2009年9月30日星期三

解决SSL攻击的方法

  SSL的窃听和安全最近颇受关注,吴洪声提出了一种SSL窃听攻击的思路,主要是利用了CA签发证书的一个重大缺陷:只验证目标网站的域名信箱即可签发该网站的证书,因此,只要搞到目标网站的一个信箱,就可以窃取到这个域名的SSL证书。

  因此,大多数免费邮箱或公司邮箱的SSL证书都存在网站SSL证书被窃取的可能性,Gmail由于使用mail.google.com而不是www.gmail.com,因此得以幸免于难。然而,有权使用google.com的Google公司的员工依然有可能获取google.com的SSL证书,一旦该证书被用于大规模的域名劫持,后果不堪设想。

  如果想要避免这种SSL证书窃取,CA需要修改目前的签发流程,即在签发前需要验证申请者对于该网站具有管理权限,例如,在网站的首页增加一小段隐藏代码,或者在网站上传一个指定的HTML文件,这样,只有真正的网站拥有者才能做这样的操作,非法窃取者即使有了该域名的邮件,也无法获取该域名的证书。

  当然,从根本上讲,这个攻击并非对SSL安全协议本身的攻击,只是对其发行机构的攻击,SSL协议目前来说还是安全可靠的。

  名词注释:SSL

  安全套接字层 (Secure Sockets Layer,SSL) 是一套提供身份验证、保密性和数据完整性的加密技术。SSL 最常用来在 Web 浏览器和 Web 服务器之间建立安全通信通道,用以保障在 Internet 上数据传输之安全,SSL 利用数据加密技术,确保数据在网络上之传输过程中不会被截取及窃听,它也可以在客户端应用程序和 Web 服务之间使用。

2009年9月29日星期二

微软免费杀毒软件Microsoft Security Essentials

  据微软官方网站公告,微软公司28日宣布,其新版杀毒软件Microsoft Security Essentials自明天起可以免费下载。

  这是微软提供的免费杀毒软件,可以每天升级,能够抵御最新的病毒、木马等恶意程序。微软表示,这款杀毒软件不会影响用户计算机的运行速度。

  微软这次推出的免费杀毒软件,对于目前普遍收费的杀毒软件市场是一大打击,不过短期内这个软件还难以影响主流杀毒软件的市场份额。

  除了微软之外,目前市场上还有一些其他厂商提供免费杀毒软件,如360杀毒等。

  经过下载试用,Microsoft Security Essentials目前下载需要填写一些客户信息表单,最后下载到的文件进行安装的时候,会联网进行正版验证,如果你的系统不是Windows正版的话,就无法安装这个软件。

  访问微软杀毒软件网站: Microsoft Security Essentials

Microsoft Security Essentials

2009年9月28日星期一

QQ医生能否治住360安全卫士

  一开始以来我还真没怎么注意QQ医生这么一软件,它出世的时候正是QQ盗号木马猖獗的时候,所以当初推出它的本意只是为了更好地保障用户的QQ帐号安全。不过出于对自己计算机水平和上网常识的自信,我一概是无视这一类软件直接点选不扫描。

  但是QQ医生3.0绝对不再是当初那个偏安一隅的QQ附庸,它开始走出QQ的小圈子,为用户提供全面的计算机安全保障。说到这里你想到了啥?自然是同样定位为计算机安全软件的360安全卫士,经过周鸿祎的几年耕耘这一块市场已经是成熟待摘,按照现在这趋势发展下去,没准360还真能成为中国第一家上市的安全软件公司。

  在这里要翻一句旧话:如果出现一个新的市场,腾讯会等等让其他公司先上;市场成长起来之后腾讯会再等等,等那些公司进行充分竞争;在市场稳定之后腾讯才会出手,一脚定江山,最后其他公司就都牺牲了。这种做法从公司策略来说无可厚非,我这话倒也并没有对腾讯责难的意思。

QQ医生能否治住360安全卫士

  360把安全软件市场做熟了,腾讯就把QQ医生摇身一变也成了计算机安全软件,所以我估计周鸿祎这几天挺蛋疼,被人捅刀子换谁也不好受。最要命的是捅刀子这人还是谁见谁死的腾讯,被腾讯给弄垮的公司没一千也有八百,所以周鸿祎有压力。

  下面来谈谈产品本身,我体验的版本是2009年9月22日发布的QQ医生3.0 Beta2,安装包5.35M.

