传播、沟通、分享
« 类别 互联网 下的文章
CSDN明文口令泄露的启示
2011年12月21日晚,某计算机专业的大学生寝室,某同学大叫到:“兄弟们,最新的日本XX女星的AV片已经下好,大家快过来看啊,相当精彩 啊~~~”,然而,这个寝室里的其它同学似乎没有听到这哥们的呼喊,于是,这哥们又叫了三次,没有人理他,因为大家都在眉飞色舞地谈论着CSDN的明文密 码和用户帐号泄露的事情,并在网上查找着下载CSDN那600万的用户数据……上面这个故事是我编的,只是想描述一下昨晚的情形。 其实,CSDN明文密码并不是什么稀奇的事情,我是2000年注册CSDN的吧,当时找回口令的机制就是把口令直接传回来了,这一定是明文了。去年 去CSDN参加移动互联网沙龙的时候,范凯和蒋涛说过明文密码的事,不过他们说的是很早以前的事了,而且一笔带过了。1年后的今天,事情又暴了,可见, “出来混的,迟早是要还的”这句话是几近真理的。 我在以前的BLOG里就提到过CSDN的明文密码(在“ 如何设计用户登录功能 ”一文)和 帐号泄露(“ 如何设计自己的口令 ”) 的事( 由此可见,酷壳里的很多文章里的事都应验了 ,因为我知道“出来混的,迟早是要还的”) ( 可悲吧?还是程序员的网站呢,明文口令…
你会做Web上的用户登录功能吗?
Web上的用户登录功能应该是最基本的功能了,可是在我看过一些站点的用户登录功能后,我觉得很有必要写一篇文章教大家怎么来做用户登录功能。下面 的文章告诉大家这个功能可能并没有你所想像的那么简单,这是一个关系到用户安全的功能,希望大家能从下面的文章中能知道什么样的方法才是一个好的用户登录 功能。 以下内容,转载时请保持原文一致,并请注明作者和出处 。 用户名和口令 首先,我们先来说说用户名和口令的事。这并不是本站第一次谈论这个事了。 如何管理自己的口令 让你知道怎么管理自己的口令, 破解你的口令 让你知道在现代这样速度的计算速度下,用穷举法破解你的口令可能会是一件很轻松的事。在这里我想告诉从开发者的角度上来做设计这个用户名和口令的事。下面一几件规则: 限制用户输入一些非常容易被破解的口令 。如什么qwert,123456, password之类,就像 twitter限制用户的口令 一样做一个口令的黑名单。另外,你可以限制用户口令的长度,是否有大小写,是否有数字,你可以用你的程序做一下校验。当然,这可能会让用户感到很不爽,所以,现在很多网站都提供了UX让用户知道他的口令强度是什么样的(比如 …
如何管理并设计你的口令
在互联网上,需要我们输入用户名口令的地方实在是太多了,多得都让人记不过来了,N个电子邮件帐号,QQ, MSN,校内,开心,facebook,Blog,各种论坛,网银,淘宝,电子相册……,太多了,想想看,你要用多少用户名口令,相信很多人可能会这样 做,用几乎一样的口令和用户名来申请所有的这些帐号,我估计这是大多数人的做法。当然,这样一来,你就需要保管好你的用户名和口令了,因为只要被破解了, 就相当于你所有的帐号被破解了,这是多数恐怖的一件事情啊。你可能觉得别人破解你的口令很难,但我告诉你也许会非常容易,因为,如果你只使用一样的用户名 和口令的话,也许某天,你注册了一个不知名的小网站,可能会意味着你所有的用户名和口令都被人获取了,要小心啊。 对我来说,我通常会有几组组帐号和密码, 一个帐号/密码是用于一些大的可以依赖的站点,如:MSN,gmail,linkedin,facebook,hotmail等,因为我相信这些站点应该可以足够信任不会出卖用户信息,也有足够的能力不会让用户信息和口令外泄。 一个帐号/密码用于一些国内的一些大的网站,如:QQ,开心,CSDN,Sina,网易,Blog,同学…
破解你的口令
在网上看到一张口令破解的表格,如下所示(第一列是口令长度,第二列是全小写的口令,第三列是有大写字母的口令,第四列是又加上了数字和其它字符的口令) 如果你想知道自己的口令花多少时间可以被破确,你可以访问下面这个网站:( 更新2011/3/2晚10点15 ) http://howsecureismypassword.net/ 这里先说一个这里说的口令破解。一般来说用户的口令都是以MD5编码加密放在数据库里的,MD5是不可逆的,所以,当你拿到你一串被MD5后的字 串,你可以使用暴力破解——穷举所有的可能口令的MD5字串,然后和数据库里的对比,比对了你就知道口令了。当然,你一定要清楚,在某些审查很严重的地 方,互联网内容提供商不一定会把你的口令以MD5加密,甚至就是明文(Plain Text)保存,所以你还需要小心,关于如何设计你的口令, 请参看这篇文章 。 从上面这表格我们可以看到,你的口令最好是在8个长度以上,而且一定要有在小写和数字,最好再加上其它字符,这样你的口令被破解的时候最需要463 年,这样就比较安全了。当然,如果你的口令使用了一些常用的单词,那就另说了,现在破解口令一般都不会使…
openfire+jwchat+nginx搭建XMPP的webim
Openfire是一个强大的即时消息(IM)和聊天服务器,它实现了XMPP协议,下载 http://www.igniterealtime.org/projects/openfire/ jwchat是XMPP的一个客户端实现,下载 http://blog.jwchat.org/jwchat/ nginx作为jwchat的运行容器,实现http-bind,下载 http://nginx.org/ 下载后先安装Openfire,安装比较简单, window下解压后,进入bin下面,运行openfire.exe, 启动服务,浏览器输入http://localhost:8080,然后按提示安装即可 nginx安装,window下nginx解压即可用。 jwchat解压,使用中文版,所以把jwchat目录下面的.zh_CN为后缀的都去掉。 把整个目录拷贝到nginx的html下面 配置jwchat的config.js文件 var SITENAME = localhost; #服务器的ip,非本机改为特定ip或者服务 var BACKENDS =[ { name:"Native Binding", …
