November 2007
网站登录的加密传输安全
Posted by admin on November 25, 2007 in 行业资讯
刚才看到了两篇文章,分别是“QQ网站登录的RSA加密传输缺陷分析”和“RSA非对称加密的一些非常规应用”,我这里谈一下我的一些看法。
我以前曾经写过一篇文章“网站的安全登录认证设计”,对于QQ登录使用RSA进行加密传输,的确是一种低成本的替代SSL的方法,因为SSL本身需要数字证书颁发机构(CA)的介入,还需要一定费用,因此对于安全程度不高的系统使用RSA加密进行“网络传输”上的加密安全也是一种选择。
然而,不使用SSL带来的后果就是安全性的降低,相当于网站自己当CA,自己颁发数字证书。数字证书颁发机构(CA)在互联网安全生态链中扮演一个非常重要的角色,因为CA充当可信任的第三方在验证申请者的真实身份后才颁发SSL证书。因此,CA从一定程度上保护了最终用户的信息安全,并预防了网站自己“内鬼”从中窃取用户信息的可能性。因此,使用RSA并不能完全替代SSL的作用。
不过如果黑客通过arp欺骗的方法伪造的RSA密钥的话,我觉得也不一定能窃取用户的密码。因为用户验证密码并非将客户端用户的密码传到服务器上进行验证,通常情况下只要客户端用户密码的“消息摘要算法(Hash function)”和服务器端的一致即可,因此,验证的方法可以这样进行:客户端将用户密码的HASH数值(MD5或者SHA1)使用服务器端生成的公钥进行RSA加密,并传输到服务器端,服务器端接收到以后,使用私钥进行解谜,解密出HASH码后和数据库中计算出的HASH码进行比较,从而进行认证。
这样,即使黑客使用arp欺骗窃取了用户传输的数据,也仅仅窃取了用户密码的HASH值,并不是用户的密码明文,而从密码的HASH值反推用户密码则是十分困难的,详见“密码学基础”一文,因此得到的数据也没有多大用处。
总的来说,增强QQ登录密码的安全强度的方法还有很多种,最安全的方法可以使用类似网上银行的USB Key进行登录验证,那样的安全性就基本达到了相当高的程度了,不过使用成本也达到很高的程度了。
Flickr测试新版上传工具
Posted by admin on November 25, 2007 in 行业资讯
Flickr的照片虽然曾经被封farm1和farm2两个子域名,导致旧图片无法访问,不过目前最新上传的图片都会放在farm3的子域名下,因此最新上传的图片还是可以看到图片内容的,比如我的Flickr,最新的图片都是可以显示的。
很多人上传图片一般都是用Flickr的上传工具,因为可以批量的上传,不怕断线,原有的上传工具非常小巧,仅700多K,最近Flickr在测试3.0版本最新的上传工具,使用Flickr中文版的用户目前在Flickr上传工具中看到的依旧还是2.5中文版,3.0版本的上传工具是英文版,估计繁体中文版稍后也会出来。
最新的Flickr上传工具点这里下载,其大小增加到相当惊人,安装包竟然高达9.80M,比原有的716K增加了十多倍,这是很惊人的。
安装完成之后的界面也令人大吃一惊,新的界面不再是原有的那种简洁明了的界面了,让人感觉不是很好。
就我而言,我宁愿使用Picasa2Flickr这样的工具,可以从Picasa中直接上传到Flickr,可惜的是Picasa2Flickr的上传界面实在令人不敢恭维。另外,我对最新版本的Picasa (v2.7 build 37.27)禁用Picasa2Flickr这个插件表示不解,也许Google对待竞争对手还是不能完全信守“不作恶”的信条。
【谚语】智者乐水
Posted by admin on November 25, 2007 in 每日英语
小的时候,听过这样的话:“仁者乐山,智者乐水。”那么什么是智者呢?简单而言,就是聪明人。国人一向深以聪明而自诩甚至自傲,就连三尺小童在得到聪明的表扬之后也难免雀跃之情。国内一位学者称:“教也者,长智而救其愚者也”,主张通过教育而得智,由此可想如果我们都变成智者或许生活就会美好了许多吧?老子也说“上善若水”,希望人们可以拥有如水般得德行。既然人人都追求“智”,让我们以智者的箴言来要求自己吧:
把自己当成别人;把别人当成自己;把别人当成别人;把自己当成自己。
1. A wise head makes a close mouth. 智者寡言。
2.A still tongue makes a wise head. 智者寡言。
3. A wise man cares not for what he cannot have. 智者不作非凡之想。
4. A wise man [...]
【商务英语】面试中的甜言蜜语
Posted by admin on November 25, 2007 in 每日英语
在面试中,大家都希望能够运用自己的三寸不烂之舌对招聘方“甜言蜜语”,以便能够得偿所愿。今天我们就为大家准备一些此类的话题,仅供大家学习。
1. What is important to you in a job?(工作中对你最重要的是什么?)
Challenge, the feeling of accomplishment, and knowing that I have made a contribution.(挑战,成就感以及明白自己对公司有所贡献) 2. Why do you want to work for this organization?(为什么你想应聘这个工作?)
