最近我們看到了Skype的大當機事件,讓P2P(Peer To Peer)的話題又再度浮上檯面,不過最顯為人知的新聞,應該是有關P2P分享資料的部份,因為引發了隱私權與相關法律刑責的大戰
不過,Skype也是利用這樣子的技術來做為溝通的管道,怎沒有想過可能會有資料洩密或是隱私權的問題呢?
直到,發生事情後,官方說法把矛頭指向微軟的更新,微軟才出來指正...
請大家不要使用Skype做為自己的通訊工具,以免造成資料的洩密及安全上的漏洞,有種人不犯我,我不犯人的意味,不過這也讓我們重新看見P2P這個讓人又愛又恨的技術(雖然Skype事後又說是自己的過失...)
其實,筆者在先前就有說過P2P的相關應用,可以參考「P2P的風潮再現」
不過,我當初寫P2P的風潮再現,只是要提醒使用者的在使用這類軟體時,應該有的態度,可是這段時間以來,看了許多媒體踢爆很多有關的應用或是漏洞的同時,筆者發現到這似乎不僅僅是使用者本身的問題而已
可能與整個企業體中的營運都息息相關,舉例來說:
我們知道現在很多中小企業體,會利用Skype來做為節省跨國通信的費用,所以在網路安全的管理上,就一定會開通Skype的使用權
反觀P2P的技術,雖然Skype有中央的Server做為認證主機以及Super node,但是我們知道P2P原有的架構下,我們同時具備Server和Client的身份,也就是說你跟遠方達成語音通訊的同時,就是互相對連,先不論防堵的技術為何
Skype這種混合式的P2P技術,單就管理面來說,它的確是多了一個讓外界可以侵入的管道,可是對於實際應用上還是有利可圖,不然它怎會如此的蓬勃發展 (eBay才會花大錢買)
可是,中小企業為了節省在通訊上的花費,還是會捨棄安全性而屈就於現實的因素(話說...那個老闆不愛省錢 一 一||)
所以,當Skype當機之後,那些大老闆們還是只能拿出傳統的GSM手機,做為溝通的工具,雖然說有其它的備援方案(例:網路電話...等),但是建構的成本還是高於Skype
我們這些聽命於老闆手下的小小管理者,也僅能夠希望這一類的軟體的安全性能夠再加強一些,除此之外,就只好盡可能地將這些使用者與核心資料做切割(可是...通常用這些服務的人都是核心主管呀!天呀...)
再來P2P其實還有一個很大的隱私權爭議,雖然筆者不確定法源依據及相關衝突,究竟誰是誰非,不過有興趣的人可以去看一部電影「關鍵報告(Minority Report)」(我是電影狂...哈!)
據說,國外有些警調單位會在P2P上釋出假檔,誘使一般使用者以P2P來抓取,再進行反蒐證,如此一來好像就如電影中的橋段,先預知對方要犯罪,並誘引對方上勾(另一種釣魚),如此一來在以此種罪名將對方定罪,似乎有失偏頗
這種方式其實在國內也相當常見,國內常聽見破獲援交者的新聞,大多也是利用此種手法達成,當然筆者不懂法律在這部份的保障,只是提出來給大家參考
P2P現在極為氾濫,不論使用者是否懂得相關應用的隱憂,如果不懂,千萬別因為自己的一時好奇,造成眾人使用網路的權利及困擾(一個常"提醒"別人的我...)
2007年8月28日 星期二
2007年8月27日 星期一
軟硬體的加密法(Encryption of Hard/Software)
現在是一個家家戶戶幾乎都有電腦的時代,就算家中沒有,在工作場合或是生活中也幾乎逃不出它們的影響,所以對於加密這種技術來說,似乎是無可避免
不過,筆者要先說明,我這裡所指的軟硬體的加密,是指保護或開通軟體時所使用的加密技術,而不是那種針對電腦中的軟硬體的加密方式(以前磁片上的防寫鎖)
更何況沒有任何加密法是無法破解的,往往只是差在有沒有商業利益與時效性,這一點一定要先弄清楚,不過加密這種手段,其實是一把雙面刃,一旦賣軟體的公司想要動腦筋在保護它們的財產權的同時,對使用者來說無疑是少了便利性
只要有用過較專業或大型的商業軟體,就會知道它們在加密上的功夫有多"大"
也許有人會問說,怎樣才算是大型的商業軟體呢?
其實只要去看名噪一時的BSA(商業軟體聯盟)上頭的軟體,對於這方面的技術都是不遺餘力,甚至還有些軟體商,自行開發特別的加密技術,大多為軟體加密或是一定要透過網路連線來做為開啟軟體的條件(再不然就是打電話去人工授權)
那專業的軟體呢?
其實有很多從事網路相關的服務業,例如:線上教學、特定工程軟體、高階計算軟體...等,這一類的軟體,因發行量較少,往往會採取更難破解的硬體加密法(USB KEY...等)
無論是何種方法,對於使用者來說,都會帶給我們不一樣的困擾,常見的三種方式...
