網誌

分享系統開發的知識和經驗

October 14, 2013

轉貼：安全軟體 Metasploit 網站被黑客改頭換面？

原文網站：安全軟體 Metasploit 網站被黑客改頭換面？ (原文網站已關閉) 向負盛名的滲透測試軟體 Metasploit 的網站被黑客組織 KDMS Team 改頭換面，很諷刺嗎？這一次錯不在 Metasploit 網站，原來 KDMS Team 發了一封傳真給 Metasploit 的域名註冊公司 Register.com，要求更改 Metasploit 的 DNS 伺服器到一個黑客控制的伺服器，這種情況稱為 DNS 騎劫 (DNS Hijacking)。這完全是一個低科技的攻擊，但它卻成功了。

October 14, 2013

轉貼：WhatsApp 的用戶的通訊幾乎可說沒有加密，任何人都可以隨意偷看

原文網址：WhatsApp 的用戶的通訊幾乎可說沒有加密，任何人都可以隨意偷看 (原文網站已關閉)

October 14, 2013

轉貼：使用瀏覽器指紋秘密追蹤用戶

原文網址：使用瀏覽器指紋秘密追蹤用戶 (原文網站已關閉)

October 14, 2013

轉貼：加密程式出錯引致台灣身分證的保安功能作廢

原文網址：加密程式出錯引致台灣身分證的保安功能作廢 (原文網站已關閉)

台灣的身分證使用 RSA 公鑰加密技術來實現自然人憑證 (Citizen Digital Certificate)，市民憑藉著憑證在網上確認自己的身份，使用政府的網上服務，例如交稅，汽車登記等。將於本年十二月在印度 Bangalore 舉行的 Asiacrypt 2013 會議，數位科學家將發表一份論文，指部分憑證存在致命的缺陷，讓攻擊者輕易偽冒憑證持有人的身份。產生憑證的系統都已經通過 FIPS 140-2 Level 2 和 Common Criteria 標準，所以有理由相信其他使用那些系統的國家所產生的憑證，都有相同的缺陷。若果一個科技先進的政府在緊守最佳操作原則下仍然出亂子，其他人應該怎樣做？

October 13, 2013

轉貼：投票還沒開始，阿塞拜疆已經宣佈投票結果！

原文網址：投票還沒開始，阿塞拜疆已經宣佈投票結果！ (原文網站已關閉)

October 13, 2013

轉貼：完全不接上網的電腦

原文網址：完全不接上網的電腦 (原文網站已關閉) 電腦安全專家 Bruce Schneier 協助英國衛報解讀斯諾登的涉密文件，以致他對自己的電腦也要打醒十二分精神，美國國家安全局 (NSA) 的駭客小組可能正儘全力入侵他的電腦和監控他的網上活動，他說他家中有一部完全不連接上網的電腦，用來儲存和閱讀斯諾登的文件。他解釋了怎樣配置這部電腦，如何安全地把文件傳送到這部電腦，或者傳送出來。若果有天基於某些原因你需要相似的配置，不妨參考一下 Bruce Schneier 的做法。

October 13, 2013

轉貼：秘密信件揭露德國政府監控國民的數據通訊

原文網址：秘密信件揭露德國政府監控國民的數據通訊 (原文網站已關閉)

德國明鏡雜誌得到一封機密信件 (Google 翻譯)，揭露政府情報機關跟網絡服務供應商及電訊商有秘密協議，可以隨意監察國民的數據通訊。

October 12, 2013

轉貼：科技越方便易用，監控和搜集個人資料越容易

原文網址：科技越方便易用，監控和搜集個人資料越容易 (原文網站已關閉)

October 12, 2013

轉貼：蘋果的軟體加密機制使 OS X 惡意軟體難以被檢測

原文網址：蘋果的軟體加密機制使 OS X 惡意軟體難以被檢測蘋果為了保護他們自己編寫的軟體，對部分執行程式包括 dock.app、finder.app 等加密，但這加密機制同樣可用於惡意軟體上，以致偵測惡意軟體的程式無法作出正確判斷，但這些軟體卻可以在 OS X 內毫無限制地執行，對 OS X 的用家構成嚴重威脅。

September 12, 2013

互聯網的加密技術真的被 NSA 破解了嗎？

英國衛報、紐約時報、和 ProPublica 網站聯合公佈新一批斯諾登的機密文件顯示情報機關有能力破解大部份互聯網的加密通訊，我們日常使用的 HTTPS (網站使用的加密技術)、WPA2 (Wi-Fi 使用的加密技術)、PGP (電子郵件使用的加密技術)、AES (大部份加密檔案和硬碟的技術) 等等，是否不再安全？怎樣才能保障我們的隱私？

