blog两岁了

今天是我开始写blog的两周年,两年里面总共写了275篇文章,平均每2.65天写一篇。
这几天重写了blog系统,参考着wordpress写的,把所有的文章都放到数据库里,每篇文章都加了标签以便归类,自己写了一个搜索引擎。
因为是手工把原来的文章输入到数据库里的,于是又把所有的文章看了一篇,从毕业找工作,到在高阳四处跑,到跳槽,到现在在惠普,好像在看自己的传记。
刚才又去给我的ericfish.com续费,花了150大洋,还有空间续费128大洋。
虽然不便宜,但还是觉得值得,用一句英文谚语来讲就是:

What goes around, comes around.

天气预报员&滑动门

好莱坞的一竿明星里面我最喜欢的男女演员要属:尼古拉斯·凯奇和格温妮丝·帕特洛。
下午的时候看了尼古拉斯·凯奇的新片子《The Weather Man》不由得就想到以前看的格温妮丝·帕特洛演的《Sliding Doors》,同样是都是在轻快幽默的背景音乐中讲述麻烦不断的小人物的故事。


《The Weather Man》的主角是芝加哥电视台的天气预报员,事业上他顺风又顺水,有着众多粉丝的支持,当然名人的副作用就是:在天气不好的时候人们也会迁怒于大卫,无论是在咖啡厅还是走在马路上,他就经常遭到热狗、汉堡或矿泉水瓶的袭击,同时他与家人的距离也越来越远,他希望能够得到身患癌症的作家老爸的支持与理解、希望日渐疏远的妻子能够回心转意、希望超重的女儿能瘦些、希望吸毒的儿子少惹些麻烦,但每一个希望似乎都如此的可望不可及。




《Sliding Doors》的主角海伦是个公关经理,与男友杰瑞住在伦敦。原本看似美满的生活,却因为她意外遭到革职、比平常早回家,而发生了意想不到的转变。一扇地铁的滑动门在开关之间,在时空中一分为二,留下不同的轨迹。海伦甲错过了地铁,祸不单行的她又遇抢受伤,当她返家时,同居男友杰瑞刚起床,正在淋浴,似乎一切如昔。海伦乙搭上了地铁,遇见亲切迷人、令她心动的詹姆斯,到家撞见杰瑞与旧情人的奸情,生活从此变调。结局的时候两条线巧妙的交汇。



这类的电影虽不能让人看到感动,但总是让人有不少感叹:


生活就像天气,不可能完全预测准确的,只能接受现实;


生活就像滑动门,虽然有无数种可能,但就是没有如果当初;


生活……

左手用鼠标

用左手操作鼠标是我一直很向往的一门技术,每每看到别它人使用这项技术便会十分羡慕,其优势可以有以下几点:


首先,左手用鼠标,右手可以空出来拿笔写字,这对我这种喜欢乱涂乱画、对结构图有特殊癖好的人尤其有用。


其次,一个不是左撇子的人用左手做事情不但非常酷,而且可以开发小脑,增强左右手平衡性。


最后,前几天在淘宝上买了块WACOM的电子绘图板,其实也可以当鼠标来用,所以只要练成这一技术,我就可以左右开工,两只手拉小提琴了:)


不过改变一种习惯永远要比养成一种习惯来得难得多得多,甚至会让你觉得浑身不爽。


刚开始用左手操作鼠标主要有以下几点不爽之处:


首先,是慢


其次,还是慢


最后,是有时会搞混食指左键和中指右键的按键习惯


记忆里面印象比较深刻的两次习惯大改变,一个是习惯了牙齿上的钉子,一个是习惯了笔记本电脑的TrackPoint(指点鼠标),前者因为要矫正牙齿,后者因为上班老是忘带鼠标。看样子要改变习惯是非要有点强迫症不行的了。

兔子灯

昨天在福州路上看到两个小朋友拉着塑料的兔子灯在逛街,想到我小时候的元宵节那真是满大街的兔子灯,而且全是竹子、纸糊、蜡烛DIY的那种,很是好玩。


我吃过晚饭就拉着爷爷到外面去拉兔子灯,蜡烛在兔子灯里面一闪一闪的十分好看,像现在都用灯泡就没意思了,当初因为用的是木头轮子、纸头兔子,石库门的石头路又是高高低低的,所以弄不好拉出去的时候是个雪白的兔子灯,回来就只剩一个烧焦的骨架子了。


纸头糊的兔子灯其实也有好多种,最小的是像灯笼一样手提的,我一直觉得那种比较适合女孩子;反正我是喜欢那种放在地上,前面拖跟线可以拉着走的,而且越大越好;特别另类的是那种用黄鱼车改装的兔子灯,里面可以装下好几个人,跟现在的花车似的,超级酷。


当年塑料的用电池的兔子灯刚出来的时候也是红极一时,过了两年纸糊的兔子灯在上海就很少看到了,再过两年塑料的兔子灯也很少见了,很少有人在正月十五出来拉兔子灯了,所以我一直觉得塑料的兔子灯是罪魁祸首,要是若干年后我给我儿子玩兔子灯,一定会做一个纸头糊的,也到福州路上拉,一定超级另类:)



PS: 刚才去Google兔子灯的图片竟然都没找到,找半天也就这么小一张了,真是濒危物种啊


PS2: 昨天在书城看到一本叫《上海FASHION》的书,讲到许多老上海的传统,挺有意思。


PS3: msn上Lin向我打听:上海这边搬家好日子是以入住为准还是以搬床为准?只能摇摇头说不知,很多习俗到我们这代真的都失传了呀。

CRLF 注入攻击

翻译: ericfish.com


什么是CRLF注入?


