2009/05/21

Microsoft Windows Vista 萬惡的 UAC

我個人是還滿愛 UAC 的。
可以避免很多粗心的時候,也可以防止一些需要管理者權限的未知程式。



但是很多使用者可是一點都不愛啊,還教導其他使用者安裝 Vista 第一件事情是「把 UAC 關掉」。
「白痴才會繼續開著 UAC」「UAC感覺是給不懂電腦的人看的噱頭...」
糾正他們正確的觀念還會被酸到爆。XD
這真的是太無言了。

這證明了一事情:

產品絕對不能以工程師的角度來撰寫,User Friendly 是有絕對的必要性的。

如果嫌 Vista UAC 很煩很討厭的人,或許可以試試看這個工具:

The Norton User Access Control
http://www.nortonlabs.com/inthelab/uac.php

可以選擇記住每次 UAC 的選擇,也有比內建 UAC 更好的介面。
不過測試結果他會回傳資訊給 nortonlogs.symantec.com (216.10.197.156)。
在意者可以把它 block 掉。

另外還領教到一件事情:

還有,鄉民酸人的力量也是很大的。繼續用 IE6 吧笨蛋。

Firefox 套件 Link Reporter / 本日系統趣事

http://showcase.uworks.net/
https://addons.mozilla.org/zh-TW/firefox/addon/5340

這個套件可以即時顯示目前滑鼠游標上的 Link 是指向哪邊。
方便防範一些 Hyperlink 的欺騙,例如說在 Plurk 上的 http://ooo (http://xxx) 手法。
基本上會比看狀態列來得方便些。

但 是

今天在測試系統的時候發生一件事情。
在讀取資料的時候,再次重整頁面,資料竟然被刪除了!?
還想說:這麼巧使用者在線上喔,查一下使用者記錄。

結果使用者沒登入。XD 更可怕的是資料又被刪除了幾筆!!
這下大條了,調了一堆 log 出來看都沒問題,也不是 session 被偷走還是怎樣的...
不斷的測試讀取那個頁面之後終於那個頁面的資料被刪到剩下一筆了!XD

接著交叉測試 Goddamn 的帳號,他的竟然沒事?!
用他的電腦用我的帳號竟然也沒事...
結果換用 Google Chrome 也沒事...
最後目標還是鎖定在 Firefox 上。
(用 Goddamn 帳號的時候應該正好沒讀取到。)

東看看西看看,把 Firebug 關了,把 CoolPreviews 關了,把 AutoPager 也關了,
一些 SQL/XSS 測試套件通通關光。還是沒用。

最後想到,該不會是 Link Reporter................
用 Proxy 測一下,果然有送出 HEAD /deldata.php?id=123321 之類的。
應該是滑鼠移過去的時候 Request HEAD 讀取 HyperLink,然後就觸發了功能。

真相大白。
嚇出一身冷汗。

這給我幾個教訓:
1. 提姆員外說得對,Firefox 套件不要亂裝。XD
2. 直接 HEAD /xxx.php 就觸發這種設計真的是不太好,應該檢討一下。

Link Reporter 此套件安裝者請小心使用。XD

2009/05/16

時代在變,技術在變,人也要跟著更新。

這一兩年一直有這個想法:

以前玩技術都會一直循著以往的經驗跟模式去做。
一樣的 profile,一樣的 settings,一樣的工具,一樣的方法。
但是時代在變啊,有些時候一定會有一些更好的 solution 才對。

如果不跟著變,就只能等著被後浪卷走。
什麼都好玩,什麼都來玩,才是學技術最快的途徑啊...

當然,根據大神的開示,幹壞事也是進步最大的原動力,這也是真的不會錯的。:P

2009/05/15

「文明」人,該做的文明事。

有些時候真的覺得,人生還是不能一帆風順。
一切只靠後台、靠爸媽、靠財力、靠一些不是屬於自己雙手爭取到的東西,到最後思想也會隨之腐化。

自處高知識份子、高技術份子,卻只會懂得用盡一切手段達到目的、沒有信賴的人、沒有朋友、沒有支持,一切只有權力及財富。
這樣還有什麼意義呢?
這不就是「窮的只剩下錢?」

應該要知道怎麼養成高 EQ,怎麼去交朋友,怎麼去相信一個人。
跟著一群熱血的人,遠比跟幾個只想著要賺錢要耍心機的人快樂多了。

謹記,不要讓自己腐化。
要對得起自己。

2009/05/12

Plurk is under attack!

目前 Plurk 上被 http://www.plurk.com/sunwhite 攻擊中!





不知道他的身分及目的是什麼,目前也沒有看到附加的攻擊手法。
似乎是跑 Plurk message id 回應所有訊息...

才剛開回會回到公司,一上來就看到 Plurk 上這樣哀鴻遍野...
真的是滿誇張的。

目前 Plurk 被這樣攻擊導致速度相當緩慢。
或許可以作為一個大型網站的借鑑?

從去年六月份開始使用 Plurk 到現在,發現不少 Plurk 的問題。
在今年陸續回報些許問題,站方也不斷的在修正。
而有些關鍵性架構的問題目前還要等站方的修改。

有關 Plurk Worm 的實作日前在三月份已經通知站長。
CSRF 結合 XSS 攻擊可以對使用者造成很大的危害。

或許這次的攻擊可以讓站方思考一下遇到惡意使用者攻擊的時候該怎麼處置。

希望這次 sunwhite 發動的攻擊除了浪費 Plurk 的資源及頻寬之外,沒有造成其他危害。

Update: 目前此使用者已經被刪除。

2009/05/08

無名部分服務關閉

幹得好啊,無名小站。
來鞭來鞭!

http://www.wretch.cc/blog/WretchFAQ/9917582
在持續推出新服務的同時,無名小站也需要把資源做更有效的運用,讓工程師跟產品開發人員可以把重心放在更多大家喜愛的服務上。

讓我們來看看是什麼服務讓無名的資源沒辦法有效的運用,然後什麼服務大家不喜愛。

「網誌備份XML下載」

幹得好啊,無名小站。
要逃出無名的快點逃吧,沒辦法備份自己的文章了。

2009/05/02

環境是人創造的。

想要怎樣的環境,就用自己的雙手去創造。

說什麼因為環境不好才怎樣怎樣的,並不是你不成功的藉口。

執意於成功的人,自會披荊斬棘開拓出一條成功之路。