2008年6月30日 星期一

登錄檔的備份與應用(Application of Regshot)

8 則留言:
其實登錄檔(Regsitry)這東西,對於曾經自己修改過的人來說,真的沒有太多秘密,唯一的差別就是你知道那些數值參數所代表的意義,以及它可能帶來的風險(自行改登錄檔,把電腦改掛是自己的事,因為m$基本上不會進一步約束,自己改壞,自行負責。)

我想起先前在「產測研討會」時,國外來的講者,提到的一個免費軟體 ── 「Regshot」,它能夠備份Regsitry的設定,最好用的就是可以做到登錄檔變更前、後的比對,如此一來它的應用層面就廣了許多。
軟體名稱:Regshot
授權性質:自由軟體
版本:1.82(November 3, 2007)
官方網站:http://sourceforge.net/projects/regshot/
直接下載:請點我(免安裝)
其實它的使用方法相當簡單...

1.檔案下載完後解壓縮,直接執行「regshot.exe」,跳出下列畫面:



2.為了讓它的收集能夠更加完整,我們可以把它掃描的登錄檔路徑改成「C:\」:



3.然後按下第一次的快照「1st shot」,點選「shot」:



4.然後在你變更過系統設定後(無論是試用新程式、調校軟體或是測試病毒的感染狀況),再拍下第二次的快照,直接點選「2nd shot」,然後「shot」:



5.等第二次的快照完成,直接按下「cOmpare」(O是故意大寫的),它就能夠直接幫你比較出兩次快照的差別:



6.接著會跳出登錄檔內的變化,甚至連資料夾的新增、刪除都有:



軟體的操作與介紹的部份就到此結束,那它真的能夠為我們帶來什麼好處嗎?

其實,它只是一個小巧的工具,能夠讓你在自己""登錄檔之前,先做好保險(備份),以免真的不小心改掛了,還有辦法能夠恢復,除此之外,它的其它應用比較進階,因為登錄檔不是一般人會想去碰的部份(雖然它能夠做到的事情很多),因為他有太多關鍵字及雷同的數值。

病毒感染的測試來說,你除了要先做好乾淨的快照之外,你還得準備個虛擬的作業系統來測試(不敢保證測試一定能夠解的開,如果連登錄檔的還原都無效時,至少你還能安心的使用著心愛的電腦)。

在我親身試驗的過程中,我覺得很多小巧的工具程式,只要你找到它的應用點,他能夠帶給來的便利程度,絕對不亞於那些肥大的商業軟體,頂多是沒有這麼全面而已。

或許,你覺得自己用不到這麼專業的軟體(它一定是值得留下的小工具程式),以免下次遇到需要分析登錄檔時,把自己弄的眼花撩亂(登錄檔的結構真的只能五花八門來形容,很容易在裡面陷入無限迴圈。)

戲法人人會變,各有巧妙不同」,看似無奇的工具,說不定那天能救自己一命,最後,我只能說網路上的善心人士還是不少,不然怎會有這麼「俗又大碗的軟體」呢?這或許才是網路對我們最大的衝擊吧!

2008年6月21日 星期六

胖奇五趴之外卡二號[Punch Party 5]

2 則留言:


今晚去參加了已經邁入了第五場的胖奇趴,其實我知道大概也是PP2的時候,為什麼一直到第五場才去參加呢?老實說...我也忘了(我裝忙嗎?)

這一次終於成行,雖然我先前有去過那個場地,心想怎的進100人,雖然事後證明可以,但是...我也是拿外卡二號進去的人(主持人問有沒有人是現場報名,很想舉手...),在裡面聽著眾大師,分享自己精彩的快速講稿七分鐘真的很),感覺還是挺不一樣,下次應該還會繼續參加吧!?...
今天的議題:I wish I can... (小時候的願望。長大後的現在)
1.FUNCK (到台灣找我玩,同志!站長)
2.史丹利 (街頭x酷搜摩人)
3.朱百鏡 ("準"建築師)
4.班大貓 (班大貓廢紙背面塗鴉部落格)
5.何孟修 (設計師、25togo站長)
6.小眼睛先生 (背包客棧站長)

