英雄Samy

一个很有趣的AJAX网站漏洞攻击案例:

19 岁的洛杉矶软件开发员“Samy”编写了一段代码放在自己的MySpace简介里,令他获得了逾100万网上“好友”,直至MySpace使该程序失效。这段JavaScript代码自动将每一个查看Samy个人简介的用户加Samy为好友。

而在通常情况下,列为好友需要得到该用户的同意,但他写的蠕虫使用Ajax技术,在得到用户身份后用Ajax自动调用后台批准请求。

接着,该蠕虫会打开该用户自己的简介,把恶意代码复制进去,并把Samy添加到任何人的英雄列表中,还附上一句话:“但Samy是我最敬佩的英雄”。同样,任何查看该用户简介的人也会被感染。5小时内,Samy的名声和“人气”迅速扩大到100万MySpace会员。

此时,该网站的管理员才发觉大量活动,被迫将MySpace关闭数小时,以清除该蠕虫病毒。

Samy的个人网站,看得出他自己颇为得意:”I’ll never get caught. I’m Popular.”

Samy自己贴出的蠕虫源代码,和漏洞分析。

在Samy的代码中使用下面的方法通过MySpace网站对Cross-site Script的关键字检查:

background:url(‘javanscript:eval(document.all.mycode.expr)’)

alert(eval(‘document.body.inne’ + ‘rHTML’));

Hyper Design

 
帮助你成长的往往是你最大的敌人(以竞争对手的logo为像素组成的大logo)…

 
很喜欢几米的漫画《四季》,同一地点,不同人物,不同季节,发生着不同的故事…

 
三面镜子创造出了无穷多个空间,里面的每个人都在寻找着自己…


人与投影的互动…


流动的色彩…

 
筷子、红双喜和奥特曼的配色组合…


下一代视力表…


考古时被发现的windows图标…

 
生活因为设计而充满乐趣~~~

细节决定成败

细节一:
在百度的首页输入“细节”,然后点击图片按钮,发现输入框被清空了,我需要重新输入“细节”。
在Google的首页输入“细节”,然后点击图片按钮,“细节”仍在输入框中。


细节二:
在ebay的页面搜索商品,得到搜索结果后,如果要按照某一个地点进行过滤,需要去找到页面左边的下拉框,进行选择。
在淘宝的页面搜索商品,得到搜索结果后,如果要按照某一个地点进行过滤,只需要在所在地那列的标题上选择即可。


细节,在某种程度上决定了我们的喜好。

淘宝

iTog sh002 iPod shuffle绚彩水晶… 本商品同意使用支付宝

49.0元
2005-08-06

索爱T238/Z208/T220/K700C原装电池本商品同意使用支付宝

115.0元
2005-09-06

WACOM 丽图手写板,… 本商品同意使用支付宝

389.0元
2006-02-13

2006新款USB高泡棉加厚底跳舞毯… 本商品同意使用支付宝

70.0元
2006-03-28

KINGMAX 超棒 优盘 256M … 本商品同意使用支付宝

98.0元
2006-04-17

OYEA(欧野)专业近视运动眼镜 (偏光)… 本商品同意使用支付宝

373.0元
2006-07-08

品胜 尼康NIKON D70 D50 D70S 锂电池… 本商品同意使用支付宝

70.0元
2006-09-06

以上是我一年来在淘宝的购物记录,突然有一个想法是,如果淘宝可以开放API,使我们能够在自己的blog用一小段javascript代码show自己关注和购买的商品,将会是一种很不错的网络传销模式。

收集癖

觉得自己有时候是有点收集癖的人,最近有看中了一个长焦的镜头,十分手痒,所以写点东西,让自己明白这种不良癖好的本来面目,能够保持清醒和克制。

记得买过一期周末画报,里面送了一张有点像X光片一样的半透明塑料纸,上面提到:请保留这张卡片,用于下期周末画报发布的特别视觉效果专案。虽然知道应该是一广告,但还是很好奇的买了下面的一期,集齐了这套所谓的视觉效果专案。广告商就是这样利用了人们的收集癖。

若干年前,若干到大概我还在读初中的时候,统一出过一种叫做干脆面的“垃圾食品”,不过那时候年幼无知,为了收集袋内赠送的一套小浣熊的贴纸,几乎每天放学一袋,其实也确实没觉得那面有什么好吃。

最后来说说相机,单反相机的两大阵营:佳能和尼康,其实它们的入门级单反机身的价格都不贵,从300D, 350D, D50, D70到最新的400D和D80,但你入了它的门派,接着镜头的消费就结棍了,你得有广角、中焦、长焦,算是基本配置,然后是微距、用于人像的若干定焦,等等。

简而言之,做人太有追求了,也不好~

打造XML-RPC

因为喜欢上了用 Live Blog Writer 写东西的用户体验,所以决定把这个自己写的blog也增加一个XML-RPC的接口。不过没想到是这个东西还真挺麻烦的,写了两个晚上,才终于大功告成。

1) 首先去理解了一下什么是XML-RPC,它是一种比SOAP更加简单一点的远程调用规范,该规范的主页:
http://www.xmlrpc.com/

2) 要去找用来转换数据类型到XML-RPC格式的PHP库,因为看到wordpress里面有,就所幸拿了过来,就是那个class-IXR.php文件。也可以到这里下载:http://scripts.incutio.com/xmlrpc/

3) 虽然都是XML-RPC的规范,但Blogger, MT 和metaWeblog三者之间是有所差别的,比如参数的先后顺序什么的,很令人头疼,最后放弃了Blogger和metaWeblog,只钻研了MT的标准。

4) 最后是测试,用Live Blog Writer测试是看不到任何错误信息的,这很令人郁闷,好在Google到一个XML-RPC的专门测试工具,帮了大忙:http://torrez.net/archives/xmlrpc_request_builder….

存储卡的大白菜理论

打算给相机加一个CF卡,上周去徐家汇领了领行情,发现我的两次买卡正好可以用来证明曾经看到过的一个“存储卡的大白菜理论”:“这年头存储卡正依照着摩尔定律在往大白菜的方向上发展:每隔18个月,容量翻一番,价格降一半。


第一张卡:2005年2月,Kingston 1G 16X ¥640
第二张卡:2006年9月,Kingston 2G 50X ¥350


Kingston 2G的高速卡最近换了新的包装,而且一下降了整整100元,刚看到还以为是假的呢。


Times Reader 的测试与思考

Times Reader的测试版出来了,收到邀请,就去下载、试用了一番,写写用后感。

首先它需要.net framework 3.0 beta的运行环境,需要先去微软装好。

关于这个东东的特点:

1) 支持离线浏览,打开程序后边浏览边下载最新内容的同步方式。
2) 使用WPF排版,界面简单美观,无网页留白,TrueType字体美观。
3) 内含WPF中的动画效果,很好的用户体验。

关于推出这么一个区别与浏览器的客户端阅读器的意义的思考:

1) 无需记忆网址,并主动更新内容,减少了用户的操作复杂度。
2) 提供内容下载和离线浏览,在目前硬盘空间富裕的前景下,保证了阅读的速度和连续性
3) 也是最重要的一点:使用户体验更接近传统报纸,可读性(Readability)更高。