  安装过程中规中矩,会提示你是否启用实时防护功能,并没有使用QQ2009新的软件安装程序。主界面很简洁,包含了包括漏洞修复、木马查杀、IE修复、垃圾清理、系统实时防护等常规功能。

  结论是QQ医生就是一个Copy版本的360安全卫士,功能模块几乎一样(也许后面会有自己的创新但是已经超出讨论的范畴了)。但是毫无疑问QQ医生仍然能够依靠QQ巨大的用户数量获得更多的用户,更重要的是QQ医生几乎没有广告更加轻便。

  可以肯定的是腾讯在未来将会对QQ医生进行一系列推广,包括旗下软件的捆绑和推荐,和TT浏览器合作开发安全浏览功能。依靠QQ这个金字招牌无往不利的腾讯,对周鸿祎来说的确是个好对手,这让我对双方未来可能发生的交锋颇为期待。

  充分竞争最后收益的肯定是消费者,QQ医生也一定会延续QQ拼音与QQ影音的无广告特点,且看360安全卫士如何招架。测试过程中的一个小插曲是退出QQ医生的时候迅雷CPU占用率瞬间100%,不知道是否是个例。

  来源:读者xjp投稿,原文地址

2009年9月27日星期日

Facebook整合FriendFeed推出Tornado

  据国外媒体报道,Facebook周三晚间召开产品推介会,向开发人员介绍其新款开源网络服务框架Tornado。

  吸引开发者

  本月早些时候,Facebook发布了开源网络服务器框架Tornado,该平台基于Facebook刚刚收购的社交聚合网站FriendFeed的实时信息服务开发而来。周三晚,Facebook高级开源项目经理大卫·雷克顿(David Recordon)和产品总监布莱特·泰勒(Bret Taylor)共同主持了一次产品推介会,向感兴趣的开发人员介绍Tornado。

  泰勒此前曾担任FriendFeed公司CEO,他在推介会上表示,早在收购FriendFeed之前,Facebook就已经开始计划Tornado了。他说:“加盟Facebook后,我们觉得这是一个很好的机会。”

  本次推介会的内容非常技术化,但其主旨是:如果你想要进行实时信息处理,Tornado一定适合你。而且Facebook最近的一些观点表明,实时网络并不仅仅是Facebook的发展方向,也是整个行业的未来趋势。

  泰勒表示,Tornado是用Python编写而成,而且采用开源方式,对于实时网络服务而言是一种非常理想的解决方案。他解释道:“FriendFeed是一个实时系统。从根本上讲,任何一个FriendFeed的活跃用户都可以与FriendFeed的服务器保持开放的联系。”

  对抗Twitter

  Facebook几周前刚刚收购了FriendFeed,并借此获得了一批优秀人才和顶尖技术,这些技术可以用于发展实时网络。虽然目前还不清楚Facebook将如何处理FriendFeed,但凭借FriendFeed在实时网络领域的技术,Facebook可以开发新的实时功能,同时提升现有的平台。

  对于Facebook而言,开源技术无法带来任何财务收益,但此举可以吸引更多开发者加盟Facebook社区,从而在与Twitter的竞争中获得一定的优势。目前Twitter在实时网络领域占据多数份额。

  在谈到为何使用Python时,泰勒表示:“我们希望寻找一种足够优秀的语言,以便实现所有的功能,与此同时,还要保证这种语言要为开发人员所熟知,以便代码能够被很好地理解。Python的确拥有很多缺点,我希望他能够像Javascript一样具备很多实时的功能,但尽管如此,Python在实际应用中还是非常优秀的。”

  在被问及将有哪些Facebook功能被整合到FriendFeed中时,泰勒表示,目前还没有实质性的计划。但他透露说,在以前的FriendFeed团队中,经常谈论的一项功能就是Facebook Chat即时通信客户端,因为该功能很明显具备实时特性。

  Tornado因为过多使用了一些专有技术而备受开源社区指责,但Facebook的确以开源形式向外界提供该技术的代码。Facebook一年前推出开发者平台时,大部分代码也以开源形式提供。

  点击下载tornado:http://github.com/facebook/tornado

2009年9月26日星期六

Google Chrome Frame让微软没有安全感

  首先我们要知道的是Google在9月23号推出了一款名为“Google Chrome Frame”的浏览器插件,这款插件的神奇之处是可以让你的Internet Explorer 6、7、8浏览器,享受与Google Chrome浏览器一样的速度,当然也包括了对HTML5在内的各种最新WEB技术的支持。

  微软为什么没有安全感

  对于Google突然来的这么一手,微软感到很惴惴不安。Internet Explorer的安全性、性能以及对新技术的支持一直以来都受到诟病。尽管Internet Explorer 8已经有了大幅改善,但是面对竞争对手们一两个月就推一个新版本的速度,估计微软的开发团队是开着奔驰宝马也跟不上。本来应付来自Firefox、Opera、Safari、Google Chrome的竞争已经很吃力,突然冒出的Google Chrome Frame更是让了IE们感受到了前所未有的危机感。

