服务器性能和带宽的评价

使用新的服务器有一个月时间，基本对服务器的性能和吞吐能力有了一定的了解。内存进行了扩充，原先的512M内存不够使用，新增加了512M，正好做双通道。同时在线人数最多800多，平时400多。带宽目前也还可以，没有出现限制带宽等现象。

目前的访问还正在恢复中，感觉不限制带宽真是很不错。

DreamHost降低CPU Minutes的秘籍

DreamHost的CPU Minutes问题可能困扰着不少人，也有很多人为此无缘无故被DreamHost停了帐号，因此如何快捷的降低CPU Minutes已经成为使用DreamHost的一个重要的环节。经过不断的测试和调整，我发现了一条简单有效的降低DreamHost的CPU Minutes的方法，修改一个配置就可轻松降低CPU Minutes，经过我的测试，最大可以降低50%左右的CPU Minutes，效果非常明显。

具体方法是，在DreamHost的Panel控制台，选择Domains - Manage Domains，选择一个域名，编辑站点，在PHP Version这里，修改站点的PHP版本类型，将其从PHP 5.2.X修改为PHP 4.4.X，这样，网站将使用PHP4而不是PHP5，经过我的测试，使用PHP4后网站耗费的CPU将大为降低，运气好的话有可能降低50%左右的CPU资源，一举解决了CPU使用过高的问题。

为什么会是这样呢？我猜测，可能PHP5比PHP4的速度快，因此就消耗更多的CPU资源，因而使用PHP4虽然速度慢一些，但是消耗的CPU资源就减少了。

如果你的网站流量很大，消耗的CPU很多，那么不妨照此方法测试一下。

免费主页空间服务

做主页比做博客复杂一些，但灵活度就大多了，我这里介绍的大多是国外的免费主页空间，因为国外的空间虽然经常被封，但较为稳定，少有关门的，国内的则大部分都关了，而国外的Angelfire、Tripod、GeoCities等却都一直存活到现在，说明别人的赢利方式很多，经营管理不错。

下面是我认为几个不错的免费个人主页的提供商。

• geocities - http://geocities.yahoo.com

  DEMO URL: http://www.geocities.com/williamlong

  说明：大名鼎鼎的地球村，15MB空间，每小时限制流量4.2MB，可惜每页右边都有一个讨厌的框架广告，长期被封中。

• Tripod - http://www.tripod.lycos.com

  DEMO URL: http://williamlong.tripod.com

  说明：20MB空间，支持Blog和照片，每页顶部有广告。每月有流量限制。

• Angelfire - http://www.angelfire.lycos.com

  DEMO URL: http://www.angelfire.com/me/williamlong

  说明：20MB空间，和Tripod几乎完全一样。只有顶部有一个angelfire的广告，流量有限制。

• Freewebs - http://members.freewebs.com

  DEMO URL: http://www.freewebs.com/williamlong

  说明：100MB空间，每月只有500MB流量，限制可太厉害了。

• Infoseek - http://isweb.www.infoseek.co.jp

  DEMO URL: http://williamlong.hp.infoseek.co.jp

  说明：日本的100MB空间，好象没有流量限制。

• AOL - http://hometown.aol.com

  DEMO URL: http://hometown.aol.com/williamlone

  说明：12MB空间，顶部广告，可以FTP。

苏州GDP超过深圳

2004年度全国城市GDP排名中，深圳市GDP总量3423亿不敌不是经济特区的苏州（3450亿），并且增速比苏州（同比增长17.6％）低0.3个百分点在全国城市排名中列第五。

苏州GDP超过深圳，的确是这样的，随着产业结构的转移，外资的不断涌入，04年苏州的GDP超过了深圳，排在上海北京广州之后，坐上第4把交椅，当地政府非常亢奋。

但是最近看报道，苏州这个国际加工基地，已经开始走下坡了，产业结构的转移，从来都是从高到低，往相对落后，工资低廉的地方转移的，从以前的香港，到马来西亚，再到珠三角，再到长三角，现在又向内地二三线的城市，甚至越南转移了，当初苏州为了要在深圳抢投资份额，当地的官老爷们甚至放弃了自己的底线，以最优惠的政策，目的是在他短暂的任期内，得到较高的GDP，什么零地价，零税收都出来了，他们可以在农民手里以低廉的价格收购土地，直接牺牲农民的利益，那些候鸟企业，就是冲着这个而来的，但是在他们即将享受完这些优惠政策的时候，他们又开始考虑迁移了，那些二三线的城市瞄准了这个时机很久了，他们甚至政府出面公关，目的就是吸引这些候鸟企业，这些企业在坐享鱼翁之利后，再也没有动力去进行技术开发，因为他们太容易得到实惠了，这是中国人强加给他们的实惠，他们拿走的是真金白银，留下的是三个英文字母--GDP，还有被污染的环境，破坏的生态，无序的市场，还有大批跟着迁移的打工一族，这就是GDP的悲哀。

深圳已经在几年前大批外资迁移长三角的时候意识到这点，在高新科技的开发和自主品牌打造方面有很大的突破，苏州虽然GDP比深圳高，但是没有自己叫的响的民族企业，GDP再高，就意味着给外国人赚走的钱越多，深圳虽然GDP没苏州高，但是它上缴的国税却比苏州高很多，这才是真金白银啊，这就是为什么深圳的人均收入是苏州的两倍多的原因。

但是苏州人似乎还没意识到这点，在一遍叫好声中迷失了自己，今年昆山又超过了广东顺德，官员们更加亢奋了，但是昆山人们的生活能跟顺德比吗？顺德区居民人均可支配收入15704.31元，最新公布的统计数据显示，至今年9月底，顺德每百户城镇居民家庭拥有32辆汽车，拥有两套住房的达41户。昆山可比吗？

大家高兴归高兴，实际归实际，实事求是，不要沉醉在GDP的数字游戏中。官员都为GDP意淫，百姓却被GDP强奸。

想起了这样一个笑话，有两个同出一门的富豪，有天打赌，甲对乙说，如果你肯吃口屎，我给你一个亿，甲马上吃了，乙也就给了一个亿，后来甲不服气，也对乙说，如果你肯吃口屎，我给你一个亿，乙刚为输了一亿而心疼，马上吃了，甲就把一个亿还给了乙，后来两人想想不对啊，他们两人的钱都没少，但是每人都吃了一口屎，想不明白，就打电话给他们的导师，他们的导师听后马上叫起来，你们真伟大啊，每人吃了一口屎，就为中国贡献了2亿的GDP。（作者不详）

赞一下深圳街区自助图书馆

今年，由深圳人自主研发的“城市街区２４小时自助图书馆服务机”走进了市内多个大型社区，也包括我居住的社区，经过一些初步体验，我发现这个“自助图书馆”真是公共图书馆发展的一次重大的里程碑。我的一个朋友就称赞说，“第一次感受到了政府在公益事业上所做的贡献”。

就图书馆来说，我大学期间接触的最多，那时基本上是宿舍-教室-食堂-图书馆三点一线的活动，但是工作之后，就无法继续使用大学的图书馆了，深圳市的图书馆固然也有不少藏书，但是离我的住处较远，来回一次也要一两个小时，借一本书都非常费时费力，也让我去图书馆的兴趣大为降低。

而社区自助图书馆的出现，让我几年来第一次去了次图书馆，续办了借书证。以后再有借书要求，可以通过自助图书馆服务机来进行借还书，一台服务机大概有300-400本左右的图书，在上面还可以访问深圳图书馆网站，查询图书馆信息、馆藏状况、数据库资源等等。

不过我还是愿意在电脑上浏览深圳图书馆网站，信息是一样的，数据也是完全同步，我在自助机上借书后，网站上的图书信息会立刻更新，在自助机上没有的图书，可以在网站上提出预借请求，图书馆的工作人员将帮读者找到图书，送达读者指定的自助图书馆，通过短信通知读者，读者凭证直接到自助图书馆取书。所借的图书，可归还到任何一个自助图书馆。

不过，目前预借服务的成功率似乎不太高，我提出来三次预借申请，结果只有一次成功了，另外两次都是告诉我“亲爱的读者，因开架阅览，您预借的图书不在架上，请您预借其他图书，非常抱歉！”

虽然如此，总的来说，深圳自助图书馆对于公共图书馆的普及还是起到了重要的作用，相信越来越多的深圳市民都会享受到公共图书馆带给我们的知识大餐。

深圳图书馆借书证办理可以直接去图书馆申办，深圳图书馆位于广东省深圳市福田区福中一路，乘坐地铁到四号线少年宫站D出口，坐公交到儿童医院、市民中心或莲花山公园站即可。办理需要带上二代身份证，交押金一百元。

RSS新组合FeedBurner＋Delicious＋Flickr

我的Blog的RSS订阅地址将推荐使用一个新的地址。

我的Blog以前的订阅地址是：http://www.williamlong.info/rss.xml ，现在我推荐使用一个新的地址进行订阅，新的订阅地址是：http://feeds.FeedBurner.com/williamlong 。

新的RSS订阅的内容会有一些什么不同呢？最大的不同就是内容会增多。通过FeedBurner将聚合我的三个主要的RSS源（Blog的RSS＋网摘的RSS＋图片的RSS）。

这三个RSS，Blog的RSS就是我以前的RSS订阅地址，网摘和图片系统则有很多种不同的选择。经过一段时间的尝试和对比，我启用了FeedBurner.com＋del.icio.us＋Flickr.com这一套组合。

FeedBurner做为RSS订阅地址有很大的灵活性，比如地址固定，统计方便等。我最看中的一点就是FeedBurner可以合并del.icio.us和Flickr.com上的RSS，这也是我推荐订阅FeedBurner地址的最主要的原因。

至于网摘系统，我选择了Yahoo的del.icio.us。为什么不选择国内的365key呢？因为我对365key上的广告太多不很满意，其系统相对封闭，没有编程接口，另外使用上也不是很方便，而del.icio.us页面很干净，没有广告，使用也方便，提供开放的api编程接口，不过最令我欣赏的还是其“daily blog posting”功能，可以通过定时XML-RPC将每天的网摘发布到个人的Blog上。

