博客

secure cookie

qyb 发表于 2006-11-15 13:15:10

你还记得服务器端发送 Set-Cookie: 头部的时候可以包括哪些属性么?name=value、path、domain、Expire...这就是全部么?

不知道有多少人能记得这个 secure,并且能第一时间正确说出它的用途,hoho

基本上我们所有的 web 安全都是依靠 cookie 维系的,虽然多多少少会有一些方法来保证攻击者不能随便生成一个 cookie,但对于非加密的 HTTP 来说,监听到别人的 cookie 后然后伪造身份是非常容易的事情。

即使用户通过 https 提交用户名/口令,但 cookie 一旦在 http 通道上被传递给服务器,安全隐患就随之而来了。

Set-Cookie 的 secure 属性就是处理这方面的情况用的,它表示创建的 cookie 只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以绝对不会被窃听到。凡是计划采用 HTTPS 来保证用户帐户安全的同志们都要注意对这个参数的使用,搞不好木桶上的最短板就在这里。

附:SOHU Passport 这个项目的 Web 技术和 cookie 关系很大,最近也着重研究了这方面的东西,下一篇 blog 仍然是和 cookie 相关的。

Topic: 技术

转贴 xjb 的《世界真小》

qyb 发表于 2006-11-10 12:07:15

www.xiaojb.com

double dup2–世界真小
2006年11月10日 11:48 · PageRank:0 · Filed under 有一说一 

刚才看邱氏兄弟的blog,发现了一个巧合,是关于生日的。
我(xjb)和我弟弟(xjt)的农历生日分别是11月24和11月初九。
qyb和qyb的弟弟qyt的阳历生日分别是11/24和11/09

我弟弟的最后一个字也是涛。
Topic: 生活

生日恐惧症

qyt 发表于 2006-11-09 09:23:15

又到我的生日了!

我一直以来都很想把这一天从我的日历里抠掉!!

从十八岁起我就不喜欢过生日了,真的!!!

(上面的话是前天晚上想的,所以确切地说,应该是生日前恐惧证。到了今天,早上起来觉得跟往常也没什么不同,太阳还是太阳,晴天还是晴天,而且一来公司收到一封信,昨天assign给我的一个defect又assign给别人了,虽然我也要帮忙处理,不过感觉好多了,哈哈)

更新:
两年多前,为了在国际米兰的官网上下载点东东,注册了一下。有了去年的经验,今年已经不吃惊了,但是比去年更好看了。

Topic: 生活

SOHU 一周见闻

qyb 发表于 2006-11-08 02:33:12

时间过的很快.. 总结这个星期都发生了什么事情

1. SOHU 的 ES 部门实际上就是别家所谓的行政部/Admin,但是 SOHU 后来改名为"员工服务"部。这个名字不错,什么时候我们的国务院改名叫"中国公民服务中心"就好了

2. 邮件中心除了李博达老大外,负责后台服务的是一位长发帅哥,如果我去年没有剪头发留到现在估计和他有一拼,负责前台Web的是一位美女,好在和 cress 同事的这几年我已经学习到女生也能在研发方面做的很出色,所以没有太吃惊。

3. 我的新老大 KCN 其实从 98 年就仰慕不已,虽然曾称为"毒中之毒",实际上为人还是很和善的。现在其 MSN 昵称为"狂招打手中",本来想把自己的名字换成"打手乙"的,不过实在拍马屁的痕迹太重,遂放弃此想法。

4. 我被分到的员工号为 bj2183,咳咳,9527 看来是 2010 年以后的事情了

5. 非正式场合里,称张朝阳为老张,老王则是王建军。正式场合里,要说 Charles。

6. SOHU 一共 12 级,老张就是唯一的12级,据说 9 级就是副总裁了。我猜 11 级是核心管理团队,10 级是高级副总裁或者日后业务扩展到国外后的地区总裁。

7. 突然发现偶还是很功利的,选了 Passport 这个项目来做就是为了快速混入 SOHU 经理队伍。果然一周下来,SOHU 几大业务线的主管以及技术负责人都认识了,包括见到了方刚(胡一郎是谁?)