September 8, 2013

互聯網上的廣告已經走到窮途末路？

Adblock Plus 是一個瀏覽器的附加元件 (addon)，它藉著由社群共同建立的廣告網址黑名單，把網頁中的廣告過濾掉，使我們只看到乾淨整潔的頁面，沒有了令人分神甚至厭煩的廣告。對網民來說這真是救世主，但對廣告商和靠廣告維持網站營運的公司卻是大災難。現在 Adblock Plus 走出來對網上廣告商說：「你們的財路給我截了，但只要給我們一點買路錢，我會把你們的網址放入 Adblock Plus 的白名單，讓它們重見天日。」如此明刀明槍的勒索居然在光天化日之下發生，更離奇的是，已經有公司付了「贖金」，包括網上廣告巨人 Google。人們還能依靠 Adblock Plus 攔截廣告嗎？

September 6, 2013

調查顯示近 90% 美國的網民已採取措施以免受監控

自從斯諾登爆出美國國家安全局（國安局）大規模監控互聯網的通訊，美國網民明顯對自身隱私的警覺性提高了，最近一項調查顯示近九成美國網民已採取某些措施以免受到監視。反觀香港及其他國家的媒體和網民對這宗醜聞卻反應冷淡，大都抱著隔岸觀火的心態，有些人冷眼旁觀這個從前自稱最民主自由的國家怎樣自甘墮落，有些人則注意斯諾登的材料中有否牽涉到自己的國家、地區或機構，沒有的話便一副事不關己、己不勞心的態度。

September 4, 2013

網站的「可入侵度」

WhiteHat Security 登出一張圖表，可用來評估一個網站的「可入侵度」（hackability)，這是一個網站系統的安全檢查清單，網站符合的條件越多便越安全。

August 19, 2013

RIPS: 自動分析 PHP 程式碼中的安全漏洞

系統開發員整天提心吊膽程式有否安全漏洞，用人手檢查程式碼非常費時失事，加上限於經驗和知識，總難免掛一漏萬，Johannes Dahse 開發的 RIPS 把這種悶蛋的檢查工作自動化，可能對你有幫助。

August 1, 2013

Space 與 tab 的爭論

程式碼中究竟應該用 space 還是 tab 來縮排和對齊，可說是電腦科學界歷時最久，參與人數最多，爭論最激烈，但仍然沒有結論的話題。你只要在 Google 搜尋一下「space vs tab」，便可以感受到爭論是何等激烈。這裏我會分享我的方法，並盡可能解釋其中的原因和好處。

July 24, 2013

如何設定網頁的 charset？

我們都知道每一個網頁都必須設定 charset 才能在瀏覽器上正確顯示文字，例如一個中文網頁使用 Big5 編碼，瀏覽器卻把它當成 UTF-8 來顯示，毫無疑問結果就是一堆亂碼。究竟瀏覽器是怎樣決定一個網頁的編碼？HTML4 和 HTML5 對此是否有規定？開發人員有甚麼需要注意？

May 3, 2013

URL 重定向的次數上限

很多 PHP 開啟檔案的函式包括 file(), fopen(), file_get_contents() 等等，除了開啟本機硬碟中的檔案，也可以開啟網絡上的資源，例如：

April 18, 2013

學習 JavaScript

科技博客 Derek Sivers 分享他學習 JavaScript 的經過，他強調目標是真正掌握 JavaScript 這個語言，不想抄捷徑、不要快速招數，我們來看看他的經驗。

April 9, 2013

WampServer 的配置檔

WampServer 由 Apache 伺服器、MySQL 數據庫、PHP、及一些輔助程式整合而成，每一個元件 (component) 都有自己的配置檔，本文將會介紹其中常用的幾個。

March 27, 2013

如何防止網頁中的電郵地址被收集，成為濫發電郵的對象？

網絡上有很多所謂「爬網機器人」(spam bot)，專門收集網頁中的各種資訊，其中一種它們最喜愛的東西就是電郵地址 (email address)，因為這些地址可以儲存起來，日後用來發放「濫發電郵」(spam)，或者賣給提供這些服務的公司。其實我們可以把電郵地址進行「HTML 編碼」(HTML encoding)，避免電郵地址被這些討厭的機器人收集，但對真人用戶沒有絲毫影響。

March 4, 2013

PHP 設定方法比較

設定 PHP 有很多方法，最正式的可以使用 php.ini，但它會影響伺服器內所有 PHP 程式，最靈活的是 ini_set()，可惜不是所有東西都可以用它來設定。還有其他方法嗎？甚麼時候用甚麼方法最妥當？本文比較了 6 種不同的 PHP 設定方法。

