验证码的原名为CAPTCHA,是一大串英文的缩写:Completely Automated Public Turing test to tell Computers and Humans Apart,全自动区分电脑和人类的图灵测试。它的目的在于区分人眼与电脑程式,产生只有人类才能辨别的文字,以避免恶意程式攻击或垃圾留言。然而程式设计者的技能日新月异,现在的验证码也得五花八门,扭曲的文字已经不够用了,网站设计者必须使用算数、照片辨识、两种以上的混合扭曲字元等等验证码,才能稍稍抵挡可能的恶意攻击。
Along the borderland
3年前在ccav播出《远方的家–边疆行》这部系列片期间,我刚好在云南怒江边境一带进行我的骑行和爬山之旅。回来以后看了一下,萌生了一个idea——骑车走在西部边境线上(精力和时间有限且宝贵不考虑东部,所以也不考虑环大中华),然后开始一段段去实现这个想法。
中国国内的边境线整个想法是这样的:广西中越沿边,云南元阳普洱版纳环线+瑞丽腾冲高黎贡山怒江丙中洛,之后独龙江+丙察察线进西藏,西藏墨脱线+山南(隆子杂日+错那措美洛扎浪卡子)日喀则喜马拉雅山一线(四大名沟,亚东岗巴陈塘嘎玛沟珠峰希夏邦马峰吉隆沟)+新藏线(阿里)+塔莎古道(帕米尔高原)+中巴友谊公路(喀什),新疆天山公路。
艰难的一跃--美国宪法的诞生和我们的反思
睡前读书,易中天的《艰难的一跃——美国宪法的诞生和我们的反思》,书很薄,但是过程很有趣,最近越来越不务正业,看的书越来越杂。由一部宪法诞生一个国家,不得不说是这个星球里面的一个奇迹,USA的建国应该是从1787制宪开始算起。另外制宪会议也为“如何开好一场会议”带来启发意义。
对于美国制宪会议的历史在高中开始接触,对此比较感兴趣,可是只是了解个三权分立,里面会议的过程也仅仅略知皮毛,如今读完《艰难的一跃——美国宪法的诞生和我们的反思》算是一个导读,通俗的故事性多于历史性,所以即使里面人物众多,但是读起来也很快,几个夜晚就看完,意犹未尽准备啃啃麦迪逊当时记录的《美国制宪会议记录辩论》,还原历史现场感受一番。
环海南岛海岸线考察日志(cycle Hainan Island)
所谓一千个人心中有一千个哈姆雷特,同样一千个骑行者脑海里有一千种环海南岛的路线。
不走寻常路,尽可能地贴近海岸线,西进东出(环海南岛海岸线计划书),路在嘴边多靠问,很多路是乡村道路(Google地图都没标示),甚至是沙滩,哎!在沙滩骑车简直是噩梦,后轮负载过重陷进沙里边推边抬边骑非常吃力,累觉不爱。还好东线的乡村道路建设得还可以,这方面跟村村通工程有一定关系,西线由于起步晚,公路也在建设或者翻修,估计一两年后路也修好了,可惜很多公路都被那些超载的拉矿拉沙的大卡车不出半年就压烂压坏。
Day 0,这算是毕业前说走就走的的旅行了,时间匆匆,下午订票当天晚上走人。快得让我忘记带上重要的东西,例如头巾(防尘防晒),军胶鞋(爬山爬石头),潜水眼镜(潜水看珊瑚)。夜晚的火车睡得不好,过海时间漫长,还好遇到一个去海南考省考的华农(华中农大)研究生,聊聊各自专业研究生生活以及分享找工作的经历,感觉过海时间也不算长,还有一班去海南搞毕业旅游的大三学生,估计那天的硬座票一下就没了就是被这班熊孩子订光的。
Day 1,路线图
Zeus木马新变种感染SaaS厂商Salesforce.com
Zeus木马以往是攻击银行网站(你懂的,钱嘛),现在第一次针对SaaS(软件即服务)的应用进行攻击,其中最早开启SaaS模式的厂商salesforce的一名雇员的家庭电脑近日受到新变种的zeus木马感染。攻击的手法也很有巧妙,绕过避开了公司的安全监控,在该雇员的家庭电脑实施感染攻击。