  先是Google Chrome、然后是Google Chrome OS、现在又是Google Chrome Frame,毫无疑问Google已经将微软当作自己前进必经的一块踏脚石。Google Chrome向依靠捆绑获得垄断地位的Internet Explorer发出了挑战;Google Chrome Frame的目的是则暗渡陈仓,方便用户的同时也让用户潜移默化感受到Internet Explorer的落后与Google Chrome的优秀,发展潜在用户;至于Google Chrome OS更是向微软的地盘操作系统发起了挑战,叫嚣要革了微软的命。

  今天的一个消息是微软称Google Chrome Frame让IE的安全性变差,但是错词不由让人产生联想到Google Chrome Frame是让微软的安全感变差,无论谁遇到这事儿都不能好受,对手都逼到家门口了。

Chrome

  微软面临的艰难抉择

  微软自然感觉到背后阴风阵阵,如果自己真的在浏览器领域率先败下阵来,后续的竞争自然缺乏足够的士气。尽管Google无论是在浏览器还是在操作系统领域都还难以威胁到微软的地位,但是IT行业的事情谁知道呢,稀里糊涂倒掉的巨头已经一大把,微软可不愿意成为可怜的Loser.

  以前就有讨论过Internet Explorer 8可能会是微软最后一个使用Trident引擎的浏览器版本,未来微软将可能转向WebKit或者Gecko等更为先进的浏览器内核,Trident内核已经成为制约Internet Explorer发展的镣铐。

  但是更换内核并不是一件小事情,会影响到太多的用户使用,所以微软在更换内核的时候必须考虑到向下的兼容性,以避免用户纷纷扰扰的抱怨。这莫非就是传说中的带着镣铐跳舞?也许微软以前还在犹豫,但是Google Chrome Frame的出现无疑给微软一个强有力的警告,竞争对手并不会给你思考的时间。

  来源:读者xjp投稿,原文地址

2009年9月25日星期五

Facebook更像Google还是更像Yahoo?

  众所周知,两名大学生建立了网络指南信息库,之后发展成为访问量最大的网站。几年以后,另外两名大学生开发了一个搜索引擎,并且只专注于一个目标:成为所有人的唯一搜索引擎。结果该搜索引擎公司取代第一家公司,变成了世界上最受欢迎的网站。

  当然,这两家公司就是雅虎和Google。而目前在社交网站领域正在上演着相同的故事,Facebook饰演Google,Myspace饰演雅虎。但不同的是,第二个故事中引入了第三者,Twitter。有了第三者的加入,我们已经很难分清楚Facebook到底是在走上类似Google的康庄大道,还是走上类似雅虎的羊肠小道?

  背景: Google和雅虎的历史

  Google和雅虎走的是两条不同的路。雅虎从组建公司到IPO只有短短的一年时间,之后迅速开始了一系列的收购。雅虎离开其网页目录/搜索主业,走上了多元化发展的道路。1997年雅虎收购Rocket Mail,发布了雅虎邮箱;1998年雅虎收购Classic Games、Sportasy、Viaweb和Webcal,分别成为了雅虎游戏、雅虎体育、雅虎商城和雅虎日历;1999年雅虎57亿美元收购Broadcast.com,36亿美元收购GeoCities。雅虎每年都在收购,没过多少年,雅虎就拥有了俱乐部、信息板、新闻、即时通信、聊天室。雅虎门户战略创造了无数的产品(包括自己开发或者收购的)。

  与此同时,1998年Google创立,而直到2001年才开始了第一次收购(收购Deja,之后变成了Google Groups),2003年之前Google只进行过两次收购。Google花了6年时间才上市,并且一直专注于搜索领域。在创立数年之后,Google才开始发布与搜索无关的产品,例如Blogger(收购于2003年)、Orkut、Gmail(2004年发布)、Google地图、iGoogle、Google阅读器、Google分析(2005年发布)。此时,Google已经牢固地确立了搜索引擎老大的地位。

  在早期,Google就只专注于一个目标:成为互联网上最好的搜索引擎。

  Google联合创始人谢尔-盖布林(Sergey Brin)在1999年的一份新闻稿中表示:“我们的使命是提供互联网上最好的搜索体验。我们做的所有事情(包括优化页面设计、提高相关性和可扩展性)都旨在提供最精确的搜索结果。”

  专注的结果就是,Google发展成了互联网上最赚钱、最强大、最受欢迎的网站之一。而雅虎虽然目前还拥有不少流量,其缺乏专注导致了市值蒸发,导致了许多雅虎高管和工程师离开该公司,并使雅虎在高利润的搜索市场失去了竞争力。以致于2006年,雅虎首席财务官表示他们已经在搜索领域放弃了和Google的竞争。

