以下内容仅为个人意见,所以未必和事实相符!
从各方面资料和我使用的第一印象,sp2的重点就是对于安全性的提高!从微软站点的说明也可以看出这点,原文:
Microsoft Windows XP Service Pack 2 (SP2) provides an enhanced security infrastructure that defends against viruses, worms, and hackers, along with increased manageability and control for IT professionals and an improved experience for users.
因为它所来带来的变动是从底层开始,所以更新一定要考虑到对原有应用程序的影响,也许你会发现原有的一些应用不能正常运行。为什么这么说,一位微软产品开发部经理(大概是这个职位)Tony Goodhew说:It may surprise some of the developers that we are changing some defaults, and that may affect the way some of the older applications run(因为sp2修改了许多系统默认值,比如ICF现在默认是打开的,如果开发人员在开发过程使用了默认值,那么老的应用程序就会受影响)。对于我们开发人员而言,在开发过程应该尽量避免这种情况发生,不要使用默认值。微软还专门提供在线培训,如果安装sp2。以下信息,开发人员可以看看:
http://msdn.microsoft.com/security/productinfo/XPSP2/default.aspx
SP2 will break some applications because they are insecure," Goodhew said. "Security is important, and it is not just a Microsoft problem but a developer community problem. We all need to work together to create a more secure computing environment“我同意这种说法,软件的安全可靠需要各个环境共同来打造。
而且另据报道,之所以sp2发布时间这么长,是因为它也做为到longhorn系统的过渡的做准备,所以代号是“Springboard“(这是我说的,别当真),下面说说细节:
- Internet Connection Firewall (ICF):默认打开,增加出口扫描,还有以前仅仅在Microsoft Internet Security and Acceleration (ISA) Server 2000 企业版中提供的功能。它可以通过域控制器进行集中管理(比如它可以锁住一个域内所有计算机),最明显的它增加了管理面板(GUI),另外对于开发人员可以调用新的API来管理ICF,比如INetFwOpenPort。
- DCOM/RPC 安全加强,这点开发人员要注意
- 新的Windows更新程序,新的内存管理代码防止buffer-overrun攻击。
- 任务调度的变化:任务被指派给特定用户而不是默认的LOCAL\SYSTEM ?用户
- Internet Explorer(IE)、Outlook、Outlook Express、Windows Messenger
全部采用新版本,比如outlook对于信件预览安全性
- IE增加的内容也不少,比如增加插件管理面板,偷偷被安装的插件也一览无余;
- IE Local Machine的概念的变化
- MIME类型检查:现在要求Content-Type 和实际文档类型必须一致,比如如果指定是text/plain 类型而实际是MIME sniff类型,那么IE将在cache重命名它,以前好像文件实际类型优先,比如用text类型标识一个gif文件,也是可以正确显示,但是现在它将作为一个BUG;IE的Pop UP管理也是新的了。
- 对于内存管理:如果处理器支持,它将取消data only页的执行许可(这个技术不完全,还要硬件了配合),还有一些俺不懂的技术。
大体上我了解的就这些。可能有些说的不大准确,那就可能是因为我知识所限。
--------------
先说声抱歉,果然是我知识还不够,不过也因此借这个机会又学到一点。下面更正一些不大准确的内容:
在SP2中Ooutlook Express,我感觉的变化就是对于HTML格式邮件预览安全性的增强,看看截屏大概就了解了(http://image2.sina.com.cn/IT/images/U74P2T78D122F3305DT20040326132813.gif)刚才搜索了一下,原来在新浪有一篇介绍http://tech.sina.com.cn/s/n/2004-03-26/1335339748.shtml
对于内存管理部分(No eXecute),其实这部分内容我最陌生了,不过是现学现卖。
上文我提到的需要硬件结合就是指cpu要支持。太深入我就不敢说了,NX bit技术我理解是当cpu工作在PAE(Physical Address Extension)模式下,它的PTE(page table entry )的第63位变成NX标识位,来标识是否执行。而sp2的做法是除非某个位置明显含有可执行代码,否则NX通过CPU将应用程序中所有的存储位置都标识成“不执行”。因此,当“蠕虫”或病毒在内存储中标识为“只存数据”的部分插入程序代码时,该代码将无法运行。
64位处理的PTE表图示我不知道什么样的,但是可以看看32位处理的
这种变化将影响到某些应用程序,比如Just-In-Time 程序,因为他们将执行代码存储在Data页。对于Microsoft .NET Framework's 的CLR可以放心,它不会受到影响,但是可能JAVA程序会受到影响!
