博客首页|TW首页| 同事录|业界社区
2006-09-29

首先,请教一个问题:除了病毒之外,还有什么手段能实现让你把已经发布出去的内容全部自动更新?无论用户是否许可?
  刚问了一个技术人员,说除病毒外,没有办法,因为这违反游戏规则。这么看,病毒真爽啊,不用遵守规则。如果有技术能实现全网自动更新,我倒想做个 P2P方式更新代码库的杀毒软件呢,不过这玩艺太危险了,要是被病毒高手破解,然后在里面加病毒,那会比一般病毒还可怕呢,为什么说更可怕,你说这P2P 自动更新的速度快呢还是网络消息传递速度快?当然,我们可以用这个办法解决:使用一个安全的恢复版本,当检测到有非法版本出现时,自动调高恢复版本的版本号,然后获取病毒样本并使用这个版本去覆盖非法版本,毕竟来说,病毒在搞死某台电脑前是不会先搞死传播通路的。那么,用户电脑成了病毒与杀毒软件的角斗场?真难过呢。
  再来一个问题,杀毒软件怎么判断是用户在主动卸载它还是正被病毒攻击?我电脑上不知道什么时候安的一个杀毒软件,现在就是陷入这样的怪圈,怎么卸都卸不干净,我明明已经对它执行过卸载操作了,可是,现在我打开有active-x的页面,它就开始运行安装程序,但我找不到它藏的地方!谁能告诉我,怎么卸掉它?
  多年以前,财务软件按规定是要对数据加密保存的,但是财务软件公司会在送审的时候送去数据加密的版本,提供给企业的却是数据不加密的版本(或者虽然加密,但是有权限的人可以解密并直接修改记录),因为加密版本对于企业来说不方便,决算数字出来后可能领导一句话,要调整的分录几十条,按正常流程去一个个凭证删除再一个个重做,太累了,不如直接修改记录然后重新打印。我相信财政部会计司规定财务数据需要加密肯定是有非常充分的理由,但是,企业觉得不方便,或者说企业觉得数据的安全性不如修改的方便性更重要。于是,数据的安全性就被很自然地牺牲。
  在《一个大网站是如何保障网络安全的》(http://blog.sina.com.cn/u/59191ea6010005i9)一文中我描述的是一个实际案例,不过那是好些年前的事了,据说他们在逐步使用通用系统替换以前的私有系统,几方面原因吧,1.各版本协调、升级、维护成本,觉得太高了;2.愿意参与私有系统开发的开发人员越来越难招了,因为技术人员也要考虑技术的普及性,要考虑离开这间公司后的饭碗问题;3.遇到问题时解决成本比较高,不象通用系统很容易在论坛等一些地方获得帮助。所以虽然操作系统还是用免费的自己改,但是已经很多地方去除私有技术了。有技术人员评价说,通用系统肯定容易受攻击一些,毕竟漏洞好找,但是私有系统的维护人员不可能老在一个公司呆啊!公司能养他一辈子吗?
  有些时候,为了方便,我们主动选择了不安全的办法。
  有的杀毒软件的过敏也让我们觉得难以忍受。
  安装软件时对软件的信任本身也是将安全交到别人手里,可是,面对更多不知名的黑客,我们是不是该相信知名的软件公司以及亲友一些?
  通用系统漏洞多但是私有系统没足够经济力量支持。
  诸如此类,都是矛盾,我们只能尽量寻找矛盾平衡点,有更好的办法吗?

