posted at 2009.8.26 11:23 by Spoony
刚发现 Google Reader 悄悄地改进了 SNS 方面的体验。侧栏多了“您关注的对象”部件,实际上就类似 Twitter 的 Follow。之前我的 Google Reader 几乎没有给我带来任何与外界的互动,现在 Google 主动提示用户“查找共享条目的用户”。加了几个用户,感觉和 FriendFeed 共享内容的体验很相似,尤其在对其他用户共享条目的评论上,不仅可以共享和评论,还可以打上“喜欢”标记。我想这一改进可以帮助我与外界过得更多的互动,提高阅读器的使用效率。
Google Reader 与 FriendFeed 同样对内容具有订阅、分享的功能,也可以对用户进行 Follow,用户习惯和体验都是做得非常方便棒的。而 FriendFeed 的服务在 Google 的多元化的产品面前则显得过于单一,一个产品和服务单一的企业,面对一个提供综合应用服务的大企业的围堵,将陷入突破创新与市场占有的双重压力。所幸的是 FriendFeed 不久前获得了 Facebook 的有力支持,或许在这之前他们就已经预料到 Google 的这一步棋,被迫无奈才会投靠 Facebook。这样也就很容易理解 FriendFeed 为什么这么轻易就放弃了独自为阵转而投奔 Facebook。
我原本打算一直用 FriendFeed 的服务,但 GFW 对 FriendFeed 的封杀和 Google Reader 服务的跟进,对我个人而言,我看坚持 FriendFeed 也没那个必要了。尽管不大会使用 FriendFeed 的产品和服务,但 FriendFeed 仍是我关注和支持的社会化网络服务提供者。他们对各种社会化网络服务的了解程度或许比 Google 更深刻,提供了 Google 现在还没推出的功能(比如同步更新)。愿 FriendFeed 保持它一贯的创新,成功突围 Google 的围堵。
posted at 2009.8.19 20:46 by Spoony
找点空子来谈谈 FriendFeed(FF) 的旧闻。FF 对 UI 的考究使其具有了良好的用户体验,其所提供的服务可能存在一些争议,但其拥有的近百万的用户数量是不可小视的。不久前 FF 被 FaceBook(FB) 收过去了,不知道它现在过得可好,肯定是不差钱了。FF 虽然现在不差钱了,但恐怕要“缺人”了。好在 FB 会让 FF 在一段相当长的时间内自由发挥,是一个明智的决定。当我第一次阅读 FF 的 Team 简介的时候就对这支精锐团队充满了期待,期待 FF 能够造就另一个 Google,书写又一个 Google 的神话。之所以这么说是因为我看到 FF Team 是一支有创意、有实力、有梦想的团队。至于 FF 今后会如何发展,是一件必须去关注的事情。
另一件可以不用太关心的事情是百度的“框计算”。乍一看这个“框计算”和“云计算”有相似之处,细细再看就能发现此相似之处仅仅体现在名字上。加上各门户对该名词概念的爆炒,很容易让人误解。更有甚者拿百度的“框计算”和“云计算”比较说事。经过我对这个“框计算”概念的辨认,可以得出结论,李彦宏炒的这盘菜大家大可不必太关心,更别要和“云计算”比较了。互联网是一个充满创造概念的世界,中国是一个善于模仿名词概念的国度。当我们遭遇中国特色的概念时是必要仔细辨认,“云计算”并非云端的计算,只有那框框里头的计算才叫“框计算”。
posted at 2009.8.13 23:35 by Spoony
Open Web Application Security Project (开放式Web应用程序安全项目,缩写为OWASP)总结出了现有Web应用程序在安全方面常见的十大漏洞,以提醒企业及其程序开发人员尽量避免它们给企业IT系统带来的安全风险:
非法输入 Unvalidated Input
在数据被输入程序前忽略对数据合法性的检验是一个常见的编程漏洞。随着OWASP对Web应用程序脆弱性的调查,非法输入的问题已成为大多数Web应用程序安全漏洞方面的一个普遍现象。