不知道,我写的这些是不是又出现新的BUG。
如果以前在我的站点下载过blogx程序的可以看看,我昨天又对这个程序某些地方做了修改
- 修改主题文件,并增加两个主题(由于时间有限,只是最源模板的颜色风格改了一下)
- 配置文件(Includes/Config.asp)做了小小的改动,后面链接数据库统一使用本文件内定义的链接字符串,这样将来即使修改数据库类型也是很方便
- 增加历史文档列表(过去每个月的统计)
- 修改页面最上面(title Link)(现在是链接,当然可以放其他内容)不在需要修改title.asp,只需要修改titleLink.asp文件内容
- 增加最分类名称的修改
- 去掉每个IP仅仅能发表一条评论的限制
现在三个主题分别是三种颜色,我现在使用蓝色的
因为时间关系,所以修改的未必很仔细,有什么问题或要修改什么可以到我论坛反映
马上要5.1了所以想趁着这个时间开始学.net,结果安装了一天的widbey还是没有安装成功,我差点疯掉。
从日经看到下面一篇报道:
http://china.nikkeibp.co.jp/china/news/com/com200404130115.html
http://itpro.nikkeibp.co.jp/free/NT/NEWS/20040409/1/
Whidbey中C运行时函数具备防缓冲溢出功能!
微软正在开发的开发工具“Visual Studio 2005”(开发代号:Whidbey)中,将在C运行时函数里采取防止缓冲区溢出的措施。具体而言,就是在strcat、strcpy、strlen等以str开头的各种字符串操作函数与lsearch、memmove等内存区操作函数中,将提供添加了缓冲区长度检查功能的新函数。所谓缓冲溢出,就是指在程序提供的输入缓冲区中通过写入超过缓冲区长度的长数据,来运行非法程序的攻击方法。
作为新函数,一旦遇到超过缓冲区长度的访问,就会强制终止程序。不仅是微软产品,现有的标准C语言运行时间的字符串操作函数集均不检查缓冲区长度,因此均存在缓冲溢出的潜在危险。
防缓冲溢出的函数增加了一个提取缓冲区长度的参数。新的安全函数名均在相应的原函数名后面加上了一个“_s”,比如,与strcat函数对应的新函数名为strcat_s。
例如,对于下列程序,在strcpy函数处就会产生缓冲溢出:
int main( void )
{
char strDst[5];
const char* strSrc = "Hello World!";
strcpy( strDst, strSrc );
printf( strDst );
return 0;
}
下面是用新函数对上述代码进行改写后的结果:
int main( void )
{
char strDst[5];
const char* strSrc = "Hello World!";
strcpy_s( strDst, 5, strSrc );
printf( strDst );
return 0;
}
另外,现有的Visual C++如果利用/GS选项进行编译,那么运行时一旦检测到缓冲溢出,也会强制终止程序。而作为Whidbey中的Visual C++,/GS选项在标准状态下是有效(ON)的。顺便提一下,定于今年6月发布的Windows XP Service Pack 2就是在/GS选项下进行编译的。
----------
看strcpy_s的调用方法不由得让我想起vb中调用api时,有字符串参数做为返回值的写法。
根据经常遇到有关用VB进行bmp转化JPEG的问题,因为我编写了下面一个控件
对VB 6标准Picturebox控件的扩展,主要实现位图到JPEG格式的转换!支持任意定义压缩质量、EXIF的Comment信息!
附加其他功能:
- 图片超过控件的大小自动出现滚动条,并支持鼠标拖动。
- 图片小于控件尺寸自动居中
- 可以通过属性获取图片的宽高
- 支持六种边框样式
图片内容操作(本部分使用api实现可能效率不是很高):
- 顺时针、逆时针、180度旋转图像
- 水平、垂直镜像
- 灰度显示
- 缩放图像
以上就是简单的介绍,详细内容请到我的主页下载示例工程及控件
个人觉得不是还不是很理想。不过在要求不是很严格的情况可以使用,至于这个控件到底有没有用,使用的人自己评论吧!
-----------------------------
我也一直因为VB不适合做图像处理方面的工作,而且非让VB做也有些强人所难,我想微软开发VB也没打算向图像处理方面发展,我觉得VB还是比较适合做上层的管理程序!
但是在实际使用中,如果将bmp转化为jpg的问题经常遇到,也使用过几个第三方组件,大部分都要我花钱去买,因此这个周末我就决定试着自己写一个这样的组件,专家级的可能不需要,但是在一般的场合还比没有强的,于是借鉴John Korejwa 的提供的算法用VB(请原谅,我目前就对VB熟悉些)开始实现它,写的过程干脆就把我常遇到的问题结合到一起,最后就成了这个控件,可以说vb中picturebox和scrollbar有的限制我这个控件同样有,但是这里把scrollbar的一个颜色方面的bug消除了。
没有什么特别之处,我仅仅把几个功能封装一下。所以我也觉得不理想,但是对于要求不是很高的人,还是可以使用看看。
修改自Matthew1471's version of BlogX V1.0.3.05
Mtthew1471's BlogX's 功能:
-
- 完全在线的blog配置面板,方便进行blog配置.