1.上網登錄資料開通軟體:
利用網路上網登錄的加密方式,這點對於網路控管較為嚴密的公司來說(內部網路嚴禁對外),就是一個極大的挑戰,因為它們就無法正常的經過網管人員的授權來使用對外網路,甚至是要請網管人員協助設定完後,再回到使用者手中
如果只有少數幾台需要如此,那還說得過去,如果動輒數十、百台的使用者要做這樣子的程序,我想應該沒有管理者樂於見到這種方式,雖然現在有類似使用者自行架設Server做為認證主機,對於使用者與管理者來說,還是增添了時間上的浪費與執行面的困擾
2.大量授權碼的方式:
這一點應該是許多軟體公司的痛,因為有些大型企業,因為申購的數量驚人,除了它們的折扣之外,他們往往會要求便於管理的大量授權碼,可是這種大量授權碼往往也是駭客們的最愛,所以要能夠完整的保護好這一類的大量授權螞更是難上加難
一旦外流,輕則是造成自身軟體授權數不夠,重則會被軟體供應商列為黑名單,並要求提出改善報告或是其它繁瑣的動作後,才得以換新授權序號
這也是為什麼你只要上去Google、Yahoo或是較大的入口網站或搜尋引擎,隨便key個「關鍵字 + 破解(序號)」,你就會有看不完的序號與破解的資訊,而這一類資訊與使用人口的多寡成正比,也就是為什麼我會說是軟體商永遠的痛
3.加上硬體的USB KEY:
這一點其實應該是最為人所垢病,卻也是最難在網路上被破解的方式,此話怎說呢?因為這一類的加密方式,就是把密碼本身燒錄在USB的硬體上,一但要開啟該特定軟體時,它的程序中就會找USB中的授權碼,如果沒有插入這個硬體的KEY,就無法正常啟用該軟體
有些使用者就會說,為什麼我買了該種軟體卻還要受限於USB KEY的限制,而且還非得要開啟USB的功能,這一點對於資料的保護來說,不外乎又多了一個資料外洩的可能性(USB的禁止可以參考筆者這篇),更何況USB一但毀損,就得使用者自行負責,或送回原廠維修或更換(若該公司不慎消失,那利用特殊方式加密的資料不也是付之一炬)
還是要付出更高的代價,透過某些特殊的來進行USB KEY的破解或反譯,才能夠再讀取出該項軟體的資料,這些都是這種加密法為人所垢病的原因
這三種加密法幾乎囊括了現行軟體的所有認證方式,可是對於使用者的保障來說,其實並無太大的建樹(如筆者開頭所說,大多是為了軟體商本身的財產權),但是對使用者或管理者來說,其不便與障礙卻是無限制的放大
如果你有重灌過A牌的軟體就知道,如果沒有事先做好授權碼轉移的動作(最好是硬體毀損時還有辦法做授權轉移),重新安裝的同時可能就會接到該公司的電話或來信問候,甚至是無法安裝都有可能,這一點可能對與使用者來說就是極大的不便(外加一肚子火)
其實,也不能夠單方面的怪罪於軟體商,因為這些動作也是為了保護它們自身的營運(在商言商),就像軟體來說,你能夠透過該項軟體做為基礎,進而研發出更多相關的應用程式,其中的成本當然也包括了這些軟體的購買或授權
不過,還是期待這些軟體商能夠發展出更簡便的方式,不然,累的人除了使用者之外,像我們這種管理者來說,也是徒增負擔
不過,這些這些加密法,要破解的話也不難,可以去問問Google大神,你就可以找到數不盡的破解方式(本部落格不提供此項服務呀!),其實這些資訊也成為了那些軟體商研發下一種加密法的參考,不過回過頭想想,這時候就會發現到自由軟體的好處了!
可惜的是自由軟體要做到專業或大型軟體的規模,背後沒金主也是不太可能的,對於這樣子兩難的局面之下,我們這些使用者,就只能在夾縫中求生存,不然,就請多賺一點錢來添購所需的工具或軟體吧!
不過,筆者要先說明,我這裡所指的軟硬體的加密,是指保護或開通軟體時所使用的加密技術,而不是那種針對電腦中的軟硬體的加密方式(以前磁片上的防寫鎖)
更何況沒有任何加密法是無法破解的,往往只是差在有沒有商業利益與時效性,這一點一定要先弄清楚,不過加密這種手段,其實是一把雙面刃,一旦賣軟體的公司想要動腦筋在保護它們的財產權的同時,對使用者來說無疑是少了便利性
只要有用過較專業或大型的商業軟體,就會知道它們在加密上的功夫有多"大"
也許有人會問說,怎樣才算是大型的商業軟體呢?
其實只要去看名噪一時的BSA(商業軟體聯盟)上頭的軟體,對於這方面的技術都是不遺餘力,甚至還有些軟體商,自行開發特別的加密技術,大多為軟體加密或是一定要透過網路連線來做為開啟軟體的條件(再不然就是打電話去人工授權)
那專業的軟體呢?
其實有很多從事網路相關的服務業,例如:線上教學、特定工程軟體、高階計算軟體...等,這一類的軟體,因發行量較少,往往會採取更難破解的硬體加密法(USB KEY...等)
無論是何種方法,對於使用者來說,都會帶給我們不一樣的困擾,常見的三種方式...
1.上網登錄資料開通軟體:
利用網路上網登錄的加密方式,這點對於網路控管較為嚴密的公司來說(內部網路嚴禁對外),就是一個極大的挑戰,因為它們就無法正常的經過網管人員的授權來使用對外網路,甚至是要請網管人員協助設定完後,再回到使用者手中
如果只有少數幾台需要如此,那還說得過去,如果動輒數十、百台的使用者要做這樣子的程序,我想應該沒有管理者樂於見到這種方式,雖然現在有類似使用者自行架設Server做為認證主機,對於使用者與管理者來說,還是增添了時間上的浪費與執行面的困擾
2.大量授權碼的方式:
這一點應該是許多軟體公司的痛,因為有些大型企業,因為申購的數量驚人,除了它們的折扣之外,他們往往會要求便於管理的大量授權碼,可是這種大量授權碼往往也是駭客們的最愛,所以要能夠完整的保護好這一類的大量授權螞更是難上加難
一旦外流,輕則是造成自身軟體授權數不夠,重則會被軟體供應商列為黑名單,並要求提出改善報告或是其它繁瑣的動作後,才得以換新授權序號
這也是為什麼你只要上去Google、Yahoo或是較大的入口網站或搜尋引擎,隨便key個「關鍵字 + 破解(序號)」,你就會有看不完的序號與破解的資訊,而這一類資訊與使用人口的多寡成正比,也就是為什麼我會說是軟體商永遠的痛
3.加上硬體的USB KEY:
這一點其實應該是最為人所垢病,卻也是最難在網路上被破解的方式,此話怎說呢?因為這一類的加密方式,就是把密碼本身燒錄在USB的硬體上,一但要開啟該特定軟體時,它的程序中就會找USB中的授權碼,如果沒有插入這個硬體的KEY,就無法正常啟用該軟體
有些使用者就會說,為什麼我買了該種軟體卻還要受限於USB KEY的限制,而且還非得要開啟USB的功能,這一點對於資料的保護來說,不外乎又多了一個資料外洩的可能性(USB的禁止可以參考筆者這篇),更何況USB一但毀損,就得使用者自行負責,或送回原廠維修或更換(若該公司不慎消失,那利用特殊方式加密的資料不也是付之一炬)
還是要付出更高的代價,透過某些特殊的來進行USB KEY的破解或反譯,才能夠再讀取出該項軟體的資料,這些都是這種加密法為人所垢病的原因
這三種加密法幾乎囊括了現行軟體的所有認證方式,可是對於使用者的保障來說,其實並無太大的建樹(如筆者開頭所說,大多是為了軟體商本身的財產權),但是對使用者或管理者來說,其不便與障礙卻是無限制的放大
如果你有重灌過A牌的軟體就知道,如果沒有事先做好授權碼轉移的動作(最好是硬體毀損時還有辦法做授權轉移),重新安裝的同時可能就會接到該公司的電話或來信問候,甚至是無法安裝都有可能,這一點可能對與使用者來說就是極大的不便(外加一肚子火)
其實,也不能夠單方面的怪罪於軟體商,因為這些動作也是為了保護它們自身的營運(在商言商),就像軟體來說,你能夠透過該項軟體做為基礎,進而研發出更多相關的應用程式,其中的成本當然也包括了這些軟體的購買或授權
不過,還是期待這些軟體商能夠發展出更簡便的方式,不然,累的人除了使用者之外,像我們這種管理者來說,也是徒增負擔
不過,這些這些加密法,要破解的話也不難,可以去問問Google大神,你就可以找到數不盡的破解方式(本部落格不提供此項服務呀!),其實這些資訊也成為了那些軟體商研發下一種加密法的參考,不過回過頭想想,這時候就會發現到自由軟體的好處了!
