六月 23rd, 2011 | 发表在:网络技术 | 3 条评论 »
一年前给公司买了一个联想商务网盘,399元/年,非常不好用。外链文件强制https访问,不能使用下载工具,文件稍微大点比如100m的下载中途断了的话无法续传,需要重新下载。这点还没导致我放弃使用,最后因为密码重置漏洞导致网盘完全无法使用了,最后选择了淘宝http网盘,一直使用到现在。
联想商务网盘的密码重置漏洞主要在于密码重置流程设计的不合理,联想商务网盘的密码重置流程如下:
用户填写邮箱地址和验证码 > 系统自动重置密码并发送到用户邮箱
一般密码重置流程应该为:
用户填写邮箱地址和验证码 > 系统自从发密码重置链接到用户邮箱 > 用户点击密码重置链接设置新密码
联想商务网盘的密码重置只需要单一邮箱即可进行重置,缺乏用户的二次确认,这导致了其他人只要知道你的邮箱号即可对你账号进行恶意重置。有次网盘被人一天内恶意修改了几十次密码,联系联想的客服人员无果,最后只能跟联想告别了。
今天做部门资产登记的时候再次登陆网盘,发现这个漏洞至今快一年了还未被修复,这个产品真的没救了。
六月 20th, 2011 | 发表在:网络技术 | 7 条评论 »
今天下午突然发现提供给小蚊子的空间流量超标了,平时每个月200M流量不到的小博客怎么会流量超标。第一反应是遭遇DDOS攻击或者是博客上有MP3,马上到cpanel后台awstats日志去看,发现Yahoo的Slurp蜘蛛在15-16日两天访问了9万多次,耗去5.16G流量。真想对雅虎爆粗!
搜索了一下,发现很多人对Slurp意见很大,2008年豆瓣也曾被雅虎蜘蛛整得很苦恼(via)。注意到第三个表有个hits很高,是301 direct,难道雅虎蜘蛛死循环了?如果真的是死循环,应该有一套机制进行监控,而不是维持了两天的,成了一个小型的ddos。
幸好这个主机是放在Homezz上面的,灵活的在后台升级了主机,1分钟就恢复访问了。
五月 22nd, 2011 | 发表在:零散文章 | 11 条评论 »
前两天刚读完《这才是马云》,里面关于团队,关于企业文化,让我感触很大,建议朋友们也读读。下班时间很多人宁愿对着电脑看肥皂剧玩游戏也不会拿起书来读,其实很多时候我也是这样的,年华很短暂,何必生活得这么累人呢?但仔细一想有些后怕,这样的人对于自己的生命是被动的,从来都是靠别人去教去安排自己的人生,也不知道自己究竟要什么样的人生。年华短暂,在与时间的赛跑中,你会用什么武器去塑造你自己呢?
从明天开始对自己的生活做一定的调整:晚上不再用于工作及闲谈,主要专注于读书、写博以及一个有关木头的网站项目。为何要读书呢?为何又要写博呢?因为读书时会带来思考的,而写博客能将你的思考沉淀,这对于初入社会的我是很有用的。而关于木头的网站项目,纯粹是因为我对于木头制品的喜爱,想通过这个项目学到一些行业知识,手工DIY,也给行业做一些资料的沉淀。
这文章估计会火,因为它会一直保持更新。
那些我正在做的事情:
那些我在想的事情:
已实现
未实现
五月 16th, 2011 | 发表在:光影生活 | 5 条评论 »
感谢大家的生日祝福,排名不分先后。