2006-09-26

首先,服务器上用的是私有的操作系统和数据库,所谓私有,并不是完全自己写,而是说,全部都是进行私有化改造过的,一般使用开源的操作系统和数据库进行改造,比如说操作系统使用free bsd的改,数据库使用mysql的改,网站服务器数量上百时开始实施这个工程的网站比较多,费用是很重要的一方面原因,但更重要的是安全因素。防火墙不仅昂贵,而且会严重降低效率,所以他们一般不会考虑。
  改造操作系统的时候,除通信所需的一些命令文件保持原名外,很多命令文件连文件名都换掉(有人认为这是小花样,呵呵),大量功能被重写,黑客即使拿到权限坐在服务器面前,也取不到数据。
  有网站首席安全官认为放一扇门让别人一个劲砸,不如给人两条路让人选择正确的或者不正确的,所有使用错误帐号和密码去试系统的人,都会被允许以匿名身份登陆到一个shell里,那个shell跟真的系统很象,嗯,只是很象,但其实是个空壳,所有的指令,都会被以最小代价运行,调用假的信息界面出来。有的甚至里面放了陷阱,欺骗性引导黑客自动送上身份资料或其他一些敏感信息,毕竟黑客可能通过境外跳板过来,如果不是黑客主动送上,网站方很难获得黑客身份资料的。
  使用自己的安全策略,对已有的攻击手段都有相应的防护措施。比如说对syn flood这样的,就是临时降低服务质量,降低半连接等待时间,这样连接的成功率会降低,但是不会造成服务被停。
  网络空闲时间经常有欺骗性数据流在办公网络和服务器之间流动,使用强度不高的加密方式加密,让黑客有事做。
  网站内部工作人员使用业务系统登陆网站服务器时,界面上和一般服务器一样,所有的一般命令都可以通过业务系统转换为私有操作系统的专用命令而得到执行,网站内部工作人员也只有很少的知道转换的对照,而且一般都经过分权,做操作系统开发的,不负责服务器的维护,并且不知道安装某个内部版本号操作系统的服务器被部署到什么地方。
  帐号及密码按规定必须通过安全的消息平台传递。
  有自己部署在不同城市的DNS服务器,所有部署出去的应用都有不在同一机房的备用系统,应急机制设置在自己的DNS服务器这一环节,使用承载其他服务的服务器做交叉的安全状态监测,比如说A1服务器是A服务器的备用系统,使用CDEFGH等服务器来做A服务器安全状态监测,定时通信,并向A1服务器传递通信成功的信号,当失败率超过某个值的时候,A1自动分担A的部分压力,A1服务器上原本承担的非及时服务(不面向客户的,比如说索引服务)被降低优先级。所有服务器之间这么相互监测,通过某个机制保证监测是及时有效的。这样的情况下,即使某家DNS服务商被攻击,自己的网站都还能被大部分用户访问,因为不同地区的DNS还没被刷,用户还是可以使用那些DNS连接到网站的。
  一般而言,使用了这些手段,网站的安全性不能说万无一失,也是大大提高的。

2006-09-25

吃完晚餐,我对MSN上一位朋友说:八个蟹黄饺就撑到我了,朋友发过来一句话:“我没有宿舍住,只能在朋友的房间里打地铺,靠卖可乐瓶买东西吃。”我不由得眼含热泪,说:“你可以来我这儿住,我不收你房钱。”想到他是安全专家,急忙又补充一句“不过你要负责保护我的电脑网络。”他回话说“乔布斯说的,我会设法转告他。”气死我了!苹果电脑再安全我也不会用的!嗯,不过要是有人送我一台ipod,我想我不会拒绝的。
  据说IBM在新员工入职一年后有一个培训,培训里有这样一个问题:你回顾一下过去一年的情况,想象一下十年后你希望实现的目标,考虑一下在IBM能否达成这样的目标?据说有些员工参加培训后会辞职,尤其网络业热的时候走的比例还挺高。
  周五的时候我做了个调查:你为什么工作?1.生存2.成就3.交际4.不知道5.其他
  短信调查只有两个有反馈,一个说我的答案设计不合理,他应该算各因素都有,另一个在论坛说他为了祖国(真让我惭愧哦)。
  MSN上两个调查,反馈都是为了生存。
  论坛里的调查,回答的没一个正经的,哦,好象有一个,说是为了PS3(今天又有一个正经回答的,说是为了吃饭)。
  昨天和一位朋友聊天,他劝我赶紧上班,但又说我不适合打工,只适合当老板,让我狂晕……
  自今年四月底失业以来,拒过一些工作机会,也被拒过几次,也一直没想清干嘛好。
  列一下工作的好处:
  1.可以让我有收入;
  2.每天去上班可以增加步行距离,增加运动量;
  3.可以见到很多人,可以和真人面对面聊天;
  4.可以实验自己的一些想法,看是否受用户欢迎(微软招聘广告里非常动人的一句就是“如果你想让你的产品被很多人使用”);
  5.可以不再被家人老问打算,也可以不用被人抓免费的差,别人还理直气壮说“反正你现在没事。”
  工作的坏处:
  1.不自由了,每周要有五天,为五斗米折腰;
  2.刮风下雨都得出门;
  3.可能和人意见不同,发生矛盾和争执;
  4.很好的想法都有可能不能实验,或者实验失败;
  5.家人又该催我找对象结婚了。
  工作好还是不工作好呢?如果工作,找份什么样的工作合适呢?
  简单说一下我的情况:
  我的博客地址:http://blog.sina.com.cn/m/icecofee
  我91年参加工作,当过九年会计。
  在重庆天极做过网络编辑,当编辑时,经常是整个专题自己写,所编辑、撰写的文章在频道访问量都是排前面的。
  在北京书生公司做过沙龙选题、嘉宾联络、信息收集与分析。
  给微软电视部门做过用户需求分析,写过场景文案。
  给企业写过企业信息化可行性研究报告并通过专家组评审。
  卖过手机用的手写软件。
  在交友网站做过社区站长,其间SEO的效果是比较让我得意的。
  现在我最想做的是互动广告,和订单系统结合的互动广告,唉,咋办呢?
  关于互动广告,可以看我写的“网络广告千亿蛋糕谁来分”http://blog.sina.com.cn/u/59191ea6010005gl

