随笔 - 10, 评论 - 81, 引用 - 0 |
||
|
2008年08月17日 《Win32 多线程程序设计》,虽然是专门讲解多线程编程的,可我大致翻了一遍后,反倒觉得没有《Windows核心编程》里面那几章讲得有用和深入。感觉没有必要仔细读了。 比如说,《Windows核心编程》里面很清楚地说明了,那些线程同步的方法,哪些是用户方式(user mode),哪些是内核方式(kernel mode),而且很清楚地告诉你效率究竟相差多少。这样的知识,对具体编程,还是很有帮助的。 不过《Windows核心编程》这本书的中文名字,翻译的也有点莫名其妙,英文名明明是《Programming Applications for Microsoft Windows》,不知“核心”二字从何而来,容易让人误解。 posted on 2008-08-17 19:02:56 by wenmiao 评论(3) 阅读(2924) 2008年08月10日 看来SEO很好做。搜索我的名字。 Live: 前三条都是我的blog。 Google:第三条,我在joycode上的blog。这个最近提高很快,曾经都找不到了。主要是我又重新在joycode上大量更新了。 Baidu: 排名下降了,第二条。我本来一直排第一的啊。 通过一段时间基于这个特定的query的观察,各大搜索引擎的ranking,以及crawler的频率,还有分词和如何index,真是各有特点啊。 posted on 2008-08-10 11:28:43 by wenmiao 评论(0) 阅读(3543) 2008年08月09日 昨晚的开幕式,还不错,反正比我想象的好,鼓励一下。这其实是我唯一一次完完整整看完的奥运会开幕式。 我在楼上先看真实的烟花,刚好直播有几秒钟的延迟,然后回过头电视里再看一遍。虽然昨天的能见度不是特别的好,但是亲眼看到烟花从五环路的奥体公园,从北往南,一直绽放到鸟巢,场面还是很壮观很激动的。 撇开我们要表现的中国文化等等不说,其实,这充分体现了中国特色。那就是能用人的,一定用人;不能用人的,创造条件也要用人。比如抬那么重的台子,坚决是不用机器的。再比如,一开始,人力显示的那些“60”,“50”,“40”的倒计时,我们当时戏言,其实写个小程序更容易做到没有丝毫误差的。 其实人多也是一种优势,上次关心老师说,中国一年有50万的计算机相关专业的毕业生,那十年就是500万啊,很可观的数字。 posted on 2008-08-09 14:01:06 by wenmiao 评论(1) 阅读(3821) 2008年07月27日 1 以前找打折机票,都是通过打电话找卖机票的,或者在携程上订。 反正都不是直接和航空公司打交道。 最近发现,最低折扣的机票,都在各大航空公司自己的网站上。 航空公司终于醒悟过来了,与其让二道贩子赚中间的差价,不如让旅客直接得益。而旅客更多的选择了自己航空公司的航班,实际上航空公司也得益了。 网络,让普通旅客和机票贩子以前的信息不对称消失了。 2 网络,让买机票很方便。 以我自己的经历来说,在网上用酷讯搜索机票,在航空公司的网站上买票,用电子银行付款,到机场直接拿身份证自己打印登机牌。除了安全检查和开飞机,其他一切自己搞定,非常简单而快捷。 网络是可以提高生活和工作效率的。 3 技术本身并无论贵贱的,给用户提供价值是最重要的。航空公司自己搞个网上订票系统,从技术上看,不是特别复杂一件事情。但对于旅客而言,是省了实实在在的钱的。 扯点更远的,一点不赚钱的事情,或者未来永远都赚不到钱的事情,肯定也是搞不大的。互联网产业,总的来看,也就是个服务行业。搞免费服务,肯定不可能的。