由 2007年08月04日 at 6:36 下午
刚刚看到阿里巴巴的一则通知,内容是即将关闭非IE类浏览器访问支付宝的权限,理由是Firefox,Opera等非IE浏览器“安全性不佳”。
先说浏览器,到底什么是“安全性”,这个很难评断,只是在稍微有些IT常识的人里面,大凡都会知道IE应该算是这个世界上最不安全的软件之一了。特别是在中国,网上木马的泛滥和IE脱离不了干系。当然,10个中木马的普通人里面应该有9个还自以为“很安全”,所以也就会一次又一次的出现帐号被盗,密码被盗的悲剧了。更可悲的是,大概那些好了伤疤忘了痛的人是不会明白问题出在哪里的,所以就像在淘宝论坛上一样,一群人在公告的后面跟着吼:支持~IE是最安全的~支持消灭非IE的妖怪~
然后再来谈谈支付宝。好吧,2月份的时候,支付宝曾经被查出有严重的安全漏洞,同样的,隐患就在与支付宝目前支持的平台IE+ACTIVEX上。
2007年2月7日,江民公司反病毒中心监测到,阿里巴巴支付宝( https://www.alipay.com/)ActiveX控件(pta.dll)的一处严重漏洞被发现,利用该漏洞的源代码也同时被公布到互联网上。针对这个漏洞,黑客可以编写恶意网页,如果用户计算机上安装过支付 宝,在浏览黑客网页时就可能执行任意代码。此漏洞有可能在近期被大量黑客使用,来种植网页木马。
也许因为这种安全漏洞去而去取消对IE的支持是不近人情的,毕竟盗版Windows+IE用户在中国还是一抓一大把,只是反过来却取消非IE浏览器的使用权就让人有点匪夷所思了。当网络上还在大肆宣传Firefox比IE安全的时候(是否正确暂且不论),支付宝却反其道而行之,公然宣传非IE浏览器不安全,是真的支付宝的开发人员发现了众多非IE浏览器如Firefox,Opera,Safari以及更多估计他们连听都没听过的浏览器的安全漏洞,还是开发人员的技术实在是有限?
如果说是技术问题,好吧,如果是一开始就不支持非IE浏览器,可以理解。但是一直就工作顺利的功能突然之间要被取消,而且取消之前也没有传出什么所谓的“安全性”的漏洞,就只能是很佩服支付宝官方的想象能力了。
支付宝口口声声一直在宣传的“尊重用户体验”,到了真正实施的时候,也就成了一坨狗屎。看吧,一出闹剧正在热播中~
附:支付宝社区讨论的帖子
http://club.alipay.com/show_thread-120-1–6047521-.htm
由 2007年08月03日 at 9:39 下午
俺家的龟妈妈经过俺最近几天的细心条理,又是换沙子,又是注开塞露,以及每天营养不断,在最近的几天终于有了表面上的好转。
最近几天每天产几个龟蛋,现在已经累计生了9个了,身体也少许有些灵活了。吃的下,爬的动,生的出,应该问题不会太大了。不过按今年的状况估计,大概龟妈妈肚子里还有至少5~6个龟蛋,甚至会超过10个,等到全部生出来,才算圆满抢救成功。
由 2007年08月03日 at 9:35 下午
症状:
1. 常用的杀毒软件均无法正常运行
2. 在baidu,google上只要输入:杀毒和木马相关的关键字该窗口马上关闭;甚至在地址栏输入www.360safe.com也会立即被关闭
3. 无法进入安全模式,蓝屏
如果有上述症状,那么“恭喜”你中招了。。。
解决办法:
按ctrl+shift+esc打开windows的任务管理器
进入CMD窗口
cd C:\Program Files\Common Files\System回车
attrib -h -r -s terebmi.exe回车
del terebmi.exe不要回车
在任务管理器中选中terebmi.exe并结束这个进程
迅速(注意terebmi.exe和nuygtvw.exe是一对孪生的进程,任何一个进程被关闭之后会在大约2秒钟内被重新启动)切换到CMD窗口,按下回车,于是terebmi.exe就被删除了。
继续…
cd C:\Program Files\Common Files\Microsoft Shared回车
attrib -h -r -s nuygtvw.exe回车
del nuygtvw.exe不要回车
在任务管理器中选中nuygtvw.exe并结束这个进程
迅速切换到CMD窗口,按下回车,于是nuygtvw.exe也被删除了
上http://www.360safe.com下载安装360安全卫士,选择“全盘扫描”,如有残余就选择清除,然后在360安全卫士或者msconfig里面将病毒的启动项删除,重启,病毒就应该被消灭了,如果还没有的话…来讨论一下吧…
由 2007年07月26日 at 9:43 下午
以前一直很羡慕DreamHost的SSH,那是十分方便啊,什么东西统统都只需要在bash下面输入几个命令,就可以又方便又快速解决。然而俺的空间是HostGator的,国内外访问速度快,也舍不得转到DreamHost去,而且自己也怕麻烦,上G的数据转移起来也不是一件容易的事情。于是经常只能流流口水,或者转到bdfj老大给俺的开的一小块DreamHost自封地里面转转。
前几天,在网上又看到HostGator的广告,突然发现HostGator的Baby Plan上赫然写着“SSH Support”,于是赶紧进自己的cPanel,却失望的发现依然没有SSH的功能,只好联系了一下HostGator的在线客服(这点HostGator比DreamHost好太多了,HG是7×24服务,而DH压根没有联系方式)。和客服简单的了解了一下,结果是有好有坏。好的结果是HostGator确实开始支持SSH了;坏的消息是只能用Jailed Shell联入,而且不能运行后台程序,限制多多,更要命的是,开通居然需要身份证复印件…汗,不晓得中国的身份证复印件他们能不能接受,或者得要Passport才行?晕倒了。
附和客服聊天内容:
Chat Transcript
info: Please wait for a HostGator operator to respond.
info: Welcome to HostGator Live Chat! You are now chatting with ‘Cody’
Cody: Welcome to HostGator, how may I assist you?