2006-09-24

被自己人杀宕的服务器:有个网管把系统管理员密码设置很长很乱,乱到自己都不记得,只好记小本上,然后装了个木马病毒,直接用木马病毒远程登陆和操作服务器。公司来了新网管,他给新网管一个木马管理端让新网管去维护服务器,新网管按以前工作习惯,上手第一件事就是先给服务器杀毒,然后……后来服务器宕了,想重启时,新网管发现手里的管理端失灵了,惊问咋回事,老网管问明新网管做过的操作,心中大恨,密码本当天居然随换洗衣服忘家了,赶紧打车回家去密码本,也不敢说杀掉的病毒里其实有他装的用来当远程管理的木马病毒啊。不过后来到底还是找理由把新网管给踢出公司了。
  体力超级好的黑客:有个黑客看某小网站不爽,于是,找了和小网站同类性质的几家规模大点的网站,从alexa上查了这几家网站访问量大的频道,然后写了个0乘0表格,里面嵌入小网站首页,黑客黑进那几家规模大点的网站,把嵌有小网站首页的表格嵌进这几家大网站流量较大频道的模板,这样,当用户访问那些页面时,被攻击网站首页会被调用一次(0乘0表格,页面上不会显示出来)。嗯,经过一晚上的努力,成功黑完几家网站。被攻击的小网站也如他所愿服务启不起来,一起来就又挂掉,但这事,只持续了几个小时,几家被黑的网站迅速发现了模板里的问题,于是,那家小网站遭到大家一致的鄙视,当然,是在心里,谁也不好意思说自己网站被黑了的。
  没客户端咋拷贝文件:novell时代,服务器磁盘空间满了,需要备份出来转移到大硬盘,和外包的计算机服务公司说好以后,就让服务公司的人把服务器拉走了,一会儿,服务公司的经理电话过来问没带客户端过去怎么拷贝文件出来?让网管羞死了……
  白获得帐号密码了:有个黑客在工作日上班时间开着工具跑一台服务器的密码,然后自己就洗澡喝茶去了,回来的时候,看到屏幕上提示跑出来一个帐号和密码,很高兴地就试,但怎么也登陆不了,人家网站还好好的能显示,说明服务器开着呢,可是,为什么登陆不了呢?后来晚上网管在群里说下午有黑客攻击他的服务器,而且登陆成功了,幸好当时他在另一个帐号上登陆着,及时发现,赶紧把那个已经被黑客拿到的帐号删除,网管还奇怪黑客登陆之后为什么什么都没干呢?

