图零夜读:27期

文 / mazhechao

【1】《域名生死战 – 浅析域名安全
这篇文章回顾了多起著名的域名劫持事件,包括baidu、wooyun等,以案例谈有关域名的安全风险及应对措施。文末提到了腾讯自建的域名安全监控系统,有客户端的公司就是好啊!不久前,大众点评亦遭受域名指向篡改,看来这块的安全还是要重视啊。

【2】《知道创宇研发技能表v2.1
余弦写的一个对知道创宇研发人员技能要求的表格,可做参考,其实是可以看看自己哪些不知道的。还有,好多python啊。

【3】《IBM研究员开源同态加密库
10年从老大那儿听说“同态加密”,后面陆陆续续有关注。有时间要去研究下,只是还不了解这项技术在工业界是否已有应用,感觉在“云”那边应该有所作为的。

————————蓝天、GR的分割线————————

吃喝都还可以用高一点的代价去获得好一点的品质,只是这空气,难道买个净化机天天待在屋里?上周除了周末有五天的蓝天,都说让人感动了,早点逃离吧……GR还是关了,我已经用theoldreader好几个月了,挺习惯的,除了不支持tag很DT,其他都不错,follow me!

No Comments

图零夜读:26期

文 / mazhechao

【1】《暗时间
乐乐同学写的《暗时间》的读后感,这是乐乐写博以来我觉得他写得最好的一篇文章了。

【2】《利用python特性进行提权
xi4oyu大牛的文章,手法么,是猥琐了点儿,我咋觉得实战中这个办法很难成呢;倒是让我对python库的加载更了解了些。

【3】《我的第四年
小百合的一篇帖子,讲述她大学的第四年生活,笔法细腻,让我深深怀念在南京上学的时光。问乐乐说我们毕业时咋没人写这样的文章,乐乐说工科男不解风情。

————————春天的分割线———————-

在历经长达半年的冬季后,帝都今年的春天终于来了。只可惜刮风就是扬尘,不刮风就是雾霾,于是蓝天白云的日子就格外珍贵。

No Comments

三百元

某次周末和进儿、栋吃饭,花了297元。

每周五和同事去球馆打2小时羽毛球,场地费加球的费用大概是270元。购买的球拍和线等装备大概是330元。

去年买的一双运动鞋,打完7折是310元。

去年年底买的cherry青轴机械键盘600多元。

年初部门组织去滑雪,估计每人400多元。

——————————————————————————————

某个贫困地区初中学生一学期花费一千多元。希望得到的资助是每学期300元。这可能只是我们几个人在外面吃顿饭的钱,买一双鞋的钱,一次娱乐活动的钱,半个键盘的钱……需要的只是一条靠谱的途径和一点精力。孩子能继续学业,对他的家庭将有很大的意义。

2 Comments

图零夜读:25期

文 / mazhechao

本期图零夜读由yulele同学带来, 内容关于无线网络攻击和Fast Flux网络测量,较为专业。

http://www.cnblogs.com/yulele/archive/2013/04/01/2994365.html

No Comments

图零夜读:24期

文 / mazhechao

【1】《Hadoop安全机制研究
算是Hadoop安全机制的一篇提纲式的文章吧,要特别留意“9.有用的资料”,这篇文章大约是Hadoop Security Design的一个粗略的翻译。认证和授权。

【2】《Hadoop Kerberos安全机制介绍
介绍了Kerberos在Hadoop的应用,Hadoop Security Design的认证机制是基于Kerberos的。Kerberos在实际的生产环境中用的还比较多,这和上学时老师介绍的情况出入很大。

【3】《Hadoop权限管理
介绍了Hadoop的权限管理——用户分组管理和作业管理。

 

———————————回归分割线———————————

上一期图零夜读是两年前的3月15日,我觉得有必要继续写下去,分享和总结,不过图零夜读不在图零写了。另外更新的时间是不定期的,尽量每周更新一期吧。近期读了一些分布式计算的论文以及Hadoop安全方面的文章,分享给大家。

4 Comments

vim7代码自动补全AutoComplPop

好久没写博客了:(

在公司机器上coding,只能是用vim了。一直感觉用着不爽,十分怀念VS下的Visual Assistant的代码自动补全。前几天新的项目又要开始coding,想着被称作“神器”的vim怎么会不能代码自动补全。Google一番,原来vim7就已经支持代码补全了,但还是用着不爽,因为需要按ctrl-n/ctrl-p,或者ctrl-x ctrl-o才会调出补全,而不是像Visual Assistant是边写边自动弹出的。继续折腾,就发现了标题中的自动补全插件AutoComplPop,呵,装上以后就跟VA差不多了!