Chrome Remote Desktop
Chrome Remote Desktop 是一个 Chrome 扩展,它可以让你在这台电脑的Chrome浏览器里直接遥控另外一台电脑的桌面,相当于浏览器里的远程桌面。这是目前为止第一款使用Chromoting 遥控技术的扩展,对Chromebook用户尤为重要,无法打开某个格式的文件?直接发起远程遥控到另外一台电脑打 开吧。 Chrome Remote Desktop是完全的跨平台Chrome扩展,不管你的电脑是Windows、Linux、Mac OS X还是Chrome OS都可安装并正常使用。在连接到另外一台电脑的时候,不是通过密码形式验证,而是一个一次性的验证码。被控电脑每次都会生成一串验证码: 然后你需要在控制端输入这串验证码,即可直接获得连接: 然后即可享受遥控了,比如在Chromebook的Chrome浏览器窗口里遥控操作Windows 7: 很神奇的是这个扩展利用了Gtalk的技术来发送信息。尽管这个扩展高达17MB,但它真的值得拥有。 介绍内容来自 http://www.guao.hk/posts/chrome-remote-desktop.html 授权协议: 未知…
GoogleTalk网页版
Gtalk桌面版已经好几年没更新过了,许多新的功能,Google都是将其加入到Gmail界面,但是我只想要个单纯的聊天界面,不想登录Gmail,也不想使用桌面版。 今天被邀请一个三方群聊的时候,找到了这个官方的地址,可以单独开启一个聊天页面: http://talkgadget.google.com/talkgadget/popout 建议使用Chrome的”工具-创建应用程序快捷方式”将这个路径创建到桌面上,这样聊天就更方便了。
SaaS发展的中国曲线
2010年,易观国际一如既往地推出我国第三季度的SaaS市场报告。该机构数据显示,2010年第三季度中国管理型SaaS市场规模达1.32亿元,环 比增长27.4%,同比增长171%。显然,一年来第三次的增长报告,表明中国的SaaS市场在一些调查机构的眼中是绝对的形势一片大好。 虽然SaaS在中国的发展总趋势肯定是往上走的,但是市调机构这些数字更多的意义,在于为提供SaaS服务的厂商加油。我国SaaS专家认为,SaaS市场在中国仍然还处于培育期,发展的道路是相当曲折漫长的,远没有达到那样的市场水准。 分析家称,SaaS这个行业门槛比较高,与互联网企业类似,同样有一个长的投入期。SaaS市场目前还不够成熟,表现在企业对SaaS这种服务还不真正了 解。何况一种服务是需要时间来被市场认可的,软件发展历史告诉我们,ERP的市场接受期大概是3—5年,财务管理软件则是5—10年,那么对于在中国还只 有4年发展史的SaaS而言,其成熟期没有这么快到来。 纵观SaaS在中国的发展曲线,其经历了概念期、质疑期和落地期三个阶段。“SaaS的一个标杆现象是,推出于2006年,成熟于2009年的全程电子商 务应…
image-r3 基于内容的图片搜索引擎
随着互联网技术向宽带、高速、多媒体方向的发展,人类正快速进入一个信息化的时代。各种信息工具、技术、载体等应运而生。在众多 类型的信息资源中,图像具有直观、形象、易于理解和信息量大等特点,成为资源库的重要组成部分。同网络信息一样,由于图像数量巨大,种类繁多,加之排列方 式错综复杂,这给图像检索带来了困难。近年来,基于内容的图像检索技术有了长足的发展。基于内容的图像检索能有效的对图像进行管理和检索,这项技术既充分 体现了图像的信息特点,又充分结合了传统数据库技术,它的应用对解决信息膨胀,有效快速地利用多媒体信息有很好的实用价值。图像的内容包括图像的颜色、纹 理、形状等视觉特征和语义特征。其中,纹理特征作为最为显著的视觉特征之一,它是一种不依赖于颜色或亮度反映图像中同质现象的视觉特征。纹理特征包含了物 体表面结构组织排列的重要信息,以及与周围环境的联系。因此在基于内容的图像检索中得到了广泛应用。 svn代码下载完毕之后,可以在 R3 目录中执行 java -Xmx1024m -jar start.jar启动图片搜索引擎 svn上的代码已经具备采集和搜索能力,访问 http://127.0.0…
用谷歌浏览器来当手机模拟器
很多网站都通过User-Agent来判断浏览器类型,如果是3G手机,显示手机页面内容,如果是普通浏览器,显示普通网页内容。 谷歌Chrome浏览器,可以很方便地用来当3G手机模拟器。在Windows的【开始】【运行】中输入以下命令,启动谷歌浏览器,即可模拟相应手机的浏览器去访问3G手机网页: 谷歌Android: chrome.exe user-agent=Mozilla/5.0 (Linux; U; Android 2.2; en-us; Nexus One Build/FRF91) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1 苹果iPhone: chrome.exe user-agent=Mozilla/5.0 (iPad; U; CPU OS 3_2_2 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Version/4.0.4 Mobile/7B500 Safari/531.21.10 诺基亚N97: c…