2006-09-21

1.引言
  1.1一些例子
  a.小王在淘宝上有家店卖七匹狼服饰,小王搜索所有和七匹狼档次差不多的男装店,设置为广告消息目标页,然后把自己店的一口价改成可讲价,设置自己店消息打搅许可状态为拒绝打搅,这样别人的广告消息发不到本店页面上来。小王撰写消息“七匹狼新版上市价格全网络最优”,设置投放一百条。此时被选中的那些消息目标页有浏览者时,会看到小王投放的广告消息,可以点击上面的链接打开小王店面网页或者直接向小王询价。
  小王要为发送出去的消息付费,同时那些消息目标页会因为承载消息而获得提成,因此小王不在线的时间会把网店的消息打搅许可状态设置为允许,让别的网店广告消息可以投放到自己网店页面,顾客不会有被冷落的感觉,同时自己也能获得一些广告收入提成。
  b.小王晚上饿了,打开地图,在住处附近画圈,拉大,按可外卖筛选,地图上显示出当前还在营业的店,切换到列表页,查看餐馆营业品种,点击呼叫选中的店,呼出店家的订单系统下单点外卖。
  c.小王出差到某城市,周末想踢球,用WEBIM群呼机发出一百条消息到同城人浏览的页面上,寻找球搭子。
  d.小王无聊刷新论坛页面时看到顶上有住处附近商场促销信息,点击查看详情,呼叫到受商场委托的呼叫中心座席咨询活动详情。
  e.小王在网店后台看到有一个顾客十分钟里反复来了三次,撰写一条消息“看上哪款了?兄弟可以给你优惠的。”当几分钟后顾客第四次又打开小王网店页面时看到这条消息。
  f.月底,小王查看消息响应率报告的销售提成,发现自己靠两条上榜消息能分得的提成不错,直接划转虚币定购了下月整月的响应率报告,剩余部分和页面流量收入一起充入帐号用于下月发消息。
  1.2本文目的
  笔者预测未来三年里网络广告(含一定量服务)市场将达千亿元规模。
  本文目的通过预测未来广告的可能形式,分析网络广告产业链,寻找值得契入的商机。
  2.未来的网络广告特点
  2.1精准投放
  2.1.1行动匹配

  前面例子里说的直接把广告消息投放到经营同类商品的网店页面上,就属于行动匹配——根据用户的行为匹配,用户访问同类商品网店,说明购买意向已经很明确了,起码比浏览普通网页的用户购买意向高很多倍。
  网站支持此种广告服务使人气能收拢到有人值守的网店,能提高在线成交率,从而形成在线成交率提高——网店及商品种类增加——顾客增加的正向循环。
  2.1.2内容匹配
  Google“微软”或者“李开复”的时候右侧广告里会出现DELL的广告,这就是典型的内容匹配,因为预测google这些信息的人应为对IT业有一定了解的人士,而这部分人士在硬件消费上比一般人群要比例高点,所以针对他们投放广告。这是目前内容匹配的做法。
  在未来,内容匹配更多是根据用户访问路线分析做出的,甚至根据用户访问历史判断用户偏好,而准确投放适合用户的广告,比如当用户的连串访问表明对某个明星关注的热情很高时,投放该明星代言的产品。
  2.1.3地域匹配
  有些产品或服务属于大众消费范畴,不受用户职业影响,比如餐饮业。但是对用户所处地域有要求,比如有的餐馆消费人群就只在某个小区范围,那么如果能只对该地区网络用户投放促销活动的信息,网络广告就是可以接受的(目前网络广告做不到这样,导致这部分广告主嫌浪费太多而不愿意投放网络广告)。
  2.2与业务紧密结合
  从广告到企业的路径被压缩,顾客看到发出请求后延迟时间减少,行动的积极性大大提高,而广告与业务系统的紧密结合也降低了多线程支持成本(如果通过电话,则需要人工再录入一遍,值守成本高且只支持单线程),大大提高订单系统效率。
  2.3互动性的提高
  广告消息直接就是互动入口,甚至直接就是聊天邀请,使得受众与发布者更容易沟通。这里面可能牵涉一些政策方面的问题,比如说由于国际电联的规定,通过公网传输落地的话音业务需要牌照,那么支持多少国家之间的话音响应,运营商就需要多少国家的牌照。
  3.未来的网络广告形式
  3.1静态形象广告

