大公司更該重視網站安全

在 PCDVD 網站中又看到大公司的網站被植入木馬（PCDVD BenQ 官方網站被植入特洛伊病毒???），加上先前研勤-Papago 網站也曾被植入木馬，就為這些公司不重視網站安全感到納悶跟嘆息！

其實這兩個案例都不是網站真的被植入有害的木馬，只是單純的網頁被替換掉而以。可是對流覽該網站的用戶而言卻莫名其妙的受到傷害，追根究底只是這些網站管理人根本不在乎、不重視網站安全所導致。

怎麼檢查自己的網站有沒有被替換過呢？雖然說目前的網站超過半數以上都是動態產生，每時每分每秒的輸出都不盡相同，但至少可以做兩種檢測動作：

1. 設法取得網站上的原始檔案與偵測系統中的記錄做比對。
2. 檢查網頁輸出原始檔中是否有來歷不明的 <iframe> 項目，以研勤和 Benq 而言，都是在網頁末端被加上了 <iframe width=0 height=0 src=http://.....></iframe> 的內容，而 src 所指定的檔案通常並非檔名所列的 .htm 檔，並且因為該檔案只會影響 Internet Explorer Browser，所以木馬本體應該是一個 ActiveX 元件，如下：

Benq 上被植入的木馬內容

ada@server ada $ wget http://www.szadk.com/new.htm
--00:34:00--  http://www.szadk.com/new.htm
           => `new.htm'
正在查找主機 www.szadk.com… 66.197.186.150
正在連接 www.szadk.com66.197.186.150:80… 連上了。
已送出 HTTP 要求，正在等候回應… 200 OK
長度：1,994 text/html
100%[====================================>] 1,994         --.--K/s
00:34:01 (617.79 KB/s) ─ 已儲存‘new.htm’[1994/1994])
ada@server ada $ file new.htm
new.htm: MPEG ADTS, layer I, v1,  96 kBits, Stereo
ada@server ada $

在這些網站管理人改善前，使用者也可以透過使用其他流覽器進行消極的預防作業，例如 Mozilla Firefox等。不過請注意一點： 並不是不使用 IE 就一定不會受到木馬感染 ，那是需要個人建立起良好的衛生習慣後才可能讓風險降至最低的！

辦個團購也能惹一身腥？

目前超熱門的 Dell 2405FPW UltraSharp LCD 顯示器在各顯示設定專門討論區中引起一片熱烈迴響，有些人為了取得最低價格自願辦理團購卻惹來一身腥（參見 PCDVD [團購]DELL 2405FPW 讓大家久等了!!）。

被質疑的部份是若要開發票需再加 5% 稅金，從而導致價格多出約一千多元。於是有人就質疑這多出來的錢根本就是團購主辦人賺去的，以預定 50 台出貨量而言差不多可以賺上 7～8 萬元。

個人的感覺是：

1. 團購並不是打打電話收收錢就算了事，收錢、資料整理/傳遞、交貨狀態等等等的問題才是花上最多時間、也最麻煩。
2. 提出質疑的人是否曾和 Dell 詢過價？知道 Dell 的報價是多少嗎？有遇過供應商報完價卻不給報價單的情形嗎？這時候要怎麼和供應說爭取相同的優惠呢？沒遇到前真的不會知道原來問題有這麼複雜… :(
3. 一次團購可以省下多少群小朋友呢？把團購搞砸了會比較好嗎？
4. 別和小朋友過不去，若不信任團購主辦人就自己去和 Dell 詢價進貨，看看在少量的情形下能爭取到多少價格！

還好我沒有這一種熱忱！

ps: 看到後來發現… 連公司申請解散的資料都 po 出來了… 呵呵… 還好我沒有這種熱忱… :p

我誤會檢方了

老曹前幾天又出招，說明他自己問心無愧，要聯電員工安心工作；同時也批檢方背景有爭議。

沒想到檢方不出聲並不是因為扁宋兩有私會，僅僅是因為偵察不公開之故，我還真的誤會檢方了… :p

其實仔細想想，那一個犯罪的人會認為自己有罪？博達案中的葉素菲不也是自稱一切合法？同案關係人鄭淑敏不也自認為是無辜的，結果逃到國外就不回台灣了？聯電/老曹會不會又是一個例子呢？天知道...

