<![CDATA[大风起兮云飞扬]]> http://hi.baidu.com http://hi.baidu.com http://img.baidu.com/img/logo-hi.gif http://hi.baidu.com/aullik5 zh-cn www.baidu.com 5 <![CDATA[Pachelbel Canon In D]]>
如果你喜欢音乐,如果你还没有听过。。。。。。

那么先看下这个广告的视频吧!



Pachelbel 是“西方音乐之父” Bach(巴赫) 的老师,牛人啊。

以下资料来自网络

「卡农」是现今为止最受全世界所喜爱的古典音乐作品, 阅读全文
类别:茵梦湖 查看评论]]> 2009-07-02 17:18 http://hi.baidu.com/aullik5/blog/item/57fd18d4fde6e9cd51da4bff.html <![CDATA[Python的牢骚]]>


最后无奈,只好改用JS实现,对于HTML的理解,还是浏览器最方便啊。

看来Python 作为新兴语言,第三方资源的积累还是不如老语言丰富,还有很长的路要走啊。

以后有时间还是自己写个HTML 阅读全文
类别:象牙塔 查看评论]]> 2009-07-01 16:29 http://hi.baidu.com/aullik5/blog/item/f442d2121875b30b5aaf53fc.html <![CDATA[Data URL Schema 与 如何盗链百度的图片]]> 基于Referer 判断
1. 如果浏览器发送的Referer 中不是从百度的域过来的,则判断为盗链
2. 如果浏览器没有发送Referer 头,则认为是不是盗链

现在网上的很多教程都教人怎么伪造Referer,或者不发送Referer。比如Firefox在 about:config 中,可以有选项把Referer的发送给关闭掉。也有很多浏览器的插件和扩展,可以改掉Referer,比较出名的有 RefControl 等。

除此之外 阅读全文
类别:象牙塔 查看评论]]> 2009-06-24 15:29 http://hi.baidu.com/aullik5/blog/item/c82a94dc5d37b33d5982dde3.html <![CDATA[Google Chrome 的安全架构]]>
http://queue.acm.org/detail.cfm?id=1556050


这个架构和 Gazelle 很像啊!

不过做的没有 Gazelle 严格,当然 Gazelle 还只是实验室的东西。

G 阅读全文
类别:象牙塔 查看评论]]> 2009-06-23 10:52 http://hi.baidu.com/aullik5/blog/item/6f73d9b5e8f8357a8bd4b24d.html <![CDATA[Slowloris 与基于 Resource Limit 的攻击]]>
http://ha.ckers.org/blog/20090617/slowloris-http-dos/

Sowhat 也写了点评论

http://hi.baidu.com/secway/blog/item/c7aca3a28f9521a4cbefd0e2.html

这种攻击是很古老的攻击了,apache的连接数有限(并发),配置文件里可以更改, 阅读全文
类别:象牙塔 查看评论]]> 2009-06-22 11:11 http://hi.baidu.com/aullik5/blog/item/07d68eb0fe9e515d092302c4.html <![CDATA[关于 Web App Fuzz 的一点看法]]>
但总的来说,FUZZ都是填充脏数据,然后捕获异常,最后发现问题的一个过程。

所以,FUZZ有三个关键

1. 如何填充脏数据
2. 如何捕获异常
3. 获取异常后如何回溯执行过程

FUZZ可以算作是黑箱测试的一种,输入提供脏数据,黑箱里经过复杂逻辑运算后,如果输出异常,则开始回溯整个过程。

对于WEB 应用来说,同样也是这个过程。

虽然WEB应用可以分 阅读全文
类别:象牙塔 查看评论]]> 2009-06-19 14:50 http://hi.baidu.com/aullik5/blog/item/ebf24017b80e5e4320a4e924.html <![CDATA[SSL 的那点事]]> 另外一个人提到的,在现在的某些https的服务器上往往能够降低加密级别进行传输。

我做了以下测试:

#openssl s_client -connect www.test.com:443 -cipher LOW

阅读全文
类别:象牙塔 查看评论]]> 2009-06-16 17:55 http://hi.baidu.com/aullik5/blog/item/fac57fd892dc08e039012fbb.html <![CDATA[关于 Pretty-Bad-Proxy(PBP)]]> Pretty-Bad-Proxy: An Overlooked Adversary in Browsers’ HTTPS Deployments

这篇paper应该是微软研究院的几个中国人搞出来的。

我们知道在不使用中间人攻击的情况下(伪造证书),HTTPS还是比较安全的。(sslv3 防范了中间人攻击)

