请尽快升级你的IE 6

 Internet Explorer, Microsoft  1 Response »
152012
 

前几天,IE(Internet Explorer)的团队特地制作了蛋糕,来庆祝IE6在美国的市场占有率不足1%;与此同时,在中国仍然有高达四分之一的用户在使用着IE6。

以上数据来自IE6CountDown.com

Windows XP是一款相当成功的操作系统,IE 6也就随之一起流行了起来,尽管用现在眼光来看,IE 6有着这样那样的毛病,但是在当时,IE 6几乎就是网页设计的标准。随着科技的发展,IE 6也有退休的一天,Windows 7带来了IE 8,Windows 8即将带来IE 10。每一个新版本都有大量的新功能,新特性,而相应的网页设计也随之发生了改变。但是似乎人们的习惯并没有发生改变……

这其中可能有那么几个原因:

  1. 习惯于IE 6的界面,不愿意花时间来熟悉新的界面。这种习惯很好理解,当你熟悉一样事物时候,就不太愿意尝试其它同类的事物,比如买衣服总盯着一个牌子;喝惯了星巴克的咖啡,就觉得其它店的咖啡不好喝。这些习惯对日常生活的影响并不大,衣服在几百年前就是这个样子,几百年后也不会变得太离谱。咖啡也是。但是电子产品就不是这样了,二十年前,还没有浏览器这个东西;十年前,在线看视频还属于天方夜谭;接下去的几年里,浏览器的功能和重要性将发生天翻地覆的变化。如果你不紧跟着潮流,很快这个世界就会把你甩开了。柯达和它的胶片相机就是一个很好的例子
  2. 由于使用了盗版的Windows,没办法升级。暂且不说盗版的危害性,盗版的存在固然有它的道理。但是这并不能阻止你使用先进的软件。同样买一张盗版盘,为什么不买Windows 7的呢,反正价格都一样……
  3. 我并不清楚自己在使用哪个版本的IE。如果你正在使用Windows XP,并且没有主动升级过IE的版本,那么你很有可能正在使用IE 6;但是如果你已经升级到了Windows 7,那么恭喜你,你不用担心你的IE了。

如果你已经动心,想安装新版本的IE:

  • 如果你正在使用Windows XP,请点这里来下载并安装IE 8。因为IE 8是最后一个支持XP的版本了,后续IE版本都要求Vista及以后的Windows;
  • 如果你正在使用Windows 7,请点这里安装IE 9。IE 9是目前最新的一个正式发布版的IE。
  • 如果你的朋友也在使用IE 6,请帮忙说服他们一起升级IE,为互联网的发展做一点贡献……
 Posted by Shuhai Shen at 20:22

使用7-Zip来压缩、解压

 7-Zip  No Responses »
152012
 

你还在纠结WinZip和WinRAR哪个好用吗?自从Windows XP自带了Zip格式的压缩和解压功能之后,WinZip就已经被宣告死亡了;而WinRAR的免费版会经常弹广告出来,很讨厌。

事实上,你有更好的选择,那就是7-Zip。7-Zip是一款免费的压缩软件,它比WinZip和WinRAR都好用。它提供了以下几个功能:

  •  支持多种格式,如Zip、RAR、7z等。其中7z是7-Zip提出的压缩格式,压缩率很高,比Zip和RAR都要高出10%或更多。由于版权的原因,7-Zip支持RAR的解压,但不支持压缩,不过这样问题也不大,大不了不用RAR格式就可以了。
  • 和一般压缩软件一样的文件管理器。可以用来查看压缩文件的内容而不必先把它们解压。不是很常用,但总比没有好。
  • 多语言支持,包括简体中文
  • 自解压功能,和对压缩文件的加密

顺便附上7-Zip的安装文件,版本9.20,发布于2010年11月18日:

 Posted by Shuhai Shen at 17:13

超级本是什么东东?

 Intel, 硬件  No Responses »
132012
 

最近,超级本(Ultrabook)这个概念渐渐火热起来。什么是超级本?它和一般的笔记本有没什么区别?