三十分鐘大講設計師 蕭青陽
雖然我是外卡二號(現場報名的第二位),但是站著一個還的地方(還好),所以在會場還算舒服,除了去聽各位講者的心得外,也算是去"認朋友",一進場內稍微瞄了一下,馬上就可以發現Kirin(如班大貓所說:「出人頭地」),除此之外有些原本就見過面的朋友也在會場,不過...我覺得自己很像新生報到,感覺大家彼此都很熟絡(我會害羞... = =+)。

接下來,就來回顧一下眾講師說的內容:全憑印象,如有遺漏,也屬正常。

1.FUNCK (到台灣找我玩,同志!站長)
 希望大家能做到兩岸的文化與旅遊的互動,最經典的一句:
 「讓捐發票也能有13億的BASE。(反正他們帶回去也沒用...)」
2.史丹利 (街頭x酷搜摩人)
 報了很多部落客跟廠商互動的料,及"知名部落客"的未來該怎麼走...
 (不過...話題繞著他帶來的"",沒帶相機,有人或許有真相)
3.朱百鏡 ("準"建築師)
 分享了淡水老街跟碼頭的過往跟辛酸的工作史。
4.班大貓 (班大貓廢紙背面塗鴉部落格)
 輕鬆地帶大家看了他的小時候跟長大的願望,圖文的ppt真的有吸引力。
5.何孟修 (設計師、25togo站長)
 分享他的設計理念跟作品,還帶了很特別的水泥杯(這之前的杯墊...)
6.小眼睛先生 (背包客棧站長)
 我腦子裡反而記得"太空人"的願望,比他說背包客棧的內容還多耶...
 (我想,寫小說的人還是比較適合用文字來說話吧!一整個超多字)

以上僅為個人單憑印象的重點,我想之後應該會有更詳細的內容被分享出來...

至於「大講」蕭老師(我想今天很多人都是衝著他來的吧!?)果真是大師,無論是開場,還是在說的每一年海洋音樂季的設計理念,還有跟「小夫媽(請自行翻閱世界名著:小叮噹)」交手的經驗,還是最後分享著令人感動萬分的兄妹之情,在節奏的掌控還有內容,我想全場應該都是很專注的在聽著他分享著他的心路歷程。(甚至還讓人眼泛淚光

我想這樣子的聚會,無論是不同領域的參與,新理念的分享,甚至能夠看見、聽見一切平常難得一見的"幕後"人,活生生地站在台上分享著他們駕輕就熟的內容,但是在外人眼中,似乎總是蓋著一層謎樣面紗的「寶物」,能夠親臨傾聽,我想這樣子的兩個小時頗值得。

下次...我會記得先報名再看內容啦!(以免又是要到現場搶「外卡」),最後還是很感謝主辦人及相關工作人員的辛苦(自己辦過活動就能體會...要"喬"的事很多),希望這個活動能一直延續下去囉!(據主持人Carol說,下次應該是在八月初...,所以下次見囉!)

2008年6月17日 星期二

拋棄式電子信箱的反思(Pondering Disposable EMail)

2 則留言:
現在,電子郵件信箱已漸漸地成了標準的個人資料之一,不過,垃圾郵件(SPAM)也應運而生,前陣子看見媒體有在報導「拋棄式的電子信箱」,讓我想起自己以前也為了申請某些網路服務,得去弄個專門用來收"特定郵件"的信箱。(只用來收特定郵件使用,廣告信再多也不影響正常收發信件)

直到前陣子提起了這項服務,我才去網路上找了一下,發現...其實早已經發展了好一陣子(為什麼我沒有早點發現呢?)不過,在看了一下幾個相關服務的說明後,我只能說喜憂參半,為什麼這樣子說呢?

原本這類服務的用意,就像我在十分鐘電郵(10 Minutes Mail)中看到一段話所述:
過去的一個月,我們看到什麼。我的伺服器每日都會收到大約二、三百封電子郵件。在過去的一星期,每日平均收到六、七萬封電郵,幾乎全部都是寄到已過期的 10minutemail.com 帳號,相信絕大部份都是垃圾郵件。
但是...有沒有可能藉此來躲避相關的問題,甚至成另一種"不負責"的黑函垃圾信來源呢?這點還是得思索一番,當然,也有不少網路服務開始阻擋拋棄式信箱的登錄(註冊),至於能追得上拋棄式信箱換網域的速度?我想就只能等時間來證明。