一路發展到現在，工程界已有人提出台灣甚至可能因為聯電造艦案而受瓦聖納協定各簽約國抵制，只要查證屬實，屆時台灣恐怕因為各國不再與台灣分享精密高科技內容而不再具有代工優勢。當不幸走到這個地步時，全台灣人民要找誰算帳呢？

個人覺得… 強烈要求開放晶圓登陸的國、親、新三黨有責任；同意開放晶圓登陸的民進黨政府無能免責；而壓死駱駝的最後一根稻草則是聯電和艦案吧…

現金卡發卡浮濫 立委籲修法管理

終於有人知道慘了… Google News

除了發卡浮濫外，不過我更希望新聞局能管管現金卡、貸款代辦之類的廣告，特別是橋痔汗馬力卡的廣告，還是以借錢容易為其訴求，變相鼓厲大眾多多使用現金卡。

至少像中國信託 Wish 卡和台新銀行的 Story 卡的廣告都已將訴求改為臨時急用了，只有橋痔汗馬力卡還是堅持借錢容易，還錢難啊...

啥？你說華南銀行？你是說華南籃球隊嗎？

電信法修正後，個人可調閱名下通聯記錄

電信法修正之後，每個人都可以調閱自己名下各門號的通聯記錄，不過價錢很奇怪：行動通訊用戶收費上限 402 元；固網用戶收費上限 2967 元。

個人覺得這個價錢太貴了，很像是 雖然政府宣示開放提供相關查詢，但建議你不要去查 的感覺…

1. 對系統商而言，調閱通聯記錄是現有對檢警單位所提供的一項服務，並不是額外新增的服務。
2. 調閱通聯記錄不可能須要人工比對，因此不須投入過多的人力。也不應該有電總所言 市話因為用戶多、費用更高 的問題，最多是多花一點時間而以。
3. 個人認為這應該與申請通信明細一樣，一天 1~200 元搞定甚至免費才對，當然急件可以收高額費用。

HINET 乃亞洲垃圾郵件之王

HiNET 被立委質疑是亞洲垃圾郵件之王，相關資訊可以從Google News上查到。

1. 因為 HiNET 的放縱已導致即使不是透過 HiNET 各郵件主機寄信的個人郵件伺服器同遭國外各 AntiSpam 組織一併封鎖的情形。我在另一個丟臉到國外的例子及詢問有關我的 IP 被 Blocked 的回信等文中曾說過個人碰到的情形。
2. 除了設法阻止用戶大量發信外，HiNET 還有另一個要注意的問題：拒收寄入的垃圾信。就個人使用 AntiSpam 等組織提供的 Realtime Blackhole List(RBL) 就可以讓每日直接送到我 Mail Server 的信件就低於 5 封，再加上 SpamAssassin 過濾器輔助後，連同 HiNET 轉進來的信件則低於 10 封。其實或許該說被 SpamAssassin 擋下來的信幾乎都是透過 HiNET 信箱而轉寄回來的。我很難想像若我沒自己做這個過動作的話，那每天得花上多少時間去判斷那 300 ~ 500 封的信呢？
3. 個人在阻擋垃圾信時，先要求該 Mail Server 必須設定 DNS 反解，否則先拒絕再說（不過 M$ 倒是喜歡用不具名的 Mail Server 去寄送一些認證訊息的東西）。
4. 再來透過 SpamAssassin 將已知、未知的垃圾信特質予以過濾，篩選出可能為垃圾信之部份並於主旨處標上 SPAM 字樣。

聯電造艦，到此為止？

坊間突然傳出 聯電事件，到此為止 的消息；同一時間曹興誠隨即閉嘴；另一方面扁宋會時程忽然確定。

這一連串的巧合讓人很難相信聯電造艦案背後沒有政治力的介入，也難怪在野黨動不動就批評政治介入司法，更能理解為什麼前陣子花蓮車禍打死肇事者事件中，肇事者家屬為什麼會上書陳水扁要求主持公道了。

