2013年7月24日 星期三

滾石封面風波和自由派的反撲

久休復出,說點正經的。

滾石雜誌因為用了波士頓爆炸案的兇手做八月號的封面照引起了保守派的抗議,出言抵制云云,詳情如下:

安裕周記﹕反撲第一槍

滾石封面事件有說是美國保守派的反撲(保守派終於找到痛腳向自由派開火),然而在我(以及作者)看來卻是滾石一開派就向保守派宣戰:

「如果保守力量可以守護美國,何以還有波士頓爆炸案?」

原文那是一篇客觀而漫長的分析看一個人如何走火入魔﹣那是一個90後,一個移民,一個沉默的教徒,從身邊人印象看這個青年如何因家庭和環境變成炸彈狂徒的故事。[滾石Official的tl;dr版]

一如大多數的孤狼(Lone wolf),身邊的人不能想像他犯案,他甚至不能算是一個Loser。

然而他最後選擇犯案,選擇和兄長一起向恐怖份子投誠。

但他看上去和普通人沒兩樣,隨處可見的一個年輕人。

這就是這篇文章的必要性。

是以反恐十年最終是場夢,保守力量的美夢現正變成一場惡夢。

2012年9月27日 星期四

[epic fail] IEEE密碼曝光光

數天前IEEE發生了最大規模的密碼外洩事件: 100k (100,000)的明文密碼在隨手可得的地方任人下載。發現者於是對那堆密碼做了個分析網站:

IEEE log

出事主因是因為ieee.org的web access log ( 01/Aug/2012:20:46:28 +0000​ to 18/Sep/2012:08:47:17 +0000) 放在公眾地方(一個不用登入的ftp) 自由存取--log有username都算了,這個可是連密碼都有(!)

因為有問題是log,所以這次和db server無關,也只有有限量的user受影響,可是事情比AOL那次更可怕...不過要是上列時間你沒登入就會沒事

之後是Geolocation、常用password和email等分析。不知是不是IEEE的系統作的太笨,大家的password都很頹廢,一副被盜也沒差的樣子 (汗)

教訓:

  1. Server log要放在一般人去不到地方.
  2. Server log不要有任何password及其他敏感資料的log. (aka. 敏感資料明碼儲存及讀取要小心處理)
  3. 要有audit....這種事有audit的話跟本就不會發生啊?!
太天真的Engineer作出來的系統還是很危險的 (汗)
Bonus: 有人叫那些懶鬼用xkcd passphrase checker檢查一下password強度 XD

2012年9月12日 星期三

後日談: 我們還有什麼可以做?

佔領政總過後、選舉過後,我們還有什麼可以做?
  1. 投訴各種種票: 掌心雷、用完即棄、濫用院友及你遇到的各式助選團滋擾 [ 選舉事務處、ICAC投訴樣本及指引 ]
  2. 投訴9月11日的ATV焦點: [ 9月11日問題內容 ] [ 投訴樣本及指引 ]
  3. 塞爆新界東北諮詢會及諮詢收集箱: [ 相關連結 ]
  4. 繼續跟進國民教育: 校友可跟進自己母校、家長可以跟進小朋友的習作上的可疑內容、學生繼續和學校死過。
  5. 在劉江華頭七再賀賀佢XD: [ 專頁 ]
打完之後真的不禁要出一句:
 你班hihi比我抖下得唔得?