首先,我並不是要介紹那些拋棄式電子信箱好用...,因為在Google上有一堆,請自行尋找看得順眼的來用就好,我只是在思索這樣子的服務,可能會帶來那些反效果

我大略為這一類服務做個分類,使用的模式可分成兩種
1.透過轉信機制,讓暫時信箱能夠轉發信件到自己的真實Email。
2.產生隨機的電子郵件,供你暫時收信(轉信)。


共同特性:
1.可用於申請測試服務,或者是不想被收集個資
2.避免受到垃圾信(SPAM)的疲勞轟炸。
3.可免除繁瑣的註冊流程

雖然拋棄式的電子郵件有不少「可取之處」,但是跟其它工具一樣,是把雙面刃,你能用它來避開危險,也可用它來製造他人的危機,以下就是我個人想到「可能」的風險(不代表"一定"會有這些風險)

1.透過轉信機制來轉發郵件:
 優點:可透過原本慣用的信箱來保存資料。
 缺點:服務商能「順手」收集到大量有效的郵件名單

透過轉信機制將信件傳到自己真實的信箱,有沒有覺得那一點很熟悉,像不像郵件跳板的模式?只要服務的提供商不小心把相關LOG記錄下來,再不小心的被人HACK走相關的資料(那這麼多不小心呀?),我想這裡面的有效郵件名單,應該可信度相當高。

說我危言聳聽也好,或是把現實想得太過險惡也罷,不過連我這小市民都能想到的「漏洞」,會沒有其它有心人士想得到?我想我還沒有這麼大的能耐吧?(只要有利可圖,有心人士無所不用其極的程度,絕對能令你昨舌)

2.隨機的電子郵件信箱:
 優點:隱藏自身的郵件信箱。
 缺點:讓惡意或SPAM的來源更難以追查

隨機的電子郵件信箱,我想會很受到大家的喜愛,因為它更能夠保護自己的隱密性,而提供這類的服務商,怕造成其它人的困擾(例:有人透過它們發送垃圾信),所以絕大部份都「只能收,不能主動發信」,頂多是回信或轉寄。

這樣子的出發點雖然很好,但是只要能回信轉寄,稍稍動點手腳,一樣能夠達到發送垃圾信或黑函的效果,舉例來說:

案例一:假設A想要發匿名的黑函給B
A只要先偽造B的電子郵件信箱(改個郵件的標頭就可以),寄一封信到這個可拋棄的電子信箱內,再直接透過「回信」的功能,把信回給B,至於內容要寫什麼...一樣是決定在A的手中。

案例二:發給特定族群的廣告信或含惡意連結的郵件。
透過一偽造的來源寄送給此拋棄式的郵件信箱,再透過「轉寄」的方式,轉給想發送的特定族群,一樣能夠達到目的。(如果把流程變成排程!威力更加強大...不過還是得先測試一下這類拋棄式信箱的使用限制

光是以上這些可能性,我這個"平凡人"能夠想到的弱點,有心人士只要大肆發揚,我想威力及變化更多,不需要自己架設Server又能夠達到效果,這也算是另類的Botnet(Bot service)嗎?

雖然這個服務連我自己都非常心動(尤其是去申請測試服務...),但是,這些可能造成別人困擾的部份,不知此類服務的提供者,是否也能夠提供更有效的防範機制呢?我想這才是萬全之道。(這類服務大多是免費的...要求它們太多也說不太過去,又不是每間公司都跟Gxxxxxxx...一樣)

2008年6月12日 星期四

產測研討會的心得(Observation on Beta Tests Workshop)

2 則留言:
前兩天去參與了一個產品測試的研討會,業者從國外請了一個Team來講述有關產測(產品測試)的技術注意事項,雖然先前在採購某些軟體前,自己也會做一些簡單的測試,但是跟這一群專業人士所做的測試相比,可能連三成都不到。(但是...測試的結果是否真能反應在採購上呢?我後面會再細述

雖然產品測試的出發點很好,但是對大多數的使用者來說,它並不適用,因為他們通常只要得知結果,至於是不是自己所測試,或者這個結果是否真的能套用在自己的作業環境上,往往就被輕忽而選擇性的遺忘了。