政府的各項作為，不論是國民黨還是民進黨都一再的讓人民感覺到： 出了事，找民代；有本事，當民代 。台灣的司法制度啥時可以讓人民信賴呢？

使用 Java 對 ActiveDirectory 進行認證

使用 Java 對 ActiveDirectory 進行認證

相信大部份的企業中還是以 Microsoft Exchange Server 2000 或以上版本作為公司的 EMail 服務系統，因為 Exchange Server 2000 可以快速的提供身份認證、郵件服務、行事曆、以及通訊錄服務。本篇以一個簡單的程式碼說明如何使用 Java + JNDI LDAP provider 透過 ActiveDirectory 進行身份認證。

• 其實提供身份認證服務的是 ActiveDirecory 目錄服務系統，和 Exchange Server 是沒有關係的。但是因為在建置 Exchange Server 時會透過 ActiveDirectory 目錄服務記錄使用者相關資訊，才會有 Exchange Server 可以提供身份認證的錯覺。因此以下說明的測試只需 ActiveDirectory 存在即可。

在進行測試前，請先安裝 JNDI LDAP provider 並完成所附程式的編譯作業後，即可進行測試。測試的方式為： java -cp . test.ADAuth email password 看 isLogon 結果為 true 或 false 即可。

完成認證後，可透過建立的 目錄服務 物件擷取更多的 LDAP 目錄訊息，不過目前還在測試中… :p

ADAuth.java 源碼列表

package test;
import javax.naming.*;
import javax.naming.directory.*;
import java.util.Hashtable;
/**
 * 建立一個透過 ActiveDirectory 認證過的使用者物件
 *  
 * @author Ada
 */
public class ADAuth {
  /**
   * @return 認證是否通過
   */
  public static boolean login( String email, String password ) {
    /** LDAP 環境變數 */
    Hashtable env = null;
    /** 目錄 */
    DirContext ctx = null;
    /** 認證狀態 */
    boolean logged = true;
    env = new Hashtable();
    env.put( Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");
    // 記得修改 ActiveDirectory 實際提供主機位址
    env.put( Context.PROVIDER_URL, "ldap://active.directory.server:389");
    // 使用 username + password 進行認證
    env.put( Context.SECURITY_AUTHENTICATION, "simple" );
    // 使用者的完整 email ，也就是 AD 中的 ${sAMAccountName}@your.domain.name
    env.put( Context.SECURITY_PRINCIPAL, email );
    // 認證當時的密碼
    env.put( Context.SECURITY_CREDENTIALS, password );
    try {
      // 若可建立目錄物件，即表示完成登入
      ctx = new InitialDirContext( env );
      logged = true;
    } catch( AuthenticationException authe ) {
      // 授權失敗
      logged = false;
      System.out.println( authe );
    } catch( Exception e ) {
      // 不明錯誤
      System.out.println( e );
    } finally {
      try {
        // 記得把目錄關閉
        ctx.close();
      } catch ( Exception Ignore ) { }
    }
    return logged;
  }
  /**
   * 主執行程序
   * @author Ada
   */
  public static void main( String[] args ) {
    // 一定要 email + 密碼才能登入		
    if( args.length == 2 ) {
      System.out.println( "is Logon? : " + login( args[0], args[1] );
    } else {
      System.out.println( "EMail/Password not initialed!" );
    }
  }
}

簡化字的背後

從 BBS 上看來的，瞭解一下簡體字的歷史也不錯！

簡化字的背後

謹慎留意銀行的即時簡訊

早上還在睡夢中時，忽然聽見一聲 "喔喔"… 這不是 ICQ 的來訊，只是手機收到一通簡訊而以… :p

賴床 20 分鐘後，發現雨聲實在很吵只得無奈起床，順便檢視一下究竟是那個混蛋膽敢打擾我的休息時間。一看乖乖不得了，原來是台新銀行通知有刷卡消費...

