摘要:首先 BS 一下 CSDN，没有经过本人同意，就全盘转载我的 Longhorn 截图，还图片新闻呢  ，链接没有，出处搞错，这么大的网站，一点版权意识都没有。 近来觉得博客堂的气氛真的很好，大家都写了很多专注于技术的文章，受益匪浅，同时，也有不少新的技术高手加入，大大增加了这个群体的实力。 人多了，Post 也多了，很多很好的 Post 很快就沉了下去，而且很多好的 Comment 也不容易看到了。 为此建议： 1）加强版权保护意识与行动 2）有效地利用我们的资源，即然被别人利用，不如自己利用，可能的手段包括： 有偿转载 刊登在平面媒体定期 整理优秀的 Post/Article ，形成周刊/月刊等 这样即能增加博客堂的影响力，也能增强我们的精品意识，激发大家创作的动力 ...  ...[阅读全文]

摘要:自从 WinHEC 2004 上有了新的 Longhorn Build 后，这么多天一直期望能亲自感受一把 Longhorn 传说中的多层式用户界面(Tiered User Experience) --- Aero 。 在单位的机器上(DirectX 8 显卡），装完 Longhorn 只要一启动 Windows Desktop Manager ，机器的硬盘就再也不停了，折腾了好长时间，也没搞定。 几经努力，终于在 HomePC 上搞到一块支持 DirectX 9.0 的显卡，在这台配置较高的机器上，终于如愿以偿 更多 Aero 截图，请看这里 (有详细说明） HomePC 的配置： CPU：      P4 2.6G HT RAM：     1 G DDR HardDisk：120G Display Adapter：nVIDIA FX5200 Monitor：MGA 770 BTW：装完 Longhorn 仅玩了半个小时，估计还有更多 Features 等待发现。注：图片版权所有，如需转载，请与本人联系...[阅读全文]

摘要:虽然前一段在网上看到江民公司发现一个所谓的“网银大盗”病毒，可以获取用户在工商银行网上银行中的登录帐户名和密码云云，当时并没有深究，可近一个多月来却发现老有人在继续炒做这个病毒，Sina 上竟然还登了：分赃不均留下犯罪证据 “网银大盗”四作者被捕 这样一篇报道，我看了这个新闻后就觉得有问题（在 Sina 的评论被删掉了 ）： 1、网上银行不可能直接提取现金的。 2、如果简单地使用用户名和密码就可以访问网上银行，那网银提供的功能一般都比较简单，例如只是帐户查询类的交易，至多可以做同客户的多帐户之间转帐，如果要实现向他人帐户转帐，则一般需要数字证书。 工商银行的网上银行的说明太乱，没看明白，但似乎和招行的差不多（提供了不需要证书的大众版和需要证书的专业版），所以作案者想简单地只利用帐户名和密码就实现转帐功能，也不太可能。况且转帐都是有交易记录的，那有那么容易随便就能从别人的帐户里往自己帐户里转帐呀？ 3、工商银行网上银行的登录表单中的密码域使用的是 ActiveX ，想用程序 Hook IE 窗口，再存取 ActiveX 的属性，也不太容易吧？ (这个不确定，但肯定比简单的 HTML Form 难)，难道是使用键盘记录软件？ 4、整个新闻就象讲一个没有逻辑的故事，情节本身就有很多漏洞，也不合常理 Google 了一下“网银大盗”，发现人家工行都没怎么在意，倒是江民公司感觉很着急的样子，称病毒描上银行数千亿资金、高危害病毒、正在挑战中国网上银行安全体系 ... ，这情节让我想起了当年 CIH 病毒泛滥时病毒厂商的欢天喜地（当然还有那个硬盘逻辑锁 ），江民公司的“安全专家”甚至给用户的建议是每次登录网上银行后，都要改一下密码，我晕呀 ... 我服了 ... ，我记得 CISSP 里专门有一 Chapter 是来讲职业道德的，太有必要了。 前两天参加“创建中国信息安全保障体系”暨中国第四届信息安全年会，很多做专业安全产品的公司没有来，反倒清一色的反病毒厂商当赞助，难道反病毒等于信息安全吗？唉...[阅读全文]

摘要:今天从别人那儿学到个新鲜玩意儿，大大增加了 MSN Messenger 趣味性，看来 MSN Messenger 还有很多可以 Hack 的地方呀 这就是用 MSN Shell 来实现的，有机会赶紧试一下吧。 BTW：为了显而易见地说明效果，抱歉直接在 Post 中用原始图片了。 查看：MSN Shell 站点 下载：MSN Shell 3.1...[阅读全文]

