一个纯正程序员的啰嗦
最近这个 blog 被黑了,如果你恰巧那一天访问,你会看到所有数据都丢失了,网站打开的页面,是一个初始配置数据库连接的页面。我记得几个月前,这个 blog 曾经遭受过 XML-RPC 攻击,我当时把问题的分析和处理记录在了这里。这一次,可不只是网站拒绝服务这样的问题了,而是整个网站的数据库都被干掉了。
问题出现的时候,网站访问不了了,我登上 MySQL 数据库查看了一下,发现所有数据都删掉了,只留下了一个 WARNING 的表:
上面说的也很清楚,让我往指定地址打 0.08 个比特币,他们就可以把数据还给我,要不然 10 天以后就会把数据库里的数据公开。在 Bitcoin Abuse Database 上,我找到
[……]阅读全文
在专栏中的第 36 讲的选修课堂中,我介绍了 Diffie–Hellman 密钥交换这一算法,它可以说是质数在加密技术中的一个应用,并且是通过其中的 “模幂运算” 来实现的。今天,我来介绍质数的另一个应用,RSA 背后的算法。我在互联网上搜索了一下,我发现基本没有能把它背后的实现原理用浅显的中文叙述讲清楚的,但我还是想试一试,看看能不能尽可能避开那些难懂的术语,用尽量形象和易于理解的方式,把 RSA 背后 [……]阅读全文
昨晚花了几个钟头,把 blog 的 HTTP 升级成 HTTPS 了,虽然这件事做的晚了一点。为什么要升级,不是我说明的重点,想了解的朋友可以阅读这篇文章。我记录的是我升级的过程,踩到的坑。
备份
首先,文章中有许多以 http://www.raychase.net 开头的 URL,比如某些图片和链接,可以把它们改成 https 的,也可以全部改成相对路径,这样的适用性更广。
UPDATE xx_posts SET post_content = REPLACE(post-content, 'http://www.raychase.net/', '/');
到浏览器里面访问看看,似乎没有什么问题。[……]阅读全文
最近 Blog 遭遇了几个安全问题,折腾了几个钟头,在此记录一下。
最大的问题是 blog 访问时不时地出现 “502 bad gateway”,即便不出现,latency 也能达到接近三十秒。
于是登上 vps 去看原因,top 命令发现 CPU 都用完了。靠,十个 php-fpm 居然都在满功率工作。研究了一下,通常 php-fpm 在没有请求的时候是不应该占用那么多 CPU 资源的,而且 mysql 也高,似乎有人在访问网站,但是去 access log 里面却没找到东西:
top - 02:08:12 up 56 min, 1 user, load average: 10.18, 9.41, 8.68
[……]阅读全文
315 晚会上,网易销售人员为了强调” 精准营销”,面对央视镜头称:通过 cookies 代码可以追踪用户隐私,甚至能读取网易用户的私人邮件。这件事情引起了轩然大波,网易股价当天就暴跌,但是也引起了无数争论。不可否认通过 cookie 可以获取用户信息,但是在这样做的企业有多少呢,这并不是一件稀奇到值得争论的事情;而推送恶意广告或者获取私人邮件,又成了遭来非议的过分行为。
网易手里掌握了多么海量的用户信息,该怎样用这些信息去谋取利益,却又避免背上 “作恶” 的骂名?这似乎就是薄薄一层窗户纸而已。没有足够的法律法规,也没有足够统一和公开的标准,每个人都会有自己的理解。当 Google 在利用搜索推送关联广告赚钱的
[……]阅读全文
要说 reCAPTCHA,就要先说一说 CAPTCHA,全称是 Completely Automated Public Turing test to tell Computers and Humans Apart,即全自动区分计算机和人类的图灵测试,也就是通常说的 “验证码”,目的就是要把计算机和人区分开来。在互联网站上,为了防止不安全的、重复暴力的登陆密码破解等操作,需要使用验证码来将机器行为拒之门外。
验证码当然可以被识别,随着破解和反破解技术的发展,验证码的技术日新月异(简单的验证码很容易实现,在我刚开始学习 JavaEE 的时候,曾经写过一个验证码的实现程序)。最初对于验证码的机器识别,大多采用
[……]阅读全文