刷卡消費？不會吧！我在夢中又沒刷卡也沒幹啥，怎會有消費記錄？馬上去電台新銀行瞭解狀況，確定早上八點左右的確有過卡記錄，馬上辦理疑議帳款處理並掛失信用卡。銀行告知若午夜前可以確認該筆消費是正常的就可以取消掛失程序；否則將控管該筆款項並向過卡單位調閱簽單。除非發現該消費的確是持卡人所消費，否則不收任何費用。

所以日後收到來自銀行的通知訊息時，可以執行以下作業：

1. 確認訊息來源：訊息中若含有任何聯絡電話者皆不算是官方消息。
2. 確認過去 24 小時內有無消費記錄。
3. 若無消費記錄，則立即與銀行客服聯繫，直接詢問過去 24 小時內有無任何消費記錄（不用費心去問訊息的正確性，我們要知道的只是有無消費記錄）。
4. 若有不明過卡記錄，請向銀行提出暫停止付該款項之申請。各家銀行的實際作業程序或有不同，但都會對該款項進行控管；並且在收到請款申請時與消費者確認是否曾在請款商店進行消費。
5. 在 60 ~ 90 天後（國外消費）若銀行沒有回應，應再主動於銀行確認乙次。

Taxi 計程車女王

剛看完這部電影，只有一種感覺：抄的好嚴重...

不過也算是有幾點調整啦…

1. 主角換成女的，不過那個耍寶的角色仍然是個男的。
2. 那個笨笨的警長改成女的，而且也精明許多。
3. 把犯罪集團改成 4 個身材火辣的美女。
4. 犯罪集團換裝車輛的方式比較洗鍊，因為用貼紙做車身偽裝；人員脫離現場的動作也比較快速，因為把美女們的外衣全剝下來燒掉就夠了。前後不用 5 分鐘！

明顯抄襲的部份：

1. 車手都是原快遞員。
2. 都用計程車為晃子。
3. 都碰到一個笨警察，並因此不得不幫警察的忙。
4. 車手本身都有一個情人，也都有一些誤會。
5. 都和犯罪集團賽過幾次車。
6. 都被犯罪集團捉去過。
7. 都因為犯罪集團的車輛進行改裝後，突然找不到犯罪集團的車。
8. 都在最後察覺犯罪集團的手法並加以攔捕。
9. 都把犯罪集團騙去未完工的高架橋上。
10. 最後都加了一場正規賽車。

比較：

1. 法國版主角的資源比較豐富，因為有個當將軍的未來岳父！
2. 美國版的容易吸引男性觀眾，因為犯罪集團和警長都是辣妹！喔… 身材真的好啊...
3. 法國版的比較好笑，因為有個成事不足的笨警長！
4. 法國版有三集，美國版應該不會出第二集了！

Popup Killer Test

因為 Mozilla@Taiwan 又在討論 Mozilla Firefox 的安全性，於是 Popup Killer Test 這個網站又再度被提出。

覺得好笑的是第 12 個測試，好笑的原因是： 在 Linux 的 GNOME 2.8 上看到 Windows XP 的視窗！

這個測試被該網站認定為必須加以禁止，可是個人認為針對此類使用 <DIV></DIV> 方式所創造出來的區塊是否可以禁止有很大的疑問：如何確定該 <DIV> 是有惡意的呢？可不可能錯殺忠良？

<DIV> 是網頁元素的一部份，在無法判別是否具有惡意前，Popup Killer 不應該自行禁止該 偽視窗 的出現，所以個人認為這項測試有問題！

擷圖參考：

1. GNOME 2.8 的畫面擷圖可以參考 GNOME 2.8 user screenshot
2. GNOME 上的 WindowsXP 可以參考 ScreenShot

聯電登陸？

最近檢方大舉搜索聯電，起因為聯電與和艦暗通款曲；台聯更召開記者會直指曹興誠脫不了關係(參閱：Google News)。

我本來就反對開放通商，晶圓登陸也在國際間造成一定程度的質疑，但台灣這些大廠商就是喜歡協助大陸培訓精密技術能力… 我想問的是… 等到大陸擁有精密技術能力之後，台灣廠商還能拿啥去和人家競爭？比人頭… 輸；比技術… 沒有贏；那台商還剩什麼可以比啊？

也許股市投資人會很不爽，不過我贊成好好查查兩大電子龍頭私自登陸案…

JAVA JNDI 1.2

剛剛到 Sun 的網站去查 JNDI 1.2 Service Providers，它… 它… 它… 它竟然支援讀取 Widnows Registry 了耶...