图片共享我选择了Yahoo的Flickr，主要是其名气很大，尽管免费用户在使用上还是有很多限制，比如每月20MB上传限制，最多显示200张照片等，但其用起来还是很不错的。我很欣赏的是其邮件发布功能，可以将图片通过邮件共享发布出去，方便极了。

这一套组合看起来的确不错，不过也有一个重大风险，就是三个系统全部在国外，有可能会被电信封IP，凡是国外的好东西，电信都封的不亦乐乎，比如国外最大的域名注册商之一namecheap前一阵就被封了，为什么封？答案很简单：狗能改的了吃屎吗？

因此，我这里也推荐一套国内的组合给国内的Bloger，就是：feedsky＋365key＋yupoo，虽然国内的广告多点，而且可能倒闭，但不会被封IP。

月光博客RSS调整为全文输出

这些天对RSS输出做了一些调整，主要调整是将RSS输出修改为全文输出，图片链接路径进行了修改。

正如Keso所说的，RSS是一个信息聚合工具，而不仅仅是一个更新通知工具。因此如果站在读者的角度上，应该提供全文RSS阅读。

提供全文RSS输出，对于使用Bloglines或抓虾的用户来说，会使得用户阅读体验增加，不用访问Blog网站即可阅读到文章全文，但是不少程序（例如我用的Z-Blog程序）都不提供全文RSS，默认都是摘要RSS，博客托管商就更不会提供全文RSS了，因为全文RSS只会增加服务器负载，不会增加页面访问量。

对此我也有一些疑虑，全文RSS的输出大小至少100K以上，是否会对我的服务器造成大量流量负载压力，而且据说大于200K的RSS就会无法通过RSS合法性校验，这也是一个问题，不过最终我还是修改了程序的代码，提供了全文RSS输出。

全文RSS输出后，打消了我部分疑虑，Bloglines并没有对我服务器造成大量负载压力，而在Bloglines或抓虾中显示效果也非常不错，用户的阅读体验也大为增加，看来这的确很不错。

不过程序上还是出了一点小BUG，就是在Bloglines或抓虾中都无法看到文章中的图片，我仔细分析了一下代码，发现我的图片使用的是相对地址，因此Bloglines或抓虾都无法正确获取图片的地址，因此我需要修改我的图片地址，让那些系统可以正确获取到，另外也顺便解决一下图片被盗链的问题。

根据上星期的流量统计，我的Blog文章页面目录使用了1.98G的流量，而页面图片竟然使用了2.77G的流量，成为目前占用流量最多的目录。我自己也发现，不少网站转载我的文章，不但不标明出处，反而修改作者为他自己，更有甚者，盗用文章也罢，还在文章中直接盗链我文章中的图片，大量占用我服务器的流量，导致了我图片访问流量如此之大，这样的人实在缺少公德，这次我将图片的存放路径修改了，他们的盗用图片地址就会失效，这样暂时就不会再多占用我的服务器资源了，不过这也只是一个临时对策，无法根本解决盗链问题。

修改了这个BUG后，文章显示都还正常，RSS输出也正常，暂时还没发现什么其他问题，另外还在RSS输出增加了评论链接，不过这个链接只能在Bloglines中看到，抓虾里看不到，估计是抓虾的功能不强吧。

另外，根据Feedburner的统计，我目前的RSS订阅人数一共有300个，用Bloglines的有113个，占绝对优势，用Firefox Live Bookmarks有41个，GreatNews的31个。在Bloglines等在线阅读器中RSS显示都不错，但在离线阅读器如Firefox Sage和GreatNews中，使用默认的双栏格式来看会显得文字过长，最好能修改为单栏阅读方式，GreatNews的好修改，Firefox Sage的大概比较麻烦，暂时还没找到修改的地方。

抓虾的OPML频道转换到Z-Blog友情链接插件

今天写了一个抓虾的OPML频道转换到Z-Blog友情链接插件程序。

之所以想写这样的程序，因为目前的Z-Blog的友情链接管理很不方便，而且链接里没有RSS订阅地址，而且ASP下的相关资源却非常少，所以只好自己写一个了。

以前我也写了一个“ASP的Blog Roll的代码”，但是不很满意，这次的程序是在原先的那个程序基础上进行了修改，可以直接在线操作，进行OPML文件转换。

OPML文件格式我使用的是抓虾的导出OPML文件格式，在抓虾系统中选择OPML，再选择导出就可以得到OPML文件，这段代码的功能是从OPML格式的文件里提取出链接和RSS地址，然后直接按照Z-Blog的格式写到link.asp文件中，我测试了自己的OPML转换了一下，效果还不错，参见我博客首页左边的链接，目前输出方式分为HTML和JS两种方式，HTML方式是直接写到默认的友情链接文件，调用前请先备份一下以前的友情链接，否则会直接覆盖的。

插件的安装非常简单，直接将文件解压缩到PLUGIN目录下即可。

点击这里下载：抓虾的OPML频道转换到Z-Blog友情链接插件

注意，这个插件默认在Z-Blog 1.4-1.5版本下运行。由于Z-Blog 1.6目录结构发生变化，对于Z-Blog 1.6的版本需要将ASP文件开头的以下几行替换：

<!-- #include file="../../c_function.asp" -->
<!-- #include file="../../c_system_lib.asp" -->
<!-- #include file="../../c_system_base.asp" -->
修改为
<!-- #include file="../../function/c_function.asp" -->
<!-- #include file="../../function/c_system_lib.asp" -->
<!-- #include file="../../function/c_system_base.asp" -->
 

Feed托管服务FeedTea试用

今天收到feedtea的公关经理的邮件，邀请我试用一下FeedTea的服务，因此，我晚上就上这个网站注册试用了一下。

FeedTea是一个新的Feed托管服务，和FeedBurner以及FeedSky的用途是一样的，是一个基于.NET开发的一个Feed服务。从界面功能上看，和FeedSky的界面非常类似，熟悉FeedSky的会很容易操作。FeedTea多了一项功能是Feed合烧，也有免费的类似FeedSky的绑定域名功能，不过我还没设置成功。

使用的过程中，感觉这个Feed服务还有不少功能上的BUG，包括“使用帮助”和“关于我们”都没有内容，应该是还处于测试阶段的服务，整体上看，如果将来其各个功能都能正常稳定的运行，那也是Feed托管的一个不错的选择。

做为Feed托管服务，我觉得最重要的应该是稳定性，Feed能够稳定的发布，并且发表文章后能够及时抓取到，这样的Feed托管才有最基本的价值，这些东西都搞好之后，再开发一些有趣的扩展来在使用功能上进行拓展。

对于寄托在各个BSP上的博客作者来说，使用Feed托管可以减少博客搬家时候的损失，并且能较为简便的得到订户统计，对于流量访问上的节约，我觉得只有Feed量特别大的用户才会感觉有意义。

我目前使用的是FeedBurner的服务，当然我有点后悔一开始没有使用Feed Domain，不过总的来说FeedBurner还是比较令人满意的。如果大家一开始就使用子域名方式发布Feed，那么现在就可以自由地在FeedBurner，FeedSky，FeedTea中无缝切换且不会损失订户，那将是一个不错的选择，如果各个Feed托管服务都不满意，那么还可以绑定到自己的服务器上做为最后选择，就像我的feed.williamlong.info一样，出了没有统计功能外，显示效果也不错的，Z-Blog用户只要也使用类似我Feed中的xsl样式，也可以做到友好浏览的界面。

共享一下我的OPML订阅FEED

使用在线阅读器（例如Google Reader）阅读博客文章的人，可能都积攒了不少OPML订阅地址，但是这些订阅一般都无法和他人分享。在国外有个网站叫SHARE OPML的网站可以分享OPML订阅，可惜大部分都是英文的。对于中文用户来说一直没有什么好办法，为了更好的交流中文的OPML订阅，我现在就将我自己的Google Reader的订阅OPML文件导出并提供下载，希望能够通过这种方法和大家分享一下各自的订阅地址。

我提供的OPML文件可以直接导入到Google Reader或者Bloglines、抓虾等阅读器，按照目录进行了分类，订阅内容绝大部分都是全文RSS输出的，几乎没有摘要RSS输出，总共150多个，每天的更新量大约100-300篇，中英文都按目录分开，下面我就将我分类的各个目录的含义稍稍解释说明一下。

internet目录，大部分是IT业界和互联网资讯信息，除了2个是繁体中文的外，其余都是简体中文，只有一个摘要RSS输出，其他全部都是全文RSS输出。

reference目录，英文的IT业界资讯和部门公司的官方Blog，都是英文Blog的。注意，其中某几个Feed（例如TechCrunch、Techmeme、Lifehacker）的更新频率非常快，可能会导致内容更新过多，受不了的可以将其删除。

blog目录，英文的博客写作技巧和经验的Blog，介绍写作经验、SEO、博客广告营销。

earth目录，英文的Google Earth相关的Blog。

google目录，Google的多个产品的官方Blog，全都是英文。

search目录，国内的搜索引擎相关企业的官方博客，全部是中文。

culture目录，人文、艺术、文化方面的博客。

life目录，生活、游戏、美食、娱乐方面的博客。

finance目录，财经、股票方面的博客。

society目录，媒体、思考、时事、新闻方面的博客。

对于某些更新量特别大，但是内容还不错的RSS，我不建议将其放在Google Reader中阅读，那样的阅读效率反而会更低，大家可以直接去其网站阅读，可能阅读效果会更好。我这里介绍几个比较好的IT业界和互联网方面的网站：

cnbeta、Donews、TechWeb、新浪科技、网易科技、搜狐IT、百度互联网新闻、谷歌科技资讯（百度和谷歌的新闻都是机器生成的，前面的都是人工编辑的）。

我共享的OPML订阅文件点这里下载，大小30K，下载后可以直接在阅读器中导入。

注1：导入前请务必备份好你原有的OPML文件。

注2：我的OPML文件将每月进行更新，最新的OPML文件会同步上传到这里。

Feed的订阅数超过了五万

昨天，月光博客的RSS Feed订阅用户超过了五万，达到了50363，一个半月前，我的Feed订阅数刚刚超过四万，现在又超过了五万，三个月的时间，订阅用户增加了两万。