  也就是继承目前的主流广告形式,主要用于贵重商品、不直接面向消费者的品牌商的一些广告,比如房地产,在可以预见的未来,通过网络交易的还是会比较少,可能会支持网络预约,但还是会现场交易,不直接面向消费者的品牌商,比如可口可乐(品牌商会选择已进入或即将进入的区域做广告,以支持当地分销商),象医药卫生产品及服务的一些广告主,也会是此类广告投放大户。
  3.2目录广告
  目前的目录广告基本是免费的,但是在未来,加上地理信息系统以后,由于推广位资源的有限,目录广告象目前的域名系统一样获得收入将是可行的。
  3.3消息广告
  在线互动,用于希望快速在线达成交易的一些大众消费品销售,比如服饰、快餐等,用户点击此类广告,可选择与对方在线沟通或直接查阅产品及服务目录下订单。
  3.4静态+消息广告
  以静态形象广告和消息广告两种形式混合发布,静态形象广告导入的页面上有消息按钮,一般用于短期活动,比如商场促销,用户可直接呼叫到受广告主委托的座席咨询详情。
  4.产业链
  4.1广告主
  为广告买单的人,经常与广告发行人合而为一,但有时是分开的。
  4.2广告发行人
  决定广告投放到什么媒体上的人。
  4.3广告媒体
  承载广告的载体。
  4.4广告制作
  制作广告的人。
  4.5咨询服务
  通过数据分析为链上各环节提供策略优化咨询服务,使各环节运行更畅。
  4.6受托座席
  为不愿意自己管理座席的企业提供受托服务,向广告受众提供在线互动。
  4.7广告受众
  看到广告的人。
  5.机会
  从目前看,小企业剩下的机会有广告媒体、广告制作、咨询服务、受托座席。
  5.1广告媒体
  种类丰富且图片精美的网店页面、小众读物及论坛、活跃的圈子、地理信息系统,都有可能成为不错的广告媒体。
  5.2广告制作
  将与发行及反馈联系更紧密,要求能更快速响应,所以不需要协作的个人作者会越来越多。
  5.3咨询服务
  可能有媒体直接卖数据,也有通过数据二次加工,还有广告策略优化等都可以计算在内,有些咨询服务和受托广告制作可能合而为一。
  5.4受托座席
  二线城市的机会,通信费用的降低使二线城市为一线城市提供此类服务成为可能,VOIP牌照障碍等使这个机会只能留给一些大企业,或受当地政府委托解决就业问题的龙头企业。但一些劳动力密集型的企业从营业额上应该算小企业。
  6.未来网络广告业市场规模

http://news.xinhuanet.com/newmedia/2005-05/20/content_2980021.htm,天下互联总裁兼CEO张向宁认为2009年8、9亿元可以占整体网络广告市场三成(也就是那时网络广告才30亿元市场规模?),而易观国际认为2005年中国互联网广告市场规模32.29亿(http://data.chinabyte.com/169/2571169.shtml),综合这两家的预计,2009年网络广告市场规模要下降?当然,这是不可能的。多说一句,新华社新闻研究所中外媒体发展战略研究中心的一篇《中国传媒结构与市场分析》(中国网2004年2月)里AC尼尔森说2001年中国电视广告收入660亿元,国家工商行政管理总局说2002年中国电视广告收入231亿元。唉,上次网络业泡沫太害人了,一下挤了那么多下去。只是开句玩笑而已:)
  目前国内顶级网络媒体每PV广告收入为7厘钱(人民币,下同),而google全球每PV收入为0.14元,这是因为内容匹配程度提高。我们可以把三年后的广告收入分为以下几类:
  淘宝类电子商务网站,主要支持竞争类业务广告收入,由于与供需链嵌合紧密,行动率高,每PV平均收入将达到2分钱,届时淘宝如果维持目前的alexa 排名,每天PV需要达到20亿左右,每天收入4000万元,年规模140亿元左右。届时国内将有三家淘宝规模电子商务网站,这三家会占电商网站八成市场,电商网站整体规模500亿元左右,但由于内部消减作用(网店流量收入直接用于广告开支),实际上帐面体现可能350到400亿元左右,其中八成贡献来自品牌厂商对分销商的支持。
  网络媒体,由于广告投放的精准度提高,加上征友类个人广告业务的支持,每PV收入将由目前的平均两厘钱左右(顶级虽然有7厘钱,但是很多无收入的,众数大约2厘)上升到5厘钱左右,届时各类媒体总PV将在200亿左右,年广告收入350到400亿元。由于个人媒体(博客)与广告主不直接结算,所以此部分内部消减作用并不明显。
  目录注册及互动系统服务收入,这部分也许应该计算为软件收入,一定程度上会取代目前的企业管理软件的一些功能,使用者多为餐饮、零售等生活服务业(电子商务的订单系统自成体系,不计算在内),大约200到300亿元。
  总规模大约一千亿元。如果考虑内部消减以及终端收入为中间环节带来收入,大约1500亿到2000亿元。
  好大规模啊,相当于现在国内广告市场规模呢。谁投呢?
  a.即将进入中国的一些品牌商,有人说这些目前到中国来推广一个品牌的成本大约需要三年一亿美元,这部分厂商很多会选择淘宝这样的电子商务网站看效果,毕竟反馈速度快。
  b.现有的广告主会随着公众眼球大量粘在网络上而转移,就象当初电视广告崛起一样。
  c.个人店主,门面房价格的昂贵以及流动人口的增长,会促使人在网络上销售商品及二手物品。
  d.个人广告,不仅征友,而且征老板等都会成为个人广告的很大一支力量。
  e.注册目录商,类似线下的黄页,尤其结合地理信息系统以后将会使不愿意被竞争对手抢走生意的店家都注册。