但是,看上去不少人都在搞免费服务,大部分心里当然不会那么活雷锋,只谈奉献不谈回报,可是就怕一直被强迫着免费,直到钱烧完了。钱烧完了,那就要改烧纸钱了。 posted on 2008-07-27 20:52:34 by wenmiao 评论(0) 阅读(3899) 2008年07月19日 上周收到样书了,全名叫做《黑客大曝光:Web应用安全机密与解决方案(第2版)》,原版的英文名为《Hacking Exposed Web Applications, 2nd Ed》。 关于这本书,更多详细的信息在 http://www.china-pub.com/39980。 在Amazon上,也可以看到本书英文原版的评价和详细信息,链接请点此处。 要感谢的人很多,列名字的时候,真是诚惶诚恐,生怕族繁不及备载,少列了任何一个名字,都是很不好的事情。因此,先容许我,以我最大的诚意,一并先说声,谢谢你们。 以下以“讲故事”的方法,向提供帮助的诸位,表示最真挚的感谢。因为"感谢CCTV,感谢DDTV,感谢EETV"这样的套话,恐怕听众都厌烦了,不适合让他们记住您的名字。 之所以翻译这本书,最开始的渊源来自于博客堂。2007年初的博客堂年会,见到了电子工业出版社博文视点的郭立女士,李冰编辑和卢帆编辑。且先略过诸位编辑都很pp不表,继续正题,说书的故事。会后不久,李冰编辑问我有没有兴趣翻译这本书的时候,我本人从大学开始就对网络安全一直颇感兴趣。而在微软从事的第一个项目,刚好就是个web的企业级应用,也负责和参与了安全测试的工作。即使我现在从事的是搜索引擎的开发工作,不那么直接的参与安全方面的工作了,也依然对安全领域保持着很大的兴趣。总而言之,我对这本书很有兴趣。感谢博客堂和开心老大组织的年会。感谢博文视点的郭立总经理和李冰编辑。 后来找到王炜老兄,他更是个网络安全的狂热爱好者,在这方面也颇有研究,提及翻译本书的事情,更是一口应允下来。因为他在希格玛大厦实习过,所以我们认识,不过开始联系翻译书的事情的时候,他已经回到四川了,而现在,我们已经是同事了,以后在希格玛大厦,会经常碰头的。谢谢王炜,没有你的努力和认真,我压根就无法想象这本书现在可以摆在案前。向辛勤工作一丝不苟的的许艳编辑致谢,向校阅的罗代升教授致谢。 说来也很巧合,本书的作者Caleb Sima,我2006年在西雅图参加Bluehat的时候还见过,听过他的精彩的讲座,记忆犹新。要感谢Caleb和其他的两位作者Joel Scambray和Mike Shema ,对自己多年专业经验的分享,编写了这样一本在web安全领域极具学习和参考价值的书。甚至在今年,因为此书还有过“美丽的误会”,我在live space的blog上有详细的记录。 向提供过无私帮助的wingc老兄致谢。 其实最最重要的事情是,希望书的翻译质量,对得住读者的钱包。而水平所限,错误可能在所难免,还望各位指正和拍砖。
posted on 2008-07-19 12:43:54 by wenmiao 评论(0) 阅读(3990) 2008年07月16日 容我说点陈年往事。 2007年的软件产业的数据,尽可能直观的说说,欢迎大家指正。 2007年软件产业的总收入5800亿,增长20.8%。就相当于软件产业的GDP是5800亿,占中国总GDP的1/40。假设总共从业人数为140万(大概就是这个数),所以软件行业的人均GDP,就是41万元,是人均GDP的22倍。 按照记者的口气是,从某某大会获悉,2007年软件产业产值已经达5800亿。实际上根本不用去开会,这些数据都能第一时间看到。去年的数据,在信息产业部的网站上,2008年2月3日就出来了,链接见本文最后。 我第一时间看了,幸好当时没写blog,否则就闹笑话了。我把“教训”总结一下。 