相对增长的数字其实更有意义，和前两次的数据相比较，我这里做了一个对应表格，可以直观的看出目前主流RSS在线阅读器上订阅我博客的分布情况。

在线订阅器	2月15日	3月28日	5月15日	增加数
Google	15767	21338	26897	5559
xianguo	6366	9048	12900	3852
Zhuaxia	5840	6213	6588	373
Douban	1039	1074	1106	32
YoDao.com	0	669	740	71
Bloglines	257	273	291	18
NewsGatorOnline	67	67	221	154
SendMeRss.com	35	40	26	-14
Netvibes	28	35	38	3

从这个表格我们可以看到，阅读器市场已经有明显两极分化的趋势，主流RSS阅读器和非主流RSS阅读器用户增加量相差巨大，其中Google的用户增加量依然最多。

我的RSS订阅用户的增长也呈现出稳定的规律，即每一个半月增长一万用户。

因为我目前使用FeedSky的服务托管我的feed.williamlong.info，而我最开始使用的是FeedBurner的服务，我的FeedBurner用户已经没有增长了，一直是1万1千左右，其中Google的订阅数就占8457，Bloglines为898，Yodao为371。FeedBurner虽然被和谐，但是目前各个主要的阅读器都可以读取FeedBurner的内容，这部分订阅用户实际还没有损失。

根据FeedSky的统计，目前也有部分用户使用离线阅读器订阅我的RSS Feed，不过订阅数加起来总共只有1千多，和庞大的在线阅读器用户相比几乎可以忽略不计。

当然，目前的在线阅读器用户数目并不准确，因为各个阅读器只是输出总用户订阅数，实际上有很多“休眠”用户也统计在里面，更为准确的统计方法为输出“活跃用户数”，也就是至少一个星期登录过一次的用户，这样的数据才准确。

Google中国地图新增实时交通流量信息

中国版的谷歌地图已经悄然更新了北京和上海的地图，新增加城市公路的实时交通信息，使用户在制订驾车路线时做到心中有数。

目前，在中国开通实时交通流量的Google地图城市只有北京和上海，Google的交通流量信息服务为主要的城市公路提供交通状况信息：绿色表明不堵塞；黄色表示有轻微的拥挤；而红色表明道路相当堵塞。

据Google产品经理介绍，这些交通数据信息来自几个途径，包括道路监控头，汽车和出租车的反馈信息。因此，有时会出现信息数据不够的情况。

Google暂时只为城市主要的公路提供路况信息，但最终可能会将这项服务扩展至全部的道路。之后，这项功能还可能会扩展到中国其他主要大城市。这样，驾车用户在出行的时候就更方便了，比起交通电台来说，Google地图的交通流行信息更为直观和清晰。

Google街景车在台湾香港出现

据世纪奥美公关报道，Google街景车12月起开始在台湾进行街景信息收集，民众将会看到顶端设有专属相机、车身有Google logo的Google街景车穿梭于台湾各地的街道，拍摄各地的地标、建筑物和公共道路。待照片资料收集完成后，Google将发展成为街景服务功能（Street View），预计于2009年在台湾正式上线。

与此同时，Google街景车也开始在香港行动了。很多香港居民都在街上发现Google街景车的活动，看来台湾、香港、澳门的Google街景服务功能即将在不久的将来全面启动。

街景服务是Google 地图服务中的一项功能，用户可以360度转动来浏览街景，不仅如此，还可以放大、缩小，或者用鼠标拖曳画面来旋转角度，甚至可以向上向下浏览街景。待台湾街景服务功能上线后，用户将能透过此360度浏览街景的网络服务，得到更详尽且真实的地图信息。

中国是网络木马病毒犯罪的天堂

看到一条新闻《刑法修正后首例木马案公诉：3个月牟利3000万》，感慨万千，我以前就曾经提到过黑客产业链的问题，没想到现在竟然发展到这么大的规模。

据新闻报道，这起案件的犯罪嫌疑人是个只有初中学历的无业青年，他发现QQ以及游戏的盗号木马病毒很好销售，如果能找个人根据不同的游戏制作不同的盗号木马，并且能根据杀毒软件不断升级的话，能赚很多钱，于是就以每月2000元的薪酬聘请了一个程序员其编写盗号木马程序。该程序员通过自学成为编程高手，但由于学历不过硬，因此在求职时屡屡碰壁，于是就开始专门编写盗号木马程序，盗取QQ和网络游戏的帐号。犯罪嫌疑人在被起诉后坦白，他制作的木马3个月挣来了3000万。

这类案件给人的启示就是，在中国进行网络犯罪的成本太低了，收益却太高了。马克思说过，“有百分之五十的利润，资本就铤而走险，为了百分之百的利润，它就敢践踏人间一切的法律，有百分之三百的利润，它就敢犯任何罪行，甚至冒着绞首的危险”。花几千块钱雇佣一个程序员做木马病毒，三个月就可以挣来了3000万，如果而这种网络犯罪行为没有得到官方的重视和重点打击，那这样的网络犯罪不猖狂不飞速发展才叫奇怪呢。所以导致的必然现象就是，这些年这种黑客事业在中国超高速发展，却没人管，现在的中国俨然已经成为网络木马病毒犯罪的天堂。

木马病毒的飞速发展主要由中国的目前国情所导致：

1、网民年轻化——中国的网民非常年轻，特别是QQ和网络游戏的用户都是年轻人，他们喜欢玩游戏，但电脑水平通常都较低，无法应付基本的网络木马病毒，很容易中招。

2、极高的利润——由于中国的网民飞速发展，网络游戏和QQ的用户基数非常大，因此大量的盗号会带来极高的利润率，上面的案件中三个月的利润就达到3000万。

3、法律上的缺陷——由于这一类案件受害人不确定，大多数人虚拟财产遭窃后，都会自认倒霉，大都不会选择报警，难以获取证据，在法律上也没有较好的适用刑法，因此导致罪犯即使被抓获，量刑和定罪都不重。

4、官方打击不力——警员的数量是有限的，大部分网络警察的主要工作是控制网络低俗信息和有害信息，并通过备案这种形式来加强控制，根本无暇处理大量的网络犯罪行为，从客观上讲是放任网络犯罪的进一步泛滥。上例案件仅仅是抓了一个典型而已，大量的漏网之鱼都逃脱的法律的制裁。

因此，上面这些因素就导致了当前中国网络木马病毒的泛滥，这些黑客已经形成了一套完整的产业链，集团化、专业化趋势越来越明显，有上线专门负责盗取，有负责网络汇总，有下线负责网上销赃，还有专门负责培训入门黑客技术的，规模越来越庞大。我们的政府如果再听之任之，继续放任这种情况发展下去的话，后果将不堪设想。亡羊补牢，为时不晚，现在该是某些行政机关做一些实际事情的时候了。

中国网银安全分析：动态密码锁

前文已经提出了一个安全网上银行系统的大致描述，今天我们将论述一下如何构造这种安全的网银系统。

要想知道什么样的网银系统是安全的，首先要知道哪些网银系统是不安全的。

我的观点是，所有不带有身份认证令牌硬件设备的网银系统都是不安全的。

这些系统包括各种“大众版”网银，以及一些所谓的数字证书“专业版”，因为他们从本质上来讲，所有的运行代码都是在电脑内存中运行的，用户所有的操作都有可能被木马所截获。理论上讲，黑客完全可以伪造用户进行系统登录。只有脱离用户的电脑系统，使用独立的身份认证硬件设备，才能构造出安全的网银系统。

目前有两种流行的身份认证硬件产品可以实现较为安全的网银系统登录。

第一种身份认证产品名叫“动态密码锁”。

动态密码（Dynamic Password）也称一次性密码，它指用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次。动态密码采用一种称之为动态令牌的专用硬件，内置电源、密码生成芯片和显示屏。下图是这种产品的外观，其中数字键用于输入用户PIN码，显示屏用于显示一次性密码。每次输入正确的PIN码，都可以得到一个当前可用的一次性动态密码。

这种产品的密码生成芯片运行专门的密码算法，根据当前时间以及使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要密码验证通过，系统就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份，因为下一次登录必须使用另外一个动态密码。

动态密码锁系统需要两个密码要素，一个要素是静态PIN码，由用户自行设置、保管。另一个要素是动态密码，由密码令牌动态生成，不可预测，并且与后台服务器的接入控制保持同步，由后台服务器进行检验。因此，用户必需输入正确的静态PIN码和动态密码，才能通过身份认证。

动态密码锁本身需要输入PIN码才能使用，静态PIN码的安全要素在于，这个PIN码不是在电脑上输入的，而是在密码锁上输入的，这样，所有的黑客木马程序从理论上讲都全部失效，因为这些木马根本不可能在另外一个硬件密码锁上运行。

黑客要想破解用户密码，首先要从物理上获得用户的动态密码锁，其次还要获得用户的PIN码，这样，黑客必须潜入用户家中（电脑黑客还需要学习普通窃贼的技术），偷取了动态密码锁，然后再破解PIN码。没有用户PIN码依旧无法使用，而通常情况下动态密码锁本身具有一定安全保护功能，录入PIN码错误10次就会自动锁死而无法使用。这也保证了动态密码锁物理上的安全性。

动态密码技术可以完美解决客户端用户的安全性问题，因为黑客无论使用什么方法，也无法方便的窃取用户的密码，即使黑客窃取了一次密码也无法登录使用。

从技术上将，动态密码技术是比较完美的方案，然而可惜的是，动态密码锁的成本过高，大部分成本都高于100元，不太利于大规模使用。中国目前有一些银行图便宜，使用一种文字卡片类型的所谓的“动态密码卡”，也是用来实现较为原始的动态密码技术。实际上，这种低成本的卡片具有的缺陷是非常明显的，卡片内容极易被复制，且没有保护PIN码，别人偷盗或者复制这张卡片即可冒名登录，其安全性远不及真正的动态密码锁身份认证系统。