Its reputation, the opportunities it offers, [...]
口语突破关键:模仿+复述
Posted by admin on November 24, 2007 in 每日英语
俗话说“熟能生巧”,“熟练”是与人会话的前提,只有熟练,在会话时才能流利。熟练的标准就是要达到不假思索地脱口而出。而英语口语要做到熟练,有两大步骤不能忽视:一是要学会模仿,二就是要学会复述,本周就这两个步骤和大家共同探讨提高英语口语的对策——
衡量口语水平四大要点
1.语音、语调是否正确,口齿是否清楚;
2.流利程度;
3.语法是否正确,用词是否恰当,是否符合英语表达习惯;
4.内容是否充实,逻辑是否清楚。
这些是衡量会话能力的主要标准。针对以上标准,我们可以采取相应的训练方法:
模仿的原则
一要大声模仿这一点很重要,模仿时要大大方方,清清楚楚,一板一眼,口形要到位,不能扭扭捏捏,小声小气地在嗓眼里嘟嚷。
二要随时都准备纠正自己说不好的单词、短语等
有了这种意识,在模仿时就不会觉得单调枯燥,才能主动有意识的、有目的地去模仿,这种模仿才是真正的模仿,才能达到模仿的目的,也就是要用心揣摩、的体会。
三要坚持长期模仿一般来说,纯正的、优美的语音、语调不是短期模仿所能达到的,需要一段时间,时间的长短取于自学者的专心程度。
模仿的标准
[...]
【名人名言 】文化是活着的历史
Posted by admin on November 24, 2007 in 每日英语
文化是活着的历史。当时间流逝,一切坚固的东西都将烟消云散,惟独文化和精神将长存。马修·阿诺德在19世纪60年代说,文化这个概念很微妙地包含了一种使人美好、高尚的东西,每个社会中被认为是最优秀的因素。文化的链条就是在传承中延续,在古香古色中沉淀,而我们嗅着文化的气息成长,你感觉到了吗?
1. A great poem is a fountain forever overflowing with the waters of wisdom and delight .(P. B. Shelley , British poet )
伟大的诗篇即是永远喷出智慧和欢欣之水的喷泉。(英国诗人 雪莱. P. B)
2. A novel is a mirror walking along a main road .( Stendhcl [...]
遇到第一个让我失望的淘宝卖家(置顶)
Posted by admin on November 23, 2007 in 博客公告, 生活百科
在淘宝买过很多东西了,一直都还算不错,卖家基本都比较付责任,即使有碰到对商品有异议的,基本通过协商都有让我满意的答复,这次碰到的卖家着实让我失望,相当的失望,以下是发生的实际情况:
鞋子当天就整个鞋底脱胶,脱胶程度达到85%,由于本人收到货就给了对方好评,对方态度很冷淡,爱理不理,经过交涉,才勉强同意我快递给他,而且还不肯换新的,只肯给我修,快递给他以后大约有5天左右,都没有回复我,完全没有了音信,这种淘宝卖家让我很失望,不在乎这50块钱,关键是讨个说法,强烈要求淘宝给我撤掉给予对方的好评。
全球之声推出Access Denied Map
Posted by admin on November 23, 2007 in 行业资讯
Google Maps提供的Google Maps API可以开发出不少Mashup应用,全球之声推出了一个有趣的Maps Mashup,以地图的形式显示出那些地区正在阻止和控制流行的Web 2.0服务的应用。
Web 2.0模糊了普通Blogger和专业新闻工作者之间的界限,产生了一批“公民记者”,他们能在第一时间报道突发新闻事件,揭露丑恶的罪行,证实了“Web 2.0用户产生内容”所带来的巨大潜能,全世界这些独特新闻来源的共同特点都是,他们有效的利用了Web 2.0的技术。
然而,这个世界上还有一些人在控制和垄断着信息的传播权,在互联网上收紧这个新兴的服务,“用户产生内容”的Web 2.0被视为一种威胁,越来越多的国家正在寻求通过法律或者技术手段阻止和控制Web 2.0的传播,多媒体分享网站、社会化网络社区、地图工具以及流行的Web 2.0网站正在成为越来越多国家所重点“监控”的对象。