超级本是Intel主导的一个概念,和传统的笔记本比起来,超级本更轻、更薄、耗电更少。超级本被视为Intel用来和Macbook Air抢市场的产品。

以下是一段华硕UX21的广告:

为了推动超级本的发展,Intel做了一系列努力:

目前Intel对超级本的定义是厚度小于21毫米,重量小于1.4公斤,待机时间超过5小时。上述的UX21的最厚的地方为17毫米,最薄的地方仅有3毫米,和Macbook Air相当(作为参考,iPhone 4的厚度是9.3毫米),重量1.1公斤。

半年之后,Intel将会推出新一代的Ivy Bridge CPU,进一步提高超级本的运算性能;一年之后,Intel会进一步降低CPU的功耗,从现在的17W减少到15W。

既然超级本这么好,那普通的笔记本岂不是要淘汰了?事实上,Intel的估计是到2012年末,有40%的民用笔记本是超级本,普通的笔记本依然有些很大的市场。原因是超级本的价格偏高,接近1000美元,并非人人都消费得起……所谓一分价格一分货……

 Posted by Shuhai Shen at 12:31

新浪密码泄露和SQL注入攻击

 SQL, 互联网, 安全  1 Response »
052012
 

今天一早,刘谦在微博上大呼“恐怖”,仔细一看,原来是他的密码被泄露,被人恶意地发了微博。

事件的发布者游侠安全网表示,这次的攻击并不针对刘谦本人,而是有一个漏洞,可以使坏人窃取到所有新浪用户的密码。攻击的原理是通过新浪爱问的页面中的SQL注入漏洞来完成,理论上可以获取所有新浪爱问用户的密码,由于新浪旗下的服务共享账号,所以新浪微博的用户也会受到牵连。

新浪爱问随即发表微博:由于新浪爱问存在系统漏洞,可能导致约30万登录过爱问的新浪帐号存在被盗号风险,我们已紧急修复此漏洞。这批帐号已被保护,需修改密码后才能使用。由此给用户带来的不便,我们深表歉意。近期账号安全问题突出,我们再次提醒广大用户注意账号安全。

由此,我们可以得知,新浪内部也是使用明文保存密码的。如果你的微博被盗了,不必感到奇怪,明文存储的谁都能看到……

接下来说说SQL注入(SQL Injection),这是一个什么样的攻击方式呢?在网站设计中,查询关系型数据库一般会使用SQL语言,查询语句一般是(继续拿刘谦同学作例子):

Select 用户信息 From 数据库 Where 用户名=’刘谦‘ And 密码=’刘谦的密码’

表示从数据库中查找用户名是刘谦并且密码是刘谦的密码的用户,如果存在这样的用户,就输出他的信息。用户名和密码都是用户输入的。看上去没什么大问题,但是由于编程语言层面的一些缺陷,使坏人有了可乘之机。比方说,如果有人故意把用户名写成刘谦‘ Or ’1′=’1,这样整句查询就变成了:

Select 用户信息 From 数据库 Where 用户名=’刘谦‘ Or ’1′=’1‘ And 密码=’刘谦的密码’

这样的话,由于’Or’的优先级较低,后面半句语句可视为不起作用,然后这个查询就等价于:

Select 用户信息 From 数据库 Where 用户名=’刘谦

其意义就是从数据库中查找用户名是刘谦的用户,这样就必然可以查找出刘谦同学的资料了,包括密码。当然在实践中,对SQL语句的构造方法要复杂得多,这里只是举一个例子。

SQL注入攻击在10年前相当的流行,当时国内的互联网刚刚起步,大家对相关技术都不是特别了解,于是大大小小的网站多少都存在SQL注入的问题。不过发展了这么多年,新浪依然存在这么低级的问题,实在是不敢恭维。更可恨的是,他家的密码也是明文存储的。就在前几天,新浪还信誓旦旦地说自家的密码保存工作做得很好……

 Posted by Shuhai Shen at 20:47

使用Putty连接Amazon EC2 Instance

 Amazon, 云计算  No Responses »
022012
 

Amazon的EC2中,默认是不允许使用用户名和密码直接连接Instance的,而是通过AWS (Amazon Web Service)提供的证书。在第一次使用EC2的时候,AWS会要求你创建一个证书并下载,证书是一个.pem文件。在Linux上可以直接使用SSH来连接,比如:

1
ssh -i 证书.pem ec2-user@Instance的IP地址

在Windows中,可以使用Putty工具来进行SSH连接,只不过Putty不能直接使用的.pem格式的证书,需要转换成.ppk才可以。这时就需要使用PuttyGen工具了(在同一个页面就有下载):

1. 打开PuttyGen工具

2. 点击Load加载.pem证书

3. 点击Save private key来保存.ppk证书

新生成的证书就可以在Putty里使用了。

大致的使用方法是在Putty的设置Connection->SSH->Auth里添加.ppk证书,如下图:

然后就可以使用Putty来连接EC2的Instance了,默认用户名是ec2-user。

 Posted by Shuhai Shen at 02:52

在Amazon EC2上安装VPN服务

 云计算  No Responses »
012012
 

Amazon EC2提供了一年免费试用,Micro Instance,配置是613M内存,最多2核的CPU,和每月15G的流量。搭一个VPN服务器绰绰有余了。

操作系统我选的是Amazon Linux,感觉Amazon的定制版更高效,尽管它可能没有Ubuntu那么强大。

安装过程如下:

1. 安装ppp:

1
yum install ppp

2. 下载并安装pptpd:

1
2
wget http://poptop.sourceforge.net/yum/stable/packages/pptpd-1.3.4-2.el6.i686.rpm
rpm -Uhv pptpd-1.3.4-2.el6.i686.rpm

3. 修改/etc/ppp/options.pptpd 文件中添加DNS服务器:

1
2
ms-dsn 8.8.8.8
ms-dns 8.8.4.4

以上2个是Google提供的免费DNS

4. 在/etc/ppp/chap-secrets文件中添加VPN用户,格式为“用户名 服务器 密码 IP地址”:

1
vpnuser pptpd myVPN$99 *

5. 然后需要打开IP转发(IP Forward)功能,在 /etc/sysctl.conf 文件中修改:

1
net.ipv4.ip_forward = 1

6. 然后保存设置:

1
sysctl -p

7. 在IP Tables中开启IP伪装(IP Masquerade):

1
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

如果你需要这个设置在重启之后依然有效,则需要把这一行添加到/etc/rc.local的末尾。

8. 然后把pptpd设置成自动运行的,重启一下就OK啦……

1
2
chkconfig pptpd on
init 6

9. 最后别忘记在EC2的管理界面(Management Console)中,打开TCP的1723端口,这是pptpd的默认连接端口。

10. 大功告成。在Windows中添加一个PPTP类型的VPN玩玩吧……

 Posted by Shuhai Shen at 00:52

史前新纪元 Terra.Nova 2011

 影视, 美国  No Responses »
十二 312011
 

剧情还可以,只不过据说收视率不行,第二季上映的可能性不大……

大概的剧情是,2149年的时候,人类的科技已经对环境造成了严重的破坏,到了无法继续生存的地步。这个时候,他们发现了一种方法,可以穿越到另一个平行宇宙中,新的世界的时间是公元前XXX年,那时候恐龙还没有灭绝……

看标题以为这个剧走的是科幻路线,看了几集之后发现还真有点《X档案》的味道,不过随着剧情的发展,整个剧逐渐地转变成了伦理片……

新的世界中的资源非常丰富,2149的领导者们也没想着建立一个新的社会,而是在研究怎么样把新的世界中丰富的资源转移回2149年,于是一场战争就开始了……第一季的末尾,2149年的科学家打通了反向道路,正准备开始大面积开采的时候,通道却被新的世界的军队炸毁了……

我还想知道剧情接下去要怎么发展的时候,得到的结果居然是不拍了@@,太杯具了……

 Posted by Shuhai Shen at 23:25

索尼又要杯具了?

 互联网  No Responses »
十二 302011
 

最近,著名的Anonymous组织给索尼发了一封恐吓信,以警告索尼不得继续支持禁止网络盗版法案(SOPA)。

以下是恐吓信的原文及翻译:

Hello, SONY.
We are Anonymous.

It has come to the attention of the Anonymous activist community that you have chosen to stand by the Stop Online Piracy Act. This act will halt online businesses and restrict access to many sites for many users. Supporting SOPA is like trying to throw an entire company from off a bridge. Your support to the act is a signed death warrant to SONY Company and Associates. Therefore, yet again, we have decided to destroy your network. We will dismantle your phantom from the internet. Prepare to be extinguished. Justice will be swift, and it will be for the people, whether some like it or not. Sony, you have been warned.

To those doubting our powers. We’ve infiltrated the servers of Bank of America, The United States Department of Defense, The United Nations, and Lockheed Martin. In one day.

For their approval to SOPA, we have also declared that our fury be brought upon the following persons. Justin Bieber. Lady Gaga. Kim Kardashian. and Taylor Swift.

Operation Blackout, engaged.

Operation Mayhem, engaged.

Operation LulzXmas, engaged.

We are Anonymous.

We are Legion.

We do not forgive.

We do not forget.

Supporters of SOPA, you should’ve expected us.