  Facebook的故事

  即使是没有直接见证Google和雅虎故事的人,也可以感觉到似曾相识。而最近Facebook超越Myspace成为社交网站的老大,和上面简叙的故事太过相似。

  Facebook也是由一群年轻大学生创立的,在最初的几年里专注于它的核心产品(社交网络)。在相当短的时间内,Facebook已经发展成为世界上最大的社交网站,甚至是互联网上最大的网站之一。这种比较不是很准确,但是这样的类推似乎也有一些意义。

  最大的不同是搜索引擎领域主要是两家公司在竞争。Ask和微软并没有真正形成有力地竞争。而社交网络领域还有一个第三者:Twitter。当把Twitter加进来仔细研究,我们就会发现,Facebook有可能走上雅虎的下坡路。

  “花生酱”宣言

  2006年,雅虎高级副总裁布拉德-加林豪斯(Brad Garlinghouse)发表了一个被称为“花生酱宣言”的文章。文章中,加林豪斯对雅虎做出了严厉的批评,认为雅虎缺乏专注、缺乏“凝聚力”、缺乏“明确的责权分工”,并且犹疑不决。

  加林豪斯写道,“我们失去了赢得胜利的雄心”,并指出雅虎产品线太长,冗余产品过多。加林豪斯把雅虎的战略比作“在面包片上涂抹花生酱”,但是涂得太薄了。对于当时互联网上拥有最多用户的公司来说,雅虎迷失了发展方向。

  过去一年多时间里,Facebook看上去似乎也在“涂花生酱”。Facebook增加了群组、活动、粉丝页面、礼物、市场、聊天功能,更别提Facebook应用程序平台上无数的第三方应用了,变得臃肿不堪了。

  这些功能互有得失:“市场”功能从未取得成功,而“活动”是同类中最受欢迎的一项功能。但是从一个普通用户的角度来看,Facebook过度膨胀是显而易见的。浏览Facebook网站变得复杂了,网站的隐私设置很繁琐,而且有很多重合的服务(像页面、个人主页、群组)同时存在。在外人看来,Facebook似乎某种程度上正在采用雅虎业已失败的战略:“尝试任何事情,看看哪个好?”

  另一方面,Twitter给人一个很Google的感觉。和Google的理念(网站只需要最必要的核心元素)一样,Twitter只留下社交网络的基本形式。现在是创立后的第三年,Twitter已经建立起了一个简单的大众传播平台,并且一直专注于完善和改进核心服务,如同Google多年来一直专注于搜索产品一样。

  Facebook的未来尚不确定

  当然,Facebook并没有像雅虎在2006年那样过分扩张。那时候,加林豪斯指出了雅虎8个不同的冗余产品(也就是说,雅虎自己的产品互相竞争)。这个问题Facebook目前还没有。同时,Facebook也没有开始通过大量收购走多样化发展的道路。

  Facebook仍然是社交网站的老大,像Facebook Connect这样的产品能够巩固他们的地位。

  不过,最近Facebook的一些大动作(显然是受到Twitter的启发,甚至在某些程度上会和Google竞争),例如发布实时搜索引擎,增加@功能,发布Facebook Lite,让人感觉到Facebook开始有点像雅虎了。虽然目前Facebook仍然和Google有着更多的相同之处,但是Facebook是一家存在身份认同危机的公司。Facebook完全搞不清楚它想成为全功能的社交网站、应用程序平台、身份验证平台、微博客平台、实时搜索引擎还是其他什么。

  要说Facebook最近的举动很绝望,这是不对的。但是Facebook未来一两年的动作很重要,将决定它是未来的Google,或者是未来的雅虎。 

  来源:读者鹿剑波投稿,搜狐IT翻译。英文原文:Is Facebook Like Google, or More Like Yahoo?

2009年9月24日星期四

Google推出Sidewiki服务

  Google今天推出一项名为Sidewiki的新服务,安装支持Sidewiki的Google工具栏的用户,可以在网页侧边栏发表评论,以此达到不同网站可共享评论的目的。这是Google工具栏的一项新功能。

  此前,一些小公司也曾推出过类似功能,但没有获得太多的关注。Google表示,Sidewiki具有一些独特的功能。例如,Google使用一种复杂的算法对评论的质量进行排名,排名标准包括作者的权威性、用户的推选以及内容的相关性等。只有高质量的评论才能出现在页边栏中。Google表示花费了大量的精力,以确保排名的准确性。当然,Google的Sidewiki还拥有一项最强大的武器,即Google工具栏的数百万用户。

  Google表示,Sidewiki还可以将用户就相同内容发表的评论发布在不同的网页上。例如,一条评论可以出现在多个引用了这句话的网页上。同时,Sidewiki还接受视频内容,并可以通过Facebook和Twitter等服务与他人分享。

  点击访问Sidewiki: http://www.google.com/sidewiki/