摘要:大名鼎鼎的 CISCO 这下也丢人了，思科公司证实部分源代码被盗 称正着手调查。CISCO 不是经常给自己的安全产品做广告吗？ 而且还有大家趋之若鹜的CCSP（网络安全认证专家）吗？自己的安全都保证不了，怎么能保证别人的安全？ Windows 的源代码是通过 Mainsoft 泄露出去的，为 Microsoft 挽回了颜面，就看 CISCO 这个事件的调查结果了。 无独有偶，IBM 中国的网站前一段时间也出了一件丢人的事，在促销 DVD+CDRW 的 Combo 时，把价格错误地标成 1 元钱，结果好多哥们上去一订就是 100 台，最后 IBM 没办法，协商后做出了妥协：每人限购 5 台，把这事给了了。照我说，应该让他全部按照订单全部兑现，这么大的国际化的，以管理制度知名公司，竞然工作中能有如此低级失误，应该得到教训。而且这种事也不是第一次了，前几年 IBM 韩国的网站就曾出现过标错价（很低）卖 ThinkPad 的事。 另外，IBM 天天在吹嘘 WebSphere 多好多好，可就是它自己的网站上经常出现 500 错误，而且我还怀疑他们到底是不是用 WebSphere 来做应用服务器，反正前几年 Search 的时候经常出现 Notes 数据库的东西。 IBM 的咨询专家们、Sales 们、工程师们张口闭口就是电子商务、系统/流程整合、可靠性、行业经验、高性能等，拜托了各位，能不能用你们自己吹嘘的技术和产品把你们自己的网站/电子商务站点做好，给别人个榜样？！ 总结两个观点： 1、在互联网高度发达的时代，源代码安全已经成了软件开发过程的安全管理的一个重要方面，我们这儿就曾经发生过有人删除 SouceSafe 源代码库的事情，在 微软 MVP 校园技术日-北京 我也重点提及这个问题。源代码泄露对一个小公司带来的伤害可能是致命的（如 Valve 公司的 Hafe-Life2 源代码被盗），对于大公司来说，名誉与形象的损失甚至比知识产权的损失要大好多。 2、做别人的生意前，先做好自己的生意。...[阅读全文]

摘要:早上刚登录上 MSN Messenger ，有人就发过来了一巨复杂的 SQL 语句，暂时将其简化为以下形式吧： SELECT ....，（Sum（A）+ Sum（B））/2， ...FROM ...GROUP BY ...HAVING ... 具体的环境：ASP.NET Web 应用程序，使用 System.Data.OleDb  和 OLE DB Driver for Informix 来连接后台的 Informix 数据库，主要使用 C# 语言编写。 朋友说这个 SQL 语句在 Informix 的 DBAccess 工具（类似于 MS SQL Server 的查询分析器）中执行完全正常，但执行 Web 程序却老报 “非法的 SQL 语句” 错误，经初步检查，发现就是这个“＋”有问题，即 SQL 语句中只要有加号，就报这个错误，而使用“-”（减法）就没有问题。 由于没有具体环境，不能测试到底是那个层处理 SQL 语句时出了问题，苦恼中 ... “减法没有问题”？小学数学不是学过： A + B 就等于  A -（0 - B）吗？于是我让朋友把 SQL 语句变成如下形式： SELECT ....， （Sum（A）-（0 - Sum（B）））/2， ...FROM ...GROUP BY ...HAVING ... 哈哈，这条语句居然就执行成功了！ 虽然还没有最终解决问题（有时间再慢慢试），可不得不服：数学就是有用呀！...[阅读全文]

摘要:在 Virtual PC 里安装 Longhorn 4074 纯粹是体力活，耗时耗力耗机器。 看到好多评论，说这个版本的 Longhorn 确实不错，于是今天决定在 裸机上安装一把，牺牲了工作用机（配置：P4 1.7 CPU   、512 M RAM、nVidia TNT 32M 显卡），果不其然，安装速度确实很快，而且人工干预很少，约花了 30 分钟就全部搞定了，如安装中文语言、配置网络等，刚开始显卡没有识别出来，我找了显卡的 Windows XP 驱动，竟然可以使用，不是说 Longhorn 的有新的 Driver Mode 吗？ 接下来就是寻找传说的 3D 窗口，对此向往已久，从前几年 Microsoft Research 网站上发布的那个立体 UI Demo 后，我一直在等待这种 Cool 界面的出现。 按照其它人的提示，要启动 Windows Desktop Manger 才能看到 3D 效果，在 C:\Windows\I386 目录下输入 “Sbctl start”命令，然后二十分钟内硬盘灯就没有灭过，可奇怪的是就只剩下一个桌面，窗口和图标都消失了，按任何键都不管用，包括 Ctrl + Alt + Del ，这个 WDM 真牛，竟然可以把 Task Manager 都给屏蔽！ 不过，Mouse 还是管用，移动屏幕的一些区域，Mouse Cursor 还会发生变化（Resize、Wait 等样式），看来系统还是没有问题，只是 UI 不发挥作用了，Reset 后重试，几次结果都是如此。 正在郁闷而去 Google 答案时，发现 Not all will see Longhorn in 3D，其大意是：Longhorn 提供了三种不同级别的 UI，每种 UI 都需要不同的显卡来支持：  "Aero Glass"：顶级，具有透明和其它一些高级 3D 、阴影效果，需要高端的、至少 64M 显存、DirectX 9.0 支持、AGP 4X、具有 Longhorn 专用驱动的显卡  "Aero"：中级，提供改善的图形能力，仅需要 32M 显存、DirectX 9.0 支持、AGP 4X、具有 Longhorn 专用驱动的显卡 "classic"：普通，如果缺少功能强大的显卡，只能和使用和 Windows 2000 类似的显卡 我的 nVidia......[阅读全文]