我当时拿excel加了一下,整整11600亿,1.16万亿啊,当时是有点吃惊了,差不多就是中国总GDP的1/20了。 最近终于从这个错误中反应过来了。你们可以看看,第一列是“软件业务收入”,实际上这是后面的总计。后面的“软件产品收入”“系统集成收入”都是属于分类的统计了。不过这几列,都没有任何直观上的区分,容易弄混,还算情有可原。 回到正题,软件产业在地域上,相当的集中。看看2007年的数据,北京占了21.8%,广东16.9%,江苏,14.35%,上海8.5%。 北京和我想象的差不多。江苏比想象的多,上海比想象的少,不太明白其中的原因。 以下摘录了2007年的前12名,单位亿元。合计 5800.1 北京市 1263.1 广东省 981.2 江苏省 832.4 上海市 494 浙江省 354.3 山东省 302.9 四川省 240.2 辽宁省 234.1 福建省 220 陕西省 144.8 吉林省 93 湖南省 78 其实数据仅仅是问问题的起点。比如,和其他国家横向的比较也很有意义。可惜我还没有找到太多详细的数据,其实本文有点想抛砖引玉的意思,欢迎更多的数据和分析。 具体数据请参照 http://www.miit.gov.cn/art/2008/02/03/art_5104_47694.html posted on 2008-07-16 21:50:47 by wenmiao 评论(0) 阅读(4144) 2007年09月12日 IT人士需要感性吗?毫无疑问,要的。 记得某次关于演讲(presentation)的培训,上课的一开始,老师便问大家最想学到的是什么。一仁兄告诉老师,想要如何更加有条理,更加的理性。老师说,你们搞IT的,需要补充的不是理性,而是感性。 这位老师的确很资深,简历很吓人。吓完人后,给我们讲了一个很资深很资深的故事,关于“感性”的故事。其实就是一个很老很老的故事,关于推销房贷的故事。
故事是这样子的。 一个中国老太太和一个美国老太太在天堂相遇。中国老太太说:“我攒够了30年的钱,晚年终于买了一套大房子。”美国老太太说:“我住了30年的大房子,临终前终于还清了全部贷款。” 这个故事之所以颇能“忽悠”人,就是因为它足够的形象而又具体,挺感性的。听完故事,很多人脑海里就会浮现出来一幅画面,美国老太太过得如何滋润,而中国老太太纯粹就是有福不享找罪受吗。听完,很多大叔大伯大婶大妈小姐小孩们一拍大腿,就去买房了。当然,这个故事本身的对错,我们今天在此先不讨论,贷款房价地皮等等这些事情,敏感着呢。 谈到如何鼓动大家贷款提前消费云云,理性的IT精英们可能会这么说,您每年只要以7%的利率支付利息,30年后您将获得这某某路某某号房子的使用权和所有权。大叔大伯大婶大妈小姐小孩们听你这么一说,肯定是云里雾里不知所云,结果自然是拔腿就跑。不过我等IT人士的能说出这样的说,还算满感性了,据说很多人以将一行长长的SQL语句错落有致地布置成十四行为感性的最高境界呢,传说中的SQL十四行诗,比莎翁的十四行诗要更有韵味点。 做演讲,卖东西等等时候,还是要一点点的感性的。人家马丁路德金如果是位IT人士,说不定会这样子有条有理地理性地演讲,“我今天要谈三点,第一点,第二点,好,我说完了”,可惜,我们就听不到“I have a dream…”这样有煽动性的演讲了。 IT人士为什么需要感性?因为,IT人士也是人。 我们和世界上最复杂的东西――计算机,都能以“理性”和“逻辑”这两把尚方宝剑相处得很好,似乎这个世界都是可以debug得一清二楚的。记得在参加另外一个培训时,某仁兄提及自己的理想就是,要把整个世界看得一清二楚。我很佩服和赞赏这位仁兄的勇气。但其实,人和人生,比世界上最复杂的东西――计算机,还要更复杂一点。牛顿和爱因斯坦,大概也会同意,人和人生,以及这个世界,要比世界上最复杂的东西――物理学,要更复杂一点。何况,偶尔有点小糊涂,也不是什么很坏的事情。 IT人士需要性感吗?这是个仁者见仁,智者见智,性感者见性感的问题。欢迎大家就此展开热烈的讨论,期待着大家宝贵的意见和建议。 (本文颇有调侃的意思,请勿对号入座,谢谢) posted on 2007-09-12 14:00:00 by wenmiao 评论(18) 阅读(4121) 2007年04月01日 防范SQL注入
