前些时候不小心错过了Google+的第一轮邀请, 弄得过了好多天才算用上.

Google+ 不同于其他社交网络的一个明显之处是它叫做 "Circle(圈子)" 的好友系统, 与传统的好友不同, 圈子是单向的, 更加灵活. 分享消息时, 也可以选定要分享的圈子, 这样也就更具有针对性. 哎呀, 其实我不是想写一个评述的, 就想说说我用上Google+啦, 很高兴, 嘎嘎嘎.

所以大家可以加我为好友哦, vilic.vane(at)gmail.com. 不过貌似邀请又被关闭了, 可怜的小朋友们.

所以最后就是URL啦 http://plus.google.com/

Original link of this archive: http://www.vilic.info/blog/archives/724
本文的原始链接: http://www.vilic.info/blog/archives/724

ifttt (www.ifttt.com) 刚出来没几天, 但貌似已经非常火爆了, 于是乘此机会, 也向好人要了个邀请码来注册. 那这篇文章算是ifttt的一个最简化简介, 也是我的第一个测试啦.

ifttt是if this then that的缩写, 也就是如果发生了这件事, 那么就做那件事. 它支持很多社交网络或工具, 比如我的WordPress, 刚刚我用它添加了一个任务, 就是如果我的WordPress发了新文章, 那么就在Facebook上添加一个链接. 所以我就发文章来啦.

ifttt最多可以同时开启10个任务, 不过我觉得还是蛮够用了. 嘎嘎.

顺便小广告, 欢迎follow我的twitter, http://twitter.com/vilicvane, 还有就是在Facebook上加我为好友 i(at)vilic.info.

Original link of this archive: http://www.vilic.info/blog/archives/720
本文的原始链接: http://www.vilic.info/blog/archives/720

昨天影响颇为强烈的人人网站内信漏洞导致大量用户隐私失窃的事让人很是震惊. 作为国内颇具影响力的SNS, 因为一个很低级的标签过滤问题, 导致如此严重的后果, 实在难以理解. 但事情到了这里, 还只是牵涉到人人的技术问题, 暂且没有上升到道德层面.

很快, 一些网友发表了关于此漏洞的文章, 希望可以引起大家的注意, 进而减小损失, 我也顺势发了一些相关的状态.但令人无法相信的是, 今天这些状态居然被删除了! 平时一些关于政治的状态, 人人你删除一些, 我鄙视你, 但不至于那么鄙视你. 但这个和政治毫无关系的状态, 仅因为陈述了一下这个事件, 就遭到删除, 我怎么就那么地鄙视你呢?

一个朋友提到人人要上市了, 于是似乎它们之间是有关联的. 或许这个事件本身就是竞争对手一首策划的, 人人你中招了就中招了, 居然期望通过阻止言论来保全自己的商业利益! 你这种行为与那什么东西有什么区别?! 那什么东西还可以说是为了和谐稳定, 而你呢? 你的商业道德哪儿去了?

事件发生的时候, 你没能尽快解决问题, 反而期望在之后通过这种侵犯用户权益的手段消除影响. 你让我情何以堪?

我承认因为有大量的同学朋友在人人网上, 我对人人网产生了一定的依赖, 但这并不妨碍我揭露你的行径! 技术赶不上Facebook, 道德又如此低劣! 看清你的前路在何方吧!

Original link of this archive: http://www.vilic.info/blog/archives/669
本文的原始链接: http://www.vilic.info/blog/archives/669

昨天有个朋友给我看了一篇文章, 是关于一段出现在人人站内信中的JS.

当用户点开带有这段<script>的站内信时, 其中的代码将会自动运行, 并采集用户的好友名片信息, 发送到指定的服务器. 并且再给好友发送内容相同的站内信.

不得不说这是一个非常低级的漏洞, 人人的后台居然没有对站内信中的特定标签 (比如这里是script) 进行处理. 很不解的是, 人人的日志上都出现了大量关于此 "病毒" 的信息, 人人却依然没有修复此漏洞, 效率如此低下? 当时的 msg.renren.com 已经出现了不能访问的情况, 一开始我还以为是人人暂时关掉了相关服务并进行漏洞修复, 后来发现问题依旧, 于是之前的不能访问只能说明收到攻击的数量之大, 导致人人站内信的服务器超出负荷. 后来人人是有了一些举动, 但貌似并非是技术层面的, 只是将相关域名加成了关键字. 人人的技术人员哪儿去了?

那抛开这些不说, 谈谈这次攻击的技术方式.

因为一些安全问题, 浏览器对很多种方式的跨域访问进行了限制. 比如不同域的页面之间不能互相访问内容, XMLHttpRequest 跨域会有警告甚至根本不能跨域, 包括 HTML5 里面的 canvas 也做了类似限制. 不过还是有例外, 比如<script></script>, <img />就可以. script 可以获取跨域的信息, 而 img 可以通过 GET 方式发送跨域信息.

这也是这次攻击所利用到的主要信息交换方式.

所以人人的技术水平还有待提高啊, 包括在一些浏览器 (现代浏览器) 里显示也有小问题.

Original link of this archive: http://www.vilic.info/blog/archives/667
本文的原始链接: http://www.vilic.info/blog/archives/667

今天突然发现IE的搜索引擎又被劫持到了百度联盟... 然后很不爽地发现, 那串url非常眼熟, 又是用utf8xxx的形式, 想把劫持者的联盟账号伪装成编码, 以骗过广大人民... 因为之前遇到过, 就很自然地联想到了Qvod Player... 大家懂的. 这款软件通过添加一款IE插件来达到劫持的目的, 所以只要禁用相关插件就可以了. 之前一次, 好像叫Qvod Extend, 不过这次更猛, 直接挂上了Baidu的名号... 弄得我找了半天才找到.
插件名称是{xxxx-xxx-xxx...}这种形式的, 大家找找看, 禁用掉应该就可以了~

Original link of this archive: http://www.vilic.info/blog/archives/626
本文的原始链接: http://www.vilic.info/blog/archives/626