Web 2.0 早已不是什么新话题。过去的几年内,知名度高如 Google、Yahoo、MySpace、PayPal 等大站,也都无法完全免疫,而陆续爆发过各种攻击事件(钓鱼、虫…)。Web 2.0 网站不管是选择用 AJAX 、Flash,还有逐渐风行的离线解决方案,如 Dojo Offline、Google Gears 、Adobe AIR 等,来提供互动性更高的 UI,只要一不小心,这些 Web 应用出现安全漏洞、被坏人占便宜的机率,其实是很高的。有时候不仅是自己的 code,而问题也可能出现在第三方提供的现成工具箱、API。
要如何防范?对网站开发人员而言,在过去,对这个主题的探讨,往往比较零散,要不就偏学术,要求较高的门槛(例如 OWASP 发表的文献),一直缺乏系统化,全面性,且深入浅出的探讨。不久前终于出了一本好书 — AJAX Security,作者为 Billy Hoffman 和 Bryan Sullivan 这两位 Web 2.0 安全的专家(过去在零星的安全相关报道中,也常出现他们两位的影子)。在此强烈推荐这本书,给所有从事与 Web 2.0 开发相关的网友。尽管书名选择叫 "AJAX" Security,但事实上,除了 AJAX 之外,Flash 安全,甚至于如何将 CSS 这种看似无害、展现层的东西,拿来攻击的方法,在书中都有深入探讨(第十二章)。尽管这样的书,早该出现,但出版时间晚,反而也做出一些额外的贡献 — 比较新的科技,如上述的 Google Gears 和 Dojo 离线工具箱的安全弱点,在书中都涵盖了。希望它尽快能被翻译成中文,以造福更多大众。
more »
在七月底 iPhone 即将推出时,曾经看过一个报导(想不起来是在美国商业周刊还是哪了?),其中便引述某分析师的看法,认为当时有许多对 iPhone 在功能方面不完善等等的批评(例如不支持 3G),其实是见树不见林,没从远处、大处来看 - 其实 iPhone 最重大的意义,在于一个全新的迷你平台,可以让苹果在它的基础上,不断快速孕育出徒子徒孙,大幅增强它在多媒体 smart phone 这个新战场的竞争优势。果然,iPhone 甫上市不到两个月,相信大多数网友也已经看到了,Apple 在近两周前宣布的一系列新 iPod 中,出现了一只 iPhone Touch。
more »
我和胭脂虎的老朋友阿杜伯 (Adobe) 前几天刚宣布 Adobe Media Player。简单地讲,其实就是一个类似 Apple iTune 的应用。看起阿杜伯也开始参与争食数碼音乐、Internet TV/IPTV、影/音 podcast 等多媒体的分销渠道这块大饼,尽管竞争者众。
Adobe Media Player 比较特别的地方,并非在于和 iTune 或 Windows Media Player 等一样,也有引人争议 DRM(以满足许多思路仍停留在上一世纪的各大内容商);而在于它是建筑在 Adobe 年初刚发表、在业界颇引人注目的 Apollo runtime 的基础上。Apollo 虽然目前仍是 alpha,而正式版得等到下半年、甚至年底才会准备好,但它 1) 同时支持 Flash 和 AJAX/DHTML 的特性(后者目前尚未 ready),加上 2) 跨 Windows、Mac、Linux 三大 OS,还有 3) 对离线应用的支持,是瞩目焦点所在。阿杜伯喜欢用 RIA (Rich Internet Application) 来称呼开发在 Apollo 上的应用,以强调 browser 达不到的一些特性,如可让设计人员尽情发挥「美」学创意的定制 UI 组件外观,和离线支持(这点即将改变,下述)。行销上一定得强调它的「丰富性」,才能对用户 justify 在 browser 外,再加装一个 runtime 的必要性。
more »
(当然不是在盼 SARS!)与上一篇相关的是,最近试用透过 3G 手机 (Nokia 6680),将拍摄的照片直接 email 上传至 Flickr,感觉可用性还很不错。虽然尚未测试将照片和文字直接透过手机发布成 blog,但由于 Wordpress 等 blog 系统所提供的上传机制,和 Flickr 没什么两样,所以类似的使用体验,应该是可以预期。最近 Opera 新推出专为 smart phones 设计的新版 Opera Mini 3.0,(以 Java/J2ME 开发,所以许多手机都能安装)。试用后惊喜的发现,不但接口设计比 Nokia Series 60 系统内置的浏览器更为贴心(例如浏览历史、整页上下滚动),还增加了包括 RSS 订阅器、内置 Google、Wikipedia 搜索条等 Web 2.0 的支持。我终于可以在上下班的路上,操作着够简单顺手的浏览器,边走边阅读当日的科技新闻,想到什么就可以随即搜索,过隧道不断线,一路到家。
more »
当初在两只老虎安装 Wordpress 部落格系统时,附带安装了一个垃圾篩選 plugin Akismet,具有篩選评论功能,至今已拦截了六百多篇可恶的 spam。但这两天赫然发现,某些不明原因,导致它的算法错将过去几封来自正人君子、非广告性的评论,认定为疑似 spam,因此让这几封评论迟迟未能发布出来,其中包括这篇关于 geotagging 的 post 中,分别来自于 Charlesc、对 Geotagging 有特别研究和兴趣的 CK,及 Vista 等网友,感觉很不好意思。看来以后还是得三不五时去检查一下 Akismet 的管理接口,看是否又有被错杀的评论 
。
more »
互联网世界的盘根错节,早已超越科技的范畴,进而扩展到人际关系的领域。像弃 IE,改 Firefox 这种看似单纯的抉择和举措,有时候掌控力竟然不在自己手上。今天终于领略到 IE 反扑和纠缠的力道。
我刚解决掉一个让我的 Blog 无法在 IE 渲染出来的问题。感谢 Mandy 和 Renai 二位友人的发现。想都没想到会有这种状况发生。除了偶尔遇到被 IE/微软科技绑死、又不得不进的站点之外,已很少打开 IE 了(这个时候,Firefox 的 IE View plugin 是一大便利)。幸好发现的早,否则这个问题不知道会拖多久,不但让读者不得其门而入,搞不好还替 IE 的 bug 背黑锅。
more »
要如何防范?对网站开发人员而言,在过去,对这个主题的探讨,往往比较零散,要不就偏学术,要求较高的门槛(例如 OWASP 发表的文献),一直缺乏系统化,全面性,且深入浅出的探讨。不久前终于出了一本好书 — AJAX Security,作者为 Billy Hoffman 和 Bryan Sullivan 这两位 Web 2.0 安全的专家(过去在零星的安全相关报道中,也常出现他们两位的影子)。在此强烈推荐这本书,给所有从事与 Web 2.0 开发相关的网友。尽管书名选择叫 "AJAX" Security,但事实上,除了 AJAX 之外,Flash 安全,甚至于如何将 CSS 这种看似无害、展现层的东西,拿来攻击的方法,在书中都有深入探讨(第十二章)。尽管这样的书,早该出现,但出版时间晚,反而也做出一些额外的贡献 — 比较新的科技,如上述的 Google Gears 和 Dojo 离线工具箱的安全弱点,在书中都涵盖了。希望它尽快能被翻译成中文,以造福更多大众。