可惜的是自由軟體要做到專業或大型軟體的規模,背後沒金主也是不太可能的,對於這樣子兩難的局面之下,我們這些使用者,就只能在夾縫中求生存,不然,就請多賺一點錢來添購所需的工具或軟體吧!
2007年8月24日 星期五
LPI心得筆記簿 ─ 使用者管理(Manage Users)(1)
我們都知道Linux是屬於可以單機多人多工的系統,也因為這點,經常被拿來做為Server使用,因為多人使用的關係,對於使用者管理就要更小心一些
而且,現在大多數的人都還是使用M$的系統,對於使用者的觀念有相當的差異,所以筆者才會在這篇說明(其實是之前上課的筆記心得,在此獻醜!),如有誤,還請指正
事先聲明:筆者使用的作業環境為Fedora6
首先,我們要先知道使用者/群組會存取的設定檔與資料庫
使用者資料庫:
/etc/passwd(內容如下,僅列兩組說明)
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
/etc/passwd格式說明:(以「:」做為分隔,共七項欄位)
root:x:0:0:root:/root:/bin/bash
1 2 3 4 5 6 7
1.使用者名稱:(不可重覆)
2.密碼欄位:(加密於/etc/shadow),預設為x(空白:不用密碼;*:不可登入)
3.UserID(可重覆):從0開始,一般使用者從500開始,0~499留給系統使用
4.GroupID:位於群組資料庫的/etc/group中的GID
5.備註(Finger):也就是這個使用者的相關資料
6.使用者的家目錄:一般使用者預設在/home/"用戶名",root位於/root中
7.login shell:用戶登入時所使用的shell(可用chsh變更shell)
(只讓使用者收發mail或不允許登入,將7欄位設 /bin/false或/sbin/nologin )
/etc/shadow(內容如下,僅列兩組說明)
root:$1$EIqku5bV$vYC9VA.NmFF47XXX2s.f448:13672:0:99999:7:::
bin:*:13672:0:99999:7:::
/etc/shadow格式說明:(以「:」做為分隔,共九項欄位)
root:$1$EIqku5bV$vYC9VA.NmFF47XXX2s.f448:13672:0:99999:7:::
1 2 3 4 5 6 789
1.使用者名稱
2.密碼
3.密碼最後修改日(自1970/1/1至今的天數)
4.密碼最短可變更天數(預設為0)
5.密碼必須變更的天數(預設為99999-->不需變更)
6.密碼到期前幾天要通知(預設為7)
7.密碼失效期限(到期後,最多可用幾天)
8.帳戶失效日(自1970/1/1至今的天數)
9.空白(未來新增預留)
群組資料庫:
/etc/group(內容如下,僅列兩組說明)
root:::root
bin:::root,bin,daemon
/etc/group格式說明:(以「:」做為分隔,共四項欄位)
bin:::root,bin,daemon
1 23 4
1.群組名稱
2.群組密碼(/etc/gshadow):預設為x(空白:不用密碼;*:不可登入)
3.GroupID:又稱GID
4.屬於該群組的其它人:(預設是只有建立群組的人,可在此欄位加入其它人)
/etc/gshadow(內容如下,僅列兩組說明)
root:::root
bin:::root,bin,daemon
/etc/gshadow格式說明:(以「:」做為分隔,共四項欄位)
bin:::root,bin,daemon
1 2 3 4
1.群組名稱
2.群組密碼:預設為x(空白:不用密碼;!:不可登入)
3.群組管理者帳戶
4.屬於該群組的其它人:(預設是只有建立群組的人,可在此欄位加入其它人)
使用者的新增、刪除、修改分別用useradd、userdel和usermod,甚至透過vi(vim)修改設定檔都能達成;群組部份也雷同,只是把上述指令中的user改為group即可
除了這些基本的設定值外,還有很多相關設定與應用,筆者下次一併補上
最後,我還要說明一個重點,那就是useradd及userdel分別會完成那些事,瞭解整個流程後,對於新增和刪除使用者資料時,能夠具有更大的活用空間
useradd後,系統會做的事:
1.建立家目錄(/home),且權限為該使用者
2.將預設路徑(/etc/skel)下的檔案複製到使用者的家目錄資料夾內
3.將該使用者的資訊寫入/etc/passwd和/etc/shadow
4.建立與使用者名稱相同的群組,並寫入/etc/group和/etc/gshadow
userdel後,系統會做的事:
刪除使用者資料,但家目錄不會刪除,需刪除家目錄用 userdel -r username 即可
而且,現在大多數的人都還是使用M$的系統,對於使用者的觀念有相當的差異,所以筆者才會在這篇說明(其實是之前上課的筆記心得,在此獻醜!),如有誤,還請指正
事先聲明:筆者使用的作業環境為Fedora6
首先,我們要先知道使用者/群組會存取的設定檔與資料庫
使用者資料庫:
/etc/passwd(內容如下,僅列兩組說明)
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
/etc/passwd格式說明:(以「:」做為分隔,共七項欄位)
root:x:0:0:root:/root:/bin/bash
1 2 3 4 5 6 7
1.使用者名稱:(不可重覆)
2.密碼欄位:(加密於/etc/shadow),預設為x(空白:不用密碼;*:不可登入)