摘要:在处理邮箱中的未读邮件时，发现了来自 U.S. Bank [id-check@usbank.com] 的一封邮件，主题是“Confirm your U.S. Bank Online Banking identity”，内容大意是我的网上银行帐户被锁住，点击邮件中所给的链接登录网站，重新输入验证信息就可以解锁帐户，由于从来没有在 U.S. Bank 中存过钱，一看就是个假邮件，于是饶有兴趣地研究了一下这个邮件。 首先，邮件中给出的地址是 hxxps://www4.usbank.com/internetBanking/RequestRouter?requestCmdId=DisplayConfirmPage，即然是 usbank.com 的主机，而且是 https ，应该值得信任，但是当把鼠标移到链接上时候，ToolTip 泄露了天机，链接指向的真实地址是hxxp://mesti.com/homepage/members/darkcity/dragonscales/index.html，打开邮件的源码查看，也确实是这样的。 其次，查看邮件头信息，发现 “Received: from dime57.dizinc.com ([66.194.239.142]) ”的字样，明显不是来自 usbank.com 的 SMTP 服务器。 本来还想登录这个网站，研究一下它是如何伪造 U.S.Bank 的网站获取用户帐户信息的，可惜没有找到页面（404 ）。 虽然大多数用户警惕性较高，不会轻易地被这种邮件欺骗，但从从邮件内容本身来看，确实伪造地很好，页面色彩、风格都和 U.S.Bank 网站上一模一样，如果这样的邮件发出 100,000 封，其中有 5% 的用户是 U.S. Bank 的用户（如果运气好的话），那么这 5,000人中肯定会有初级用户会上当，只要有 1 个用户上当，黑客的努力就有回报。 去年工商银行网上银行就发生过此类事件，前一段时间曾有权威机构调查，现在几乎有一半以上的网上安全事件与邮件/网页欺骗有关，由此可见，安全除了技术保证外，对用户的教育也是非常重要的一个任务，所以我最近在单位内部的技术通讯上建议：网上银行系统应尽量少地使用电子邮件来与用户交互，尤其是交易行为，并（在登录页）明确提示用户不要轻信任何与此网上银行系统有关的邮件，以免上当受骗。 查看：伪造邮件 | 邮件头信息...[阅读全文]

摘要:近几天，WinHEC 2004 正在美国 Seattle 召开，Microsoft 如期向与会者、Partner 以及 MSDN Subscriber 提供了最新版的 Longhorn Build (4074) 。 从一些网站发布的一些 Longhorn 4074 的图片中，发现部分界面和原来的版本（如 4051）有些差异，很多图标（IE、Email、文件夹等）发生了变化，新增了一个主题“Jade”，新的默认桌面背景（绿色，难道是因为牛喜欢这个？ ），右边的 SideBar 也有些变化，还包含了在 Windows XP SP2 中见到的 Pop-up Window Manager、IE Add-ons Manager、Download Manager 等等。 Longhorn 中附带 Windows Messenger 6，有人竟然将其 RIP 出来，可以在 XP/2003 上安装 ，不知有没有人会把 Outlook Express 7 出来。 不过，Longhorn 中的窗口标题区还是一如即往的大，在 17' 的显示器上看起来都占据了不少空间，在 14/15' 的显示器上肯定更难以容忍了，十分不喜欢这一点，而且 Media Player 也不是最新的 10 ，仍旧使用 9.0 。 其它的新特性还有： Game automatic patching （这个也需要 patch ?! ....） 可以性能选项中查看和更改启动程序，这个更方便用户查病毒和木马 功能更强大的 Search 界面 ... 挺奇怪的是，MSDN Subscriber 网站上都公布了 Longhorn 新版下载的消息，但在其下载通知的 RSS 中，截止书写本文的时候，还没有内容，可见两者不同步 下载：Longhorn Community Technical Preview(Build 4074)  (注：限 MSDN 订阅用户)...[阅读全文]