8. 今天和一个牛人聊了点技术上的东西,前天看了他写的 ppt 就开始汗了。人家是 guru 级别,偶只能算 senior system programmer 吧。传说这样的人有 3-4 个。SOHU 把业务和研发分开了,所以能有提供比较好的土壤让 guru 生根发芽。BTW: 这个牛人每天下午4点来上班,长的很帅,典型的南方人脸型(azhuang那种)...

9. 这五天里,偶大部分时间是在 Outlook、Word、MSN 之间切换。偶尔用用 Maxthon 和 Excel。MSN 是 SOHU 非常重要的办公工具。

10. 今天试图在 VMware Player 上安装 Ubuntu ,结果总是失败,换成 Sarge 也不行,看来我真的要切换到 Python 上了。

11. SOHU 的笔记本和服务器采购似乎首选是 HP,估计有特殊折扣。

12. SOHU 技术研发的学生气还是很浓,从上到下都是如此。应该来自清华的人也很多罢

13. SOHU 专门有个 IA 部,内部审计。在 11 层长期占据属于邮件中心的会议室,几个人躲在里面不出来神神秘秘。大家谈论起它好像是在说锦衣卫,无可奈何。成立这个部门当然是为了通过 SO404,也算功不可没。

Topic: 生活

给笔记本升级了硬盘

qyb 发表于 2006-11-08 01:25:51

最近硬盘资源比较紧张,于是上周末杀到村里采购硬盘。

事先在 51nb 潜了几天水,目标定在现在性价比最高的 80G/5400转/8M缓存。进一步查询后知道希捷 5400.3 虽然性能强,但出错率似乎高了一点点,而且噪音似乎也高了一点点。于是目标定在日立的 5k100 or 5k120

在鼎好实地考察中没有发现 5k100 的存在,都是 5k120,报价也都是 510。

另外就是硬盘盒,从无数血的教训学习到电源和主板是硬盘的最大杀手,不能马虎。很多人推荐 Zynet,我选的是 color polar 系列里面的黑色版本,正好配小黑。一个柜台报95,一个柜台报90,偶直接选那个报价便宜的,也没砍价,总共 600 拿下。

Topic: 生活

一篇blog引发的采访

qyt 发表于 2006-11-07 20:22:15

因为安了这个题目,首先鄙视一下自己。

如果没记错的话,昨天是这辈子第二次被采访,第一次还是在99年那次大使馆被炸的时候。我们几个兄弟举着自己做的纸牌子在使馆区正等候按顺序走过美国大使馆呢,有个BTV的女记者拿着话筒凑到我跟前,我慷慨陈词一通。事后回忆估计说话时一定语调发颤,不是因为使馆被炸了激动而是因为头一次被采访太紧张。自然,我的光辉形象似乎没有出现在BTV里应该是被cut了。回去后,另一路的一个兄弟跟我说,CCTV的记者采访我了,我大脑空白,腿都软了。

闲话不说,这一次被采访原因是我写的这篇十年前的感觉里面提到了一个餐饮公司正午的盘子,昨天有位IT经理世界的记者通过msn联系到我。我说,其实我早就想写一写这个公司了。

正午的盘子还是蛮有意思的,我2004年10月到上地上班,好像很快就知道了有这么一家订餐的公司,它似乎把上地几条街所有公司都摸清了,因为我在填资料时不是填而是选。进入网页,选哪条街哪个楼哪层哪个公司(对上地不熟悉的公司或个人,可以通过这个方式搞到你想要的信息),这样最大的好处不是方便了用户填写送餐地点,而是没有歧义,往数据库里好存信息,便于管理和统计。你通过它的网站得到一串你的地址电话(这个只能填不能选)信息后,加它的msn机器人,把信息拷贝粘贴进对话窗口,发送后,你的profile就建立了。在网页上选择想要的饭菜,点确认会返回一些固定格式的描述饭菜的文字,它提示你已经放入剪贴板(你就不用按Ctrl-C了),直接去msn机器人那里按Ctrl-V就ok了。它这个形式确实非常新颖,用msn机器人来处理订单。至于怎么把订单反映到厨房,就不清楚了,但是这些信息进入数据库至少是不用人工输入了。我后来一直在想象我这边怎么一点发送,他们那边的厨房怎么就嗞嗞嘎嘎打出订单,或者液晶屏上写着“鱼香肉丝 +1”。