2006-09-20

本文纯属虚构,如有巧合,必属剽窃,请付版税!
  小黑使用这个机房另一台电脑上种的木马程序监听了这个网站N多天,今天终于截到一段象是登陆密码的内容,尝试使用这个帐号和密码登陆,哦耶!当看到屏幕上出现“XX网络科技公司技术部祝您心情愉快!”的一行提示时,别提多兴奋了!
  尝试输入命令,发现不执行,当输入到第三行时,屏幕出现提示“您所输入的命令必须通过业务系统操作执行,要登陆业务系统,您首先要在本机创建VPN帐号和使用VPN帐号登陆专网,您确定要创建VPN帐号?(Y/N)”小黑键入Y,屏幕出现一行提示,让小黑输入那行提示的内容执行下载VPN软件命令,小黑下载VPN软件,安装,使用刚才用过的那个帐号和密码登陆,看到一个文件夹,里面只有一个压缩文件,名字是“业务系统在线安装向导”,刚才的VPN软件才一兆多,这个业务系统二十几兆,有点大,不过小黑是很有耐心的人,别的不多,就是肯花时间,所以下载二十几兆的文件,小case了!可能是VPN的关系,下载速度有点慢。
  下载完成后,小黑根据压缩包里的安装说明,在线安装,安装到一半,提示输入手机号接收验证码,小黑想着手机卡里钱也不多了,大不了这次完后换手机卡好了,输入手机号,终于安装成功!
  安装完后,迫不及待运行,屏幕上出现措辞严厉的话:
  某某某(小黑真实姓名同志,你的手机号码是XXXXXXXXXXX,你的IP地址是XXX.XXX.XXX.XXX,请你立即停止对我司网络的侵入行为,我们已经掌握你的简历及通讯录资料,有必要时会向公安部门寻求帮助!
  小黑终于明白,他上当了,被引入了人家的欺骗程序。
  解释一哈:有人问为什么不直接给个木马就是了,毕竟被攻击方是在明处,所以需要手段合法,后面业务系统的下载和安装只是为了拖延时间,让先运行的软件有充分时间去搜电脑里的简历和通讯录文件,而且被黑客起诉也可以声称这是安装的正常过程(可以做一个和这个表面看完全一样的正常过程)。如果说因为反黑就种木马,那不是和抓到小偷不送警察而是暴打一顿一样吗?

