中国应用软件应学习微软的SaaS

　　最近微软推出的Office Live Workspace产品令人耳目一新，这个产品采用插件的方式，在本地的所有Office程序（Word、Excel、Powerpoint等）里都都有一个内置的Live Workspaces连接到用户的网络帐号，用户可以将本地Office文件直接同步或上传到自己的Office Live Workspace网络空间上，然后使用Live Workspace帐号从世界上任何地点来访问这个文件，并与其他用户共享。这应该是微软的SaaS（软件即服务）战略的具体展现形式。

　　微软的这一策略值得中国广大的应用软件开发商思考，我们自己能不能借鉴和学习一下微软的Office Live Wordspace这种思路，来改进和完善自己的应用软件。

　　中国不少应用软件商有非常庞大的用户群，如果能够很好的利用，那么产生的效果可能会非常惊人。实际上软件开发商要修改的东西并不多，我们只要在自己的应用软件中做一个Addin，就可以让自己的用户将本地的数据库上传到软件开发商的网站上，软件开发商可以利用这个网站进行在线服务进行收费，用户则可以共享和远程使用自己的数据库，开发商和用户双方都可以实现现有软件价值的升值，让用户能够完成更多更好的功能，何乐而不为呢？

　　举个例子，财务记账类软件可以将用户帐套同步到远程服务器，这样用户可以随时随地远程访问自己的财务数据；字典翻译类软件可以将用户自己的字典同步到服务器，用户可以在其他地点使用自己的个性化数据。

　　所以，中国的应用软件开发商们，既然微软都能在自己的核心产品Microsoft Office实现这样的架构，我们为什么不能学习一下微软的思路，也在自己的应用软件中完成同样的功能呢？我觉得这还是很值得考虑考虑的。

网站管理员的iGoogle小工具

　　据Google Webmaster Central报道，Google管理员工具团队最新开发出了一个iGoogle的Gadget，可以在iGoogle中显示网站管理员的已经验证的网站的信息。（注：你必须拥有一个Google网站管理员工具的帐号，并且至少已经验证过一个网站）

　　具体的操作很简单：

　　1、访问Google网站管理员工具，选择任意一个已验证的网站。

　　2、点击“工具”菜单。

　　3、点击“小工具”。

　　4、点击“添加 iGoogle 网站管理员工具主页”按钮。

　　5、在后面的确认页面，点击“添加到Google”按钮。

　　6、现在访问你的iGoogle，你会发现新的“Webmaster Tools”页签，里面是关于你网站的一些统计信息。

Google Reader更新可显示订阅数

　　据Google Reader的官方博客报道，Google Reader新增加了一些令人兴奋的新功能，对于读者来说会有一些变化，这些新增加的功能改进具体如下。

　　新的语言和国家：支持更多的语言和国家，现在Google Reader新增加了对奥地利，捷克共和国，丹麦，芬兰，挪威，波兰，巴西，俄罗斯，瑞典，瑞士和土耳其 的支持。

　　支持订阅数显示：如果你对某个Feed到底有多少订阅数好奇，现在很容易就可以查到了，点击右上角的“show details”连接就可以看到。此外，在trends（趋势）页面的Most obscure还可以看到你订阅的Feed中的订阅数字。要记住，这个Feed的订阅数是Google所有产品订阅这个Feed的总和，并非仅仅统计Google Reader的订阅数。

　　增加了阅读区：新的改版是在顶部，版面设法挤进了17个像素的阅读空间，用于显示Feed内容。

　　修复的BUG和性能改进：装载超过1000个订阅的速度得到提升，设置页面进行了改进，最后修复了一些BUG.

十个常用网络密码的安全保护措施

　　在昨天的《十个常用破解网络密码的方法》文章中，我谈到了个人网络密码安全的重要性，大部分用户密码被盗多是因为缺少网络安全保护意识以及自我保护意识，以致被黑客盗取引起经济损失，今天我将讨论一下针对昨天十类破解方法的对策，也举出十类密码安全和保护措施，可以帮助用户提高网络安全意识。

　　1、使用复杂的密码

　　密码穷举对于简单的长度较少的密码非常有效，但是如果网络用户把密码设的较长一些而且没有明显规律特征（如用一些特殊字符和数字字母组合），那么穷举破解工具的破解过程就变得非常困难，破解者往往会对长时间的穷举失去耐性。通常认为，密码长度应该至少大于6位，最好大于8位，密码中最好包含字母数字和符号，不要使用纯数字的密码，不要使用常用英文单词的组合，不要使用自己的姓名做密码，不要使用生日做密码。

