IT求职：刷题不如听我二计

1. 把Heart Bleed Bug搞清楚。
从源代码到business impact,
你要能一清二楚而且表达得头头是道。

保证你们面见的大头都扫地相迎。
因为他们正身在噩梦之中，
不在乎有功，只在乎无过。
http://www.inferse.com/14435/heartbleed-bug-handling-security/

学习code quality/security audit.
几个人一起，把openssl 合力audit一次。
特别是用的少的部分， 互相交流，互相present。

最基本的比如： web programming,
mobile programming, framework
有什么 coding standard,
secure coding practice.
有什么 常见的网络安全fail.
coursera 上有 CYBERSECURITY SPECIALIZATION。
UT， 很多学校也有COURSEWORK

私心希望这样大家都可以自己养成好习惯，
而且知道怎样挑某族裔的刺，掌握主动权。
可攻可守。

当然遇到烙印就别来这一套。
烙印最忌讳有人比他们能吹。
装书呆子，老实巴交，苦力怕事
最有机会被烙印放过。

2. 提高EQ

先入club, 再阅读：http://www.mitbbs.com/club_bbsdoc/ITRelief.html

参照烙印的EQ：http://www.mitbbs.com/clubarticle_t2/ITRelief/31121015.html

建议老中发动起来帮助老中政客们电话拉票，
学习目标： 聆听， 见机行事， 电话礼貌， 英语， 心理抗rejection, 责任感， 荣誉心，移位思考。
老中政客们入选，你们以后resume也多一个reference, experience!
请当双赢来认真对待。 你们看烙印支持O8 campaign卖了苦力，就无数O8的
"恩主”出现了， 在技术公司政府狐假虎威。

SVCA征集全美义工Phone Banking:http://www.mitbbs.com/article_t/CivilSociety/9909.html

Tipsheet by Aijie:

Phone bankings tips by our volunteer, Aijie.
1）打电话前，注意一下他们的性别，年龄，党派，地址，因为有的人家用一个电话，
甚至夫妻互换了电话。这样接通时自己可以有心理准备。称呼Mr.或者Ms.，而不是其
first name, 一方面是正式尊重，另一方面是因为知道姓，比知道名要容易，不会让对方的第一反应是‘你怎么知道我的名字’。 对DM先不要说PK是共和党，侧重介绍PK做
了什么，尤其是为亚裔，作为我们的一份子为我们发声。
2）对典型的华人的名字，hello后可以直接用中文,尤其是40-50岁的人，一定会中文。而且一些60岁左右的叔叔阿姨，他们不会英文，不至于开口就把他们吓走。对于不太确定的名字，可用英文问是否可以讲中文。从对方口音，可以找认同感，比如来自大陆就介绍自己也是，来自台湾就介绍PK也是，等等。
3） 打电话时间的选择，个人觉得11am-12pm, 最迟不能超过12:30pm，因为忙了一上午，11开始大家会比较放松，好聊。最晚12半后应该都在吃饭，不好打扰。然后4pm-7pm
，最迟不能超过7:30pm，呵呵，比建议的8pm早了半小时。另外要注意对方下班开车时
间，如果遇到，可以说还是先注意驾车安全，晚些再打。
4）记录自己打电话的时间。如果中午没人接，晚上再打。2次后都没人接，第3次留言
。最多别超过3次，不然对方也会烦的。这一点和建议的也不一样。我用这种办法，找
到了几个第一次没接的，有了直接对话的机会，成功率大些。当然，如果建议还是第一次就直接留言，我会照做。
5）对于不同的声音，不要马上反对。尊重对方，听他讲，再用事实和数据说话。我和
一位Xu太太聊了半个小时，她有几点不同的意见。（1）她是支持平权法案的，觉得不
能因为当初我们亚裔受益就支持，现在不受益就反对。我听她说完，称赞她关心实事，为所有族裔利益考虑，有开明的思想，等等。然后再说历史的原因，50年前，为了那些历史上受歧视压迫受到不公待遇的少数族裔和女性，有了平权AA，照顾他们，是真的为少数族裔提供机会。而后来，加州的各个族裔在变化，一些有才华的学生却因为族裔而受到逆向歧视不能入学。所以20年前才取消了平权，所有学生都用成绩来竞争，而不是族裔。20年后，现在的SCA5不是平权，西裔人口已经接近40%，如果通过，就是为人数
占多数的族裔服务了。（2）Xu太又说不赞成华人只知道学习，就成绩好。我又先赞她
考虑周全，不能让孩子死读书。然后指出大学录取学生并不是只看GPA，学生的申请要
全方位发展，各项优秀，才能被看中。并用林书豪Jeremy Lin的例子来说。她很开心，很喜欢林那样的。（3）Xu太说不喜欢竞选的人到了社区总是强调自己是亚裔，会为亚
裔争取利益。不能说对亚裔好，而是应该是对美国的发展好。我还是赞她有开明的思想，民主的意识。然后再说，其实其他族裔的竞选者也都是打自己的社区这样说的。比如奥巴马当年竞选，自己族裔的都去投票。首先要让自己的族裔支持自己，才有可能获得更大的支持啊。后来Xu太也说明白为什么西裔的竞选也要这样，不管怎样，还是要支持PK的。
6） 留言。因为没有反馈，我不知道效果如果。我录了一下几段留言的时长。范例用时1：45-2min。我很喜欢Lei的简短版，约1min.我自己也有个简短版，和Lei的非常相似
，约1min.增加了一点，就是对于名字像华人的，我在说完PK后，用中文再说一遍他的
名字。
谢谢大家！一起努力！