2006-09-19

演习!请勿紧张:)唉,我说那边那位,你在办公室里藏消防斧和登山绳,而且,还盯着旁边的玻璃,你想做什么?
  多年以前,有家小网站,被黑客洗了备份服务器,然后主服务器上的灾情信号被激活,主服务器赶紧从备份服务器上恢复数据,也被洗。我MSN上一位网管说,除了ESPN之外,谁做热备就是犯罪啊(他解释说ESPN和很多电视台签了合同,断一秒就可能赔很多钱)。
  假定,百度象其他大网站一样,服务器用Free BSD的操作系统,还修改内核重新编译,自己写服务器管理软件,N多台DNS服务器把各地来的请求分发给为不同区域服务的检索服务器,而且DNS服务器也都是分好组的,遇忙转移最多需要一次,遇忙到一定程度时启动包的深度检测,丢弃来源可疑包,并且降低网站响应比例,总带宽怎么也买个20G以上(据说他们在理想大厦时办公网络与机房连接使用的20G光纤)。
  这样的网站,怎么黑?
  如果真如百度CTO说过的那样,用Syn flood就可以黑掉这样架构的网站,我MSN上那些做安全的估计会去理想国际19层试试从那儿跳到12层天台会不会平安无事的。简直是对常识的颠覆啊!哦,他们是用消防斧砸碎玻璃然后用登山绳溜下来的,我什么也没看见。
  话说回来,这样架构的网站,真有人认为用Syn flood能黑掉,我觉得应该发给他一把长梯子让他在月圆的时候尝试一下登月。嗯,其实呢,要黑这样架构的网站,还是制造灾情信号代价低点,而且是在 DNS服务器这个环节,让DNS服务器不停地遇忙,请求分发不下去,区域DNS服务器之间频繁转发请求,无视用户……当然嘛,制造灾情信号之前,需要拿到服务器权限,否则,怎么从内部攻破呢?权限的获得一般通过管理的漏洞,所以,安全的最大挑战其实来自管理。
  解释一哈,黑客黑某个系统的时候,都要和现有的相同系统进行比对,然后才知道出现某个反馈是到哪一步,而大网站一般使用自己设计的系统(自己改免费操作系统用、免费数据库),然后用自己写的业务系统去对服务器什么的进行管理,一般来说,已经出现过的攻击都已经考虑在安全策略里,DRDOS并不是才出现的,只要灾情到一定程度就对包进行深度检测和降低响应比例(缩短半连接等待时间),而有冗灾系统转移其他服务能力过来,根本不会造成服务的中断。 DRDOS如果是一种新鲜的才出现的攻击,不能防还好说,如果不是,那么……百度的带宽,因为要支持爬虫,所以保守估计也在50G以上,而据说这次黑客动用的肉机仅两万台,可能实现那样的攻击效果吗?由于前面说过的采用自己的操作系统和数据库的原因,实际上这些服务器和一般服务器相比,已经成为黑盒,不好模拟的,那么从业务系统一端攻击的代价会小很多。

2006-09-15

看到google与百度在中国的最新市场份额对比(http://tech.sina.com.cn/focus/search_CNNIC_06/index.shtml),笑死。开什么玩笑啊?我怀疑这个调查是在百度网站上收集反馈得到的呢!一查调查方法(http://tech.sina.com.cn/i/2006-09-12/16491132606.shtml),看到这句“抽取住宅电话、小灵通和宿舍电话进行访问。”乐了!住宅电话不好说,这小灵通和宿舍电话,我估计google用户里用这些的还真少。
  再说了,用网易和腾讯上的搜索的人,知道后面是google么?我曾经写过一篇搜索引擎市场分额对比的文章(http://blog.sina.com.cn/u/59191ea60100049u),里面一些细节没说,比如说:比较平均化的数据,通过google本站和合作伙伴过来的用户量大约1:1,而偏影视及娱乐类的数据,google本站和合作伙伴过来的用户量大约是1:2。那还是谷歌的合作刚上线没多久的事(当时网易数据比谷歌本站慢两周左右),现在,估计合作伙伴过来的用户比例该更高了。(可以看一哈soso.com现在的访问量和一季度对比,我那篇文章里的数据是根据一季度统计得到的)。
  有的网站全站被百度收录超过两千万页,可是任何一个频道被收录页数都不足四万页,是不是很好玩?
  嗯,我在前面那篇搜索引擎市场份额对比里说了,搜索引擎用户量google比百度稍高一点(百度要减掉20%的非搜索业务用户量),但百度单人PV比google高很多,因为有些热门关键字前几页都是广告。那是按alexa数据及一些网站日志统计数据分析得到的。
  从一季度到现在,google.cn的用户量增长了很多,soso.com也是,我们来算算数吧:
  根据alexa上数据,某个每天PV一亿的网站情况是百万人到访2850人,单人PV22,2850*22=62700
  google的情况是:8400*5.5=46200
  soso.com的情况是:11950*4.4=52580
  百度的情况是:89650*10.9=977185
  得出来百度每天PV:977185/62700=15.58亿页
  到访:15.58/10.9=1.429亿人,这数字好大啊,我记得有个报告里说中国网民数量7200万,每个网民每天上两次百度?另外,那个报告里说全球7亿网民中国占7200万,百度的alexa数据则是全球百万人有89650人访问百度,也就是说,每天有87.16%中国网民访问百度,真了不起!
  而这种算法下google.cn加soso.com的每日到访是:(100000000/22)*(8400+11950)/2850=3245.6万人
  上面google的数字没加google.com以及网易,国内使用google.com与google.cn的用户比例是怎样的?从被访问的网站日志看,通过搜索引擎来的google用户是多于百度的(多家商业网站数据比较),所以google.com加网易的用户量很大呢,嗯,那google总用户量起码和百度持平吧?百度每天有近九成中国网民访问,google也有吧?大家都可以high了!