　　2、使用软键盘

　　对付击键记录，目前有一种比较普遍的方法就是通过软键盘输入。软键盘也叫虚拟键盘，用户在输入密码时，先打开软键盘，然后用鼠标选择相应的字母输入，这样就可以避免木马记录击键，另外，为了更进一步保护密码，用户还可以打乱输入密码的顺序，这样就进一步增加了黑客破解密码的难度。

　　3、使用动态密码（一次性密码）

　　动态密码（Dynamic Password）也称一次性密码，它指用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次。动态密码对于截屏破解非常有效，因为即使截屏破解了密码，也仅仅破解了一个密码，下一次登录不会使用这个密码。不过鉴于成本问题，目前大多数动态密码卡都是刮纸片的那种原始的密码卡，而不是真正意义上的一次性动态密码，其安全性还是难以保证。真正的动态密码锁采用一种称之为动态令牌的专用硬件，内置电源、密码生成芯片和显示屏。其中数字键用于输入用户PIN码，显示屏用于显示一次性密码。每次输入正确的PIN码，都可以得到一个当前可用的一次性动态密码。由于每次使用的密码必须由动态令牌来产生，而用户每次使用的密码都不相同，因此黑客很难计算出下一次出现的动态密码。不过真正的动态密码卡成本在100到200元左右，较高的成本限制了其大规模的使用。

　　4、网络钓鱼的防范

　　防范钓鱼网站方法的方法是，用户要提高警惕，不登录不熟悉的网站，不要打开陌生人的电子邮件， 安装杀毒软件并及时升级病毒知识库和操作系统补丁。使用安全的邮件系统，Gmail通常会自动将钓鱼邮件归为垃圾邮件，IE7和FireFox也有网页防钓鱼的功能，访问钓鱼网站会有提示信息。

　　5、使用SSL防范Sniffer

　　传统的网络服务程序，HTTP、FTP、SMTP、POP3和Telnet等在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，嗅探器非常容易就可以截获这些口令和数据。对于Sniffer（嗅探器），我们可以采用会话加密的方案，把所有传输的数据进行加密，这样Sniffer即使嗅探到了数据，这些加密的数据也是难以解密还原的。目前广泛应用的是SSL（Secure Socket Layer）就可以方便安全的实现加密数据包传输，当用户输入口令时应该使用支持SSL协议的方式进行登录，例如HTTPS、SFTP、SSH而不是HTTP、FTP、POP、SMTP、TELNET等协议。Google的大多数服务包括Gmail都支持SSL，以防止Sniffer的监听，SSL的安全验证可以在不安全的网络中进行安全的通信。

　　6、不要保存密码在本地

　　将密码保存在本地是个不好的习惯，很多应用软件（例如某些FTP等）保存的密码并没有设计的非常安全，如果本地没有一个很好的加密策略，那将让黑客破解密码大开方便之门。

　　7、使用USB Key

　　USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书，利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中，理论上使用任何方式都无法读取，因此保证了用户认证的安全性。由于USB Key的安全度较高，且成本只有几十元，因此USB Key广泛应用于网上银行的数字证书加密。使用USB Key后，即使黑客完全远程控制了用户的电脑，也无法成功进行登录认证交易。

　　8、个人密码管理

　　要保持严格的密码管理观念，实施定期更换密码，可每月或每季更换一次。永远不要将密码写在纸上，不要使用容易被别人猜到的密码。

　　9、密码分级

　　对于不同的网络系统使用不同的密码，对于重要的系统使用更为安全的密码。绝对不要所有系统使用同一个密码。对于那些偶尔登录的论坛，可以设置简单的密码；对于重要的信息、电子邮件、网上银行之类，必需设置为复杂的密码。永远也不要把论坛、电子邮箱和银行账户设置成同一个密码。

　　10、生物特征识别

　　生物特征识别技术指通过计算机，利用人体所固有的生理特征或行为特征来进行个人身份鉴定。常用的生物特征包括：指纹、掌纹、虹膜、声音、笔迹、脸像等。 生物特征识别是一种简单可靠的生物密码技术，生物识别技术认定的是人本身，由于每个人的生物特征具有与其他人不同的惟一性，以及在一定时期内不变的稳定性，不易被伪造和假冒，因此，可以在最大限度地保证个人资料的安全。目前人体特征识别技术市场上占有率最高的是指纹机和手形机，这两种识别方式也是目前技术发展中最成熟的。

