幹壞事是進步最大的原動力
老闆的老闆說 ok,所以…
遊戲基地與 PIXNET 是同一個集團,而巴哈姆特與大頭們都相當熟識。我本來星期一請假,下午三點把事情處理完回到家準備要睡一下,四點就接到急 call 電話,弄到隔天凌晨四點才回家…
攻擊的模式是大量 IP 用發出大量 HTTP 連線,所以暫時性的解法朝著壓低連線限制,而且要儘快,最好是有現成的設備直接做,不要自己用軟體調整參數調半天。
Gamebase 有將近一打的 Web server,是 Alteon AD3 撐不住所以掛掉,(中間有一堆測試的過程就不講了),最後是在前端放一台 Cisco ASA 5520,然後用 HAProxy 換掉 AD3。但 ASA 5520 不夠力,目前還是請 ISP 先做一些處理。
巴哈姆特因為架構比較單純,所以前端放了 Cisco PIX (型號忘了…) 擋著,放上去後站方也是請 SEEDNet 幫他們先做一些處理。
其實我並沒有幫到什麼忙,主要還是 SI 願意賣面子先借硬體設備處理。我只是大概知道要朝哪個方向,聯絡哪些單位而已。
本來今天是請假的,結果下午四點被急 call 處理事情,這加班的內容… 一整個冏啊… (抱頭)
Update:兩個網站的消息都出來了:
login.aol.tw 沒有去買正式的 SSL Certificate 而是自己弄?這是認真的嗎…
昨天 slzzp 講到的 MD5 Collision 就是 Birthday Attack,下方就有條文表格列出常見的數據,MD5 是 128bits 那一排…
去公司再跟他要看看那兩個檔案… XD
剛剛幫別人升級時注意到的,wp-config.php 裡有一段註解是要你設定 SECRET_KEY,看起來是為了當作 private secret 用:
// Change SECRET_KEY to a unique phrase. You won't have to remember it later, // so make it long and complicated. You can visit https://www.grc.com/passwords.htm // to get a phrase generated for you, or just make something up.
設完後會需要重新登入 WordPress。
微軟以「安全」理由打算在 2/12 時強迫使用者升級至 IE7,如果不想要升級的使用者必須手動設定。
對於 IE6 only 的網站來說,這當然不是什麼好消息。微軟的這項行為等於是強迫他們要處理 IE7 相容性問題。對於使用者來說,在所有的網站都必須讓 IE6 可以正常運作下,用 IE6 的問題反而會比較小。
但對於網頁開發者來說,能夠僅快把 IE6 的市佔率壓低到可以忽略的程度,功德無量…
大約半年前寫的「使用浮水印取代 DRM」看到音樂產業決定要使用了 (Digital Watermarks to Replace DRM),但是有幾個問題要考慮:
Firefox 3 支援了 W3C 所制定的 Cross-Site XMLHttpRequest:Cross-Site XMLHttpRequest。
從 John Resig 的說明文件可以看到 client side 不需要修改任何程式碼,而 server side 只需要多送一組 Access-Control 的 header 就可以了。想了一下,似乎沒有額外的安全性問題。
不過要等到能廣泛使用至少要再過個兩年… (IE8?)
在 twitter 上看到 WordPress 的更新訊息:WP 2.3.2: http://tinyurl.com/yofjx2,看了一下發現是安全性更新,讓一般沒有權限的使用者取得尚未公開的內容。
ticket 在 query.php mistakenly uses is_admin() to check for admin privileges 這篇,而有人直接寫成實戰:How to know today what ShoeMoney is going to post tomorrow。
順便把系統升級到 trunk 最新版,發現後台版面的變化相當大,不過寬度開到 1920 時的 bug 也不少 XD
對了,推薦有用 WordPress 的人去訂閱 WordPress Twitter 分部,沒什麼廢話,每句都是重點 XD