3.UserID(可重覆):從0開始,一般使用者從500開始,0~499留給系統使用
4.GroupID:位於群組資料庫的/etc/group中的GID
5.備註(Finger):也就是這個使用者的相關資料
6.使用者的家目錄:一般使用者預設在/home/"用戶名",root位於/root中
7.login shell:用戶登入時所使用的shell(可用chsh變更shell)
(只讓使用者收發mail或不允許登入,將7欄位設 /bin/false或/sbin/nologin )
/etc/shadow(內容如下,僅列兩組說明)
root:$1$EIqku5bV$vYC9VA.NmFF47XXX2s.f448:13672:0:99999:7:::
bin:*:13672:0:99999:7:::
/etc/shadow格式說明:(以「:」做為分隔,共九項欄位)
root:$1$EIqku5bV$vYC9VA.NmFF47XXX2s.f448:13672:0:99999:7:::
1 2 3 4 5 6 789
1.使用者名稱
2.密碼
3.密碼最後修改日(自1970/1/1至今的天數)
4.密碼最短可變更天數(預設為0)
5.密碼必須變更的天數(預設為99999-->不需變更)
6.密碼到期前幾天要通知(預設為7)
7.密碼失效期限(到期後,最多可用幾天)
8.帳戶失效日(自1970/1/1至今的天數)
9.空白(未來新增預留)
群組資料庫:
/etc/group(內容如下,僅列兩組說明)
root:::root
bin:::root,bin,daemon
/etc/group格式說明:(以「:」做為分隔,共四項欄位)
bin:::root,bin,daemon
1 23 4
1.群組名稱
2.群組密碼(/etc/gshadow):預設為x(空白:不用密碼;*:不可登入)
3.GroupID:又稱GID
4.屬於該群組的其它人:(預設是只有建立群組的人,可在此欄位加入其它人)
/etc/gshadow(內容如下,僅列兩組說明)
root:::root
bin:::root,bin,daemon
/etc/gshadow格式說明:(以「:」做為分隔,共四項欄位)
bin:::root,bin,daemon
1 2 3 4
1.群組名稱
2.群組密碼:預設為x(空白:不用密碼;!:不可登入)
3.群組管理者帳戶
4.屬於該群組的其它人:(預設是只有建立群組的人,可在此欄位加入其它人)
使用者的新增、刪除、修改分別用useradd、userdel和usermod,甚至透過vi(vim)修改設定檔都能達成;群組部份也雷同,只是把上述指令中的user改為group即可
除了這些基本的設定值外,還有很多相關設定與應用,筆者下次一併補上
最後,我還要說明一個重點,那就是useradd及userdel分別會完成那些事,瞭解整個流程後,對於新增和刪除使用者資料時,能夠具有更大的活用空間
useradd後,系統會做的事:
1.建立家目錄(/home),且權限為該使用者
2.將預設路徑(/etc/skel)下的檔案複製到使用者的家目錄資料夾內
3.將該使用者的資訊寫入/etc/passwd和/etc/shadow
4.建立與使用者名稱相同的群組,並寫入/etc/group和/etc/gshadow
userdel後,系統會做的事:
刪除使用者資料,但家目錄不會刪除,需刪除家目錄用 userdel -r username 即可
2007年8月23日 星期四
BBS的優劣(Ptt為例)
今天一早就聽見台灣數一數二的BBS大站「Ptt」,發生了資安事件,原本僅管理者才有的權限,突然變成多人能擁有,於是就發生了個人資料外洩、刪帳戶、刪看版的衍生情事,官方說法是因為有新程式要上線造成的bug,還好不是被駭(不然很難善了)
不過這也讓我們發現了現況,無論是那一種平台或是現在相當熱門的WEB2.0,其實都還是有很多人在使用,只是使用族群有所不同罷了(讓我開始懷念起以前戲稱BBS --> Bye Bye School的時代,別懷疑!真的有人因BBS而離開學校)
雖然族群不同,可是用來做為資訊交換來說,究竟何者較好呢?
筆者認為無論是何種平台,都有它的優勢與劣勢,就連這第一大站Ptt也會有許多資源是要連出去WEB1.0(靜態網頁)或是WEB2.0(互動模式),來做為補強文字模式的缺點
話說回來,在大家現在一頭熱的WEB2.0還在發燒的同時,其實筆者以前也是BBS的熱愛者之一,不過近年來漸漸地把重心移出(有時真的會廢寢忘食)
可是,這次的資安事件其實帶給我們許多不一樣的想法,其中包括了新舊系統間的整合、程式測試的流程,相關問題的應變...等
對一個已經發展了10多年的BBS站來說,Ptt真的能夠稱為一大指標,也許因為它的背景特殊,維持非商業性(達到某種規模,商業性就油然而生),以及眾多人的監督之下,才得以造就出它的傲人成績
反觀這次的資安事件,應該是對於新程式未做好"品管及測試",就趕時間上線所衍生出來的問題(如果在大公司應該有人就要下台以示負責之類的吧!),雖然Ptt並未商業化,但是它的申請流程較嚴謹(因言論自由被過度使用),相對的個人資料也較多,這次造成的影響,應該還會發酵一陣子
從這件事情,也看出國人對於資安重視的程度與觀念,其實還有待加強,更何況是動輒數萬上線人數、數十萬註冊人數的大站,不過官方也說明,未來會在封閉區塊中測試程式無誤後再上線,雖為補牢,至少也記取教訓
(系統資訊,在線人數的上限為70000人,官方資料中有超過70000人次的記錄)
(官方資料08/10/06-總註冊人數提升750000人)
那麼BBS究竟能夠帶給我們多少的資源呢?