　　以上是我总结的十个常用网络密码的安全保护措施，通过这些措施，可以提高网络用户的安全观念，保护个人的机密信息，提高网上交易系统的安全指数。如果你也有其他有效的安全保护措施，请留言告诉我。

十个常用破解网络密码的方法

　　个人网络密码安全是整个网络安全的一个重要环节，如果个人密码遭到黑客破解，将引起非常严重的后果，例如网络银行的存款被转账盗用，网络游戏内的装备或者财产被盗，QQ币被盗用等等，增强网民的网络安全意识是网络普及进程的一个重要环节，因此，在网民采取安全措施保护自己的网络密码之前，有必要了解一下流行的网络密码的破解方法，方能对症下药，以下是我总结的十个主要的网络密码破解方法。

　　1、暴力穷举

　　密码破解技术中最基本的就是暴力破解，也叫密码穷举。如果黑客事先知道了账户号码，如邮件帐号、QQ用户帐号、网上银行账号等，而用户的密码又设置的十分简单，比如用简单的数字组合，黑客使用暴力破解工具很快就可以破解出密码来。因此用户要尽量将密码设置的复杂一些。

　　2、击键记录

　　如果用户密码较为复杂，那么就难以使用暴力穷举的方式破解，这时黑客往往通过给用户安装木马病毒，设计“击键记录”程序，记录和监听用户的击键操作，然后通过各种方式将记录下来的用户击键内容传送给黑客，这样，黑客通过分析用户击键信息即可破解出用户的密码。

　　3、屏幕记录

　　为了防止击键记录工具，产生了使用鼠标和图片录入密码的方式，这时黑客可以通过木马程序将用户屏幕截屏下来然后记录鼠标点击的位置，通过记录鼠标位置对比截屏的图片，从而破解这类方法的用户密码。

　　4、网络钓鱼

　　“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的网站登陆站点来进行诈骗活动，受骗者往往会泄露自己的敏感信息（如用户名、口令、帐号、PIN码或信用卡详细信息），网络钓鱼主要通过发送电子邮件引诱用户登录假冒的网上银行、网上证券网站，骗取用户帐号密码实施盗窃。

　　5、Sniffer（嗅探器）

　　在局域网上，黑客要想迅速获得大量的账号（包括用户名和密码），最为有效的手段是使用Sniffer程序。Sniffer，中文翻译为嗅探器，是一种威胁性极大的被动攻击工具。使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式窃取网上的传送的数据包。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。任何直接通过HTTP、FTP、POP、SMTP、TELNET协议传输的数据包都会被Sniffer程序监听。

　　6、Password Reminder

　　对于本地一些保存的以星号方式密码，可以使用类似Password Reminder这样的工具破解，把Password Reminder中的放大镜拖放到星号上，便可以破解这个密码了。

　　7、远程控制

　　使用远程控制木马监视用户本地电脑的所有操作，用户的任何键盘和鼠标操作都会被远程的黑客所截取。

　　8、不良习惯

　　有一些公司的员工虽然设置了很长的密码，但是却将密码写在纸上，还有人使用自己的名字或者自己生日做密码，还有些人使用常用的单词做密码，这些不良的习惯将导致密码极易被破解。

　　9、分析推理

　　如果用户使用了多个系统，黑客可以通过先破解较为简单的系统的用户密码，然后用已经破解的密码推算出其他系统的用户密码，比如很多用户对于所有系统都使用相同的密码。

　　10、密码心理学

　　很多著名的黑客破解密码并非用的什么尖端的技术，而只是用到了密码心理学，从用户的心理入手，从细微入手分析用户的信息，分析用户的心理，从而更快的破解出密码。其实，获得信息还有很多途径的，密码心理学如果掌握的好，可以非常快速破解获得用户信息。

　　好了，以上就是我总结了一些网络密码破解的常用方法，如果你也有其他不同的破解方法，请留言告诉我。

微软Office Live Workspace开放注册

　　据Mashable报道，微软宣布在全球推出在线文档存储服务Office Live Workspace的测试版（英文），先前人们只能通过邀请方式使用Office Live Workspace，现在任何人登陆后都可以使用了，这个服务允许微软的Office用户在线获取和分享他们的文档。