要在 Windows 環境中利用 Java 做一些高階應用 ( 有多高階？哇啊哉… :p ) 愈來愈容易了… :D

咦？有兩種 providers 可以存取 Windows Registry … 不過似乎需要放置一個非系統現有的 DLL 檔，這… 有應用上的困擾啦… :(

/etc/xinetd.conf

/etc/xinetd.conf

xinet 預設安裝時，預設僅限於本機使用。要取消此限制請編輯 /etc/xinetd.conf 將 only_from = localhost 一行予以註解掉。

/etc/xinetd.conf

# Sample configuration file for xinetd
defaults
{
#       only_from      = localhost 
        instances      = 60
        log_type       = SYSLOG authpriv info
        log_on_success = HOST PID
        log_on_failure = HOST
        cps            = 25 30
}
includedir /etc/xinetd.d

另外，/etc/xinetd.d 中有許多可以透過 xinetd 管制的服務，將 disable = yes 改為 disable = no 即可！

vixie-crontab 權限設定

vixie-crontab 權限設定

vixie-crontab 預設安裝下是僅限 root 使用的。要開放給特定使用者能用必須確定以下幾件事：

1. 該使用者必須屬於 cron 群組。
2. 確定 /etc/cron.allow 及 /etc/cron.deny 檔內容是否限制了該使用者的存取權。
3. 採正向表列的話要在 /etc/cron.allow 中設定。
4. 採負向表列的話則在 /etc/cron.deny 中設定，而且這個檔案一定要存在。

以上，被搞了兩天的 Ada 留！

神喻

這次回家過年，依慣例受到各路人馬交相詢問親蜜愛人的問題。每年問，也每年搖頭的方式倒也成了過年期間的例行公式。

每年固定出現的各路人馬中，有一個比較特別的角色。雖然外形上看來和我老爸同一個模樣，但是卻操著怪怪的北京腔國語；也許你會說他是乩童，但通常我們會敬稱祂為師父。祂俗名為李修緣，可是說到西湖靈隱寺-濟癲或許知道的人會比較多，更通俗的稱呼則是 濟公 。

這裡不爭執是否為怪力亂神，反正古今中外都有不可證明的神秘事件。是巧合也好，是神蹟也罷，那都和今天要講的事情一點關係也沒有… :p

忘了自那一年起，每年回家過年必然被召喚到神桌前聆聽神明的教誨（通常還不止一遍，因為神明真的不只一個）。神喻的內容除了該年度須特別注意的重點事項、身體健康管理之類的一年運勢分析外，還會包含有功德積福報、孝敬爹娘之類的期許，然而這個話題總會接上這麼一段主旨永不改變的對話：

• 神：要孝順爹娘啊！
• 我：是。
• 神：你知道什麼最不孝嗎？
• 我：呃？
• 神：你老媽真的很想抱孫子啊...
• 我：...
• 我：可以順便對我弟說這句話嗎？
• 弟：咳咳… 兄長未娶，為弟不敢造次...
• 娘：...
• 我：...
• 娘：師父啊，麻煩你跟月老關說一下嘛...
• 神：我又不管姻緣...
• 娘：你不是跟月老很麻吉？
• 神：可是我不管姻緣啊...
• 神：不過還真是奇怪哩，你長的又不差，怎會沒人看的上眼哩？
• 我：哇啊哉...
• 神：其實你不表白，人家怎麼知道你喜歡她哩？
• 我：呃… 請問我要向誰表白啊？
• 神：這就要問你囉...
• 我：？？？
• 娘：師父啊，記得跟月老關說一下嘛...
• 神：問題在於婚姻這種事怎麼能用關說來解決哩？
• 我：...
• 弟：...
• 娘：搞不好可以插個隊、先處理啊...
• 神：...
• 我：...
• 弟：...