其實,針對某些特定需求的人來說,BBS真的能夠滿足許多人的要求,雖然只是運行在文字介面之下,也因為它所需的頻寬較小,能夠很快速度找到你想要的資料(分類與使用介面熟悉的話!),透過轉寄的方式可把相關的文件轉至個人信箱之中
想想現在無論你開那一個網頁,能夠想在BBS一樣,點選其中一個標題就能夠即刻看見內文(網頁上至少還得等它1~2秒載入相關圖片,如果有動畫或影片更是耗時)
這一點就是BBS最大的優勢,也因為傳播速度極快,所以在很短的時間內,就可以發現自己的問題得到解決,有時還可以用來救人一命(例:2006年12月20日‧透過Ptt救出飯店內的輕生者)
「水可載舟,亦可覆舟」
因為BBS的傳播速度太快,在上面流傳的消息,很快地就會被媒體所得知,在搶新聞為第一優先的媒體渲染之下,經常會有脫序的演出,這一點也是防不勝防
一定有人會覺得很奇怪,現在網路上使用的相關平台與技術,不是日新月異的在進步嗎?怎會有這麼多人喜歡留戀這黑底白字的平台中呢?(文字可用控制碼改變顏色)
其實它們也在跟隨著時代在進步,況且在學生族群中,BBS真的是個在短時間獲取相關資訊最快的捷徑(對Ptt這類的大站,其實已有為數不少的社會人士,不過學生還是主體),除此之外,習慣是相當難以割捨的,所以它還是有延續發展的必要性
至少它目前不會因為有「經營不善」而倒閉的現象(這是不商業化的好處嗎?),可是在它們主體之中,其實已經形成了一個自由言論而發起的地下社會,我想這一點也是現在許多論壇、部落格想要效法的原因(一旦成形,則有利可圖)
最後,筆者還是要為Ptt這種非營利的平台加油,因為不會被暗自加上廣告(就算有廣告也是使用者自己加),或是基本權利受損,至少它能夠為網路上的眾多使用者服務(至少使用者有主動選擇的權利),雖然它們也不能保證資料的完整性,至少能夠為眾多使用者提供一個資訊快速流通的地方
科技原本就是屬於中性的,只是看使用者如何運用,並無好壞之分,有時候規定與法條只是為了建立一個能被依循的規則(雖然,有時只保障會使用的人!唉...)
PS:BBS與WWW所使用的通道(Port)不同
BBS是利用Telnet來進行連線(預設port為23)
WWW是利用http來進行連線(預設port為80)
不過這也讓我們發現了現況,無論是那一種平台或是現在相當熱門的WEB2.0,其實都還是有很多人在使用,只是使用族群有所不同罷了(讓我開始懷念起以前戲稱BBS --> Bye Bye School的時代,別懷疑!真的有人因BBS而離開學校)
雖然族群不同,可是用來做為資訊交換來說,究竟何者較好呢?
筆者認為無論是何種平台,都有它的優勢與劣勢,就連這第一大站Ptt也會有許多資源是要連出去WEB1.0(靜態網頁)或是WEB2.0(互動模式),來做為補強文字模式的缺點
話說回來,在大家現在一頭熱的WEB2.0還在發燒的同時,其實筆者以前也是BBS的熱愛者之一,不過近年來漸漸地把重心移出(有時真的會廢寢忘食)
可是,這次的資安事件其實帶給我們許多不一樣的想法,其中包括了新舊系統間的整合、程式測試的流程,相關問題的應變...等
對一個已經發展了10多年的BBS站來說,Ptt真的能夠稱為一大指標,也許因為它的背景特殊,維持非商業性(達到某種規模,商業性就油然而生),以及眾多人的監督之下,才得以造就出它的傲人成績
反觀這次的資安事件,應該是對於新程式未做好"品管及測試",就趕時間上線所衍生出來的問題(如果在大公司應該有人就要下台以示負責之類的吧!),雖然Ptt並未商業化,但是它的申請流程較嚴謹(因言論自由被過度使用),相對的個人資料也較多,這次造成的影響,應該還會發酵一陣子
從這件事情,也看出國人對於資安重視的程度與觀念,其實還有待加強,更何況是動輒數萬上線人數、數十萬註冊人數的大站,不過官方也說明,未來會在封閉區塊中測試程式無誤後再上線,雖為補牢,至少也記取教訓
(系統資訊,在線人數的上限為70000人,官方資料中有超過70000人次的記錄)
(官方資料08/10/06-總註冊人數提升750000人)
那麼BBS究竟能夠帶給我們多少的資源呢?
其實,針對某些特定需求的人來說,BBS真的能夠滿足許多人的要求,雖然只是運行在文字介面之下,也因為它所需的頻寬較小,能夠很快速度找到你想要的資料(分類與使用介面熟悉的話!),透過轉寄的方式可把相關的文件轉至個人信箱之中
想想現在無論你開那一個網頁,能夠想在BBS一樣,點選其中一個標題就能夠即刻看見內文(網頁上至少還得等它1~2秒載入相關圖片,如果有動畫或影片更是耗時)
這一點就是BBS最大的優勢,也因為傳播速度極快,所以在很短的時間內,就可以發現自己的問題得到解決,有時還可以用來救人一命(例:2006年12月20日‧透過Ptt救出飯店內的輕生者)
「水可載舟,亦可覆舟」
因為BBS的傳播速度太快,在上面流傳的消息,很快地就會被媒體所得知,在搶新聞為第一優先的媒體渲染之下,經常會有脫序的演出,這一點也是防不勝防
一定有人會覺得很奇怪,現在網路上使用的相關平台與技術,不是日新月異的在進步嗎?怎會有這麼多人喜歡留戀這黑底白字的平台中呢?(文字可用控制碼改變顏色)
其實它們也在跟隨著時代在進步,況且在學生族群中,BBS真的是個在短時間獲取相關資訊最快的捷徑(對Ptt這類的大站,其實已有為數不少的社會人士,不過學生還是主體),除此之外,習慣是相當難以割捨的,所以它還是有延續發展的必要性
至少它目前不會因為有「經營不善」而倒閉的現象(這是不商業化的好處嗎?),可是在它們主體之中,其實已經形成了一個自由言論而發起的地下社會,我想這一點也是現在許多論壇、部落格想要效法的原因(一旦成形,則有利可圖)
最後,筆者還是要為Ptt這種非營利的平台加油,因為不會被暗自加上廣告(就算有廣告也是使用者自己加),或是基本權利受損,至少它能夠為網路上的眾多使用者服務(至少使用者有主動選擇的權利),雖然它們也不能保證資料的完整性,至少能夠為眾多使用者提供一個資訊快速流通的地方
科技原本就是屬於中性的,只是看使用者如何運用,並無好壞之分,有時候規定與法條只是為了建立一個能被依循的規則(雖然,有時只保障會使用的人!唉...)
