Web 2.0 早已不是什麼新話題。過去的幾年內,知名度高如 Google、Yahoo、MySpace、PayPal 等大站,也都無法完全免疫,而陸續爆發過各種攻擊事件(釣魚、蟲…)。Web 2.0 網站不管是選擇用 AJAX 、Flash,還有逐漸風行的離線解決方案,如 Dojo Offline、Google Gears 、Adobe AIR 等,來提供互動性更高的 UI,只要一不小心,這些 Web 應用出現安全漏洞、被壞人佔便宜的機率,其實是很高的。有時候不僅是自己的 code,而問題也可能出現在第三方提供的現成工具箱、API。
要如何防範?對網站開發人員而言,在過去,對這個主題的探討,往往比較零散,要不就偏學術,要求較高的門檻(例如 OWASP 發表的文獻),一直缺乏系統化,全面性,且深入淺出的探討。不久前終於出了一本好書 — AJAX Security,作者為 Billy Hoffman 和 Bryan Sullivan 這兩位 Web 2.0 安全的專家(過去在零星的安全相關報道中,也常出現他們兩位的影子)。在此強烈推薦這本書,給所有從事與 Web 2.0 開發相關的網友。儘管書名選擇叫 “AJAX” Security,但事實上,除了 AJAX 之外,Flash 安全,甚至於如何將 CSS 這種看似無害、展現層的東西,拿來攻擊的方法,在書中都有深入探討(第十二章)。儘管這樣的書,早該出現,但出版時間晚,反而也做出一些額外的貢獻 — 比較新的科技,如上述的 Google Gears 和 Dojo 離線工具箱的安全弱點,在書中都涵蓋了。希望它盡快能被翻譯成中文,以造福更多大眾。
more »
在七月底 iPhone 即將推出時,曾經看過一個報導(想不起來是在美國商業週刊還是哪了?),其中便引述某分析師的看法,認為當時有許多對 iPhone 在功能方面不完善等等的批評(例如不支援 3G),其實是見樹不見林,沒從遠處、大處來看 - 其實 iPhone 最重大的意義,在於一個全新的迷你平台,可以讓蘋果在它的基礎上,不斷快速孕育出徒子徒孫,大幅增強它在多媒體 smart phone 這個新戰場的競爭優勢。果然,iPhone 甫上市不到兩個月,相信大多數網友也已經看到了,Apple 在近兩週前宣佈的一系列新 iPod 中,出現了一隻 iPhone Touch。
more »
我和胭脂虎的老朋友阿杜伯 (Adobe) 前幾天剛宣佈 Adobe Media Player。簡單地講,其實就是一個類似 Apple iTune 的應用。看起阿杜伯也開始參與爭食數位音樂、Internet TV/IPTV、影/音 podcast 等多媒體的分銷通路這塊大餅,儘管競爭者眾。
Adobe Media Player 比較特別的地方,並非在於和 iTune 或 Windows Media Player 等一樣,也有引人爭議 DRM(以滿足許多思路仍停留在上一世紀的各大內容商);而在於它是建築在 Adobe 年初剛發表、在業界頗引人注目的 Apollo runtime 的基礎上。Apollo 雖然目前仍是 alpha,而正式版得等到下半年、甚至年底才會準備好,但它 1) 同時支援 Flash 和 AJAX/DHTML 的特性(後者目前尚未 ready),加上 2) 跨 Windows、Mac、Linux 三大 OS,還有 3) 對離線應用的支援,是矚目焦點所在。阿杜伯喜歡用 RIA (Rich Internet Application) 來稱呼開發在 Apollo 上的應用,以強調 browser 達不到的一些特性,如可讓設計人員儘情發揮「美」學創意的客製 UI 元件外觀,和離線支援(這點即將改變,下述)。行銷上一定得強調它的「豐富性」,才能對用戶 justify 在 browser 外,再加裝一個 runtime 的必要性。
more »
(當然不是在盼 SARS!)與上一篇相關的是,最近試用透過 3G 手機 (Nokia 6680),將拍攝的照片直接 email 上傳至 Flickr,感覺可用性還很不錯。雖然尚未測試將照片和文字直接透過手機發布成 blog,但由於 Wordpress 等 blog 系統所提供的上傳機制,和 Flickr 沒什麼兩樣,所以類似的使用體驗,應該是可以預期。最近 Opera 新推出專為 smart phones 設計的新版 Opera Mini 3.0,(以 Java/J2ME 開發,所以許多手機都能安裝)。試用後驚喜的發現,不但介面設計比 Nokia Series 60 系統內建的瀏覽器更為貼心(例如瀏覽歷史、整頁上下捲動),還增加了包括 RSS 訂閱器、內建 Google、Wikipedia 搜尋條等 Web 2.0 的支援。我終於可以在上下班的路上,操作著夠簡單順手的瀏覽器,邊走邊閱讀當日的科技新聞,想到什麼就可以隨即搜尋,過隧道不斷線,一路到家。
more »
當初在兩隻老虎安裝 Wordpress 部落格系統時,附帶安裝了一個垃圾過濾 plugin Akismet,具有過濾評論功能,至今已攔截了六百多篇可惡的 spam。但這兩天赫然發現,某些不明原因,導致它的演算法錯將過去幾封來自正人君子、非廣告性的評論,認定為疑似 spam,因此讓這幾封評論遲遲未能發布出來,其中包括這篇關於 geotagging 的 post 中,分別來自於 Charlesc、對 Geotagging 有特別研究和興趣的 CK,及 Vista 等網友,感覺很不好意思。看來以後還是得三不五時去檢查一下 Akismet 的管理介面,看是否又有被錯殺的評論 
。
more »
網路世界的盤根錯節,早已超越科技的範疇,進而延伸到人際關係的領域。像棄 IE,改 Firefox 這種看似單純的抉擇和舉措,有時候掌控力竟然不在自己手上。今天終於領略到 IE 反撲和糾纏的力道。
我剛解決掉一個讓我的 Blog 無法在 IE 呈現出來的問題。感謝 Mandy 和 Renai 二位友人的發現。想都沒想到會有這種狀況發生。除了偶爾遇到被 IE/微軟科技綁死、又不得不進的網站之外,已很少打開 IE 了(這個時候,Firefox 的 IE View plugin 是一大便利)。幸好發現的早,否則這個問題不知道會拖多久,不但讓讀者不得其門而入,搞不好還替 IE 的 bug 背黑鍋。
more »
要如何防範?對網站開發人員而言,在過去,對這個主題的探討,往往比較零散,要不就偏學術,要求較高的門檻(例如 OWASP 發表的文獻),一直缺乏系統化,全面性,且深入淺出的探討。不久前終於出了一本好書 — AJAX Security,作者為 Billy Hoffman 和 Bryan Sullivan 這兩位 Web 2.0 安全的專家(過去在零星的安全相關報道中,也常出現他們兩位的影子)。在此強烈推薦這本書,給所有從事與 Web 2.0 開發相關的網友。儘管書名選擇叫 “AJAX” Security,但事實上,除了 AJAX 之外,Flash 安全,甚至於如何將 CSS 這種看似無害、展現層的東西,拿來攻擊的方法,在書中都有深入探討(第十二章)。儘管這樣的書,早該出現,但出版時間晚,反而也做出一些額外的貢獻 — 比較新的科技,如上述的 Google Gears 和 Dojo 離線工具箱的安全弱點,在書中都涵蓋了。希望它盡快能被翻譯成中文,以造福更多大眾。