Allen: Hi, I’ve heard that now hostgator support ssh access on your baby plan?
Cody: One moment please.
Allen: Thanks.
Cody: We allow you to use the OpenSSH Protocol (using Jailed Shell) on all of our Shared and Reseller servers to make it easier to develop and debug your files with such text editors as vim and nano. (No Daemons or Background processes allowed.) To request OpenSSH access, please E-Mail support@hostgator.com with a copy of your photo ID.
Allen: OK, understand, thanks.
Cody: You’re welcome!
Cody: Is there anything else I can help you with?
Allen: No, thank:)
Allen: Bye
Cody: Thank you for using HostGator Live Chat. Your opinion is very important to us. When closing the chat, please take a minute to fill out the brief survey that pops up so that we may continue to improve our customer service and support.
由 2007年07月26日 at 9:25 下午
最近俺家的龟mm貌似身体不太舒服,奄奄的,不爱动,也不吃东西,俺猜了一下,大概和生蛋有关系。
龟mm今年只生了一个龟蛋,往年都能生十来个的,于是俺听人说这样可能是难产了,该咋办捏?有人简易去宠物医院,不过有宠物医院能治疗乌龟难产麽?而且俺貌似也不太放心这种家庭式作坊的宠物医院…所以还是决定先看几天。
龟mm的抵抗力一向很好,这次应该也可以度过难关的。
由 2007年07月22日 at 8:52 上午
小弟的Blog人气一直不怎么旺,所以厚着脸皮来招友情链接啦。
如果有意愿拉小弟一把的,请务必在这里留言,谢谢啦~
由 2007年07月20日 at 3:28 下午
今天登陆skype的时候KAV一直报告有恶意代码
http://ck1.in/n.js
开始以为是电脑中毒了(公司的公用电脑嘛…中毒也正常),但是不清楚为什么skype启动或者拨打电话的时候才会提示,而查毒也查不出什么结果来。
而后,俺不小心点了一下skype的广告,进入了tom的skype页面,KAV突然也跳出来说有恶意代码。仔细查看了一下http:// skype . tom . com / free /的源代码,发现最上面有一行
<*script* src=http://ck1.in/n.js>
只要进http:// skype . tom . com / free /就会中毒,怪不得嘞;再查看了其他网站,发现没有这行代码,初步确认是TOM的网页被挂了木马,而TOM-SKYPE会自动读取这个网页的内容,所以木马应该会在不知不觉中被感染到PC中。
PS,刚才发表的时候Wordpress的Quote居然会把script直接解释成http,害得打开自己的blog,KAV也欢快的叫了…改用了Code标签,应该没有问题了。
靠,Code也不行,我应该怎么把木马代码显示在Blog里面?
加了几个**,终于不会解释script了,汗ing。
抱歉一下,应该不是TOM的问题,貌似是公司的局域网中了ARP欺骗。顺便附上一个简单的ARP欺骗的查找方案:
在cmd窗口下输入arp -a
核对返回的网关mac地址是否是真实的网关mac,如是,重复前一步arp -a,如不是,则返回的mac地址就是毒机的mac地址,查找一下就可以找到毒机了。如果把毒机断网后还是有这个问题,那就是不止一台电脑中毒了,hoho~
由 2007年07月13日 at 9:00 下午
台风万宜应该会从台湾东擦过去往日本吧。
宁波从今天开始就受到风水天气的影响,路面上洒了一阵细雨,空气中充满着清新的味道,往日的闷热也一扫而光,感觉蛮凉快的。
晚上房间开着东窗和北窗睡觉,风呼呼吹,恐怕还得盖被子了。
由 2007年07月13日 at 8:35 下午
新买的NetGear无线路由,淘汰了家里一大批旧的设备,也包括原来用来做GateWay的一台老机器。
机器空在那里貌似也没什么用处,想起来可以用来学习一下OpenBSD了。虽然以前有些用过,但是毕竟没有一台专门的机器安装OpenBSD,所以大概也忘记的差不多了,乘这个机会打算仔细研究一下,可以的话顺便把68的那台机器搞成OpenBSD的系统。
最近太忙的原因,似乎66和68那两台机器都有问题。66的2003好像被入侵了,改天问问小恶,看他知道不知道;68那边不知道什么原因,Gentoo的系统最近总是死机,远程开机也不方便,一直空在了那里,现在应该要拿起来用用了。 hoho~
对了,顺便推荐一个下载OpenBSD 4.1 iso的地方
http://ftp.openbsd.com.cn/pub/OpenBSD/iso/