或許有人會說,我那有這麼多時間可以做測試,況且某些條件的測試,對一般人來說的門檻過高(例:Tom Hardware的專業測試),所以直接引用專業人士的報告(結論),能夠交差就好。

在某部份而言,我能夠接受且認同這樣子的觀點,但是...應用軟體上的測試,這點就不太能夠苟同,畢竟,絕大多數的軟體都有"試用版",就算是閹割後的版本,但是主要功能應該都會保留,這樣子的測試門檻,除了手邊是否有工具可重複性測試的平台,其它就只是時間的長短

因為當天的議程是整整一天....,我也只能摘要式的點到為止,而且會場有發給我們"兩大本"的內容,基本上講述的內容,在那兩本講義中均有整理,讓我能夠盡情的聽台上的人講述心得技巧。(雖是全程英文,但有即時翻譯,這一點還蠻有人性的,不過...)

回歸正題,雖然這個產品測試的研討會,主要討論的對象是AV Software(防毒軟體),但是我相信同樣的技巧與概念,也能夠跨到其它軟體且都能適用才對,畢竟基本功是人人都得練的,不是嗎?

在台上的講者,提到的內容包括下列幾個重點
1.樣本的選擇。(測試的條件)
2.線上威脅介紹。(外在因素)
3.動態測試。(實際會遭遇的狀況)
4.效能測試方法論。(操作環境的適用性)
雖然聽起來好像都是針對AV(防毒軟體,不是Adult Video...)來說,但是「()」中是我自己加註的,主要是思考那些是否能適用於其它軟體的測試呢?

1.樣本的選擇:

主要是告訴我們在取得測試樣本時,應該注意廣度適用性,其中包括:

(1)擴大測試樣本的來源。
(2)篩選有效的樣本(這點我覺得極困難)。
(3)加入乾淨的樣本(做為鑑別測試)。

如果換到別的軟體測試的話,應該就是要確認測試項目,以及要採用什麼樣的方法來測試,要先有所準備,才能開始針對不同產品來做一連串的測試,否則一個偏頗的取樣範圍,很容易造成過大的誤差,甚至會造成數據失效。(無鑑別度可言)

2.線上威脅介紹:

可能會遭遇到那些不同的攻擊,或者說是應該要具備怎樣的防範能力

(1)釣魚網站。
(2)木馬。
(3)病毒。
(4)廣告軟體。...族繁不及備載

這一點,在我看來...其實最大的外在因素,往往是來自使用者的觀感,或者說是使用者對於產品熟悉的程度,因為每種軟體的目的不同,所以在測試的過程中,要試著站在使用者的角度來思考,也就是說...測試者本身對軟體應用的領域也要有一定程度的瞭解,不然就有可能發生「拿大砲打麻雀」的狀況,一整個不切實際。

3.動態測試:

進行實際的測試,透過軟體來收集實際感染惡意程式病毒後的變化,藉此來確認所採用的防毒軟體是否能夠有效的阻擋相關的威脅。(這點還包含了相關惡意程式的收集

(1)利用第三方的軟體來找出系統或軟體漏洞。
(2)透過虛擬化的技術來協助資料的收集。
(3)模擬真實環境下可能會遭遇的狀況。
(4)在無防備的乾淨系統內啟動惡意程式。(資料收集)

這種動態測試,其實在所有的測試過程中是最重要的部份,往往也是最嚴苛的部份,因為你永遠無法知道在「真實」情境中,可能會碰到什麼事,未知的錯誤硬體作業系統不支援,甚至連能不能把測試的軟體安裝上去都還很難說。

況且,在動態測試的過程中,還得考量系統實際會運行那些程式,是否會因為使用者習慣的不同,造成有差異的測試結果,如果非得加入通用性的測試,自己是否具備足夠的能力來達成,我想都是在做動態測試前,甚至在規劃該如何測試前,就得先衡量進去。

4.效能測試方法論:

其實這是網路上最多人愛討論的部份,例:誰最不佔系統資源?誰的某某能力最好?說穿了,這個效能測試,一直以來都很難有所定論,因為,尚未有大一統的標準,或者說...還沒有一個能夠讓各家廠商都信服的準則