PS:BBS與WWW所使用的通道(Port)不同
BBS是利用Telnet來進行連線(預設port為23)
WWW是利用http來進行連線(預設port為80)
2007年8月22日 星期三
維基的迷思( Truth of WiKi )
今天筆者要來說明一下,我經常拿來引用的維基百科(Wikipedia),前陣子它們的年會才剛落幕(雖然有朋友叫我去,可是小員工薪水難賺呀!)
為什麼要特別說明維基百科呢?
其實我會引用它的原因,並不是因為他現在有名或是它有多正確,只是盡可能地不把某些商業團體的網頁直接拿來做為連結,也因為如此,也造成了許多的誤導狀況...
首先,如果是維基人的話,我還是先在此對你們致上最高的敬意,不過,在一般人使用維基百科做為查詢目標的時候,請先確認一下有關於它們的免責聲明
其中的內容很多,但是請注意第一條:「維基百科不保證其內容的正確性」
光是這一點,應該就可以解決很多人心中的疑慮了吧!
也因為這一點,其實維基百科跟Y牌的知識家、G牌的搜尋引擎,甚至是P牌的BBS鄉民...等,並沒有太大的不同,因為都是經由網路的力量,來搜尋相關的解決方案
不過,這一類的相關說明,無論是解答、發問、補充資訊...等,這些都沒有保證其正確性(其實這點真的很難做到),主要是由大家在上面的討論、發言、相互請教得到的資訊,在集結而成的東西,經常就會被用來做為查詢資料的依據(並不嚴謹)
而我也不是要來幫維基打廣告,只是想要稍稍導正一下使用者在用這類資料來源時的心態,像前些日子不也傳出了有關美國CIA或是政府情治單位上線竄改維基的資料
這點同我一個曾參與維基百科的維基人的說法一樣:「根本就不是什麼需要理會的事情」
雖然這類的資料並不保證其正確性,但是它們真的在資訊傳播上有實際的幫助,因為在維基百科上,提供了許多語系的資料交換,雖然每語系之間的資料量並非相同(與該語系的維基人數量多寡有關)
除此之外,因為少了問與答的動作,大多數資料是由維基人們主動搜集整理並撰寫上傳,所以少了許多不必要的累贅文字,同時也能夠讓查閱者很快地找到所需的資訊
不過,筆者先前有提過,資料量的多寡會隨著參與人數而有不同,下次當你在查詢維基百科時,一旦找不到你想要的資訊時,就換個語系來查詢(一般來說以ENGLISH的資料量最多),說不定就會有不一樣的發現,也因為參與的人較多,資料的正確性也相對的提高許多(如果有心人士沒來攪局)
所以,有時候會發現筆者用的連結是連去英文的維基百科,雖然真的在閱讀上會不太友善,但是資料量真的多上許多
最後,還是要提醒大家,無論你要查詢什麼相關資料,愈是專業或技術性愈高的資訊,請多方查證,或是多尋找一些公信力較高的網站(雖然也有可能被操控)
再不然就是花錢請相關顧問來解惑吧!千萬不要道聽塗說,以免媒體效應在以訛傳訛之下,把片面之詞誤認為事實,這一點可是沒有什麼言論自由的喔!
為什麼要特別說明維基百科呢?
其實我會引用它的原因,並不是因為他現在有名或是它有多正確,只是盡可能地不把某些商業團體的網頁直接拿來做為連結,也因為如此,也造成了許多的誤導狀況...
首先,如果是維基人的話,我還是先在此對你們致上最高的敬意,不過,在一般人使用維基百科做為查詢目標的時候,請先確認一下有關於它們的免責聲明
其中的內容很多,但是請注意第一條:「維基百科不保證其內容的正確性」
光是這一點,應該就可以解決很多人心中的疑慮了吧!
也因為這一點,其實維基百科跟Y牌的知識家、G牌的搜尋引擎,甚至是P牌的BBS鄉民...等,並沒有太大的不同,因為都是經由網路的力量,來搜尋相關的解決方案
不過,這一類的相關說明,無論是解答、發問、補充資訊...等,這些都沒有保證其正確性(其實這點真的很難做到),主要是由大家在上面的討論、發言、相互請教得到的資訊,在集結而成的東西,經常就會被用來做為查詢資料的依據(並不嚴謹)
而我也不是要來幫維基打廣告,只是想要稍稍導正一下使用者在用這類資料來源時的心態,像前些日子不也傳出了有關美國CIA或是政府情治單位上線竄改維基的資料
這點同我一個曾參與維基百科的維基人的說法一樣:「根本就不是什麼需要理會的事情」
雖然這類的資料並不保證其正確性,但是它們真的在資訊傳播上有實際的幫助,因為在維基百科上,提供了許多語系的資料交換,雖然每語系之間的資料量並非相同(與該語系的維基人數量多寡有關)
除此之外,因為少了問與答的動作,大多數資料是由維基人們主動搜集整理並撰寫上傳,所以少了許多不必要的累贅文字,同時也能夠讓查閱者很快地找到所需的資訊
不過,筆者先前有提過,資料量的多寡會隨著參與人數而有不同,下次當你在查詢維基百科時,一旦找不到你想要的資訊時,就換個語系來查詢(一般來說以ENGLISH的資料量最多),說不定就會有不一樣的發現,也因為參與的人較多,資料的正確性也相對的提高許多(如果有心人士沒來攪局)
所以,有時候會發現筆者用的連結是連去英文的維基百科,雖然真的在閱讀上會不太友善,但是資料量真的多上許多
最後,還是要提醒大家,無論你要查詢什麼相關資料,愈是專業或技術性愈高的資訊,請多方查證,或是多尋找一些公信力較高的網站(雖然也有可能被操控)
再不然就是花錢請相關顧問來解惑吧!千萬不要道聽塗說,以免媒體效應在以訛傳訛之下,把片面之詞誤認為事實,這一點可是沒有什麼言論自由的喔!