CRLF的意思就是回车(CR, ASCII 13, r) 换行(LF, ASCII 10, n)。
这两个ACSII字符不会在屏幕有任何输出,但在Windows中广泛使用来标识一行的结束。而在Linux/UNIX系统中只有换行符。
CR和LF组合在一起即CRLF命令,它表示键盘上的”Enter”键。


CRLF注入就是说黑客能够将CRLF命令注入到系统中。它不是系统或服务器软件的漏洞,而是网站应用开发时,有些开发者没有意识到此类攻击存在的可能而造成的。


针对这个漏洞黑客能够做什么?


就算黑客发现网站存在CRLF注入,他们仍然受到应用结构和这个缺陷的严重程度的限制。


对有些站点它将非常严重,而有些站点它只是很小的bug。


HTTP Header CRLF Injection


许多网络协议,包括HTTP也使用CRLF来表示每一行的结束。这就意味着用户可以通过CRLF注入自定义HTTP header,导致用户可以不经过应用层直接与Server对话。


HTTP header的定义就是基于这样的”Key: Value”的结构,用CRLF命令表示一行的结尾。
“Location:”头用来表示重定向的URL地址,”Set-Cookie:”头用来设置cookies。
如果用户的输入经过验证,其中存在CRLF的字符就可以被用来达到欺骗的目的。


如何预防?


过滤用户输入,可能存在CRLF注入的地方过滤掉CRLF字符。


原文:http://www.acunetix.com/websitesecurity/crlf-injection.htm

春节在干嘛

春节长假终于是结束了,今天在公司最热门的社交话题就是:“春节的时候在干嘛?”
其实大家都差不多,春节嘛,也就是吃吃喝喝睡睡。


我嘛偶尔还要连到公司的内部网,看看国外的客户有没有安排新的事情过来。
还有嘛就是读书看碟打游戏。


达芬奇的密码


终于把它看完了,这本书好久以前就买了,看了个开头后就没有继续看下去。
我表弟很喜欢这本书,对我的行为十分疑惑:有人能够看了这本书的开头而没有看下去的吗?
当然还有更强的,佳菲看了个开头再看了个结尾就把它给over掉了。
因为总觉得虎头蛇尾是不对的,像佳菲那样子有始有终才是正道,所以过年的时候花了点时间终于把它读完了。
觉得它和我若干前看的那本《苏菲的世界》满像的,只不过那个是哲学的普及读物,这个是科学普及读物,告诉我们什么是斐波纳契数列、什么是黄金分割,至于圣杯的解释我还是宁可相信圣杯是夺宝奇兵里印弟安那琼斯寻找的那个耶稣于最后晚餐所用的杯子。



越狱


这部剧集好像至今看过的人里面没有说不好的,高智商推理剧,很调人胃口。
第一季第11集最后,一步之遥,关键时刻…没了,不爽了,既然片名就叫越狱,难道能像老友记那样让他越个十来年不成?



英雄萨姆2


一个超爽的游戏,大年夜在家里自组局域网和表弟联机打电脑,有好久没有打游戏了,有一种当年全身心投入CS的感觉。一路杀出去,绝对是放松心情、忘记烦恼的好工具啊:)
游戏场景在一个奇怪的外星球,一个巨大的月亮挂在天上,还有许多弱小的外星人走来走去的,所以游戏的氛围很轻松,全然不像DOOM3那样子阴暗吓人。里面的坏人也很可爱:头上顶一黑球的炸弹人、橄榄球运动员、骑着扫把飞来飞去的女巫…



想想全是腐败,不过反正节日里有足够的时间需要打发,若在平日里这种浪费生命的事情还是少做。

推荐一款54M家用无线路由器

昨天搞定一台SMC的54M无线路由器,型号是WBR14-G3,用下来觉得很不错。


之前在徐家汇太平洋逛的时候看到主要的几个牌子是NetGear, TP-Link, 以及D-Link,对D-Link和TP-Link没兴趣,便宜肯定没好货,NetGear的外形很不错,不过价格贵,而且据说有时常断线的问题。


后来在浦东八佰伴的太平洋看到SMC,老板推荐的,说比较稳定,设置简单,信号也不错。


回来测果然不错,我家里用的是长城宽带,设置的时候把WAN设置成自动获取IP,然后拷贝一下mac地址就ok了。把本本拿到阳台上测试,中间隔了3道墙,还有11M带宽的信号。


推荐一下,很适合家里面用的,价格在300元左右。