(1)測試平台的統一性。
(2)數據取樣的平均值。
(3)效能判定的標準。
(4)使用工具的客觀性。

其實在所有軟體的測試過程中,效能一直是兵家必爭之地,尤其是現在硬體的思維已經漸漸地走向同時間能夠做好多少事,而不是做好一件事能多快(多核心的演進),所以這項測試也是必做的項目之一,最好是能夠再把效能的快慢實際的條件相關連,例:能夠為公司節省多少時間成本、讓舊有的硬體達到最大化的效能...等

雖說效能是很重要的一件事情,但是再好的效能還是比不上使用者的真實感受,例:使用者只要感覺到lag的現象發生,無論是1030秒,對他們來說差別並不大。但是在效能的數據上,就會有三倍的差距,所以效能測試這部份僅能做為參考依據,並無法讓使用者能夠完全接納該產品的條件(除非你能做到使用者完全沒有感覺...)

至於,為什麼我在最前面會提到測試結果不一定能反應在實際採購選用上?原因很簡單,因為產品測試這部份並沒有考量"價格"或"成本"這個項目,這部份牽扯的層面很廣,人數多寡、是直接由廠商經銷零售商能夠談到的價位,各別有所不同。

因為企業主或老闆,其實最在意的不外乎也是這一點,他會跟你說,我可以犧牲一些效能來換取更低的購入成本,或者是能採用較精簡的版本來壓低支出,就是不太能接受用較高的價格來購入效能較高的產品(除非你能夠提出數據來佐證,最好還是能夠顯而易見的...千玩不要是那種經過三年五載才看得到的,因為那太遙遠不可期待。)

這也是為什麼「產測」在一般人或相關人員的手中,成了一門既愛又恨的技術文化,因為想讓自己或技術人員信服自己的選擇,你就得具備產測的能力及條件,但是在實際的操作上,卻又敵不過金錢攻勢,而淪為一疊白紙黑字的佐證報告。(可能只剩學術性的價值吧!)

所以,這些技術就當做是練內功!光有技術是無法讓老闆信服的(不過...千萬別只剩一張嘴),在技術的最外層,請回歸現實面後再來跟決策者討論產品的優劣,不然,就是加入實際的商業考量跟明確的(預算)數字,我想...這一點在每個領域都適用吧!

2008年6月11日 星期三

當Yahoo! 站長工具遇上Google Analytics(Y & G Analytics Tools)

2 則留言:
對部落客來說,自己所經營的網站(部落格)早已成為生活中的一部分,在上面無論是吐苦水分享心得八卦或是藉由它來拓展人脈,如果是商業經營或有特定用途的網站(部落格),對於網站流量分析追蹤的需求,就變得十分迫切。

礙於平台定位與系統負載的考量,一般BSP平台所提供的網站分析(統計),功能大多比較陽春,如果你想要知道來自己網站的人,究竟是來自什麼地區、族群、時間...等,更為詳細的資料,就得藉由其它的工具來達成。(若是自己架站,可在主機端做其它的流量分析,不用假手它人)

先前有紅極一時的Google 分析(Google Analytics),光是掛著Google之名號,我想就有一堆人搶著用,幾周前,台灣入口網站的龍頭Yahoo!奇摩也提供了免費「Yahoo!奇摩站長工具」。我自己已經使用Google Analytics好一段時間,既然本土的入口網站也提供了相關服務,怎能不來試它一試,看看它究竟跟Google所提供的分析有何不同呢?

...原文刊登於ZDNet(上)(下)

令人疑惑的設計

先不論Yahoo!奇摩站長工具與Google分析的相似度有多高,或許各有其優缺點,例如Yahoo!奇摩站長工具主打「15分鐘的更新速度」(不過不知道是指15分鐘內的線上人數,還是精確度到15分鐘?),但是有些弔詭的設計,就讓我無法理解。

1.網址列不相容Google:

正當我興高采烈的在自己Blogger上的一個小部落格試用站長工具的「統計工具」時,網站竟然跟我回報此網址(URL)無效?經我交叉比對之後發現,原來是因為我使用的網址含有「」這個符號而無法使用。
例:http://xxx-xxx.xxx.com


yahoo站長工具不能加入上層網址有"-"符號的blogger網站

不過, Yahoo!的部落格(myblog)網址不是也有一長串的符號嗎?其中還不乏「」這個非英數的符號(例:http: //tw.myblog.yahoo.com/jw!xxx...),就算使用內建自訂網址的服務,也允許加入「─」這個符號(例:http: //tw.myblog.yahoo.com/xxx-xxx...),為什麼就能夠加入統計工具呢?