后来订餐系统做了改进,你连Ctrl-V都不用按了,先打开msn机器人对话窗口,输入dc(订餐的意思),弹出一串链接(里面含有你的msn号),点链接,浏览器打开订餐页面,选餐,选送餐时间,点确认。信息进它的数据库了,对话窗口会有订餐成功或者不成功的返回(因为也许你订的菜正好订完了)。可以看出做这个系统的人确实在用户的心思上下了功夫,让用户的操作尽量简单。

半年前,正午的盘子的连锁从最初的两家,突然开到六家,不禁让我怀疑是不是有风险投资注入。说实话这个市场真的是不小,而且实打实地可以盈利。有一次偶然发现正午的盘子还有盘子日记,里面写的是关于世界杯的。于是对这个公司兴趣倍增,我问送餐的人,你们老板是不是很年轻啊。答曰不算太年轻,年纪也不大。

现在盘子似乎有质量下降的倾向,也许是因为竞争的人多了吧,有什么“五色谷”“金饭桌”,有比较才能感觉出好还是不好,IT系统做得再出色,还是要靠饭菜可口打天下。如果饭菜不比别家的差,又能利用自己IT系统里的数据统计估出每天的原料量,节约成本,减少开支,预测趋势等等,做到柔性化生产,那么这家公司就真值得大书特书了。

Topic: 商业 网络

新地地板

qyt 发表于 2006-11-06 19:19:55

两个星期前,参加了一次家装集采,订了不少东东。地板也在计划之内,可是打听了在场的三四家地板厂商,都是卖实木复合地板或复合地板的,没有一个卖实木地板。而集采前并没有做实木复合地板的功课,加上复合地板与实木地板的脚感差异明显,所以没有订地板。

上周末,去看了一下地板,蓝景丽家电梯一上二楼,旁边就是一家叫新地地板的。销售人员很热情,介绍了半天。觉得最便宜和次便宜(多5块钱)的实木地板卖相还不错,价钱还够戗算是能够接受,而且幸好我的房子面积小。又转了一圈,有一家卡尔玛的地板,比新地便宜一点。最可怕的是欧典地板的销售,东北yin,贼热情,贼能说,跟我介绍了没两句,看我没兴趣踱到对面一家,立刻跑过去接着介绍,比对面那家地板的销售人员说得还多,不知道她到底是给哪家干活的。又看了一家叫金凤的竹地板,价钱也比实木的便宜一些,样子也不错。

没看几家地板头就晕了,剩下的都匆匆而过。回来后,上网查找它们的信息。新地地板的相关网页非常少,不知是因为用的人少还是有高手帮它们做隐藏工作。卡尔玛的比较多,虽然没有几个和质量投诉有关的网页,但是卡尔玛的这个直译过来的洋名字听得我实在不爽,基本决定买新地地板。

这周末又去了一次,知道这地板是什么巴西柚木进口,讲了半天价,降得微乎其微。关键是踢脚线要另算钱,虽然看上去质量是不错,不过这又支出一块。等到坐下来签单子交订金了,销售像变戏法一样拿出了据说是放在门口跟瓷砖相接地方的木条,一个门50,跟我讲即使安过门石也需要这个,然后又拿出了樟木屑,用来给地板防虫,又加了些钱,算了个总价,交了10%的订金。不过我现在怎么想不明白如果装过门石要这种木条何用,不管了,等到时候用不上再退吧。

新地地板在网上的信息这么少,那么就用我这篇blog给它增加一点声音,不管是好的还是坏的,佛说:我不去尝试,谁去尝试?如果有问题,希望blog能成为我的维权工具,坑害我,就“给丫曝光”;如果一切满意,就说出实际感受。给其他消费者一些参考。