安装方法:

1、下载AutoComplPop程序,是一个zip压缩包,主页点这里
2、解压缩,得到三个目录,autoload、doc和plugin;
3、复制三个目录下的文件到$VIMRUNTIME或$HOME/.vim同名目录下。

OK!享受vim代码自动补全吧!

问题:

1、虽然ACP的项目主页上说vim7.0就可以,但我试了下,7.0会报错,原因不详。在vim7.3下可以使用。
2、如果遇到 vim报错omnifunc未设置,可增加下面的代码到vimrc。

autocmd FileType python set omnifunc=pythoncomplete#Complete
autocmd FileType javascript set omnifunc=javascriptcomplete#CompleteJS
autocmd FileType html set omnifunc=htmlcomplete#CompleteTags
autocmd FileType css set omnifunc=csscomplete#CompleteCSS
autocmd FileType xml set omnifunc=xmlcomplete#CompleteTags
autocmd FileType php set omnifunc=phpcomplete#CompletePHP
autocmd FileType c set omnifunc=ccomplete#Complete

3、颜色啥的问题,自己配吧。
与 complete menu 相关的主要两个量是 Pmenu 和 PmenuSel,前者是所有待选项,后者是选中项。比如这样设置:

hi Pmenu     ctermfg=87 ctermbg=17
hi PmenuSel             ctermbg=244   cterm=bold

参考:

1、用Vim编程——配置与技巧
2、配置基于Vim的Python编程环境
3、[ Vim plugin ] AutoComplPop 安裝方式

3 Comments

该来的总会来譬如2012

就快要新年了,总是忍不住要回眸走过的一年,计算下得失。这算是一种坚持、一种寄托、一种慰藉吧。

我想看看去年这个时候我给自己写了些什么,可惜没翻到,只找到了在农历新年里随手记下的几个《一闪而过的念头》,因为去年是给科协人写的新年献辞。那些念头算是自己在2011年里的愿望吧。大约完成了一小半,没完成的一些是因为时间关系,一些是念头由当时的冲动产生,之后就再无兴趣拾起了。

这一年的主题就是就业了,大概也是这一年做的唯一一件正事。在记不清数量的“过了”和“挂了”之后,找到了自己还算满意的工作,不在薪酬,不在公司大牌,不在工作城市,而是所从事的工作是我想要做的。另一件还算是一件事的事就是从科协离任了。

这一年感觉自己成长得要比前两年快。专业课程的深入学习让我对之前自学内容的模糊印象逐渐丰满起来,知识体系迅速地扩充和完善,并且有了更趋本质的认识,有种“温故而知新”的感觉。参加的社交活动也多了许多,因找工作获得的笔试面试让我有更多的机会走出校园,在外面跑跑,有机会接触到更多的人,以及他们的经历、故事和观点,交了些不错的朋友;看得多,听得多,想得多,多元的思维的碰撞和眼界的拓宽让我思维活跃,人也开朗起来,是一种人变“大”的感觉。

这一年依旧我行我素,感情用事,没有太多的计划,亦没有太多变化去打乱那些不太多的计划,只坚持自己要做的。我似乎(注意是“似乎”)是个不太喜欢做大家都做的事情的人,譬如身边一群人去考研了,我没考;一群人去华为了,我不去。我的目标只类似黑暗中一个模糊的斑点,看不清到底是个什么样子。幸好在我的意识和行动上都在努力靠近它,最终结果似乎还不错,譬如大二那年我对妈妈说我想去哈尔滨参加信安大赛,我去了;大三那年去北京晓刚带我去熊掌大厦,我默想一年后在这里工作,现在我就要去了。脾气似乎也见长,不再那么温和了,自我的主见开始加强,发怒的次数变多,断了几个原来的朋友,和宿舍同学的距离进一步拉大。另外,吃素一年了。

在今年末尾的几个月,基本是在睡、吃、读书和文艺活动中度过的。压力骤减后体重增加,脸色变好,皮肤变好。重新回到科协和大家过了一个多月,大家交流互动增加,恢复了freetalk,做了些有意思的分享,也看到了大家平日肃穆表情外的另一面。还有一个有意思的发现是在定下工作后有些人对我的态度发生了微妙的变化,一些以前不吊我的人开始和气地跟我讲话,我除了嗯啊应付继续不吊他们。