adollom实验团队称这攻击方式是下地雷,当攻击者埋下“地雷”在这位公司雇员的不受公司控制的个人设备里来获取公司的资源信息,攻击者现在绕过传统的安全防范措施,等待感染者连接公司*.my.salesforce.com,通过这个被感染的用户的设备来盗取公司数据。这次zeus攻击是利用了一旦用户已经通过身份验证,便合理地建立终端用户和salesforce.com的互相信任关系这个条件。This is not an exploit of a Salesforce.com vulnerability(所以说为条件,不是漏洞)。
ssl_tsl protocol
互联网的通信安全,建立在SSL/TLS协议之上。下面简要介绍SSL/TLS协议的运行机制。文章的重点是设计思想和运行过程,不涉及具体的实现细节 。
信息在明文的情况下传播带来三大风险,常见攻击方式是中间人攻击:
窃听风险(eavesdropping):第三方可以获知通信内容
篡改风险(tampering):第三方可以修改通信内容。
冒充风险(pretending):第三方可以冒充他人身份参与通信。
SSL/TLS协议是为了解决这三大风险而设计的,希望达到:
所有信息都是加密传播,第三方无法窃听。
具有校验机制,一旦被篡改,通信双方会立刻发现。
配备身份证书,防止身份被冒充。
security in internet of things
安全界的发展是依附于整个行业,这个行业可不仅是互联网,可以说安全界的触角从互联网到某些内网到物联网到传统的工控网等网络都有延伸(这些“网”之间可以没明显界限),主角是互联网。
终端安全(PC电脑、手机、Pad),云端安全(网站、IAAS、PAAS、SAAS),链路安全(家庭路由器、DNS服务器、各大节点路由器)都被大型厂商盯上。时下热门的移动互联网,大多终端上的APP背后也是云端,也是同样的Web,也是原汁原味的HTTP协议,曾经在PC上研究的Web安全,在手机上也是持续存在的。
互联网延伸出来的物联网,如:可穿戴设备、智能家居、智能汽车等。如果是封闭的,意味着安全得内嵌,就不用让第三方安全厂商来做,一般是谁生产这个“物”,谁来负责好安全;如果要让第三方安全厂商进来做,那这些物联网设备就学android手机那样开放,但是个人觉得android系统并不是完美得放之四海皆能用,所以在很多物联网设备上,以linux内核按照自身需求建造自己的系统是必须的。
在隐私安全方面是个大问题,在safety and security也谈过。这方面小型初创团队可以做这方面,毕竟大头们都忙着搞云端项目,比较少涉猎到私有云这方面,就算有也是类公开的“私有云”,真正私有云,应该是私人定制的解决方案,满足用户隐私保密的要求。
the last not the least,并不一定是做安全产品,也可以是打着安全名义出相关产品,让安全成为自己产品的亮点,这样搞,市场就更大了。
mp4 convert to gif
动态GIF图片现在复苏了,不少在线分享和社交网络网站都开始支持动态GIF图片,由于在消费和共享上的容易,GIF的动画已经成为主流互联网文化的一部分了。下面介绍一下在Linux使用ffmpeg把自己旅行时录制的mp4格式的视频文件转换gif动态图。
Simplicity can be beautiful
在这个世界上,有太多的事情过于复杂。而简单就是美。
这就是为什么奥地利艺术家 Klemens Torggler的创作是如此精彩。看看一扇简单的门,他进一步解构它,创造了令人难以置信的东西——面板翻转门。
- 这是四块等边直角三角形面板拼成的门,看起来像一个正常的门…