　　另外，微软的产品经理Eric Gilmore还介绍了微软这套系统对比以往系统的一些新特点，这里是一些亮点：

　　1、活动面板：新的活动面板能够一览无余地显示所有活动的工作区。

　　2、邮件通知：人们现在可以通过接收电子邮件通知来了解他们工作区或者文档的变化。

　　3、直接连接：人们可以在浏览器窗口通过一个独特的URL地址来收藏自己的工作区或者工作项目。

　　4、多文件上传：人们现在可以通过简单的桌面拖放的方式同时上传多个文件。

　　5、改进的共享：新的共享功能包括一个更易用的用户界面和自动完成的电子邮件地址。

　　使用Office Live Wordspace的基本前提是安装Office Add-In，你所有的Office程序（Word、Excel、Powerpoint等等）都有一个内置的Live Workspaces连接到你的帐号，这样，你就可以将本地文件直接保存到网络上，然后使用你的Live Workspace帐号来从世界上任何地点来访问这个文件，并与其他用户共享。这和Google Docs和类似，不过微软Office Live Wordspace的庞大优势在于其直接集成到了Microsoft Office的桌面应用程序，这是Google做梦都完成不了的工作。

　　Office Live Wordspace产品有一个平台战略，可以允许集成第三方服务，当然，我们不必期待Google Docs能集成进去，不过由此可见微软的Live Workspace战略平台的经营手法会更加开放。

　　我注册和测试了一下Office Live Wordspace，的确非常好用，和本地Office集成的很不错，中文文件名没有Google Docs那种乱码错误，文档编辑完全在本地Office实现，保存时候才发布到服务器上，速度也不错，我个人感觉，Google Docs的时日不多了。Office本地Add-In的使用说明参见这里。

百度不支持nofollow的robots对策

　　nofollow标签是由Google领头新创的一个标签，目的是尽量减少垃圾链接对搜索引擎的影响，减少博客的垃圾留言，目前Google、Yahoo、MSN都标志支持这一标签。当超级链接中出现nofollow标签后，搜索引擎会不考虑这些链接的权重，不过放置nofollow标签不代表搜索引擎不索引其链接，经过我的测试，即使放置nofollow标签，Google还是会索引部分链接内容。

　　这个标签主要是针对垃圾链接的，因为留言评论中的垃圾链接会影响网站在搜索引擎中排名，对博客网站产生负面的影响，因此Gogle提倡使用这个标签来遏制垃圾链接。很长时间以来我一直使用nofollow的方式来方式评论留言对于搜索引擎的SPAM，对于Google来说效果的确不错，但是对于国内最大的搜索引擎百度来说确是另外一种情况。

　　因为百度不支持nofollow标签，因此在中文环境下，即使使用nofollow标签，百度依旧会索引这个链接并对其计算权值，因此产生了大量恶意留言评论者通过手动或者自动的方式发布垃圾链接以欺骗百度搜索引擎，而百度依旧是国内最大的搜索引擎服务商，其搜索流量目前远高于Google，很多中文网站甚至80%以上的流量来自百度，因此中文网站甚至可以只针对百度进行优化而不针对Google优化，由于百度的原因，中文环境下对于nofollow标签来说面临一种逐渐无用的处境。

　　根据我自己的月光博客的流量数据统计，通过长时间的观察和分析，我发现百度曾经不止一次惩罚过我的域名，包括长时间删除某些网页地址以及域名降权等操作，目前我的博客从Google来的流量竟然比从百度来的流量要多得多，这和大多数中文网站完全相反，我觉得这是不正常的现象，对于大多数中文博客来说，应该尝试一下使用百度懂得的语言来预防针对百度的SPAM垃圾链接。

　　因为百度虽然不支持nofollow，但还是支持robots的，编写适当的robots也可以解决百度不能分辨SPAM的对策，就是将链接都定向到一个指定目录，然后在robots中disallow这个目录，即可让百度不索引，这样那么SPAM就不会再来骚扰了。

　　如果你也是使用Z-Blog系统，不妨参考一下我写的这段针对搜索引擎优化的robots，将下面代码复制并另存为robots.txt，然后放到你的博客根目录下即可，如果你使用WordPress系统，请参考一下针对WordPress的robots.txt。

User-agent: *
Disallow: /wap.asp
Disallow: /cmd.asp
Disallow: /function/
Disallow: /admin/
Disallow: /script/
Disallow: /FCKeditor/