虽然动态密码锁的安全性的确不错，然而，动态密码技术也有一个安全隐患，就是服务器端的安全性。动态密码的本质是单钥加密，密钥只有一个。在服务器端的认证系统里，可以计算出所有动态密码，因此黑客如果将精力放在破解银行认证服务器系统，那么还是有可能对银行系统造成一定安全威胁，另外这个系统也依赖于网银的管理员，网银的管理员可以在服务器端修改动态密码锁的规则，也具有一定的安全隐患。

下一回，我们将介绍另外一种低成本的身份认证硬件产品，可以通过双钥加密的技术实现安全的认证，并可以弥补动态密码锁的某些安全性的隐患。

常用网站开发类Firefox扩展插件

作为一个 Web 开发人员，你几乎没有理由不喜欢Firefox，因为在Firefox下有很多专门针对开发的扩展插件，非常好用，这里就介绍一些常用的针对网站开发的FireFox扩展，供Web开发人员参考。

1、Firebug

用于调试JavaScript，修改界面HTML和CSS，一些常用的网络分析扩展也是基于Firebug的，非常好用。

2、YSlow

YSlow是Yahoo开发的，基于Firebug的用于分析网页性能的工具，可以提供如何提高网站性能的一套规则，用于优化网页的速度和建立高性能的网页。

3、Page Speed

Page Speed是Google开发的类似YSlow的工具，也是基于Firebug插件，网站管理员和网络开发人员可以使用 Page Speed 来评估他们网页的性能，并获得有关如何改进性能的建议。

4、Web Developer

Web Developer是集成了一系列Web开发工具，例如HTML、CSS校验、FORM修改等功能，拥有强大的CSS调试和Form调试能力，对页面的分析非常全面，可以禁止页面的任一内联、文档、和外部CSS，可以直接编辑当前CSS。

5、Live HTTP Headers

浏览页面同时记录所有HTTP headers，可分析各个http头的状态码。

6、HttpFox

监控和记录所有HTTP访问中发送和接受的数据，包括URL地址、HTTP头、传输参数等信息。

7、User Agent Switcher

浏览器切换器，可以让Firefox伪装为其他浏览器，伪装其他浏览器例如iPhone来访问网站。当初我提前体验Google Buzz就是利用这个扩展模拟iPhone登录来实现的。

8、Coral IE Tab

基于IETab开发的增强版本，在Firefox中模拟使用IE浏览器的引擎来访问网页。

9、MeasureIt

可以测量页面上任何选择区域的长宽。

10、ColorZilla

可以从页面，或者调色板上取色，同时可以缩放页面。

11、FireFTP

在Firefox中实现FTP的功能。

12、Greasemonkey

让你可以使用JavaScript在浏览器上实现一些特殊的定制功能，有上百个基于Greasemonkey的JavaScript代码可供使用。

13、View Source Chart

改善Firefox浏览器显示源代码的样式。

14、HTML Validator （based on CSE HTML Validator）

使用CSE的HTML验证引擎，需要安装CSE HTML Validator for Windows，有lite版本。

15、wmlbrowser

模拟WAP访问WML (Wireless Markup Language)网页。

对于月光博客版权信息的重申

据热心读者lifengning666666向我举报，辽宁《网络与信息》杂志在是2008年02期的两篇文章《十大免费软件替换盗版软件》和《十个装机必备的免费软件》为剽窃抄袭我博客的同名文章。

经过我和辽宁《网络与信息》杂志社的交涉，该杂志已经承认了错误，将在第4期杂志上发表声明，注明我的版权，同时将不支付剽窃者稿费。

在此我再次重申一下月光博客的版权协议。月光博客属于署名-非商业性使用-相同方式共享的知识共享协议的许可协议，尽管CC协议对于知识创作的共享大于保护，而且我并不反对关于我的创作和知识的传播，但是传播的时候需要遵守网络分享的底线，分享知识创作必须署上作者名字（月光博客）和原始出处（原文链接地址），不能用于商业用途，同时你的博客必须也使用CC协议。而将我的博客文章署上你自己的大名，然后投稿到平面媒体杂志上赚取稿费，这就完全不符合创作共用协议了，这么做完全是为了赚钱而不是为了分享，任何博客作者都不会容忍这种剽窃行为的。

对于类似的剽窃者，我想告诉他们，若要人不知，除非己莫为，做这种事情，你们将会一无所获，同时我也鼓励月光博客的读者积极举报那些剽窃者，特别是平面媒体的剽窃者，通过我们的共同努力来抵制这种不尊重创作版权的不正之风。

Google Sky中文Web浏览器版发布

据Google LatLong官方博客报道，Google在推出了Google火星、Google月球和下载版的Google Sky之后，为了让Web浏览器用户也能体会到Google Sky的精彩，Google宣布推出了Web版的Google Sky（谷歌天空），让浏览器用户也能够体味到宇宙探索的乐趣。

Web浏览器版的Google Sky支持包括简体中文在内的26种语言，他把用户的浏览器变成了一台虚拟望远镜，可以放大和浏览整个宇宙天体，你可以通过以下方法轻松探索宇宙：

1、通过内置的强大搜索功能寻找成千上万的天体名称。

2、通过肉眼看到一个真正的变焦镜头，你可以尝试在红外线、微波、紫外线和X光下欣赏不同的天空景色，还可以混合观看独特的视觉效果。

3、观看哈勃和其他许多望远镜上拍摄的著名宇宙天体照片。

4、目前地球的位置和星座。

5、自定义KML内容。（可以采用类似Google Maps的方法，简单地粘贴Google Sky的KML地址到搜索框）

所有这一切都可以在任何网络浏览器、任何操作系统上执行，而不需要额外的下载文件，Google Sky在全世界范围内支持26种本地化语言，包括简体中文在内。

Google Sky Web版的访问地址是：sky.google.com

请小心Picasa和Firefox的下载站

由于一些网络界的害群之马的所谓“成功网赚经验”，已经让本来好好的Firefox推介和Picasa推介价格降低，之后被迫停止了，但是，即使Picasa和Firefox的推介已经没有广告显示，国内那些搞点击欺诈的网站还是会对那些专门优化了的引导站进行“废物利用”——直接让用户下载木马病毒。

如果大家想要下载Picasa和Firefox，那一定要小心，千万不要从第三方网站上面下载，比如用户在Google搜索“picasa3”，排在前面的就是一个欺诈网站，搜索Firefox也一样能发现不少欺诈网站，诱骗用户下载恶意程序。

这些人当初为了欺诈Google进行骗钱，做个那么多针对Picasa和Firefox的垃圾站，现在终于把Google推介搞死了，他们竟然在上面放木马继续坑害用户，Google竟然没有在搜索结果标示恶意网站实在令人诧异。

即使Google未来将其标记了，也还有百度，而百度是国内使用量最大的搜索引擎，有不少低端网民都使用百度，并且根本不会判断哪些是恶意网站，因此希望百度能拿出自己的社会责任感，对于搜索结果中包含木马的网站也像Google那样标识恶意网站，这样才能彻底切断这些木马病毒的流量来源。

目前这些恶意网站的木马病毒做的还比较低级，容易判断，大多数都是用一个不相关的EXE文件名，大小也不对，有经验的网民一眼就可以看出这是赝品，不过如果其再多做一些伪装的话，那样就难以判断了。

建议下载Picasa和Firefox或者其他应用软件，都直接到官方网站或者大型下载网站下载，切勿到一些来历不明的网站下载，搜索引擎有时候也是靠不住的。

Google Chrome的Linux版和Mac版发布

据Google Chrome官方博客报道，Mac和Linux用户终于可以使用到Google Chrome浏览器。Google Chrome for Mac目前尚处于Beta测试阶段，因此Mac用户仍然需要谨慎使用。

Chrome4.0 Beta版充分地满足了需要自定义浏览器外观的用户。Mac和Linux版Chrome的支持中心与Windows版完全相同。但是，Chrome for Mac把工具栏按钮移到了浏览器的顶部。

Google现在不仅要向Windows客户端定期发布浏览器更新，而且要向Mac和Linux平台发布更新。Chrome4.0有插件支持功能，该功能与Firefox浏览器的插件功能相似。

Windows和Linux版Chrome的插件中心目前已经开放，用户可以下载到300多个Chrome插件。Chrome for Mac的插件功能目前尚处于早期测试阶段。

点击访问：Google Chrome for Linux

点击访问：Google Chrome for Mac

谷歌翻译支持中文发音

据Google官方博客报道，谷歌翻译（Google Translate）已经添加了多种语言的发音功能，其中包含中国普通话发音。

之前，Google Translate已经支持英文的“文本转换为语音”功能，随后几个月增加了法语，意大利语，德语，印地文和西班牙文等语言，现在又增加了中文普通话发音。

现在，你使用谷歌翻译将信息翻译为中文的时候，就可以通过点击翻译界面旁边的扬声器图标，来收听中文普通话的发音，类似下面。

具体的发音质量，根据我的测试，中文发音还不算完美，与英文发音有很大区别。

访问谷歌翻译：Google Translate

2010年国内团购网站报告

如果有人在问目前国内网络购物市场最火爆的话题是什么？凡是回答“淘宝”或“秒杀”的，统统拖出去，不解释——显然是“团购”啊，这词在今年的网购市场上咸鱼翻生，概念也有了新的进化，不再是几十个网友在某小区论坛里集体报名代购某地的红枣，而是特指沿袭美国Groupon.com网站的营销方式，在有限的时间里（通常是24小时或2-3天内）推出一个只有原价两折至五折的线下商家活动，通过“名额有限抢完即止”和“每天来看团购都不同”的特色，牢牢抓住了网民的眼球和访问黏度。