为了揭示全世界的监控与反监控的情况,全球之声开发了这个Access Denied Map应用,可以通过Google Maps互动式的提供各种针对网上社区或者社会化等Web 2.0服务所遇到的审查情况,点击地图上的国家,可以看到这个国家目前的文字、图片、视频等服务的审查情况。
其实这个东东和我先前写的一篇文章《我无法访问的国外优秀网站》有点类似,只是显示形式更为直观了。
全球之声Access Denied Map的访问地址是:http://advocacy.globalvoicesonline.org/maps/
腾讯QQ拼音输入法试用
Posted by admin on November 23, 2007 in 行业资讯
几天前,腾讯在官方网站低调发布了“QQ拼音输入法”,自称是“Q哥Q妹自己的输入法”,9月份我曾经测试过早期的腾讯QQ拼音输入法,当时感觉功能还比较单薄,今天我再次安装试用这个新版本的腾讯QQ拼音输入法,发现其功能有了一定的增强和提高。
大小和速度
安装包大小为11.59M,比上次的多了一点点,从QQ拼音输入法的官方网站上看,腾讯强调了QQ输入法“速度最快,占用系统资源最小,利用最好的算法,最少的损耗,达到最优的性能”。从使用上看,速度的确还算挺快的。
用户词库
我在上次的试用中发现QQ拼音的词库较少,而这次使用发现词库得到了大幅度的扩充,上次找不到的词语这次都可以找到了。另外一个值得注意的细节是,腾讯QQ输入法安装完成后会出现下面这个界面:
这是导入其他拼音输入法词库的功能,虽然我安装了搜狗、谷歌、微软等拼音输入法,但是QQ输入法只提示导入谷歌拼音输入法的功能,并且导入导出的格式和谷歌拼音输入法也非常类似,因此QQ拼音可能把谷歌拼音输入法做为主要的竞争对手。
网络同步
QQ拼音输入法和谷歌拼音输入法一样有网络同步的功能,可以通过绑定QQ帐号来将本地词库同步到网络上,使用和Google拼音没什么区别,对于经常使用QQ软件聊天的人来说,可能会更倾向于使用QQ拼音输入法。
用户界面
对比一下上次测试QQ拼音时候的截图,我们会发现QQ拼音的属性多了一个“界面”设置栏,用于改善输入法和用户的交互界面,其截图如下所示。
这个设置界面中,我们可以修改输入框的显示样式和颜色,以调整到用户自己的习惯界面,这点是原先谷歌拼音输入法所没有的功能,不过设置的还是没有搜狗拼音详细。对于谷歌拼音输入法前段时间发布的自动分析用户的输入来调整词频的功能,腾讯QQ拼音输入法并没有跟风借鉴。
总的来说,目前搜狗、谷歌、腾讯三大网络公司都推出了拼音输入法,从用户设置界面上来看,搜狗拼音输入法的设置选项最多,功能看起来也最多,并拥有独特的“细胞词库”和“皮肤”的特色功能,而谷歌拼音输入法和腾讯QQ拼音输入法无论从功能还是界面上看都非常类似,对于拥有庞大用户群的腾讯QQ来说,一旦将QQ输入法捆绑于QQ软件之中,那么很可能会在经常使用QQ的用户群中占有先入为主的优势。
腾讯QQ拼音输入法的下载地址是:http://im.qq.com/qqpinyin/
Google推出多语言自定义搜索引擎
Posted by admin on November 23, 2007 in 行业资讯
据Google黑板报报道,Google目前已经开放了新的自定义搜索引擎,原来的版本只支持英文,新的定制搜索平台支持世界各地80个国家的近40种语言。
通过自定义搜索引擎,网站管理员可以利用Google的强大功能,根据自己的需求量身打造搜索引擎。比如:搜索多个网站或特定网页;将搜索框和搜索结果放入自己的网站;自定义颜色和品牌以搭配现有的网页等等。
网站管理员和开发者可通过自定义搜索平台提供更相关、可靠、快速以及高效的Google搜索。站点管理员能够利用自定义搜索引擎在社区网站中为用户带来更好的搜索使用体验,企业能够在其公司主页中载入本站搜索;个人用户可以把搜索引擎嵌入他们的博客和主页中;研发人员可以用自定义搜索 API 在其应用软件中搭建合适的搜索。实现这些只需几分钟之内就能把自定义搜索引擎建立起来,而且易于用户自定义和管理。网站管理员还可以自行调整搜索结果的呈现方式,以使其与网站的页面在视觉效果和整体感觉上相匹配。
Google提供一个免费,并支持广告版本的自定义搜索引擎,同时,它还可升级为自定义搜索商业版(CSBE),利用 XML API 使得搜索结果更加符合定制要求,而且广告、邮件和电话也是可选的。
Google自定义搜索引擎的地址是:http://www.google.com/coop/cse/