文苗 SQL注入还是很流行和普遍,随着web程序的风行,甚至有愈演愈烈之势。 关于SQL注入的影响,也是可大可小的,先说个小故事吧。记得五六年前帮助一个朋友对他的网站义务做渗透测试时,随手试试,就找到个SQL注入的问题。于是打个电话给朋友,告诉他有这样的问题的严重性,他很客气的说,“太谢谢你了,哦,SQL注入啊,没关系了”。我无语片刻后,花了一点时间,利用刚找到的SQL注入,很不情愿的拿到了系统权限,最后在朋友的网站服务器的桌面上,放下了个一个文本文件。再打电话给他,告诉他,我一不小心放了个文件在你的桌面上。朋友的语气变了,开始问我如何解决。当然不是每个SQL注入的漏洞都能让入侵者拿到系统级别权限,实际上稍做配置,就不太容易了。不过以上我说的几步很简单,简单到所有的脚本小子高中生初中生都会,准确地说,他们比我更擅长和更迅速,有简单而高效的利用工具,甚至他们不需要学习什么是SQL。 然而五六年过去了,这些伎俩都没有过时,可见并非所有的防守方的防范技术都在与时俱进。谈论SQL注入的文章很多,却很少看到有文章全面的从开发者的角度出发,列出实际开发中应该注意的一些防范措施,本文尝试做这么一件事情。关于什么是SQL注入,有很多文章谈过了,就不详谈了。 造成SQL注入的一个很重要的原因是,数据和逻辑的混杂。很常见的做法就是,将用户的输入和SQL语句进行拼接,最终导致了用户的输入变为了SQL语句的一部分。因此,防范SQL注入的一个很重要的原则就是,让数据只是数据,尽量不要使用用户的数据来构造SQL语句。当然,SQL注入如此盛行的另外一个重要原因是,充满想象力的恶意输入。
类似SQL这样的结构化查询语句,都有可能有类似的注入攻击,比如LDAP,甚至XPath。 如何防范SQL注入呢?以下几点可以帮助你。 1) 使用参数化的查询 不同的语言和平台都有不同的方式使用。比如,在ADO.net中,可以使用Paramater.Add;在Java中,可以使用setString, setBoolean等;Perl DBI Module,则使用Prepare, bind_param。 使用参数化查询,自然避免了使用拼接字符串以构造SQL语句,因此也把用户的输入和程序的逻辑分离开了。另外,也有了强类型的检查。不用再担心单引号和分号等等“非法”字符了。 2) 在存储过程中使用参数化输入 如果使用存储过程,则应使用参数作为存储过程的输入。
利用存储过程来防范SQL注入,也依赖于使用的方式,
3) 严格验证用户输入 越严格越好,比如不光是过滤或escape/encode一些常见的非法字符,而是只允许输入符合要求的字符,比如对于id,可能就是0-9的数字,等等。 4) 不暴露任何错误消息 攻击者们总是喜欢通过错误信息以判断是否存在SQL注入的问题,另外也通过错误信息以获得进一步的信息。一个好的做法是,一旦出错,就跳转到自定义的错误页面。 5) 配置安全的数据库 本着深度防守的原则,数据库的安全配置也是很重要的一环。比如,即使有SQL注入的问题,但是程序里数据库用户的权限极低,这样也可以把影响降到最低。这里可能有很多的tips,比如 a. 尽可能少的权限, b. 把管理的帐号的程序使用的帐号分开 c. 