据说团购网站已有400多家，甚至比这个还要多。只不过能稳定下来存活期超过一个月并且天天有新料卖的屈指可数，大部分则是生生死死起起落落。这也让我彻底放弃了做全体团购网站调查统计的可能，本文也只能叫做“不完全统计报告”了。既然是一份统计报告，还是需要先把调查方法讲清楚：观察了6月29日当天团800这个团购所收录的团购网站，统计各城市相关的活动数量，你会发现北京是620条，远远超过其它城市，甚至排名第二的上海也只有北京的四分之一。所以我们本次的统计不妨把目标就锁定在北京地区的团购交易内，相信也非常具备统计价值了。

接下来的问题是，即便针对北京地区的团购网站来统计，那也是不计其数……好在“长尾效应”再次得到了验证——实际上在北京地区，无论是从团购活动的参与人数或者是成交金额来看，大部分都集中在前19家网站内，它们是（排名不分先后）：美团网、拉手网、找折网、爱帮团、Yoka优享网、喜团、窝窝团、团宝、糯米网、满座、乐拼、酷团、可可团、饭统饭团、Like团（前叫橘子团最近刚改名）、F团爱赴团、58同城、36团、24券。为了延续本报告的“不完全统计”精神，我们不妨就以19家团购网站组成一个panel（观察组），从各家网站公开的历史团购信息中分析比对整理，看看从中能挖掘出什么有趣的信息。

发现一：团购网站1月始发，6月激增

大家都以为今年国内团购网始于3月份饭否创始人王兴再启动的美团，而实际上，如下图所示，根据满座网的公开信息，它的团购活动在1月25日和2月3日分别举行了一次，从而成为这19家网站中最先启动团购活动的一家。有人会问：嗯，可这又有什么意义呢？问的好，这件事最大的意义，就是更正大家对美团第一枪的错误印象，谢谢。

言归正传，这条活动量增长曲线在3-5月份基本保持了同一斜率，而到了6月份突然暴增至399。有人又会问：可这又有什么意义呢？这个的意思是说如果你用399/19，平均每家网站每个月要发布21条信息，正好也是6月工作日的数量。也就是说，虽然有的网站一天发布了2-3条团购活动，也有网站隔几天才发一条，但平均下来差不多是遵守了一般的团购发布规律——“工作日发布，周末休息”。

发现二：7天拿下上半年收入总冠军，糯米网与SNS的逆袭

下面这张表是最带劲的一张，因为有真金白银的钱数哦。这可不是笔者瞎写的，每个月的金额都来自于各家网站历史团购信息里的记录，当我们把每天的（成交人数*活动单笔现价）全部加总后，就获得了当月的现金销售额。理论上，这些钱都是通过支付宝等支付手段实时支付了的，所以这份统计答卷是具备含金量的，如果说单纯的活动人数只是捧个人气的话，那么看看这张表，谁最牛就不言而喻了。（选择使用公开数据的好处是避免主观臆断，但仍然不能避免网站调整数据，在本次统计中遭遇一些网站7月初还在悄悄修正之前数据的现象，甚至有从历史记录中拿掉某天交易的情况发生。没有绝对的客观，我们只能假定大部分团购网站自行公开的数据是真实可信的来做比较了。）

客观的说，美团的运营和商家活动挑选都更为规范，“出名要趁早”也注定了它一路跑来的喝彩和用户青睐。可以看到美团4月份的交易额是3月份的4倍还多，可见那两个月是团购网站们的黄金时间。而到了5月份后，随着山寨山寨版的快速繁殖，美团的销售额增长速度放缓。

7天可以做很多事，玉兰油可以让你变得更年轻，而人人网旗下的团购网站糯米网在上半场哨声吹响前的最后几分钟里，改写了整个团购市场的格局。6月23日第一天开局就以“40元双人暑期超值尽享！原价176元成龙耀莱国际影城套餐（电影票2张+可乐2杯+进口爆米花1份+哈根达斯冰激凌球1个）”赚来15万人的购买，创下了国内团购历史上的奇迹新高。与其说是成龙的品牌魅力，倒不如感叹人人网这样的SNS社区在影响群体网民购买行为的威力是多么令人发指。曾经的校内创始人王兴，不知道在团购市场中再遇“老友”陈一舟，是何感想？

有人悄悄的跟我说，王兴的美团在未来的几个月内，还会遇上张朝阳、马化腾。在这里，我只想告诉他，这事需要你悄悄说吗？从国内的博客市场、SNS市场、微博市场上“小网站铺路大网站碾过”的发展规律来看，这简直是一定的啊，你懂的。

发现三：典型团购情况，原价413元现价仅售89元，1200人三折疯抢中

这么多条团购活动，能否抽象的描述一下？好吧，当我们把19家团购网站2010年上半年的867条团购信息全部排在一起平均值统计后，可以用下面这张模仿团购网站的典型价格标签图来讲述我们的结论。

平均来看，一个团购活动大概会有1200人参与，原价大致会定在413元左右，而本次活动的现价只需89元。平均折扣大概是31%，有人质疑说89/413不是31%啊，没错，因为平均折扣的计算方法是把各项活动的折扣去平均，而不是用平均单价/平均原价！（好好想想死去的八戒10天前所说的话吧！）

在本文的结尾，不能免俗的列一下这19家里的TOP 10，希望对大家选择团购网站有一定的帮助。本不完全统计报告的第一部分先到这里，其实通过整整5天的数据分析还有很多有趣的发现，比如从团购活动的分类可以看出团购爱好者们对什么价位的美食优惠最有爱，而团购网站们又以团购的名义做了多少种变体的促销。

来源：团800投稿，官方博客链接。

虚拟主机网站安全迁移技巧

选择物美价廉的虚拟主机是一门学问，在不同的虚拟主机上选择最佳的主机也是一项痛苦的过程，由于不同网站租用的虚拟主机或者服务器性能各不相同，因此会遇到将某个网站从一个主机上迁移到另外一个主机上，今天我介绍一下安全迁移的技巧，以避免网站因为迁移而造成不必要的损失。

1、迁移新主机的检测

通常情况下，应该先测试新主机的IP地址是否是安全的，检测其是否被列入SPAM名单，是否被搜索引擎屏蔽，上面是否有其他非法网站等，通过电信、网通、国外等多个不同线路是否能正常访问该主机IP地址，不要往不安全不可靠的主机IP上迁移网站。

2、迁移计划的制定

制定一个详细的有步骤的网站迁移计划，将原有网站内容保存至少半个月的时间（但不一定需要更新），最好能保留一个月以上的时间，因为很多搜索引擎会缓存DNS，这样可保证搜索引擎使用原来的IP地址仍然可以访问到内容。如果你不慎将原有网站内容删除，将导致返回404错误给搜索引擎，带来不必要的损失。

3、迁移工作的实施

保持原有网站不变，将原有网站的内容、数据库、服务器设置等都先复制到新的主机上，通过修改本地HOSTS文件（域名指定为新的IP地址）来测试访问新的主机是否工作正常，如果测试新主机的一切都正常，则可以进行域名解析的修改。

4、域名解析的修改

尽量避免通过修改DNS(Domain Name Server)服务器地址来迁移网站，最好使用修改A记录的方式迁移，修改DNS需要一至两天后解析生效，中间还可能会中断。修改A记录则可靠一些。

至此，整个网站的迁移工作就完成了，切记一定要将原有网站的内容保存在原有的IP地址上一段时间，我曾经测试过，有些搜索引擎的爬虫在切换IP后半个月还会访问旧的IP地址。

国外虚拟主机选购指南

国外的虚拟主机和国内的相比有不少的优点，例如不用去备案，价格相对低廉，稳定性也好，虽然从国内访问速度稍微慢一些，但的确是一个低成本创建一个网站的好方案。国外的空间基本上是基于Linux+Apache+MySQL+Php的，由于PHP已经事实上统治了网站设计语言的标准，因此国内人也基本可以放弃继续使用ASP了。

然而，国外的虚拟主机依然是鱼龙混杂，甚至有一些很著名的虚拟主机供应商也在搞猫腻，我购买国外虚拟主机已经有很长一段时间了，我的月光博客英文网站在使用国外虚拟主机的这段时间也遇到了种种以前没想到的问题，因此我就再次总结一些选购和识别国外优秀虚拟主机的方法，供大家参考。

虚拟主机的原理，就是把一台真正的主机分成许多“ 虚拟”的主机，它们之间完全独立，使得多个用户共享一台真实主机的资源，节省用户的硬件费用和流量费用。通常虚拟主机的价格都是每月5至10美元左右，非常低廉，虚拟主机商为了从有限的服务器和网络资源中获得最大的利益，那么就必须要侵害了用户的利益，过度销售（Overselling）虚拟主机，因此，只有识别出过度销售（Overselling）的虚拟主机，才能选择到一个稳定而优秀的虚拟主机。

如何识别出过度销售（Overselling）的虚拟主机，我这里总结了几个要点：

容量与流量参数的诡计

绝大多Overselling的虚拟主机商都在玩一个数字游戏，每月不到10美元，就可以购买超大容量和流量的主机，其容量和流量参数往往比租用一台服务器的流量还要大，举个例子，使用独立服务器的月光博客目前的月流量只有450G，而几乎所有Overselling的虚拟主机都声称能提供每月超过1000G的流量，当然这个承诺是永远无法兑现的，如果你真有一个每月1000G流量的网站，那么绝对不能考虑这些Overselling的虚拟主机，因为在你还没有使用到百分之一左右的流量时，通常这些虚拟主机商都会以使用了过多资源为由而终止你的服务，受骗的用户实际上并没有认识到巨大的空间和流量与使用的CPU和内存资源是两回事，如果你使用了很多的流量，主机商不会以使用过多流量而是以使用超额CPU和内存资源为由终止服务。