2007年8月21日 星期二
電腦中毒誰之過(Guilty of Virus)
最近的報導指出,去年一整年電腦中毒的情況較前一年嚴重,雖然這是一個警訊,不過單就媒體層面來看,真不知是真實的反應事實,還是用放大鏡檢視
無論是用那種角度來看,這或許是不爭的事實吧!畢竟現代人幾乎已經離不開電腦相關的應用,所以在未來被科技所領導的世界也並非不可能(又不是科幻片...)
我們來歸咎一下中毒的原因與過錯,事實昭然若揭,我們只不過是輕忽了
每個人曾經使用過電腦的人,或多或少都有電腦當機的經驗,先不論造成當機的原因有多少,排除了硬體的損壞和軟體設計不良(其實都只佔少數),剩下的應該都是外來的影響(病毒、網路擁塞...等)
無論是用那種角度來看,這或許是不爭的事實吧!畢竟現代人幾乎已經離不開電腦相關的應用,所以在未來被科技所領導的世界也並非不可能(又不是科幻片...)
我們來歸咎一下中毒的原因與過錯,事實昭然若揭,我們只不過是輕忽了
每個人曾經使用過電腦的人,或多或少都有電腦當機的經驗,先不論造成當機的原因有多少,排除了硬體的損壞和軟體設計不良(其實都只佔少數),剩下的應該都是外來的影響(病毒、網路擁塞...等)
2007年8月20日 星期一
網址轉向(URL Redirection)
網址轉向是什麼呢?
筆者最早是在某些網站搬家時,會在首頁上放入一個自動轉址的設定,就是連到這個頁面後,會告知來的人說:「網頁搬家,五秒後會轉向新的網址」(盡告知義務)
再來,是某些具有翻譯功能的網站,你可以將想要翻譯的網頁寫上,它就會利用自身的翻譯工具,將原網址內的文字,嵌入自己設計的頁面
現在,最常見的就是「縮短網址」...
因為現在網路上用的名稱、位置、使用習慣...等,有太多的不同,有的也太過冗長(驚!筆者的筆名也有點長...),於是就多了縮短網址的服務(免費),這樣子就可以用較短的網址來記憶,不過這種縮短網址產生出了網址名稱,經常都是亂碼的英文編碼(TINYURL等)
例:IT部落格,經TINYURL縮址:http://tinyurl.com/3dy77n
雖然也有些縮址服務的公司,除了提供縮址之外,還可以指定縮址後的名稱、加上密碼、預覽目標網站、隱藏目標網址等服務(Go2.TW等)
例:IT部落格,經Go2.TW縮址:http://go2.tw/indeepnight
(指定名稱、預覽網站)
有些個人或公司體可能會想到,現在用了縮址,是永遠的嗎?還是暫時性的呢?
筆者先說明一下縮址的相關問題:
1. 原理:
其實縮址就是把你原先冗長的網址,在該服務公司記錄一筆資料(例:tinyurl.com),然後同步產生一筆對應網址:http://tinyurl.com/3dy77n(類似DNS的機制),連來這網址的所有人會經過該公司內部的轉換後,再把要求瀏覽的服務轉向至真正的網址
2. 時間性:
大多數縮址都是永久的(只要服務公司沒有倒),或是手動進行刪除縮址(並非縮址站都有),但有些縮址公司有其它的考量,可能會有(天數)限制的保留縮址資料
3. 安全性 :
筆者剛在原理的部份已說明了,所有透過縮址連向你網頁的要求,都會經過該公司的Server,因此它們就能夠分析出相對的點擊次數、流量...等資訊
或許,一般人並不覺得這些有什麼大不了的,可是對於那些網路行銷公司,或是特定資料收集者(包含駭客),對於流量愈大的對象,他們越是有利可圖
4. 優點:
個人:分享方便、容易記錄、開放給特定人閱覽(加密‧這一點我存疑...)
公司:因公司組織架構較大,會有較長的路徑,可以減短網址(公司內應自己具有轉址)
5. 缺點:
個人:網頁內容變動大,轉址變動率也大;加密後,內頁中的相關網址需同步更改
公司:不適用外部縮址,容易造成誤解與紛爭,縮址,僅適在公司體內部網路中使用
其實無論是用何種縮址服務,都是為了方便大家記憶或分享,不過...現在流行於網路之中的釣魚手法(Phishing)其實也可以利用類似的方式來達成
大家一但習慣了縮址服務(無預覽目標網址),其實要把一般民眾導向另一個釣魚網站其實一點也不困難,尤其是在社群上這種縮址的用量更是大的驚人
再不然就是現在金融業的併購風氣極盛,原本你常使用的銀行網站,可能就因為併購案的發生,原網頁已經被置換成新的網頁,如果現在有人告訴你只要連去http://tinyxxx.com/xxxx就可以連去該網頁,其實還是會有人會相信的點進去(真假難辨)
除了這些隱性的危機之外,我知前在縮致的時間性中有提到,如果提供縮址的服務單位關閉(免費‧只能任其宰割呀!),如此一來,原先利用縮址連至你網頁的人,可能就會發現它們在也無法利用原縮址來連線
甚至於原本設定連至你網頁的縮址(遭人刪除後竄改),被改成有心要收集資料的釣魚網站也不無可能,所以在網路上使用縮址服務前,自己要有這份認知(尤其是部落格的版主們)
我說了這麼多,那什麼適合縮址呢?