对于新年,我们总是祈望的,祈望能更好。不过容我略微思索,这些更好究竟是我们努力去争取的,还是随着时间推移它自身就是那样变化的。2012,我仍然有些念头。

1、尝试些电子产品,比如Kindle Touch,iPad,单反。

2、学习摄影,在毕业季回校时能拍一些好照片。

3、抽时间把大巴上的旧博客迁过来。

4、顺利地做毕设,不贪心优秀。

5、努力工作,明年的招聘季能助有意向加入百度的同学一臂之力。

6、毕业旅行,地点不能再是平原或丘陵了。

7、好好利用北京的高校资源,参加社区及文艺活动。

8、继续等那个总会有的姑娘找我,还是我要稍微主动点,没太明白。

9、在北京租到公租房,唉,这真的纯粹是个念头了。

想到了明天就逝世一周年的史铁生的一句话——“死是一件无须乎着急去做的事,一个必然会降临的节日”。所以不管过去的一年是欣喜是悲伤地度过了,该来的总会来的,譬如2012。慢一些,再慢一些,淡定些,再淡定些,然后踏实地做好眼下的事情。

最后的最后,当然是祝福。祝福我的家人和朋友,能有健康的身体,有美好的未来。

1 Comment

MD5是加密算法吗?

最近各种暴库,各种明文密码,各种专家写了一篇又一篇分析文章,甚至有无知的网站站长说自家的存储用户密码是经过MD5“加密”的而非明文,所以是安全的。在学习更复杂深奥的密码学理论之前,我们还是首先来清理一下基本概念。

MD5的作用不是加密,不是加密算法!

MD5,是Message Digest 5的缩写,是一种散列算法,又称为摘要算法或哈希(Hash)算法。MD5由其前身MD4改进而来,与其同属一类的算法还有SHA-1等。MD5算法的作用是将不定长的数据经过与、或、非、异或、移位、模幂等运算,产生定长的数据输出,称为散列值。通常情况下,不同的输入得到不同的散列值。优秀的散列算法即使输入差别甚微,都会导致输出大为不同,称为“雪崩效应”。散列算法常与公钥密码体制的加密算法共同使用,以检验数据的完整性。

与加密算法不同的是散列算法没有密钥,并且是单向的,即不能由正向的散列过程推到出逆向的“还原过程”。容易混淆的一点是人们认为加密就是把有具体意义的明文转换成没有意义的密文,这样看来,MD5“确实”是一种“加密算法”。然而对数据加密的目的还不仅于此,不但要让非接收方不能轻易得到明文,还要让接收方有快速的方法得到明文,即为解密。解密和破解是两个概念,解密(decryption)是加密的逆向算法,接收方已知解密密钥,使用解密算法计算得到明文;破解(crack)是在不知道密钥的情况下,采用概率统计、差分分析、暴力尝试等方法得到明文。将MD5值还原成散列前的值只能称为破解,而非解密。

现代密码学将密码体制分为两种,对称密码体制和非对称密码体制(公开密钥加密体制)。MD5不属于两者的任何一种密码体制,不能仅依靠MD5等散列算法进行保密通信。

王小云不是找到了MD5算法的逆向算法

如上文所提及的,通常情况下,不同的输入得到不同的散列值。然而存在一种情况是不同的输入却得到了相同的散列值,称之为“碰撞”。尽管优秀的散列算法应当极力避免碰撞的出现,但理论上是不能完全避免的,所以MD5和SHA-1等散列算法中存在碰撞。山东大学的王小云教授提出了一种比较快的找到碰撞的方法,而不是研究出了任何MD5值都可以被逆的逆向算法,MD5算法仍然是不可逆的。

网上有许多破解MD5值的网站,多是通过正向计算消息值的MD5值,制表存于数据库中,供用户反查。这样的库已经非常庞大,无论是常见的或是不常见的,都可以通过MD5值查到其原始消息,极其鲜见的也可以通过分布式计算在有限的时间内计算出。所以,网站存储仅由MD5散列过的用户密码,一旦泄漏仍然是不安全的。

最后,我想起了大三是网络安全课的老师freebird_007告诫我们的一句话,科班出身的学生就是需要专业,专业地说话,专业地做事。

(我时常思考加密和编码本质的联系是什么;散列算法能不能称为“广义的加密算法”呢,但目前我仍然坚持严格的定义。)

3 Comments