按年支付的风险

几乎所有的Overselling的虚拟主机的付款方式都是以按年支付为准则的。要么他们只支持按年付款，不支持按月付款，或者按月付款的价格和按年付款的价格相差巨大，迫使用户选择按年支付。为什么这些主机商要这么做呢？因为他们的限制CPU和内存的方式肯定会引起用户对购买的虚拟主机不满意，用户肯定会终止付费重新选择主机商。如果按月支付，用户发现这个主机速度很慢或者服务不好，那下个月就可以中止支付而去选择其他主机，对于个人来说风险较小而没有什么损失。如果是按年付费通常将会得不到退款，损失了一年的费用。虚拟主机商通过这种方法迫使用户多支出了一笔费用，赚取了黑心钱。而通常不搞Overselling的正规而自信的主机商都乐于提供按月支付方式，而且按月支付的价格和按年支付不会相差很大。

推荐回扣奖励

搞Overselling的虚拟主机为了扩大用户群，会采用回扣奖励或现金返还的形式进行促销，即用户推荐一个新的主机注册用户，推荐人可以得到金额奖励或者回扣，类似于传销的形式。搞这类活动的基本上都属于Overselling的虚拟主机。他们确实通过这种形式获得了大量用户，但其主机质量却会随着用户的增加而降低。

可绑定的域名数量

搞Overselling的虚拟主机提供几乎不受限制的域名绑定，一个用户可以在虚拟主机上绑定无数的网站，很多人喜欢这种功能。但是我们要知道，一台服务器的资源是有限的，绑定的网站越多，耗费的资源就越大，这样的结果是网站的响应速度和稳定性就降低，经常出现500错误，例如我购买的某个虚拟主机，上面竟然绑定了一千多个FTP用户，这样的虚拟主机能好用吗？因此，正规的虚拟主机商提供1、2个域名绑定其实就能保证大多数用户的利益了。

以上就是我总结的一些识别出过度销售（Overselling）的虚拟主机的技巧，如果你使用的WordPress或者论坛有可能达到每天1万IP访问，那么最好不要选择Overseelling的虚拟主机，因为他们的CPU限制会导致网站访问极不稳定。当然，如果你有很多小网站，或者网站全部是HTML格式，很少使用PHP和MySQL，那也可以选择Overselling的虚拟主机，因为纯HTML的页面消耗CPU很小，不会产生很大负荷。否则的话，最好选择限制流量而非限制CPU的虚拟主机。

我建议的非Overselling的虚拟主机，通常价格为5到10美元，限制流量为每月100G以下，绑定1-2个域名。这种参数的虚拟主机通常是不会限制CPU的，适合那些每天访问量超过1万IP的动态PHP网站的选择。

FriendFeed推出中文版

今天收到一封杨雨宁发来的邮件，说FriendFeed今天推出六种新的语言界面。FriendFeed用户现在可以从英语、法语、德语、西班牙语、俄语、日语和简体中文之中选择界面语言。

对于中文用户的特别支持，FriendFeed还开始支持百度空间的博客了，使用百度空间的用户现在可以在FriendFeed中增加自己的博客了。

我的FriendFeed地址是： http://friendfeed.com/williamlong

FriendFeed网站让人们了解朋友和家人分享的网页、图片、视频和音乐的最新动态。网站的目标是，借助用户现有的社会关系，让网络上的内容更有用，更容易为人们所发现。FriendFeed用户获得他们认识的人所分享的新闻报道、家人照片、有趣链接和视频等各式内容的自定制feed源。

为了便于分享，FriendFeed自动从互联网上50多个网站导入共享的项目，其中包括Facebook、YouTube和Flickr等热门网站。用户无需下载或安装软件；另外，用户可以直接通过网站、电子邮件和即时消息发布消息、链接和图片。

Bloglines真的关闭了

很早以前就有传闻，这个老牌的RSS阅读器即将关闭，这次终于成为现实了，在Bloglines的首页上发布说明，将于10月1日关闭该服务。

Bloglines曾经有过自己的辉煌，一度曾经是在线阅读器的霸主，但是自从Google Reader推出后，Bloglines的新增用户就停滞不前直至倒退，而Bloglines自己也不争气，几年时间几乎没有任何更新，RSS的抓取也极不稳定，导致用户大量流失。

与此同时，Facebook等社交网站和Twitter等微博网站的兴起也对RSS阅读器的发展产生了一定的影响，导致其使用量大幅减少。根据美国互联网流量监测机构comScore的数据，Bloglines今年8月的独立用户访问量为46.8万。

美国市场研究公司Altimeter Group的分析师杰雷米。欧阳（Jeremiah Owyang）说：“Bloglines等传统RSS阅读器消失的原因在于Twitter和Facebook成为新的feed阅读渠道。传统feed阅读器将继续下滑。”

因此，Ask.com终于在其博客上宣布关闭该公司旗下的RSS阅读器Bloglines，并且帮助用户将feed导出到其他RSS阅读器中。Ask.com于2005年收购了Bloglines，但之后几年却没有对该服务投入太多精力，而且很少进行更新，期间谷歌阅读器（Google Reader）逐渐成长为该领域的领导者。

Twitter同步到新浪微博和开心网

新浪微博和开心网等SNS虽然很流行，但Twitter的用户大多对其不感冒，不过即使如此，Twitter用户可能也会需要一个功能，就是能自动将自己的Twitter信息同步到新浪微博、开心网、人人网等国内SNS网站。以前我曾经介绍的一个同步方案因为嘀咕的维护而无法使用，这里我就介绍一下最新的同步方法。

首先是处理Twitter的Feed功能，主要功能包括删除feed中的username，过滤掉@回复的信息等，我这里提供了两个版本，一个是PHP的，一个是Python的，Python版可以安装到GAE上。

接着，翻墙登录TwitterFeed，在里面设置RSS Feed为上面做好的过滤Feed的网址，目标服务可以选择Ping.FM或HelloTXT这两者之一，设置时候需要API Key，可以去Ping.FM或HelloTXT网站上获取。

之后，翻墙登录Ping.FM或HelloTXT，在里面设置一个Custom URL，用来实现自定义同步服务，同步信息到火兔，具体代码参见这里。

最后，使用原先嘀咕的帐号登录火兔后，在嘀神服务中，绑定新浪微博、开心网、人人网等，这样就可以实现从Twitter同步信息到新浪微博和开心网。

整个同步的流程图如下： twitter -> appspot -> twitterfeed -> ping.fm -> customurl -> huotu -> 新浪微博。

这种同步方式，虽然设置的时候要翻墙设置好几个服务，但设置好了以后，同步功能完全正常，可以方便的实现自动将Twitter的信息同步到国内网站，其缺点也是有的，就是同步不是即时的，有大约一小时左右的时差，这个时差是由TwitterFeed引起的，另外使用者还需要有一个支持PHP的虚拟主机。

具体同步效果，可以参考我的Twitter、我的新浪微博和我的开心。

新浪微博和Twitter的区别

著名的微博客系统Twitter在国际上虽然非常流行，但由于一些众所周知的原因，中国网民使用本地化的微博客更多一些，以前流行的饭否“被维护”了以后，现在新浪微博势头正旺。这里我就针对Twitter和新浪微博的功能进行一些比较。

注册用户

新浪微博目前为内测阶段，只有邀请才能注册，虽然新浪没有透露目前的微博用户数，但是从新浪微博的“排行榜”来分析，注册用户数大约在数十万数量级；Twitter目前注册用户约2000万左右，大部分是美国用户。

界面比较

新浪的界面是中文，Twitter的界面是英文，虽然两者都具有“个性模版”功能，但功能上有区别，新浪微博无法自定义背景图片；Twitter可以完全自定义背景以及颜色。

评论模式

新浪微博的评论有两个选项，可以直接在对方信息下评论，勾选“同时发一条微博”也可将该评论发布到自己的微博上，视觉显示类似Facebook的评论模式；Twitter的评论是直接在自己的微博上发布，在对方的timeline中看不到，相比来说，新浪微博的评论模式更为友好一些。

转发模式

新浪微博的转发模式，可以附带140个字数，转发后会发布到自己的微博，如果转发勾选“同时作为给关注某某的评论发布”，则还能使其以评论的方式发布到对方的信息里；Twitter目前正在添加转发功能（RT/Retweet），官方的RT不能附带自己的内容，但可以进行转发统计，非官方的RT可以附带内容，但包含原文在内不能超过140各字，且不能统计，相比来说，新浪微博的转发内容更多、更灵活一些。

好友列表

新浪微博没有好友列表功能，不能对好友进行分类管理；Twitter具有很强的list功能，不仅可以对自己的好友进行分类，还可以对任意用户进行分类，分类列表还可以单独订阅。

互联互通

新浪微博和新浪的用户系统集成，但没有和其他网站进行集成；Twitter可以和FriendFeed、Facebook、LinkedIn等系统整合集成，实现了完全双向的互联互通功能。

开放性

新浪微博目前是一个完全封闭的微博客网站，不支持API，不支持RSS，不支持电脑客户端，不支持手机客户端，总而言之，几乎什么都不支持；Twitter是一个几乎完全开放的微博客服务，除了注册以外，几乎所有的功能都提供API支持，有无数的客户端软件，支持RSS，大量用户使用非官方的客户端更新Twitter，用户可以深刻体会到，Twitter不是一个网站，而是一个服务。

审查机制

新浪微博具有审查机制，用户发布的信息会被监控，“有害信息”会被删除，这也是新浪借鉴互联网先驱们的经验教训，以前国内出现过很多微博客平台，但都因为无法解决信息发布的监控问题，而被迫关停了；Twitter通常不会审查用户的信息，但对于散播广告的用户会进行删除。

总之目前的新浪微博还是一个较为封闭的微博客网站，但用户的信息交互设计有不少特色，虽然人工审查会吓走一些用户到Twitter上，但新浪强大的运营团队依然有可能将其发展成为国内微博客的佼佼者。

最后做个广告，我的新浪微博是 http://t.sina.com.cn/williamlong ，我的Twitter是 http://twitter.com/williamlong ，欢迎添加我的关注和我交流。

Twitter实时同步到Ping.fm和Hellotxt

我很早就开始使用Ping.fm和Hellotxt的同步功能，这两个服务都是微博客的分发平台，用户通过将自己的不同的微博客账号或者社会化网络帐号绑定在Ping.FM和HelloTXT上，便可以通过这个平台同步发布信息到各类微博客上和社交网络上。