失效的访问控制 Broken Access Control
大部分企业都非常关注对已经建立的连接进行控制,但是,允许一个特定的字符串输入可以让攻击行为绕过企业的控制。
失效的账户和线程管理 Broken Authentication and Session Management
有良好的访问控制并不意味着万事大吉,企业还应该保护用户的密码、会话令牌、账户列表及其它任何可为攻击者提供有利信息、能帮助他们攻击企业网络的内容。
跨站点脚本攻击 Cross Site Scripting Flaws
这是一种常见的攻击,当攻击脚本被嵌入企业的Web页面或其它可以访问的Web资源中,没有保护能力的台式机访问这个页面或资源时,脚本就会被启动,这种攻击可以影响企业内成百上千员工的终端电脑。
缓存溢出问题 Buffer Overflows
这个问题一般出现在用较早的编程语言、如C语言编写的程序中,这种编程错误其实也是由于没有很好地确定输入内容在内存中的位置所致。
注入式攻击 Injection Flaws
如果没有成功地阻止带有语法含义的输入内容,有可能导致对数据库信息的非法访问,在Web表单中输入的内容应该保持简单,并且不应包含可被执行的代码。
异常错误处理 Improper Error Handling
当错误发生时,向用户提交错误提示是很正常的事情,但是如果提交的错误提示中包含了太多的内容,就有可能会被攻击者分析出网络环境的结构或配置。
不安全的存储 Insecure Storage
对于Web应用程序来说,妥善保存密码、用户名及其他与身份验证有关的信息是非常重要的工作,对这些信息进行加密则是非常有效的方式,但是一些企业会采用那些未经实践验证的加密解决方案,其中就可能存在安全漏洞。
程序拒绝服务攻击 Application Denial of Service
与拒绝服务攻击 (DoS)类似,应用程序的DoS攻击会利用大量非法用户抢占应用程序资源,导致合法用户无法使用该Web应用程序。
不安全的配置管理 Insecure Configuration Management
有效的配置管理过程可以为Web应用程序和企业的网络架构提供良好的保护。
这篇文章是转载的,有空把自己总结的一些安全编码规范发上来。
posted at 2009.8.8 09:12 by Spoony
自从2004年那阵,我技术入门的地方VBDAK论坛关闭之后,我就再也没正二八经地参与过任何一个技术社区或博客圈子。不知道什么时候听说了博客园这么个好东西,也完全没有兴趣去看。直到最近订阅了好一阵博客园的Feed,才发现,还是不去博客园的好。
现在的技术社区和博客圈子大牛比较集中,条件可比5年前年那阵强不知多少倍。可是,讨论氛围却变得很酸。分享一篇自己精心写好的文章无非为了获得圈子里朋友的认同,在5年前,获得来自其他技术爱好者的认同和赞誉或善意的建议是比较容易的,只要你的文章中有几句在理,有几段给人以启发,哪怕整篇文章是译过来甚至Copy过来;而今,就连自己呕心沥血、原创首发的文章发布前也要遭到被喷的准备。好多文章开篇或结尾都必有“在下愚钝,且时间仓促,若有不当之处,请多包涵”更有“欢迎来喷”之类的话,给人感觉现在的技术人员觉悟高了不少,不仅谦虚谨慎而且能够为了分享自己的心得忍受各种形式的攻击和辱骂。真不容易。
为什么会这样?为什么会有那么多人找不到自己欣赏的文章,找不到自己感激的文章,找不到让自己敬佩的作者,找不到能够折服自己的思想?每每看完文章就以为不专业,缺乏价值,就想喷两下。我想可能是好文章太多了,看多了好文章让技术的审美情趣、对文章的挑剔能力提高了吧。就好象看多了各朝代精美的老古董看多了,再看几件现代的残次品或者赝品,就忍不住想喷,或为了证实自己曾经饱览天下的好文章,自以资深评委姿态自居读那些文字。其中也有好些人碰到和自己实力相当的同志,非但没有相互学习,反而给对方的文章挑刺起来。这是什么?这是酸。
在下愚钝,至今,在下的博客园、CSDN等技术社区帐号还没敢给这些社区的建设添过砖加过瓦,生怕我这块砖没砌好惹来牛人们的拍砖。