我从预定地板到安装是个相当漫长的过程——可能年底提货,明年3月底4月初安装,下一篇写新地地板的blog将是年底提货的感受,拭目以待,看他们服务如何。

更新:
如我所愿如我所料,以“新地地板”为关键字在百度上,本blog目前排第一,不知这个名次能排多久,排得越久如果出了问题腰杆越硬。但是Google上似乎压根还未索引,看样子PageRank为3还很不够呀。
——20061108
今天,google的第一个链接也是我写的这篇了,但——是,事情最怕就是但是,它没有指到我们dup2.org,而是指到了,指到了,JIEER的聚合器!:'( :'( 从这篇以后,google就没再索引本站blog了,再等两天看看 -_-
——20061109
ok了,放个链接,方便以后测试。
——20061110
开始给我打招呼说年底可能要把货提出来,后来那边库房没问题,货也就不用提了,3月27号装了地板,师傅干活还是挺麻利的,安装的也还不错,看上去地板挺亮的,效果感觉挺好。但是我大概有总共最多三米长的瓷砖的地方需要加铺踢脚线,被生硬地告知只负责地板上的踢脚线。怎么办呢,我说给你们五十吧,有个人说我们三个人,给六十吧。于是就给了六十,踢脚线钱当然是我自己淘。我认为这种小的地方特别能看出公司的服务质量,很明显这属于私人的收入了,但是对公司的服务口碑打击会很大。也许新地地板厂商能看到这篇blog,建议以后这种事情让你们员工处理的好些,我这是为你们公司好,本来很好的地板很好的活最后却染上了瑕疵。要我是你们员工,我就算拿辛苦钱,我看这点力气活也绝对不会超过三十元的价值,而如果你们免费把这个活做了,客户一定会感激你们,也许就会带来一个更大的单子。
过了两天给我打电话,免费做了一次护理,但是一年一次的基材保养需要自己花材料钱,这个费用收的应该是合理的,过几天再做吧。
——20070402

Topic: 生活

blogger和blogosphere的力量

qyt 发表于 2006-11-02 19:11:56

Zola前段时间对postshow的图片侵权问题进行的激烈抨击在blog圈里激起了波浪。通过这件事,以前不知道这种做法是侵权的人知道了这是侵权,以前知道这是侵权但是不把它当回事的人也许会重新审视自己的行为。blogger的个人力量在整个过程中得到了很好地展示。

Zola更写过一篇从外发加工骗局说起,这本来是八月份的事。可是这些骗子竟然打电话给作者,许诺如果删除这篇blog就给钱,并购买网站上的广告位。随后的结果骗子无论如何也想不到,现在他们估计已经把肠子悔青了。怎么有人见钱眼不开呢。老冒转了这个事zheng也转了,本来一个地方揭发你的骗局,现在好几个地方了,而且“声音”都比Zola大。你想封Zola的口,现在不但没封成,反而又多了几个口需要封。可以想象,如果以后看到类似广告的人只要上网一搜,马上就能识破骗局。blogger的群体力量让更多的人避免损失。

blogosphere里是一批什么人呢?因为彼此订阅RSS,信息能够及时地大范围地传递;因为彼此阅读blog,信任的程度不会因为没有见过面而降低。

显而易见,blogger和blogosphere将会利用blog在社会中产生越来越大的力量,发挥越来越大的作用。

Topic: 社会 网络

SOHU,新起点

qyb 发表于 2006-11-01 23:38:20

昨天还在挤地铁,今天就开始坐公交了,感觉有些像做梦。

主要原因是 SOHU 仅在每周三办理入职,我实在不想在家多呆一个星期,于是就后脚赶前脚的开始了角色转换。

当初 2000 年从学校跳出来到亿邮,和现在的情况类似:比我早一年工作的查陶 99年夏天就离开学校了,我就成了南开最牛的网管,校内每条光纤我都记得两头是连在哪台交换机的第几对端口上,BBS 大站长,刚刚在 CERNET 年会上发表并宣读论文,成功实施了 80 周年校庆的网络直播,民间组织"南开 Linux 用户协会"的发起人...但这些只要你一离开就什么也不是了。

今天下载 Firefox 和 Python 之前好好想了想是否会违反流量限制政策,一切都要从头开始摸索。根据上一次跳槽的经验,大概要半年才能真正融入新的环境,让你的上上下下左左右右都信任你。第一天上班,领了新机器后,我把浏览器首页设置成 www.sohu.com,然后安装了 sogou 输入法,希望能尽快熟悉这个公司。

SOHU 的技术部门现在是两大块,王小川领导的RD以及周霖领导的NO,开始找工作时接触的是王小川,但周霖这里急需人手,于是现在在 11 楼混迹。感觉这两块的文化也稍稍有些不同。

下班时发现楼下有一个酒铺,进去转了一圈,相当的不错,主要是种类很多,葡萄酒看的眼花缭乱。

具体关于 SOHU 公司我觉得没有什么好写,以后找机会再说吧。

Topic: 生活
订阅 RSS - 博客 | BT的花