但是,恶意代理即使无法直接读到HTTPS加密过后的明 阅读全文
类别:象牙塔 查看评论]]> 2009-06-08 14:40 http://hi.baidu.com/aullik5/blog/item/02bccaeb07ebc2dbd539c95c.html <![CDATA[今日推荐阅读]]>

The Security of Bing


安全需求的一些对比参考

Weak and Strong Web Security Requirements

SAMM,一个开放的软件安全开发的框架,感觉写的非常好

阅读全文
类别:象牙塔 查看评论]]> 2009-06-08 11:02 http://hi.baidu.com/aullik5/blog/item/c7260409fca9ec38e92488c1.html <![CDATA[微软"bing" 与 域名选择]]>
一看这个域名,就知道微软确实是下了功夫的。

最近也正在给自己开发的网站选择域名,所以对域名有了点研究

在域名选择上,我们一般会注意这么几点:

1. 不能太复杂,太长

类似 searchengineland.com 这种域名,就属于太长了,一眼望过去,会眼花。

同样的,microsoft.com ,也属于比较长的域名。


2. 如果选择单词做域名,一定要选择最常见的单词

比如 ok. 阅读全文
类别:象牙塔 查看评论]]> 2009-06-01 10:23 http://hi.baidu.com/aullik5/blog/item/4639ea2551da48094c088d33.html <![CDATA[对Google App Engine安全的一点思考]]>
首先,底层肯定是构建在GFS上,使用分布式存储,存储所有的数据,也就是google 的云存储。

往上,可能就是计算平台,包括任务调度、SQL 引擎, Key-Value 引擎的。

App Engine 构架于这些基础服务之上,对外提供服务。

Sandbox: GAE目前支持 java 和 python 代码的运行,两者都是有sandbox的(java 用 securitymanager)。通过 sandbox 的 阅读全文
类别:象牙塔 查看评论]]> 2009-05-26 15:05 http://hi.baidu.com/aullik5/blog/item/e01bcbfd656b11f5fc037fdc.html <![CDATA[Planet2将启用的新logo原型]]>
但是logo的原型我已经想好了,如果没有大的变化,就用这个吧!

天堂鸟,又称极乐鸟,太阳鸟,风鸟,雾鸟

在我小学的时候,在一套小说上看到过这种鸟的介绍,生活在南太平洋的岛国上。

"巴布亚新几内亚" 甚至把这种鸟印在国旗上,是他们的神鸟。

阅读全文
类别:茵梦湖 查看评论]]> 2009-05-25 14:43 http://hi.baidu.com/aullik5/blog/item/d31a602668ff270b918f9d26.html <![CDATA[关于Google Native Client]]> Native Client

不知道这个东西在Google 产品线里是一个什么地位,是否处在一个战略位置上,还是说仅仅是弄一个出来玩玩的。

简单说,就是一个类似 ActiveX 的东西,能够直接在浏览器中调用Native Client执行二进制代码。

但是微软的 ActiveX 曾经被评为是微软最错误的设计,所以 Google Native Client 的一个想法就是把这种设计变安全。

ActiveX 能够直接和OS进行通信,直接在OS上 阅读全文
类别:象牙塔 查看评论]]> 2009-05-22 10:37 http://hi.baidu.com/aullik5/blog/item/de08a28a7b41e0779e2fb4cf.html <![CDATA[关于Http Parameter Pollution]]>
黑哥前几天拿到了,给我们看了下,确实挺有意思,也可以算作是一种新的攻击类型。

因为今天wisec(作者)的演讲已经出来了,所以就可以在blog上写写了。

以下摘自作者blog:http://www.wisec.it/sectou.php?id=4a129d3c810ec

On May 14th @ 2009OWASP Appsec Poland, me & 阅读全文
类别:象牙塔 查看评论]]> 2009-05-20 09:52 http://hi.baidu.com/aullik5/blog/item/a9163928ae5122f699250ad3.html <![CDATA[五月中旬了!]]>
原因是休假归来后,一直和luoluo一起在忙planet 2 的开发。

增加了很多新的需求,比如评论、投票、分类等等,性能上也有了非常大的提高。

由于luoluo喜欢制作“残品”,早就名声在外了,所以很多朋友比如黑哥都很担心这次他是否又会把planet 2做成一个残品。

这次我也参与了coding,有我盯着,所以就让我来保证不会再出现“残品”吧!

planet 2 只是Ph4nt0m 今年计划中迈出的第一步,接下来webzine和网站的其他服务也会再次重 阅读全文
类别:乌托邦 查看评论]]> 2009-05-16 00:35 http://hi.baidu.com/aullik5/blog/item/6af3818a012210dbfd1f102b.html