不知道中国缘的,用“中国缘 流氓”可以搜到相关信息,这家网站用MSN机器人骚扰用户,不仅狂申请添加好友和发广告信息,而且还盗用注册用户资料,冒充注册用户给用户的MSN好友发信息。
  有个负债百万只好每周卖一百个小时劳动力给老板的朋友,本身是个很资深的安全专家(他很低调,所以外界不知道他的名声),在通过司法途径解决问题成本太高的情况下(中国缘网站注册地址在深圳,他要起诉就要去深圳),悬赏一千元,想找人干掉中国缘这个流氓网站。
  
  我看到他出的赏格后
  首先想到的是,能不能动员中国缘网站关门算了,然后我和中国缘网站平分这一千块钱,岂不善哉?后来想想,人家花那么大代价放下身段当流氓,精神损失一定很大,又岂是区区一千元,不,我还要拿走一半,所以最多只能给他五百元(我还得扣汇费下来),就能补偿的呢?所以中国缘网站肯定是不从的。
  其次,这位朋友本身是安全专家,但是却没有采用黑客手段去攻击中国缘网站,说明他是想通过合法手段解决问题,嗯,我也反对黑吃黑。
  
  冷月出了个黑中国缘的主意:
  冷月 说:
  最好开发一个自动黑他的程序,每人装一个
  争取做到是中国人,上网第一件事就是先黑它一下
  这才叫“中国缘”哪
  最好请每个黑客都做一个黑中国缘的插件,放在破解软件里


  我看到她出的主意,笑到肚疼,其实,如果通过MSN自身由技术手段来解决,可能好解决得多,很多网站对加好友这类事件都有限制,对反机器人还是效果不错的,更直接点,MSN直接增加一个禁止陌生人添加为好友的选项不就可以了么?用户要添加时自己开放选项,其他时间禁止添加。

2006-09-14

我看到MSN上某人发来“有效沟通的技巧”几个字时,差点一口血喷出,5555,我的最大问题就是不善于和人沟通啊。
  晚上,某人又发来“管理沟通案例”PDF,扫了一眼,讲的沟通都是出问题之后,也是,没有问题怎么需要有技巧的沟通呢?
  不记得是微软还是IBM网站上有个培训案例(员工受培训的案例,挂网站上当福利展示):

  背景:项目经理小甲手里A项目和B项目,A项目进展顺利,B项目遇到一些问题,可能需要别人帮助解决。
  场景:项目经理小甲和他上司——部门经理乙在走廊上遇到。
  对话:
  乙:你手上的项目进展如何?
  甲:B项目可能遇到一些问题,我正汇总,汇总完后找您,可能需要找别人一起解决。
  分析:甲因为思路一直在遇到问题的B项目上,所以乙一问项目情况,就只提了有问题的B项目,而对进展顺利的A项目略过。乙实际上没打算怎么关注甲的工作情况,只是走廊遇到,顺口一问而已,但是甲的回答使乙对甲的工作能力产生了怀疑。如果甲先说一句A项目进展顺利,B项目遇到点问题,那么乙就不会有什么想法,毕竟走廊上只是随便提到,不是专门的汇报。

  显然,很重要的一点,沟通要有效,必须全局看问题,不能思路老在坏的一面上打转,比如说上周五我去雅虎面试,因为供暖公司过来给暖气管道刷银粉,没提前通知,而雅虎人力没有留联系方式,我急忙找来房东守工程,然后赶到雅虎的时间就迟到了一些,这是我记事以来第一次迟到,对我情绪影响非常之大,结果面谈的时候自己都觉得有些失控。
  其次,沟通要本着解决问题的这个出发点,有时候,按原计划就是没法办,计划执行者可能就会逃避沟通,直到把小问题拖成大问题,沟通中养成就事论事的习惯能减少这类问题出现。
  再次,善意,善意往往会在沟通中起润滑作用,比如说,这事确实是某人拖了后腿了,但是从他的能力上说,他已经尽力了,公司付给他的报酬也是基于他的能力付的,这时责任其实应该是在项目的安排上,但是很多主管会逃避自己应该承担的责任,会指责拖后腿的人为什么没责任心(可能人家提出来过时间进度无法完成,但被忽略或未留书证,或者没敢提),这其实和前面说的一样,沟通要就事论事,不要上升到对人的指责,防止问题扩大化。