mark

mark

【 在 onetiemyshoe (onetiemyshoe) 的大作中提到: 】
: 1. 把Heart Bleed Bug搞清楚。
: 从源代码到business impact,
: 你要能一清二楚而且表达得头头是道。
: 保证你们面见的大头都扫地相迎。
: 因为他们正身在噩梦之中，
: 不在乎有功，只在乎无过。
: http://www.inferse.com/14435/heartbleed-bug-handling-security/
: 学习code quality/security audit.
: 几个人一起，把openssl 合力audit一次。
: 特别是用的少的部分， 互相交流，互相present。
: ...................

Re一个

说的不错, 很多时候, 很多马工认为自己刷题越多 得到offer机会越大. 实则不然, 你技术上的能力是一方面, FLG当然需要技术全面的人才, 但是你的一些soft skills 比
如切入话题的时机, 表述方式 都能打动面试官.

想象一下, 你和一个SVP面谈, 你不需要等他打开话题, 你可以就目前热点的问题比如
楼主提到的heart bleed exploit 谈谈自己的看法 和一些code-level的contingency
自然而然就可以更好地和对方沟通, 很多情况下, 很多技术一流的马工最终倒在无法有效得和面试官沟通.

Mark一下

说得好！

感谢大家的鼓励！

便宜／免费的网络安全课：https://www.coursera.org/course/inforiskmanhttps://www.coursera.org/course/infosechttps://www.coursera.org/specialization/cybersecurity/7?utm_medium=
courseDescripTop

安全代码tips／practices:https://www.securecoding.cert.org/confluence/display/seccode/Top+10+Secure+
Coding+Practiceshttp://en.wikibooks.org/wiki/Computer_Programming/Standards_and_Best_Practices

请大家多分享资源。 3人成组，
互相评论代码，一起刷题，mock interview.

请注意先说好话，再说批评。 对自己人
鼓励为主， 互相学习！

MARK，谢谢！
【 在 onetiemyshoe (onetiemyshoe) 的大作中提到: 】
: 1. 把Heart Bleed Bug搞清楚。
: 从源代码到business impact,
: 你要能一清二楚而且表达得头头是道。
: 保证你们面见的大头都扫地相迎。
: 因为他们正身在噩梦之中，
: 不在乎有功，只在乎无过。
: http://www.inferse.com/14435/heartbleed-bug-handling-security/
: 学习code quality/security audit.
: 几个人一起，把openssl 合力audit一次。
: 特别是用的少的部分， 互相交流，互相present。
: ...................

mark!

http://www.csoonline.com/article/2150742/malware-cybercrime/oauth-weakness-threatens-users-of-social-media-sites.html

Depending on their OAuth implementation, social media sites, such as Google, LinkedIn and Yahoo, could share users' personal information with malicious third-party websites, experts say.

OAuth is an open framework used by social networks to authorize third-party sites seeking profile information from network users who provided permission for the data sharing. Security problems arise when the social network
implements OAuth in a way that it cannot determine for certain the third-
party site is who it says it is.

FEATURED RESOURCE

Presented by Citrix Systems
10 essential elements for a secure enterprise mobility strategy
Best practices for protecting sensitive business information while making
people productive from
LEARN MORE
Jing Wang, a PhD student in mathematics from Nanyang Technological
University in China, described the problem, called a "covert redirect, in a research paper.

Which, if any, major Internet sites are affected is not clear, since it
would depend on their OAuth implementation. Wang claimed Facebook is
vulnerable, but the site declined to fix the problem immediately.

"Short of forcing every single application on the platform to use a
whitelist, (the problem) isn't something that can be accomplished in the
short term," Facebook said, according to Wang.

ding

ding

lz建议还是不错的，不过不是每个人都对security感兴趣吧，大家可以把自己擅长领域的热门问题研究研究。

mark！

mark

mark