月份彙整: 2009 年 6 月

北京

这次回到北京,感触颇多,见到不少读书和登山时的好友。有的变化甚多,就算是路上碰见都不一定认出来。比如像贾小雨,现在的形象和她大一的时候相比完全不一样了。你只能惊叹女生的化妆能力实在是厉害。有些人则一点都没变,十年如一日。比如像小颜,发型还是原来的发型,就连穿的衣服都还是以前的那件风雨雪。熊曦则变得有点……与其说是温柔,不如说是沉默,缺少了以前那种开朗的心情。也许年纪大了,心情会变得不一样了?马翔也变了很多,变得很象以前的李鹏:黑黝黝的肤色,穿长裤+凉鞋。一年的时间确实能发生很多事情。也许在别人眼中,我自己也变了很多吧。

再说说北京城吧。奥运过后北京的硬件设备确实先进了很多,现在地铁已经能够使用自动售票机和出入闸机了。地铁的线也多了好多条,覆盖到更远的地方去了。但服务水平还是参差不齐,在工作岗位上顾着聊天的大妈依然存在。而且每到一个地方都要安检,每个安检点起码有4到5个人,我估计北京的安检行业应该养活了不少人。没办法,四万亿的内需不花在这地方,难道还能花在老百姓身上吗?公交上的售票员还是一样的屌,丝毫没有因为奥运而变化。在香港呆久了,就是不习惯北京的服务水平。另外不得不说的是西直门的换乘简直是越来越差,就应该让设计的人每天走他妈十来趟,看是啥感觉。明明一段很短的路程,非得要绕一个大圈。换乘一次要走上15分种以上。内地的服务有一个很大特色,就是不人性化。总是要用户来迁就系统,而不是用系统来方便用户。这个要什么时候才能得到改进呢?

伊朗选举

伊朗选举风波越演越烈,很大机会重演去年泰国大批民众走上结头抗争之势。从这两次(泰国和伊朗)所谓的民主总统选举,我们可以看到民主一定要有一个大前提,就是高度的法治。成功的法治,就是国家内所有群体(包括政府和其他一切组织)都不能够因为某位长官的意志,而做出法律所不允许的事情。像美国2000年的总统选举,戈尔和小布什的得票相当接近,一开始双方也是各执一词,谁都没有主动认输。但他们两派没有选择街头抗争,而是选择将这个选举结果交个法庭去裁定。最后法庭裁定小布什获胜,戈尔随即宣布落败。虽然有一半的美国人不是选择这位总统,但他们还是接受了这个结果。因为这一切都是符合美国的法律的。

相反,伊朗和泰国则选择了一条完全不一样的路。伊朗的反对派领袖穆萨维已经说了宪法监督委员会很难有一个公正的裁决,要求支持者和平抗争。泰国红杉军和黄衫军轮流走上街头,堵塞机场和公路,给泰国经济带来庞大的损失。这当中固然和政治领袖的素质有关,但根本上是反映了本国人民对司法制度的不信任。缺乏真正独立的司法体系,就很难构建一个高度法治的社会。在没有法治的前提下,过早推行民主选举,后果就是和现在的伊朗和泰国一样。

说了这么久,那我们祖国现在具备举行民主选举的前提了吗?我对此并不乐观。在目前共产党的严密管治下,我们在国内很难找到一个完全独立,不受共产党影响的团体(地下组织例外)。既然没有一个具公信力的独立司法体系,高度法治的社会是根本没有可能出现的。如果我们现在开放选举的话,以我们十三亿人口的泱泱大国,暴动的层次和级别只会有过之而无不及。目前,我们政府也是以稳定为借口,拖慢甚至暂停了整个政治改革进程。我完全同意稳定之上这个原则,问题就是,这到底真的是政府的想法,还是只是共产党维持自己统治地位的藉口?要知道,回顾历史,统治者为了维持自己的统治地位是可以不择手段的。共产党目前到底是以什么想法治国,恐怕只能由时间给出答案了。

Web Application Security

今天公司培训,去上了一天课,讲的主题是“Web Application Security”。主讲人是一个老外,handshake networking的consultant。我觉得讲的内容很不错,在这里和大家分享一下吧。

Web Application Security

 

随着网络高速发展,越来越多公司将部分业务放在网上。一来方便了客户,二来也减低了公司本身的行政费用。以前黑客们大多将精力集中在OS或者Web Server层面。比如说Windows的漏洞或者是IIS,Apache的漏洞,并加以攻击。但随着这些软件的不断完善,攻击的难度也越来越大。相比起来,Web Application层面的攻击就比较容易。原因有几个:第一,OS和Web Server的漏洞可以通过patch的形式修复,一旦开发商发布这些patch,大部分电脑的漏洞都可以堵塞。但Web Application都是自己开发的,这个堵塞了漏洞,另一个还可以用同样的手法攻击。第二,Web Application的开发都是小规模进行,质量良莠不齐,攻击起来相对简单。