經過我一番研究,我推想是只有最上層網址不能含「─」這個符號,再下層的網頁結構似乎就沒有此類限制。喜歡追根究底的我,突然閃過一個想法,Yahoo!部落格內建產生的那一長串網址(含!)能不能加入Google分析呢?

結果,竟然也發生「因為特殊符號!而成為無效輸入」的情況!難不成這是另一種「市場壁壘」?(就算可以將加入Google分析,也無法在myblog中正常使用,這我第三點會提及)已有朋友跟我遇到相同的情況,難不成為了要使用該工具,還得去更改使用許久的網址,我想會遭遇此問題的人應該不在少數,希望未來可以獲得改善。


Google Analytics也不能加入有"!"的myblog部落格網址

另外,原有內建於myblog上簡易型的「統計資料」當加入Y!站長工具的統計工具後,似乎就成了觀賞用的裝飾品(停擺不再更新),或者是仍在進行資料整合或更新,但我看不出來。

2.無法支援自家其他服務:

我部落格因為架在Google所擁有的BSP平台,即「Blogger(Bolgspot)」上,所以使用Google Analytics作為分析工具,並採用Google Adsense(類似於Yahoo!站長工具中的「廣告工具」)。Google分析和Adsense皆採用Javascript的方式收集資料,所以 Blogger支援Javascript是理所當然的一件事。

Yahoo!站長工具中,也提供了一個「搜尋工具」,但是它似乎無法直接套用在自家部落格平台,但支援JavaScript的別家部落格,則可以套用(除了無名小站非金級會員及Yahoo! My blog以外,多數BSP業者均支援Javascript。

Yahoo!站長工具不允許自家部落格支援Javascript,卻允許別人的部落格使用,這就形成,自家部落格反而不能使用站長工具的有趣情形。安全性的考量固然重要,使用者方便性是否也該兼顧呢?是否也該像「統計工具」一樣,製作出自家平台也適用的搜尋工具呢?雖說myblog原本就內建有搜尋工具。

3.使用門檻:

最後一點讓我覺得無法理解之處,就是「廣告工具」的門檻。雖然在說明頁上只是「建議」每月有100萬Page View的部落格再來申請,成效最佳。


Yahoo廣告工具的申請頁面。

但我實際測試了一下,其實那100萬的Page View是「最低門檻」,相較之下Google AdSense或BloggerAD的門檻似乎就低了許多。我心想:「如果每個月有百萬流量的部落格,應該距直接談下廠商廣告不遠了吧?還需要透過 Yahoo!的平台嗎?」,這麼一來促銷嫌疑不免有點濃。

誰會使用Y!站長工具?

自從Y!站長工具正式公開之後,我就問了幾個跟我一樣有在玩部落格的朋友:「你們會跳槽過去用這個新的站長工具嗎?」聽到的答案大多是否定的,其實這跟使用習慣開放的時間有關,畢竟Google分析比Y!站長工具出現的時間早得多。

唯一讓我看見Y!站長工具可能出線的機會,就是看見了許多不支援Javascript部落格的需求(可用Gif的圖檔來做資料統計)。除此之外,挾帶著大量人氣的社群網站(它們自家的產品)也是使用族群之一,因為它們已經直接把這工具內建在網站的平台上(便利始終來自於惰性),只是,你還得付費才有資格使用。

如果你部落格是自行架設,當然也能使用此工具,不過究竟是哪一項誘因,會讓你捨棄Google而去採用Y!,這點就挺耐人尋味,是「即時」的更新速度?老實說,我個人覺得統計資料的分析,應該比即時來得重要

此外,上述問題其實在Yahoo官方討論區中,也已經有人提及,例:統計工具中無法加入含「」的網址、搜尋工具的不合理性,甚至有些負面的消息傳出,但 Y!站長工具和Google 分析最大的不同應該是兩者的營利經營方向上。

設計的工具對自家競爭有利乃天經地義,端看服務能否為使用者接受,在線上音樂剛興起時風靡所有網民們,一說要收費,使用人數就隨即銳減,但還是有人會繼續延用,原因在於「習慣」和「便利」性讓大家願意掏錢出來。「一個願打,一個願挨」端看你站在什麼角度來看待,其實,並無對錯的問題。