不过，我在使用这两个服务的时候产生了一些困惑，Ping.fm和Hellotxt的本质在于平台化，将自己当做一个发布平台，可以将信息同步出去，但这并不是真正的社会化网络设计，因为用户只能发布，无法得到反馈，信息交流也不方便，是一个典型的单向信息流模式。

因此，我认为真正的社会化网络传播模式应该是，将信息从Twitter传送到Ping.fm或Hellotxt，然后再由Ping.fm和Hellotxt同步信息出去，而用户的的反馈可以在Twitter上实时获得。

但是由于利益的关系，Ping.fm和Hellotxt都不提供接收Twitter信息的功能，只提供发布信息到Twitter的功能，因此，我就自己动手，将前段日子写的那个基于GAE的Twitter同步程序增加支持从Twitter同步信息到Ping.fm和Hellotxt的功能，也就是说，在Twitter发布的信息，可以自动同步到Ping.fm和Hellotxt，然后再由这两个服务传播到更多的社会化网络中。

整个系统的流程图如下所示：

这个程序的使用方法和微博客同步有些不同，Ping.fm和Hellotxt的架构和功能类似，其API调用并不是使用用户名和密码调用，而是使用developer API key和user application key来实现认证，不会出现用户名和密码，因此也较为安全，这里介绍一下各个key的获取方法。

Ping.fm的user application key可以在这个地址 http://ping.fm/key/ 获取。

Ping.fm的API Key可以在这里 http://ping.fm/developers/request/ 创建。

Hellotxt的user_key在这里获取 http://hellotxt.com/settings/api 获取。

Hellotxt的application key在这里 http://hellotxt.com/api/dev 创建。

每个人的key都不同，自己的key用来更新自己的帐号，通常自己使用的话直接申请即可得到。

Ping.fm和Hellotxt两者的功能重合度相当高，不必两个服务都使用，只要使用其中一个服务即可，Ping.fm支持同步37个服务，Hellotxt支持59项服务，不过Hellotxt支持的很多服务同步都有些问题，而Ping.fm支持各个IM的状态更新是Hellotxt所没有的。

应用的安装部署方法

下载方法，使用TortoiseSVN检出这个SVN地址，然后，编辑app.yaml，修改为自己的appspot应用名，接着，修改twitter.py文件的最后一行，将自己的Twitter用户名填入，修改 ret = send_pingfm_msgs("api_key","user_app_key",text) 或 ret = send_hellotxt_msgs("user_key","app_key",text) 里的key值，不需要同步的服务请使用#号注释掉，cron.yaml文件里是计划任务设置，然后就可以按照此文的方法进行发布，执行 appcfg.py update 目录名，使用Gmail帐号和密码，就可以发布了。

发布之后，GAE就可以定时执行twitter.py程序，由于定时执行可以设置最短为1分钟，因此同步速度很快，基本可以实现即时自动同步的效果。

注意事项

Ping.fm和Hellotxt需要翻墙访问。使用前需要先申请key。

如果在Ping.fm或Hellotxt中绑定了Twitter帐号，需要将Ping.fm和Hellotxt中关联的Twitter帐号删除，否则会造成死循环。

Google意大利街景车拍下妓女拉客

Google前些日子开放了意大利的街景地图，不久，就有人在上面发现了有趣的东西。

位于意大利罗马市的北郊一条名叫Via Salaria的街道上，某人开着公司的面包车（网站地址在车后），停在路边，和一个衣着暴露的女子讨价还价，很像是嫖客和妓女进行色情交易，不幸的是，这幅画面被Google的街景摄像头拍摄到了。

据有关新闻报导，Salaria街是当地非常有名的妓女街，妓女们经常在大街上拉客，罗马市长阿雷曼诺曾经宣布，政府将严厉打击那些穿着“不体面和不恰当服装”的妓女。市长办公室颁布的一条法令称，这些以各种方式暴露身体的妓女，使男性司机“精力不集中”。该法令指出，“这种极其鲁莽的行为违反了交通规则，也是对道路安全的严重破坏”。

如其所说，使用Google街景地图，沿着Salaria这条街走，还真的可以看到不少穿着类似暴露服装的女子在路边行走的画面。

另外，在这条街道上，街景摄像头拍摄到这样的画面：一个司机把车停在旁边，然后一个人在道路边旁若无人的小便，不幸被Google的摄像头偷拍了。本以为这种事情只有中国才会发生，没想到意大利罗马人也是这种素质，真让人大跌眼镜。

Google Maps下的猪流感病毒传播地图

据gizmodo报道，近期墨西哥、美国等地接连爆发新型猪流感病毒疫情，墨西哥疑似病例达4000余人，可能已有149人死于猪流感，美国确认有44人感染，欧洲多国已现疑似病例。

现在，我们可以通过Google Maps（谷歌地图）将各地区病情情况进行追踪：其中粉红色的地方有疑似病例，紫色的地方确定有人感染H1N1型猪流感，黄色地方表示已经排除的病例，没有点的粉红色表示已经确认死亡病例。

世界卫生组织已经在27日晚将流感大流行警告级别从目前的3级提高到4级。世卫组织的流感大流行警告共分6个级别，“第3级”意味着一种新的亚型流感病毒正在造成人类感染，但还没有造成到在人际间有效且持续地传播扩散；而“第4级”意味着一种新病毒在人际间传播，可以引起“群体性”暴发。

点击查看H1N1猪流感Google地图：

1、2009 Swine Flu (H1N1) Outbreak Map

2、H1N1 Swine Flu

背景知识：H1N1猪流感病毒特性

此次猪流感病毒代号为H1N1亚型新毒株，包含人流感病毒、北美禽流感病毒和北美、欧、亚猪流感病毒的基因片段。

感染猪流感病毒的患者症状类似患季节性流感。美国病例主要表现为突然发烧、咳嗽、肌肉痛和疲倦，其中一些患者还出现腹泻和呕吐症状。墨西哥病例还出现眼睛发红、头痛和流鼻涕等症状。

世界卫生组织的专家警告称，此次流感的不同之处就在于患者多为身体强壮的年轻人，而非一般流感容易感染到的老人和儿童，而这一点正是会造成大量死亡的严重流感的特征之一。

据悉，目前医学界还没有研究出任何可以抵御猪流感的疫苗，而那些已经投入使用的流感疫苗是否能够为人体提供足够的保护目前也不得而知。

谷歌地图疑遭阉割

随着国家测绘局今年开始加强对中国互联网地图服务的管理，很多网友开始发现，原先非常好用的谷歌地图服务，似乎最近变得不太好用了，据推测，是否因为谷歌没有获得网络地图牌照而被迫删除了部分城市的地图。

中国的部分城市的谷歌地图信息正在消失，之前存在的地图现在没有了，例如深圳市的罗湖区文锦渡大片地区，南山区的蛇口大片地区，盐田区的南澳大片地图的地图信息都没有了，疑似谷歌地图正在因为某些原因屏蔽和删除一些地图信息。

中国的测绘局等部门曾经在很多个场合“暗示”谷歌地图泄漏了中国军事机密，而很多不明真相的网友还附和测绘局的说法，现在，居住在罗湖区文锦渡、南山区蛇口等地区的网民不知道该怎么想，当自己居住地的地图消失后，通常会给自己的出行、公交线路查询带来很大的不便。而在深圳市区消失的这些地图，莫非就是传说中的军事保密区域？

罗湖区文锦渡的谷歌地图，消失的地图恰好位于“罗湖区政府”附近

早先的6月28日，国家测绘局在其官方网站上宣布，23家企业已经通过了在线地图资质验证，这23家企业中包括百度、搜狗、MapABC等，但不包括谷歌中国和腾讯。

谷歌在中国的合作伙伴是MapABC，谷歌地图的中国地图信息均来自MapABC，我们使用MapABC查询深圳罗湖区的相同地点，看到地图可以正常显示，并没有屏蔽的信息。

谷歌地图是最受欢迎的在线地图服务之一，在智能手机上的表现尤其出色，用户可以在不同的终端访问谷歌地图，谷歌地图提供API（应用编程接口），因此大量第三方网站可以通过编程将谷歌地图嵌入到自己的应用中，从而使得谷歌地图在全球范围内都非常流行。

腾讯在地图领域相对落后于竞争对手，但也加紧招募人才，并已经推出了腾讯搜搜地图的测试版。面对国内众多的竞争对手，如果谷歌地图的显示出现异常的话，那么有可能谷歌地图的用户会转移到其竞争对手的地图服务中。

更新：地图数据丢失的问题在珠海拱北也有，据Google员工回复，“数据缺失问题，由于地图数据来自于提供商，需要较长周期来更新。”

网站技术分析报告之——开心网

读者投稿：一直在研究互联网技术，经常访问这样那样的网站，突发奇想，为什么我们不去看看这些网站的技术架构是怎么样的呢？研究一下源代码？于是便有了这个系列，首先找谁呢？还是找山寨版的开心网开刀吧，这个开心网，不是那个开心网，呵呵。

坦白说，我不太想注册，也不想研究太多太多，一般来说，一个网站最重要的是首页，Ok，那我们就从首页开始吧。

本系列文章仅仅是个人研究发布，仅供参考。

分析工具：各种浏览器，firebug（一个基于firefox的插件）

开心网首页是一个简单的登陆页，居然做到了385.2KB之大，像开心网这么大的流量，每多1kb就意味着每天N多的钱哪。我没有找到官方的pv 或独立Ip的数据，根据alexa的数据参考一下吧，估计日均独立IP为528，000，我们估计按每独立IP访问一次登陆吧，实际上可能少一些，因为很多用户可能直接在首页上登陆了（alexa的数据也不是那么可靠，供参考吧）。

开心网的网页每增加1k，我们需要多少带宽？算一下，我们需要528，000/1024=515MB/天的带宽，然后我们平均一下，按一天24小时用户访问很平均来计算（实际上不可能，一般峰值访问会是平均值的一倍以上），每秒需要消耗带宽是528000 / （24小时 * 60分钟 * 60秒）=6Kb，考虑到峰值，估计要到12k以上。