程序员避免犯的错误

 

在这里说几个常犯的错误吧。

  1. 不要在同一个目录下备份文件。一般来说,程序员有个习惯就是做任何修改之前先备份一下,将原来的文件改成.bak, .tmp之类的。如果黑客知道我们的文件名(不可能不知道,就在网址里),就可以尝试下载有这些后缀的文件,找到的话,我们的源代码就会被直接下载咯。
  2. 修改Web Server的默认设置。修改Web Server的设置,使得返回的http header不会有IIS/6.0或Apache 2.2.1之类可以告诉黑客服务器版本的东西。因为这信息有助于黑客锁定攻击你的方法。而且主讲人还说了一个很重要的原因。大部分黑客都是没有既定目标的,他们只是在网上漫游,寻找合适的网站来攻击。如果你的网站返回的是没有任何意义的东西,他们就会觉得那管理员最起码懂一点安全的东西。于是就会放弃这个网站,直接寻找下一个。哈哈,这个强吧。
  3. 尽量不要将多个Application放在同一个服务器中。因为你永远不知道别人的Application有什么漏洞,所以每增加一个Application就等于增加了该服务器被攻击的机率。要知道,一个Application被攻破,黑客就可以通过其他方法拿到别的Application的控制权。

目前先说这么多吧。

BlogEngine.NET的主题佈景

在网上搜集了一些BlogEngine.NET的主题和佈景,供大家下载使用。注意,这些都不是原创的,仅仅提供一条下载链接。版权属于各自的创作人。(本帖子会持续更新)

www.OneSoft.dk创作的:

iNove:

inove

potraitpress:

portraitpress

Desk Mess:

desk-mess

Arthemia:

arthemia

Fresh citrus:

freshcitrus

Illacrimo:

illacrimo

Notepad chaos:

notepad-chaos

Vertigo:

vertigo2

www.jankoatwarpspeed.com提供的:

CrazyWheel:

CrazyWheelsTheme

社会现象杂谈

上次在电视上看到一个节目,内容好像是探讨香港的男性。我不太记得最后的结论是什么了,但我对一位女士的发言却印象很深。她说:“现在的男生想法都很天真。你问他们有什么理想的时候,他肯定是说努力工作,赚大钱,争取40岁左右能退休。咋听之下好像很有理想。但第一个是这么说,第二个又是这么说。到最后,原来全部男生的理想都是这个。我就知道原来他们其实什么计划都没有。”

诚如这位女士所言,现在大学生的想法确实很天真。但这段话某程度上也反映了现在社会上急功近利的风气。大家都在想着怎么能“多快好省”地赚取第一笔钱。今天从报章中又看见一则“清华大学历史教授不识蒋介石的报道”。说的是该教授在翻译外国书本的时候误将蒋介石的英文名字翻译成另一个人。该报章在做结论时有这么一段:“至於為何會鬧出這樣的笑話,不少評論都將之歸咎於學術界急功近利、治學不嚴謹的風氣。有內地學者透露,有些學術著作雖然掛有教授的名字,但其實大部分工作是「分包」給門下研究生「集體生產」。某些大學教授一看什麼熱門題目就跟風,然後組織學生找來相關科目的教材、學術期刊與報紙,便拿起「剪刀」和「漿糊」,拼出一本書來。”如果连大学里的教授都是以这种态度处事的话,也难怪社会上的风气变得如此了。

我觉得发生这种情况最大的因素就是社会上的不公。总所周知,中国现在实行的是集权制度。上至中央,下至地方,所有权力都集中在“一把手”的手中。政府权力得不到有效的,特别是从下往上的监督。正所谓“绝对权力,绝对腐败”,在现行的体制下,贪污,腐败,抬底交易已经变成社会上的潜规则。在中国这30年经济改革中富起来的,大部分背后都牵涉了金权交易。“忠忠直直,终须乞食”在现在这个走后门,拉关系蔚然成风的社会中被充分体现出来。这完全颠覆了我们传统以来“老天有眼”,“好人有好报”的观念。在巨大利益引诱下,大家的信仰都开始变得模糊。当越来越多人为了自身利益而甘愿同流合污的时候,社会的不公也就越演越烈。可以说,制度的不完善,社会财富分配的不公是整个社会道德沦丧的根源。

我觉得,要改变这种局面就要从自身做起。最重要是做到出淤泥而不染,不受别人影响。我在这里推荐大家去寻找一种自己喜欢的信仰。信仰指的不一定是宗教,也可以是各种各样的活动。比如说羽毛球,乒乓球等等球类活动也是一种信仰;看书,下象棋等等也可以是一种信仰。最重要是要找到一个能让你孜孜不倦去追求的目标。当你醉心于一件事情的时候,才能做到心无旁骛。坚持自己的理想,不随波逐流。能做到这一点,已经很不容易了。