2008年6月3日 星期二

自動登入的隱憂(Worries about Auto Signed-In)

12 則留言:
現在的網路服務何其多,無論是EMail、Blog、Twitter...,或是近年興起的各種社交網路服務(SNS),只要是用WEB介面的平台,絕大多數都有設計「記住我」(Remember ID/PW)的功能,也就是下次你到這個網頁就能夠不用重新輸入帳號、密碼等個人資料。

老實說這真的是個極為便利的功能,絕大多數也是透過「Cookie、記住密碼」來達成此目的,即為自動登入的功能,但是它帶來的風險有那些呢?我們直接看這張圖吧!(以Firefox為例)



從圖中我們可以很清楚的看見這個密碼管理員,已經把我的帳號跟密碼給記下,如果你稍離開位置一下,有人藉機來你的電腦,打開這個功能,我想就沒有什麼私人隱私可言。

雖然記住密碼的風險不小,但是絕大部份的網頁平台瀏覽器都有設置這樣子的功能,人總是擋不住便利之門,況且,還是有很多使用者是痛恨記一大堆帳號、密碼,尤其是現在密碼漸漸地要求要有六(八)碼以上,所以不用懶人密碼的話(生日、身份證、特別紀念日...等),要記住各式各樣密碼,老實說,真的是有點強人所難。(有些人會"統一"記在小本子裡,不過那樣的風險相對地增加不少)

其實這一類自動登入的隱憂,在各式即時通訊軟體(IM)內也很常見,甚至已經有許多IM的惡意程式,會在使用者(被感染者)離線的狀態,傳送帶有惡意內容(廣告)的網址,甚至還會跟被感染者的帳號十分雷同,例如:
ID:chris@hotmail.com
傳送的惡意(廣告)連結:http://chris.infomall.net

所以,這些狀況讓我不得不正視「記住密碼」這功能的風險,更何況只要利用一些第三方的軟體(例:MessenPass載點)就能夠輕易的把你電腦中那些「****」的內容給出來。

其實像上圖所示,它是Firefox內建具備的「密碼管理員」,就是你在網路上大量記憶密碼時,"原則"上都會把密碼存一份在此(加密連線、某些入口網站例外),下次再造訪這個相同網站時,就不需再輸入密碼,所以這個密碼管理員就顯得格外重要,有在使用FF(Firefox)的人,自己去檢查一下是否有做一些補強的動作,例:主控密碼的功能。(如下圖)



當你使用了主控密碼的功能之後,要再進入密碼管理員,就得多一道密碼才能夠存取(如圖),除此之外,當然也有網路版(OnLine)的密碼管理員,例:PASSPACK。(網路資料頗豐)



雖然有了補強的加密機制,我還是傾向於不要記憶密碼,沒有人可以保證在電腦裡的資料,能夠有"絕對"的安全性(雖然FF的密碼管理員是採AES加密)。

畢竟人性本「」,只要該工具夠便利,總是會有廣大的使用者"愛"它,更何況很多人時間一久就會忘了原先設計的密碼,而密碼重置的功能,並非每個網站都做的很完備,尤其是你在註冊時,很有可能資料不太正確(假的,一旦換台電腦,或是電腦不慎重灌,你就要有被網站拒於門外的心理準備。

所以,又衍生出密碼備份的問題,如果你是FF的愛好者,就可以考慮使用Password Exporter 1.1(外掛)來將密碼管理員內的資料進行備份,或是在異機匯入,如此一來就能夠帶著你的密碼趴趴走。(或許可以避開鍵盤偵測程式,但保存需要小心...)



註:在使用Password Exporter匯出、入密碼時,有個奇怪的發現,在未匯出前,如果要檢視密碼時,是會被要求輸入主控密碼才能看得見。但是你若直接採用匯出(未勾選加密卻能直接把密碼給匯出*.xml或csv檔)。雖然開啟FF的時候就會要求輸入主控密碼,但是,你如果裝上了Password Exporter,又暫時離開位置,別人就有機可趁囉!所以安全的作法是,匯出密碼後就把密碼備份的機制刪除吧!