- 允许开启/关闭分类.
- 允许开启/关闭日期链接.
- 可以通过"OtherLinks.Txt"文件自定义扩展链接列表.
- 允许设置每页显示的日志数目.
- 允许在线邮件发送功能.
- 允许自定义切换主题.
- 支持RSS (Really Simple Syndication).
- 可以设置12 小时制和24 小时制时间格式.
- 提供在线的disclaimer 编辑和修改密码功能.
- 动态创建分类.
- 检查 SQL溢出.
- 提供Matthew1471's WinBlogX.的windows客户端管理工具
- 方便的安装配置
目前我在原有版本的基础上进行了一下几处修改:
- 主要内容的汉化
- 页面布局,默认主题风格,因为我对页面布局进行了调整所以原有主题文件将不在适用!
- 文本编辑器
如果您想查看效果,请访问本人的blog,如有什么好的建议请到到我的论坛
我改动内容并不多,如果你要使用本程序可以下载,自由使用,但是请一定保留原作者的版权信息!
Powered by Matthew1471's edition of BlogX
当前的用户名是:blanksoft.com 密码:blanksoft
登陆后,在页面右下角有管理菜单,可以进行修改用户名、密码一进配置您的blog信息!
到主页下载
继主页和论坛启动之后,今天又启动了真正属于自己的blog(自己的虚拟主机,自己修改的程序,自己设计的风格),虽然还没有最后完成但是已经可以使用。
对于“博客堂”我是做为面向广大技术高手的窗户,而我自己的blog就可以比较随意的记录我的生活琐事,我的胡思乱想,以及我整个网站设计过程!
这个blog程序(asp程序)等我改的稍微满意点,如果有谁要我在提供下载,以前没有用过asp,所以可能改的不好!
主题依然是“我思故我在”,我为什么老喜欢这句话呢?因为我觉得笛卡尔说这句话的意思是我无法否认自己的存在,因为当我否认怀疑时,我就已经存在。 他希望我们的一般知识也能跟数学知识一样,从最稳定的根本出发,进而导出所有可信赖的知识。所以他开始寻找最根本的无法怀疑的知识 – 就是我存在 (我思故我在)。藉由这个根本开始构建他认为值得信赖的知识系统。
http://www.blanksoft.com/blogx/
----------------------------------------------------
谢谢您的关注,我在这里回复一下:
回复:alex 和孙展波
我的虚拟主机提供商是:中华名网(www.bigwww.com)
其实我当初选择他的理由是因为他比较便宜,
我注册一个国际域名65元,150M全能空间(100M网页空间,50M邮箱:允许10个用户),支持asp,php一年150元,比较了几家,这家最便宜,所以我就在这购买了,不过我有一点不放心,因为我开通主页最初,就出现域名解析错误的问题,文件上传功能不能用,我不想太麻烦他们,所以自己写程序进行检测他们服务器支持的email组件和文件上传组件,刚开始没检测到文件上传组件,但是过了几天又有了,其实我最关心的就是服务器是否能稳定工作,到目前位置,还算令我满意。我也和他们客户服务中心总统邮件联系过,反映也很快!我如实说出我的想法,我没有给他们做广告的意思,如果感兴趣,想测试什么可以先用的我的空间来测试。
上传组件检测:http://www.blanksoft.com/tools/uploadComponentTest.asp(我就知道这几个组件,所以就列出这几个)
email组件检测:http://www.blanksoft.com/tools/testemailcomponent.asp(可以看出支持四种)
其实我最初建那个论坛就是方便同学联系,但是我的同学中经常上网的就三五个!
回复: 小彻小悟 和isaac
isaac 你好像哪里弄混了,asp.net的可不是我放出的,其实我对.net现在也是一知半解,没时间学,只在上下班路上才能抽空看看书,而我现在用的这个blogx其实就是有些模仿。text的这个版本,但是还有很多地方不完善,我现在修改的地方还不多,我想在稍微改改在放出,现在连删除日志还做不到,另外我还想将它的编辑功能提高一下,现在基本就是普通的文本框,我打算加入一个richtextbox,这个blog支持主题,我仅仅修改了默认的主题可界面布局。如果要下载,我会在http://www.blanksoft.com/blogx提供代码下载!