去掉一些危险的扩展存储过程,比如SQL Server里面的xp_cmdshell d. 打好补丁 e. 数据库的密码不要放在配置文件里 f. …. 原本想更详细和具体点,无奈细节很多,最近时间又有限,只好匆匆提笔又匆匆收笔了,当然实在是不应该的,所以还望各位斧正和提供意见了。 posted on 2007-04-01 03:31:00 by wenmiao 评论(12) 阅读(6143) 2007年02月09日 2005年秋天,19岁的Samy Kamkar在MySpace.com发布世界上第一个AJAX蠕虫。两年后的2007年,Samy Kamkar被判3年缓刑,社区服务90天,向MySpace赔款,不得出于个人原因访问互联网。 1988年冬天,罗伯特.莫里斯(Robert Morris)在MIT发布世界上第一个蠕虫病毒。两年后的1990年,莫里斯被判处3年缓刑,社区服务400天,罚款1万美金。 很难猜测蠕虫作者们的目的,好玩? 某个群体里的尊敬?个人英雄主义? Sam Kamkar 在蠕虫中留下的一句话是"but most of all, Samy is my hero."(翻译为中文是,但最重要的是,Samy是我的英雄)。 非技术的观点上,借用《IT史记》中对罗伯特.莫里斯事件的评论,"黑客从此真正变黑,黑客伦理失去约束,黑客传统从此中断,大众对黑客的印象永远不可能回复"。恐怕法律上,莫里斯的"先行"也给现在的法官提供了判例。 技术的角度上看,莫里斯的蠕虫和Sam的蠕虫,采用的具体的技术区别很大。前者是利用缓冲区溢出,后者是跨站脚本+XMLHttpRequest。但共同点,就是都来源于数据和指令的混合。我们的堆栈既有着可爱的指令,也有着用户们输入的数据,当用户是莫里斯时,情况就糟透了;我们的可爱的HTML里,夹杂了很酷的Javascript,当用户是Sam时,Samy就变成了英雄。 我们可以指责莫里斯和Sam,更重要的是思考解决的方法,而方法却是不容易的。原因何在?计算机领域很多问题,是人和机器的战役,比如说性能,人战胜了机器,够快则胜已。而安全不一样,它是人与人的战役,是攻击者和用户和厂商间的较量,甚至在利益的驱使,变为多方的博弈。这样的战役,在熊猫依旧在烧香的"今天",在空调烤箱热水器都能上网的"明天",都不是尽头。 注:在依靠网络获取新闻的今天,我并不百分之百保证任何消息的真实性,比如我今天谈论的这条。 posted on 2007-02-09 18:05:00 by wenmiao 评论(3) 阅读(5429) 2007年02月07日 什么是黑客 by 文苗 黑客这个名词,恐怕一千个人脑里有一千个不同的模样。举几个例子。深受病毒蠕虫木马侵害的大叔大婶们,脑海浮现出来的恐怕就是,几个拿石头砸完玻璃就跑的小孩,下楼气喘吁吁去抓,却不见踪影,只得痛骂一句,你们这些不干好事的黑客。喜爱电影黑客帝国的同学们,联想到的可能是,盯着满屏01010111跳动目不转睛抓起电话就消失了的神秘人士。技术人员应该会客观点啦,黑客嘛,不就是那些用些工具,利用些漏洞,攻击这玩玩攻击那玩玩的。 且不论褒贬,究竟谁才是黑客?熊猫烧香的作者是不是,看到老外网站的主页就拼命想挂个红旗又是不是呢,最近报道的攻击DNS根服务器的又不是不是呢。 不着急回答上面这些问题,先回答文苗同学的另外两个问题吧。 第一个问题是,凯文.米特尼克(Kevin Mitnick)是不是黑客? 知道他的传奇事迹的人大概都会回答,肯定是。 不知道Mitnick先生,没关系,先说说他的故事。Kevin Mitnick,3岁时父母离异,跟着母亲过日子。上世纪70年代末,13岁的他,那时还在上小学,先是迷上了无线电,后来很快就对计算机发生了兴趣,这下就没完没了了。