中國勒令電腦裝「色情監控軟件」

【明報專訊】中國計劃要求今年7月1日之後在華銷售的所有個人電腦,出廠時都裝有阻止電腦造訪「色情網站」的軟件,多間國際個人電腦生產商都已獲知會。中國政府稱,此舉旨在保護未成年者不會接觸到色情網站等有害內容,但《華爾街日報》質疑新措施是要收緊互聯網控制,令中國政府對內地網民的活動,「施加前所未有的控制」。

有關軟件的中文名稱是「綠壩—花季護航」,「綠」的意思,是表示沒有色情等其他違法內容的網絡瀏覽。《華爾街日報》報道,中國工業和信息化部今年5月19日發布一份通知,稱為了「創造一個綠色、健康、和諧的互聯網環境,防止互聯網上的有害信息影響和毒害青少年」,政府要求個人電腦製造商在7月1日後,必須預先將「綠壩」安裝到在華銷售的個人電腦硬碟上,又或提供隨機附送的光碟,電腦製造商必須向政府上報預裝有該軟件的個人電腦發貨量。

軟件恐令黑客易入侵

負責開發的金惠計算機系統工程公司稱,「綠壩」的運作方式類似其他國家旨在讓家長阻止電腦造訪兒童不宜內容的軟件。一名為政府部門測試該新軟件的官員說,軟件將連接個人電腦與一個被禁網站數據庫,阻止電腦造訪這些網址。

金惠創辦人稱,公司計劃通過一個類似防病毒更新系統的方式,將新的被禁網址傳送給用戶的個人電腦,目前遭到屏蔽的僅限於色情網站。但一些外國業界管理人士和美國政府質疑,新措施可能會顯著增大北京政府對中國互聯網造訪的控制,甚至警告這類軟件可能導致在中國運行的個人電腦發生故障、可能令電腦更易受到黑客攻擊。美國駐華使館發言人說﹕「我們正研究新規定的影響。我們將密切關注任何試圖限制信息自由流動的舉措。」

「新措施缺乏透明度」

《華爾街日報》引述分析過「綠壩」的外國業界人士稱,用戶將很難確切知道哪些內容被阻,「這種軟件使得對其他網站實施限制成為可能」。報道也批評內地政府幾乎沒給電腦生產商多少時間去適當地測試「綠壩」。有外國業界高層人士批評,有關新措施缺乏透明度、實施時間倉促,也沒人確切知道這款軟件功能的涵蓋範圍。

報道還質疑金惠公司,與負責輸入內容的北京大正語言知識處理科技公司,都與中國軍方和保安部門有聯繫。報道引述兩間公司的網站稱,大正語言與解放軍裝甲兵工程學院有合作關係,並於2005年幫解放軍開發一個截取機密文件的系統;金惠則與公安部一研究所在圖像識別技術上有長期合作關係,與解放軍信息工程大學也有長期的技術合作。不過金惠方面稱,他們僅與公安部在打擊色情文學方面合作過。

我对6.4的看法

大家看到我的首页可能会以为我是支持平反6.4的人。但其实我对6.4是保持中立的,历史事件不允许我们去做任何假设。政府有政府的考虑,人民有人民的诉求。如果当时政府让步,中国会不会步东欧的后尘呢?中国的经济还会不会有这20年的奇迹呢?这个问题恐怕没人能回答。但我们不应该埋没历史的真相,更不应该对在6.4死去的人不闻不问。既然我们要悼念5.12地震死去的人,我们也能悼念6.4死去的人;既然我们要为5.4运动中死去的学生默哀,我们更加应该为6.4中死去的学生默哀。他们满腔热血,敢于抗争的精神,比起今天只着眼于自身利益的人高了不知道多少倍。这就是我的观点

换掉BlogEngine.NET万恶的头像

BlogEngine.NET中的评论头像,预设都是从www.gravatar.com中下载的。每个人(包括作者自己)的头像一开始都是随机,之后只要email地址保持一样,头像都不会改变,而BlogEngine.NET不允许更改头像的来源,只能选择显不显示头像。这种做法当然是不得人心的。好,让我们来改掉这个头像吧。

打开BlogEngine.NET solution,在BlogEngine.Core project中找到BlogEngine.Core.Web.Controls.CommentViewBase,打开源文件:

[code:c#]

protected string Gravatar(int size) 
{
  if (BlogSettings.Instance.Avatar == "none")
    return null;
  //added by Alex to display author's picture
  AuthorProfile profile = AuthorProfile.GetProfile(Comment.Author);
  if (profile != null)
  {
    return "<img src="\" alt="" />";
  }
  // other codes...
}

[/code]

加上add by Alex的代码,其他不变。以上代码是检查发评论的人是不是系统登记的作者,如果是的话就根据该作者的照片路径来显示头像。当然,如果你只是访客的话那就没办法咯,只能用预设的随机头像了,哈哈。

编译以上project,在BlogEngine.Core/bin/Debug中找到新建的三个dll,pdb和xml文件。将他们拷贝到 <你的网站>/bin/ 下面取代原有的。打开网页,大功告成了吧。