你好,索尼。我们是Anonymous。

我们Anonymous激进主义社群,最近留意到原来贵公司选择支持那个“Stop Online Piracy Act(SOPA)”。这个法案不单只会阻截网络上的交易,它更会限制很多用户,对很多不同网站的通行权。支持SOPA就相当于把整个公司从桥上扔下。贵公司支持这项法案,就是为“索尼”及其附属机构签署了一张死亡证明。所以,又一次,我们决定要来摧毁贵公司的网络;我们会把索尼从互联网中剔除,做好被消灭的准备吧。为了人民,纵使会惹来部分的不满,正义转眼将至。索尼,我们已经警告过你们了。

怀疑我们能力的群众——我们已经在一天之内,入侵了美国银行、美国国防部、联合国、以及洛克希德·马丁。

至于那些公开支持SOPA的个体,我们同时在此宣布,我们将会把怒火降在以下这些人身上,他们包括有:贾斯汀·比伯、Lady Gaga、金·卡戴珊和泰勒·斯威夫特。

Blackout行动,启动。

Mayhem行动,启动。

LulzXmaz行动,启动。

我们是Anonymous。

我们是军团。

我们从不原谅。

我们从不忘记。

SOPA的支持者,你们早应该料到有此一日。

我想,大家应该都是支持Anonymous的吧:P

 Posted by Shuhai Shen at 23:50

在Gmail中选出所有未读邮件

 Gmail, Google  No Responses »
十二 292011
 

几天不看邮件,就有几百封新邮件了,Gmail中分了很多页显示。其中多数是广告,也不是很高兴看,不过一直显示有N封未读邮件,看着不舒服。于是就想找出所有未读的邮件,一起标记成已读就好了。

貌似Gmail的界面中并没有提供按钮可以做到这件事,不过想想Google的搜索特长,应该可以通过搜索搞定。Google了一下,果然,在搜索框里输入ls:unread,再点搜索即可。简化版的指令是l:^u,效果是一样的。

还有一些类似的指令:

  • l:^u from:tim 找出所有来自tim的未读邮件;
  • l:^u l:^t 找出所有未读的加了星标的邮件;
  • l:^u l:^k subject:hi 找出所有垃圾箱中的标题包含“hi”的邮件。
 Posted by Shuhai Shen at 13:45

今年的圣诞大礼:密码泄露

 互联网, 安全  No Responses »
十二 262011
 

上周CSDN网站600万用户数据泄露之后,今天又暴出了天涯论坛4000万用户信息泄露,其中也包含了明文保存的密码。一时间,大网站的安全性受到严重质疑,如何保护自己的账号成了一个热议的话题。

关于天涯社区部分用户账号被泄露的声明:

由于历史原因,天涯社区早期使用过明文密码,此次被盗的数据为2009年之前的备份数据。2010年之后,我们升级改造了天涯社区用户账号管理功能,使用了强加密算法,解决了天涯社区用户账号的各种安全性问题。

这个事件的关键词是“明文密码”,什么是明文密码?明文密码是指服务器将用户密码不经过任何处理,就存放在数据库中。只要坏人破解了数据库,就可以看到所有人的密码。 一旦拿到了密码,就可以进一步窃取其它隐私信息了。就像银行卡密码,拿到了密码就可以取钱。所以数据库安全中,有一条很重要的规范就是不得将密码以明文的方式保存。通常的作法是,创建一条转换规则(即上述声明中的“加密算法”),把用户的密码转换成一个新的(不一样的)密码,再存到数据库中。这样即使坏人知道了新的密码,由于他不知道转换规则,或者转换规则本身不可逆,他也没办法使用这个账号登录。以前常用的转换规则是MD5,不过MD5在2008年被证实有严重的安全性问题,现在的常规选择是SHA-2或更高级的方法。

那么如果服务器对密码加密了,是不是就安全了?不一定,取决于密码的强度。假设密码是8位的纯数字,总共可能有1亿种组合,如果坏人对这1亿种组合进行枚举探测,1秒钟可以探测1000个(在实际操作中,这个数字会更大),那他只需要1天左右的时间就可以破解出这个密码来;而密码如果是8位的小写英文字母+数字的组合,那总共可能有超过2万亿种组合,坏人需要90年才能探测出来。由此可见,密码的强度取决于所使用的字符集的大小,所以,使用一个小写字母+数字+符号的组合,并且长度至少8位的密码,会使用破解密码的难度变得非常大。

那么使用了一个高强度的密码,是不是就安全了?也不一定。如果服务器存的是明文密码,再高强度的密码也没有用。如果你在所有的网站都使用同样的邮箱注册,并使用同样的密码,一旦碰上像天涯这样猪一样的队友,其它网站的注册信息就一起遭殃。要预防这类连锁反应的发生,只能使用多个密码,这样即使泄露了其中一个,其它几个密码也不会受到威胁。当然密码的数量需要控制,太多的话,记不清也会很痛苦。

最后有一个小提示,在一个网站注册完之后,如果那个网站发来一封邮件,里面提到了你刚刚填的密码,那么这个网站一定保存了你的明文密码……

 Posted by Shuhai Shen at 23:09
1 2 3 36 37
© 2004 - 2011 Leona+ Suffusion theme by Sayontan Sinha