看官，像开心网这么简单的登陆，完全可以控制在100k以内的大小，为什么要这么多呢，一会儿看网页的分析就可以知道了。这是什么概念？385-100=285k，再算出带宽得出：285k * 12k / 1024 = 3.3M.乖乖，开心网每天需要添加3.3M的独享带宽。3.3M的带宽会是多少钱呢？我们就以中档的机房来举例，北京中档的3M独立带宽，怎么也得3-5万块吧，再加上CDN的带宽，估计开心网每年需要为此增加5-8万的费用。

分析一下开心网存在的问题：

1. Javascript文件直接写在了网页当中

开心网的登陆页有大量的javascript的代码，这样的代码一方面不利于维护，另一方面，也不利用用户加载页面。大致计算了一下，开心网登陆页一个有180余行的javascript代码，而总代码仅在336行，也就是说代码中的javascript代码占了1/2 强。

2. 网页没有开启gzip

根据文件头返回的信息可以看到，开心网应该在linux上搭建了nginx ，添加gzip应该不会是很难的事吧？而且像html及静态js/css这些文件，gzip后起码可以减少50%的传输量，当是这一项，就可以每年省下上百万的费用。

当然有人会反对，认为gzip会加重服务器的压力，并且客户端解压的时间与减小文件大小带来的传输速度不会有太多好处。但我认为，对于静态文件来说，可以放到独立的服务器，这个服务器可以把文件压缩后放到缓存中，这样不用去读IO，响应速度会提高。同时，虽然现在用户的带宽都已经是512k的 adsl以上了，但是为什么我不可以让用户更快的看到我们的网页呢？退一万步说，用户真的在乎这个快几秒的，那么我们为什么不可以减小带宽的压力以节省成本呢？如果把节省下的这些钱去奖励员工，没准他们可以给我带来更多的惊喜呢。

3. Javascript没有做任何处理

开心网的 javascript可真有意思，他们的开发人员代码质量还不错，起码注释写得还不错，可是问题是，你需要把这些注释都发到客户端么，难道开心网想教我们怎么写javascript代码？这样的代码发到客户端，既占带宽又会泄密网站的代码。

开心网的核心javascript文件xn.core.js有105k，这么大的其中注释占了不少的代码，我尝试使用yahoo和google的压缩工具进行压缩，但因为代码中有错误无法完成，所以只好放弃。但我估计这个js，最基本的压缩去除空行和注释，可以减少1/5左右的大小，如果进行一些混淆的话，应该可以在40k左右，如果再gzip的话，应该就只有15k以内了。

4. 图片文件过大

登录页有一个157k的sys-bj2.jpeg文件，天啦，这么大的。我下载这张图片一看，发现这个图片实际是同几张图片组合的。他们的设计人员其实是想减少网页对服务器的请求数，所以把几个图片合并到一块。但是，他们这种做法是错误的。

我们要减少请求数，一般是把小图片，一般是几k的36 px* 36px以下的小图片合并，而不是把大图片也合并。因为小图片数量多，而大图的合并，也会增加图片的大小。我将这个图片用ps再优化一下，优化到 66k，也没发现明显的失真。所以我认为，就算是大图，也可以优化到80k以内，而不是如此157k大小的图片。

再多一句，这个图片总量才5个合并是完全没有必要的，并且图片最大的有600px*255px，而最小的只有10px*10px以下，这种合并没有任何益处，百害而无一益！

总结

开心网作为一个访问量非常大的网站，网页结构也非常简单，理应做得更小，比如在100k以内。从我的分析中可以看出，主要问题集中在 javascript，gzip和图片上，代码质量总体还可以。当然，我们不仅只是挑刺，也应该看到一些好的地方，如下：

1. 首页处理得比较到位，虽然javascript也没有压缩，但总大小只有108k

2. 文件请求数较少，这个和开心网本身有关，开心网本来就不是一个网页结构复杂的网站，所以文件数自然会比较少了

3. 静态文件和网页分开部署

4. Javascript注释比较好，但不应该发到客户端

重要建议：

1. 开启gzip压缩

2. 压缩javascript及css，并将这些文件缓存起来

最后，这次的分析就写到这里了，就事论事而已，和任何网站及相关的人员没有任何关系，呵呵。

来源：读者Conis投稿，原文地址。版权声明：本文授转月光博客刊登，其他非授权网站媒体转载，需要添加作者网站地址http://iove.net，否则视为侵权。

网络安全行业的怪现象

京华时报上报道了一则很有意思的新闻，说某网络安全公司，为了推销其防火墙产品，竟然对一些网络游戏公司的网站发动DDOS攻击，然后向被攻击公司销售自己的防火墙设备，上演了一场贼喊捉贼的闹剧，最终被公安机关绳之以法。

尽管警方已经破获了这起案件，找到了这家安全公司，并将“黑客”抓获，但我想这仅仅是个特例而已，真正没有被抓到的类似所谓的“网络安全公司”实在太多了。

网络安全是个相对的概念，即使配置了安全的服务器，也无法防止别人通过DDOS来攻击。对于大规模的分布式DDOS攻击，目前只能花钱去购买硬件防火墙才能应付。因此，那些做硬件防火墙网络安全公司应该最希望别人的网站被DDOS了。

为什么有些网络安全公司敢于知法犯法，主动去攻击别人呢？这其实是网络安全行业的潜规则，对于高端的网络安全技术，普通的公安机关根本没有能力侦破，因为这方面的技术门槛实在太高，因此公安机关侦破一些网络犯罪行为也需要网络安全公司来协助，这就造成了某些网络安全公司的有恃无恐，因为他们知道，即使他们通过技术手段对别人DDOS攻击和要挟，最终也没有人能管，而被攻击的公司往往都会“哑巴吃黄连”，不得不购买相关安全产品。

这样的公司在中国也不少，我身边就发生过类似的事情，某某安全公司，为了让客户购买其安全产品，故意将该客户公司的主页黑掉，放上一幅色情图片，该客户去公安局报案，公安局也无法独立侦破此案，却要其去联系某某安全公司去调查，迫于无奈，最终该客户不得不购买了这个安全产品，之后该客户公司的主页就再也没有被黑过。

因此中国实在是黑客的“天堂”，最基本的原因是相关法律不健全，执法者相应的技术素质太差。如果执法者拥有足够高的技术水平，并且如果我国也象美国那样，以严厉的手段打击处理一批著名的黑客，那么黑客攻击也不至于象目前这样嚣张了，正因为黑客被抓住的几率实在太低，才引发了当前中国网络安全行业的这些形形色色的“怪现象”。

金山ARP防火墙

我先前曾经介绍过奇虎推出的360免费ARP防火墙，界面虽然简陋，但是我在服务器上使用了这几个月来，感觉还可以。今天发现金山也出了一个ARP防火墙产品，于是也下载下来使用了一下。

我安装使用金山ARP防火墙后的个人感觉，界面比360ARP的要好看一些，功能选项也多一些，不喜欢周鸿祎的可以选择使用这个产品。目前看起来似乎是免费的，不知道以后是否会收费。自己有服务器放在电信机房的，请一定要安装至少一套ARP防火墙产品，否则会死的很惨。

金山ARP防火墙下载地址：http://kad.www.duba.net/kas/KAntiarp.exe

以下是金山公司自己对于金山ARP防火墙的主要功能和特色的介绍：

金山ARP防火墙能够双向拦截ARP欺骗攻击包，监测锁定攻击源，时刻保护局域网用户PC的正常上网数据流向，是一款是适于个人用户的反ARP欺骗保护工具。

网关动态探测+识别——识破伪造的网关地址

动态获取、并分析判断后为受保护PC绑定正确的网关地址，从而时刻保障保护本机上网数据的正确流向。同时也支持用户手动设置绑定网关地址。

网关动态通知——受到ARP欺骗攻击时主动向网关发送数据包，表明合法身份。

双向拦截ARP攻击

拦截来自外部接受或是由本机发出的ARP攻击数据包并提醒用户，保障本机及其它PC的网络通畅。

拦截IP冲突攻击，保护本机不受IP冲突攻击的影响

攻击源追踪锁定——拦截到ARP攻击包后立即追踪攻击源，找出安全威胁源头。

安全模式——让受保护PC在局域网隐身，攻击源无法察觉

解决SSL攻击的方法

SSL的窃听和安全最近颇受关注，吴洪声提出了一种SSL窃听攻击的思路，主要是利用了CA签发证书的一个重大缺陷：只验证目标网站的域名信箱即可签发该网站的证书，因此，只要搞到目标网站的一个信箱，就可以窃取到这个域名的SSL证书。

因此，大多数免费邮箱或公司邮箱的SSL证书都存在网站SSL证书被窃取的可能性，Gmail由于使用mail.google.com而不是www.gmail.com，因此得以幸免于难。然而，有权使用google.com的Google公司的员工依然有可能获取google.com的SSL证书，一旦该证书被用于大规模的域名劫持，后果不堪设想。

如果想要避免这种SSL证书窃取，CA需要修改目前的签发流程，即在签发前需要验证申请者对于该网站具有管理权限，例如，在网站的首页增加一小段隐藏代码，或者在网站上传一个指定的HTML文件，这样，只有真正的网站拥有者才能做这样的操作，非法窃取者即使有了该域名的邮件，也无法获取该域名的证书。

当然，从根本上讲，这个攻击并非对SSL安全协议本身的攻击，只是对其发行机构的攻击，SSL协议目前来说还是安全可靠的。

名词注释：SSL

安全套接字层 （Secure Sockets Layer，SSL） 是一套提供身份验证、保密性和数据完整性的加密技术。SSL 最常用来在 Web 浏览器和 Web 服务器之间建立安全通信通道，用以保障在 Internet 上数据传输之安全，SSL 利用数据加密技术，确保数据在网络上之传输过程中不会被截取及窃听，它也可以在客户端应用程序和 Web 服务之间使用。