1. 用來宣傳自己網站,不過別隱藏自己網址,當對方加入最愛時,是加入非縮址後的真實位址(如果瀏覽者願意的話!)
2. 轉址的網頁內容,屬暫時性資料,公開特定時間,分享完後就可刪除相對路徑
雖然,現在已有許多防堵釣魚網站的機制,但是最重要的是使用者自身的警覺心,因為網路上的所有行為通常必須自己擔負責任(不信的話可以去翻閱手上網路銀行的使用說明)
也就是說,你在網路上所有的交易都是在使用者默許並認可下進行,無論是刷卡、轉帳...等,一但有額外損失,都由使用者自行承擔(你可以報案,頂多是"暫"不扣款)
這一點別太鐵齒,筆者曾經接觸過金融相關體系,到時候受保障的一定不是你!!
PS:
1. 有關縮址服務,介紹個網址給大家:免費資源網路社群
2. 筆者加入一個tinyurl服務(官方提供),有興趣可以試試看!
筆者最早是在某些網站搬家時,會在首頁上放入一個自動轉址的設定,就是連到這個頁面後,會告知來的人說:「網頁搬家,五秒後會轉向新的網址」(盡告知義務)
再來,是某些具有翻譯功能的網站,你可以將想要翻譯的網頁寫上,它就會利用自身的翻譯工具,將原網址內的文字,嵌入自己設計的頁面
現在,最常見的就是「縮短網址」...
因為現在網路上用的名稱、位置、使用習慣...等,有太多的不同,有的也太過冗長(驚!筆者的筆名也有點長...),於是就多了縮短網址的服務(免費),這樣子就可以用較短的網址來記憶,不過這種縮短網址產生出了網址名稱,經常都是亂碼的英文編碼(TINYURL等)
例:IT部落格,經TINYURL縮址:http://tinyurl.com/3dy77n
雖然也有些縮址服務的公司,除了提供縮址之外,還可以指定縮址後的名稱、加上密碼、預覽目標網站、隱藏目標網址等服務(Go2.TW等)
例:IT部落格,經Go2.TW縮址:http://go2.tw/indeepnight
(指定名稱、預覽網站)
有些個人或公司體可能會想到,現在用了縮址,是永遠的嗎?還是暫時性的呢?
筆者先說明一下縮址的相關問題:
1. 原理:
其實縮址就是把你原先冗長的網址,在該服務公司記錄一筆資料(例:tinyurl.com),然後同步產生一筆對應網址:http://tinyurl.com/3dy77n(類似DNS的機制),連來這網址的所有人會經過該公司內部的轉換後,再把要求瀏覽的服務轉向至真正的網址
2. 時間性:
大多數縮址都是永久的(只要服務公司沒有倒),或是手動進行刪除縮址(並非縮址站都有),但有些縮址公司有其它的考量,可能會有(天數)限制的保留縮址資料
3. 安全性 :
筆者剛在原理的部份已說明了,所有透過縮址連向你網頁的要求,都會經過該公司的Server,因此它們就能夠分析出相對的點擊次數、流量...等資訊
或許,一般人並不覺得這些有什麼大不了的,可是對於那些網路行銷公司,或是特定資料收集者(包含駭客),對於流量愈大的對象,他們越是有利可圖
4. 優點:
個人:分享方便、容易記錄、開放給特定人閱覽(加密‧這一點我存疑...)
公司:因公司組織架構較大,會有較長的路徑,可以減短網址(公司內應自己具有轉址)
5. 缺點:
個人:網頁內容變動大,轉址變動率也大;加密後,內頁中的相關網址需同步更改
公司:不適用外部縮址,容易造成誤解與紛爭,縮址,僅適在公司體內部網路中使用
其實無論是用何種縮址服務,都是為了方便大家記憶或分享,不過...現在流行於網路之中的釣魚手法(Phishing)其實也可以利用類似的方式來達成
大家一但習慣了縮址服務(無預覽目標網址),其實要把一般民眾導向另一個釣魚網站其實一點也不困難,尤其是在社群上這種縮址的用量更是大的驚人
再不然就是現在金融業的併購風氣極盛,原本你常使用的銀行網站,可能就因為併購案的發生,原網頁已經被置換成新的網頁,如果現在有人告訴你只要連去http://tinyxxx.com/xxxx就可以連去該網頁,其實還是會有人會相信的點進去(真假難辨)
除了這些隱性的危機之外,我知前在縮致的時間性中有提到,如果提供縮址的服務單位關閉(免費‧只能任其宰割呀!),如此一來,原先利用縮址連至你網頁的人,可能就會發現它們在也無法利用原縮址來連線
甚至於原本設定連至你網頁的縮址(遭人刪除後竄改),被改成有心要收集資料的釣魚網站也不無可能,所以在網路上使用縮址服務前,自己要有這份認知(尤其是部落格的版主們)
我說了這麼多,那什麼適合縮址呢?
1. 用來宣傳自己網站,不過別隱藏自己網址,當對方加入最愛時,是加入非縮址後的真實位址(如果瀏覽者願意的話!)
2. 轉址的網頁內容,屬暫時性資料,公開特定時間,分享完後就可刪除相對路徑
雖然,現在已有許多防堵釣魚網站的機制,但是最重要的是使用者自身的警覺心,因為網路上的所有行為通常必須自己擔負責任(不信的話可以去翻閱手上網路銀行的使用說明)
也就是說,你在網路上所有的交易都是在使用者默許並認可下進行,無論是刷卡、轉帳...等,一但有額外損失,都由使用者自行承擔(你可以報案,頂多是"暫"不扣款)
這一點別太鐵齒,筆者曾經接觸過金融相關體系,到時候受保障的一定不是你!!
PS:
1. 有關縮址服務,介紹個網址給大家:免費資源網路社群
2. 筆者加入一個tinyurl服務(官方提供),有興趣可以試試看!
訂閱:
文章 (Atom)