今年的對話比較奇怪，省去上面這些對話直接切入重點：

• 神：這個月你要特別注意、小心喔。
• 我：是！
• 神：今年是你的婚姻年喔！
• 我：啥？
• 弟：對耶，記得去年師父好像有提過...
• 我：可是我怎沒印象？
• 娘：師父有向月老關說了啊？
• 我：所以師父的意思是要我這個月多注意女人啊？
• 神：不！是指生活方面要特別注意、小心。
• 神：嗯，不過多注意女人好像也沒錯...
• 我：有沒有搞錯啊？連對象都沒個影子也能稱為婚姻年喔… @@!!
• 娘：這種事很難說的啦...
• 我：...
• 弟：...
• 娘：師父啊，要幫我們家小弟子找個好媳婦喔...
• 娘：只要對方懂得持家，不嫌棄、不輕視我們這些貧苦人家就可以了...
• 神：你條件太多了吧？
• 我：嗚嗚嗚… 你們還沒問我的條件哩...
• 娘：拜託… 你還敢有條件喔？
• 我：(心內話)… 我… 我只想看看有沒有機會找個像林志玲這類的名模嘛… 不過我不要那種嗲嗲的聲音就是了...
• 我：(心內話)… 對了，像幸運女神事務所中的蓓兒丹娣的話… 好像更好… 雖然不知道都是神，會不會吵架… :p
• 我：(繼續心內話)… 還有，要能幫我打理門面… 別再像現在為了怕反效果都直接打領帶過日子...
• 我：(無止境的心內話)… 啊… 看了料理漫畫後，好想吃的便宜又健康喔！一定要煮飯給我吃喔...
• 我：(驚訝不已的心內話)… 靠… 原來我潛意識中的條件有這麼多喔… -.-! 這不是真的… 這不是真的… 這不是真的… ( 默念一百次中… )
• 神：這與我無關啦...
• 娘：師父一定要幫忙喔...
• 神：與我無關，與我無關...
• 我：...
• 我：救人喔… 好歹給個方向吧？

其實神明的一些預言並非是第一次聽到，就現實面而言也只當是一種期許而非必然的結果。但是對於婚姻感情這種事情突然由過去不明確表示的態度轉變為肯定語氣卻是第一次，也不禁讓我有所懷疑 -- 我，養的起一個家庭嗎？

過去由年少不懂事，所以在理財方面跌了一個大跤。雖然去年總算完成了債務整合作業開始一點一滴的 真正 償還過去錯誤的理財方式所欠下的債務，但算一算如能沒有意外也還要四年才能還清。現實生活中能留下來當生活費約莫二萬上下，以這些生活費而言是否能負擔一個家庭基本所需，個人是持保留態度。在這種條件下我是否該接受所謂婚姻年的召喚，其實蠻令人傷腦筋的。

話說回來，即使有這項考慮因素，我還是期昐早日覓得共渡一生的伴侶。人類是天生群居的動物，一個人的生活即是空虛並且苦悶，尤其在某些奇怪的節日時會更顯無助。

Mplayer 我真搞不懂你啊！

講了很久的，要撤除原 Athlon-MP Server 的事，終於在今天正式落實。當然，有一堆設定要重做！

搞了一整天後把 Xorg 的 DRI 設起來了，卻在想看動畫時又在 MPlayer 的字幕顯示上跌了一跤… orz

還是簡單寫一下記錄好了，不過即使這些設定都做了，有時還是會出一些狀況出現…

1. 到 MPlayer Font FTP 中下載中文字型檔，個人比較喜歡中繁楷 字型，將字型解壓會得到兩個目錄：bkai00mp16及bkai00mp24，這表示兩種字體尺寸。通常我會選擇字大一點的以免傷眼睛就是了。
2. 將 bkai00mp24 目錄搬到 ~/.mplayer/ 下並改名為 font/ 。放在這邊的好處是可以避免昇級 MPlayer 時被蓋掉字形檔的設定。
3. 執行 MPlayer 時使用 -unicode 及 -sub 方式載入字幕檔，只要看到以下訊息即表示已載入字形資料。

   Font /home/ada/.mplayer/font/font.desc loaded successfully! (14064 chars)

4. 這樣就 OK 了嗎？不！不過也許退出 X 再進入後他就會突然 OK … orz...

Blog 裝飾品

在 樂多市場 Roodo! Blog 看到幾個可以用來裝飾 Blog 的小玩意兒，先記錄下來再弄成 SnipSnap Macro ！

1. 【Blog裝潢班】email圖示的製作
2. 【Blog裝潢班】氣象主播@Blog
3. 【Blog裝潢班】多采多姿小時鐘

要注意健康喔

來自 愛麗絲夢遊部落格仙境 的 【補記】營養與人生：讓人生變彩色─肝臟機能的修補與調養！

一定要健康喔~~~