Imgur 的商業使用方案...

TC 上看到 Imgur 提供商業方案:「Imgur Expands Its Revenue Streams With Latest API Update, Now Ready For Commercial Use」,同時 Imgur 也更新了 API 說明頁面:「The Imgur API - General Information」。

以圖片張數與 API request 數量限制,USD$25/month 每個月可以傳 12.5k 張以及 375k API requests。換算成每天的量,大約是 4k 0.4k 張圖與 12k 次 API call。(hmmm,Komica 不知道會不會去租用...)

看起來 Imgur 裡面的情況很糟啊,居然設計出這樣的方案。如果讓我來猜國外的觀點,Imgur 應該是被定位為「圖床」而非「相本服務」?這是要賺 eBay 賣家的錢嗎?

Imgur 圖片並不是什麼便宜的 bandwidth,而是 EdgeCast 含亞洲 PoP 的 CDN,這樣發展對嗎...

了解 C 語言的數字資料型態...

在「Deep C: Understanding the Design of C Integer Types」這篇文章裡面以 C99 為參考文件,說明 C 語言的資料型態 (尤其是數字的部份)。

裡面引用了規個書的文件,說明「為什麼」數字資料型態會長這樣:

To help ensure that no code explosion occurs for what appears to be a very simple operation, many operations are defined to be how the target machine’s hardware does it rather than by a general abstract rule.

以 target machine 為主要考量的特性與 C 語言被認為是 portable assembly language 的想法還蠻同調的... (What is a portable assembly language?)

所以寫 Portable C code 的人會比較辛苦,需要查規格書的資料,確保各平台都能夠正確被編譯... 而到最後演變成沒什麼人在管 "portable" 這件事情,反正 Autotools 開下去針對不能跑的平台用不同的 code XD

429 Too Many Requests

剛剛在「Apache HTTP ServerをRFC6585の"429 Too Many Requests"に(とりあえず)対応させるパッチ」看到的... 429 Too Many Requests 是在四月才被提出來的 (RFC 6585),雖然還不是 Standard (目前是 Proposed Standard),但看起來不錯啊...

一定要放一張經典畫面...

當你只買一台 iPad,但卻送來五台...

看到這則新聞,買一台 iPad 但卻送來五台,而商家說「你就收下吧,耶誕快樂」:「Order one iPad from Best Buy, receive four extras free of charge?」。

事實上是,美國法令極度保護消費者,商家如果要尋合法的管道取回會非常麻煩,這是出自 1970 年的法條「Mailing of unordered merchandise」(United States Code, 2006 Edition, Supplement 3, Title 39 - POSTAL SERVICE):

(a) Except for (1) free samples clearly and conspicuously marked as such, and (2) merchandise mailed by a charitable organization soliciting contributions, the mailing of unordered merchandise or of communications prohibited by subsection (c) of this section constitutes an unfair method of competition and an unfair trade practice in violation of section 45(a)(1) of title 15.

只要是商家寄出未經消費者所請求的物品 (如果清楚標示上面兩項特例的話屬於例外),就屬於違法行為。當違法行為發生後:

  • 商家被禁止送出任何收據或請款、催繳的通知。
  • 收件人可以將該物品視為天上掉下來的禮物 (不需要同意任何條款),要使用或是丟掉都可以。

這些條款使得消費者不用怕廠商故意寄東西給你,過一陣子再寄請款單要求付款,不然就要求很麻煩的手續要你歸還。也因為這個條款,美國的商家對於這類行為常常是「啊~就送你吧~」,因為舉證則人都在商家身上,一不小心就會使得商家被罰...

台灣有這樣的條款嗎...?

暴力法破解密碼...

MD5SHA-1 或是前陣子通過的 SHA-3,都不是設計用來單向儲存密碼用的。bcrypt 或是 PBKDF2 比較接近這個需求。

針對使用 Cryptographic hash function 儲存密碼的行為,除了可以用 Rainbow table 攻擊外,最近流行使用 GPU 加速暴力運算...

前幾天看到的 cluster 相當威猛,可以在 5.5 小時內計算出「所有 8 個字元的組合」(NTLM):「25-GPU cluster cracks every standard Windows password in <6 hours」。

這個 cluster 用了 25 張 AMD Radeon 卡,如果是針對 SHA-1 計算,每秒可以計算 630 億次,如果是 MD5 的話則可以到每秒 1800 億次,NTLM 則是每秒 3500 億次。

不過算一算也是吃電大怪物... XD

敘利亞反政府組織的自製坦克使用 PlayStation 控制器操作砲管...

敘利亞反政府組織的自製坦克使用 PlayStation 控制器操作砲管:「Playstation Controller Runs Syrian Rebel Tank」,原始新聞連結以及圖片來源是「Sham II: New fighting machine of Syria rebels」。

看這畫面好像不... 差...?(超土砲 XD)

為什麼有了 Google Authenticator 還要使用實體的 Two-Factor Token?

如標題的問題,因為 token 可以將 secret key 實體隔離開。

可以讀看看最近這篇報導:「Zitmo Trojan Variant Eurograbber Beats Two-Factor Authentication to Steal Millions」,其中這段:

To date, the researchers said, Eurograbber has infected more than 30,000 users and stolen an estimated 36 million Euros.

對於開發木馬的人,銀行服務算是「經濟效益」最高的「投資」...

用簡訊也有類似的問題,實體的 OTP 算是目前最能抵抗這類攻擊的方式了...

TEDx 出包...

不多說,參考「TEDx — A letter to the TEDx community on TEDx and bad science」這篇的說明。

起因是 Reddit 的「The TED name is being dragged through the mud in Valencia, Spain, where a TEDx-approved event is promoting pseudoscientific stuff like (and I quote): crystal therapy, Egyptian psychoaromatherapy, healing through the Earth, homeopathy and even "basic mind control".」。

另外可以參考李怡志整理翻譯的「邪教檢查表」。

在 Linux 上跑 Mac 應用程式...

Slashdot 上看到 Darling 計畫,想要在 Linux 上跑 Mac OS X 的程式,類似 Wine 在 Linux 上跑 Windows 程式:「Darling: Run Apple OS X Binaries On Linux」。

看起來還在早期階段,貢獻者也不多?

不過,有什麼程式是在 Mac 上 (而且沒有 Windows 版) 但想在 Linux 上跑的...?