YUI 2.4.0

2.4.0 出版了,非常常用到的 Selector Utility 終於在 2.4.0 補上了:YUI 2.4.0 Released — Selector, Charts, Profiler, Script/CSS Get, and JSON Support

另外 JSON Utility 也在 2.4.0 補上了,不用再自己拉回來 eval() 了。除了基礎建設的部份外,這個版本還附上改善了 版的 !不過用起來好頓啊...

Catalyst Framework

是一套 上的 MVC Framework,由於 的資源相當的多,所以 本身只自己實做 Controller 的部份,Model 與 View 的部份可以挑自己喜歡的模組外掛。

剛剛在 這邊看到 開始進行 2007 年的 了,為期二十五天,前面三天的主題是 、以及 Template。

更早前的 可以參考 兩份,2005 那份舊了點,但 2006 那份就非常棒 :-)

MD5 的淪陷:實例

自 2004 年女士找到方法有效率的產生 MD5 碰撞後 (也就是兩個不一樣的資料的 MD5 Digest 相同),就不斷有人嘗試更進一步的攻擊。

之前最主要的攻擊是對某一組 X.509 的 public key 產生另外一組 MD5 Digest 相同的 public key,再對這組 public key 攻擊而產生 private key (因為這組 public key 是 weak key),接下來就可以做各種攻擊。這篇論文在:Colliding X.509 Certificates

這次則是更進一步思考要如何放惡意程式碼到 Windows 執行檔,卻仍然可以騙過 MD5 檢查,比較抽象的講法是 "chosen-prefix collision",表示新的資料前面是包含惡意程式的程式碼 (所以 prefix 是選定的),然後利用後面的空間接一段垃圾用以「湊」出同樣的 MD5 Digest:MD5 Proven Ineffective for App Signatures

這個攻擊非常重要的原因是因為這離一個 Secure Hash Function 的消失又更進一步:pre-image attack,我只給你 MD5 Digest,要找出一組資料符合這組 MD5 Digest。看起來新系統還是趕快換用 SHA-256 吧 orz...

Wikipedia 的 GFDL 文章未來將相容於 CC

的聚會上宣佈 已經達成共識,將未來版本的 相容於 的 BY-SA:Wikipedia to be Licensed Under Creative Commons

的標題明顯誤導讀者,因為目前 的文章都是以 授權,要改成 必須由所有有貢獻的人同意。

實際上的情況是 達成協議,在新版的 相容於 CC SA-BY,然後藉由 中的這條達成:

Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation

Update:在查了 以後,我發現是更激烈的作法:請 FSF 發佈一個新的 GFDL,讓 利用新版的 GFDL 直接轉換成 CC SA-BY。

Blogger Draft:支援 OpenID 留言

的 Blog 上看到 打算要支援 ,而且是 Consumer:

就是 協定的發明人之一,他另外一個也很有名的作品是 ,被廣泛應用在全世界各大網站。

的 comment 如果設定為「需要註冊使用者」,那麼你就必須有 帳號 ( 帳號),但 上發表了打算要推出以 認證的功能,也就是:New feature: OpenID commenting

補充一點,這個功能 在他的 Blog 上有提到不是他推動的,他純粹只是廣告一下而已...

Catalyst Framework 與 GoDaddy

剛剛想看 Catalyst Framework 的官方網站 (一個 Perl-based 的 MVC Framework),結果 出來連到的第一筆是 的 parking page:

翻了一下,後來找到目前的官方網站:,以及 maining list 上的討論內容:。又讓我想起 因為 的關係最後搬到 的故事了...

Update:現在 (2007/11/30 早上) 看起來回來了 :-)

多設幾個不同網路上的 DNS Server

在討論 DNS 的穩定性時,都會要求要把網域名稱多設幾個 NS RR,而且要在不同的網路上。不過很多人都認為有兩台機器就好了,如果連外斷掉那麼服務本來就會中斷,沒有影響。

這是錯誤的觀念,尤其是電子郵件。

停電維修六個小時,而負責 ntu.edu.tw 的三台 DNS 主機都連不上。這使得 ntu.edu.tw 以及 *.ntu.edu.tw 的信件的進出都造成嚴重的異常。

進入的部份,我從寄信到 user@ntu.edu.tw 時會直接收到退信 (錯誤是 "Domain not found" 這類的訊息),但如果台大的 DNS 主機有請其他單位幫忙做 DNS Slave,那麼這封信會被交大的郵件系統暫時存放,而不會直接退給發信人。

出來的部份,假設有教職員在家使用 ,以 user@ntu.edu.tw 的來源發信到交大,交大的郵件系統在檢查信件來源時,就會以 "Domain not found" 的訊息拒絕掉,這個問題一樣可以透過其他單位的 DNS Slave 解決。

這次影響的單位最少包括了:*.ntu.edu.tw (三台 DNS 主機都不通) 及 *.tp.edu.tw (三台 DNS 主機都在台大下游而不通)。

雖然 一直推這件事情,不過直到這兩年我才看到交大與合作,雙方互相幫對方做 nctu.edu.tw 與 nchc.org.tw 的 DNS Slave。

使用的 ns{1,2,3,4}.google.com 看起來很接近 (216.239.{32,34,36,38}.10),也是四個完全不同網段,這點可以從美國的主機 traceroute 走的路線看出來似乎有幾個是不同國家。

等台大網路恢復後,寄封信請他們改善這部份...

Update:工研院改成國網... :/

Update:我才寄了十分鐘,台大計中的 madeline 就回信說他們會朝這個方向改進,nice job :)

IFPI 信件外洩的「真相」

上個月的時候 的內部信件外洩 (參考 Anti-Piracy Lobby Wants Pirate Bay Secrets from Swedish Police 這篇),信件內容包括了 IFPI 要瑞典的警方交出扣押 機器裡的資料 (沒錯,是他們要求警方交出資料,不是警方要求其他人 XD),以及要怎麼破壞 的架構。當時一堆人在猜測如何外洩的,有人猜是摸進 mail server 拿到的,有人猜是帳號密碼外洩之類的...

但, 信件外洩的「真相」是:有人在信件往返時寄給 ifpi.com XDDD

我補充一下, 本來是 所擁有,後來大概是懶得繳錢被別人註冊掉,在上個月的時候,擁有人將這個網域名稱還送給了 The Pirate Bay XDDD

這真是太棒了 XD