February 4, 2013

日出日落時間

電台的交通消息報導經常都這樣說：「……今天的日落時間是黃昏 7 時，明早的日出時間是 6 時 13 分，根據交通法例，在日落之後至日出之前，車輛必須開著車頭燈……」用 PHP 計算日出和日落時間非常簡單。

January 14, 2013

沒有字母和數字的 PHP 程式

你見過沒有英文字母和數字的 PHP 程式嗎？這是可能的嗎？Gareth Heys 有一篇教學文件，示範如何不使用英文字母和數字，創造出 PHP 的變量、字符串、數字、陣列等。Alex Inführ 以此為基礎，構思了創造 PHP 函式的方法，他的程式只用了 7 個不同的字符：$_=+();

January 2, 2013

從一個到一百萬個用戶 - 淺談系統擴展的方法

編寫網頁應用是一個進入門檻低的行業，只要隨便翻一、兩本書便可以學得有關的知識，架設一個基本的網站也很便宜，或許你早已有了自己的網站，甚至不只一個呢。隨著網站的知名度上升，訪客人數和數據流量也逐漸上升，真是值得高興。但是漸漸你發覺網站的反應速度變得緩慢，系統逐漸負荷不來，很多人開發人員這時開始手足無措，應該如何擴展系統呢？通常這些問題會落到一些擁有花哨頭銜例如系統架構師、高級架構師等等的人手中，唉，這些問題實在太難了，即使想一想它有多難也令你頭疼不已。

December 18, 2012

開放設備實驗室

網頁開發人員都知道，互聯網的足跡早已跨越桌面電腦，延伸到日益廣泛的流動裝置上，很多開發人員發現，除了在桌面電腦的幾個瀏覽器，也要在越來越多的流動設備上測試網站的效能和表現，這一切說來容易，做起來困難。不是每一個人的桌面隨時放著十來二十部不同牌子，不同作業系統的流動設備，使用模擬器又有極多不足之處，那怎麼辦好呢？

September 13, 2012

備份 WampServer 資料

本文將會介紹怎樣備份 WampServer 的資料，若果你不知道 WampServer 是甚麼，請先閱讀「在 Windows 7 安裝 WampServer」。為了方便說明，下面的例子假設 WampServer 安裝在預設的路徑 C:\wamp\，其他路徑的配置 (網站檔案的路徑、phpMyAdmin 的安裝路徑、MySQL 數據庫資料儲存的目錄等等) 均使用預設值，若果你安裝在其他路徑，請自行按需要更改。

May 9, 2012

程式開發員搏擊手冊

十五年前我在 www.developer.com{.smarterwiki-linkify} 索取了一份「Software Developer’s Combat Manual」(程式開發員搏擊手冊) 的海報，這張海報早已遺失，最近在 FutureTask 網站重遇這張海報，感到很有親切感，它的爆笑程度並未因歲月而稍減，我嘗試把它翻譯過來跟大家分享。原來的海報已不能在當年的網站找到，幸好有有心人把它掃描放上網。

April 5, 2012

免費的電子版 HTML5 海報

SitePoint 設計了一張 HTML5 海報介紹 HTML5 的新標籤，附有說明和範例，這款海報仍未付印，但 SitePoint 決定把電子版送給大家，只要在 SitePoint 註冊帳號並且訂閱他們的業務通訊，便可免費下載。

April 3, 2012

在 WampServer 安裝 PEAR

若果只用一句說話來解釋 PEAR，它是一個用來發佈和管理 PHP 可再用元件的系統，若果你還是不懂，下面有更詳細的說明，暫時你明白 PEAR 對 PHP 開發工作非常重要便夠了。很可惜的是 WampServer 並不包括 PEAR，所以我們需要手動安裝，幸好整個過程只需兩、三分鐘，讓我們看看應該怎樣做。

April 1, 2012

免費的雲端伺服器

想一嘗在雲端伺服器開發軟件的感覺嗎？不妨試一試 Redhat 的 OpenShift Express，每個帳號可以發佈最多 5 個應用程式，每個應用程式將獲分配 1GB 硬碟容量，512 MB 記憶體，可以儲存不超過 4 萬個檔案，官方網站說保證無限期免費任用，伺服器支援 Java, Perl, PHP, Python, Ruby，數據庫方面，伺服器支援 MySQL, PostgreSQL, MongoDB，當然你還可以使用 SQLite。

1
2
3
4
5