不久就退学了,因为非法闯入其他学校的网络。退学了,更自由了,他打工赚钱,买了一台性能不错的电脑(小霸王学习机之类的)。不久,15岁的他闯入北美空中防务指挥系统,慢悠悠翻完指向苏联的核弹头资料,觉得无聊了,就溜出来了。 Mitnick觉得不够刺激,打起联邦调查局的主意。某天,突然发现FBI们正在调查一位入侵者,觉得挺有兴趣,一看,真吃了一惊,居然调查的就是Mitnick自己。于是花了点时间,破译了FBI中央系统的密码,每天认真的翻阅FBI对自己的调查档案起来。顺便还和FBI开了点玩笑,把一些特工的资料改成了罪犯。 FBI费劲力气,最后还是把Mitnick给逮到了,发现居然是个16岁的小孩。大概觉得年纪太小,还颇有天份,就从轻发落了,Mitnick很快就假释了。Mitnick可没想要收手,比以前动作更大了,1988年再度入狱,一年徒刑,具体的罪名是,著名的DEC(被Compaq收购了,Compaq后来又被HP并购了)指控他盗取该公司的软件。这次政府怒了,严密监视他,有公司想聘请他,可是政府会严重警告,最后没有公司敢要他了。即使这样,FBI还是不放心,收买了一个家伙,诱使Mitnick重操旧业,果然他上当了。但是Mitnick毕竟是Mitnick,又闯进了FBI的系统,发现了FBI的圈套,在逮捕他之前逃跑了。据不可靠的传说,说Mitnick在逃跑的过程中还控制了加州的电话网,以方便监听警察和特工们。后来甚至还有人说Mitnick在蹲监狱时,拿个小破收音机改造改造,就能上网,这个我是颇为不相信了。 后来的结局是,一位叫下村勉的日本专家也被Mitnick调戏了,发誓要抓到Mitnick,两人玩起了猫和老鼠的游戏。下村勉费尽千辛万苦,查找一切蛛丝马迹,和动画片的结局不一样,猫最后赢了,Mitnick在1995年的情人节被抓住了。 故事说完了,大部分的人听完了故事,可能会觉得Mitnick是个真正的黑客了。Mitnick前些年已经出狱了,似乎还是不允许接触电脑,写起了书,有本叫作<入侵的艺术>,国内也翻译了。CSDN上还有试读,http://book.csdn.net/bookfiles/244/ 再问第二个问题吧,这个问题是,如果问Eric Raymond,Mitnick是不是黑客?恐怕答案可能是两个字母,NO。Eric Raymond何许人也?被公认为是开源运动的主要领导者之一,著有《The Art of UNIX Programming》,还写了著名的五部曲,其中的<大教堂和市集>号称是自由软件运动的“圣经”。 五部曲还有一篇是《如何成为一名黑客》,文中对黑客的定义是这样的,
Raymond先生说的黑客精神,其实就是自由和共享。所以,如果问Eric Raymond先生,Mitnick是不是黑客?Raymond会说,Mitnick先生从事的是“专门以破坏别人安全为目的的行为”,不是黑客。 究竟什么是黑客?不同的人是有不同的答案,我的答案,择日再说。据fenng两分钟前的最新消息,黑客的定义分为古典,现代,和后现代,哈哈。 如果Mitnick算是"邪道"黑客,Raymond自然就是"正道"的黑客了。可是无论正邪,黑客其实都影响软件甚至IT业界发展。杀毒软件厂商和其他计算机安全公司之所以还有口饭吃,某种程度上,得谢谢那些病毒蠕虫和"黑客"们,如果他们期盼猪年收成更好,得祈祷虫子们来得更猛烈些,快要过年的时候,我给他们的建议是,记得给"黑客"和病毒作者多拜年和拜好年。 posted on 2007-02-07 12:54:00 by wenmiao 评论(50) 阅读(15789) |
||
|
Powered by: Joycode.MVC引擎 0.5.1.8 Copyright © 文苗侃技术 |
||
