4月4日 星期六

Common Software Insecure Design

1. Improper implementation of least privilege
2. Software fails insecurely
3. Authentication mechanisms are easily bypassed
4. Security through obscurity
5. Improper error handling
6. Weak input validation