把 CSC (卡片背面的三碼) 變成 OTP (動態密碼)

把信用卡背面的後三碼 (Card security code) 變成動態密碼,雖然一般只會有三碼,但對於網路消費應該會有不少幫助,不過這樣就不能完全不拿出卡片了...:「This high-tech card is being rolled out by French banks to eliminate fraud」。

產品叫做 MotionCode,會先從法國開始:

Today both Société Générale and Groupe BPCE, two of France’s largest banking groups, are preparing to roll out these cards across all their customers after completing a pilot scheme last year.

然後是波蘭、墨西哥以及英國在規劃:

There are other pilots underway in Poland and Mexico, and Davis is running Oberthur’s UK operation with the hope of getting a pilot or trial started with a UK bank soon.

歷史上的爆炸記錄?

在「a brief history of one line fixes」列出了許多經典的問題...

裡面最有印象的還是 2008 年 Debian OpenSSL 問題,也因為這個問題影響太嚴重,後來預設會安裝 openssl-blacklist 這個套件,在連線時檢查是不是有問題的 key...

然後 Android memset() 那個很精彩啊 XDDDDDDDDDDD

WordPress.com 也支援 OTP 了...

WordPress.com 前幾天宣佈支援 One Time Password (OTP,動態密碼):「Greater Security with Two Step Authentication」。

因為是使用 HOTPTOTP,所以可以使用 Google Authenticator (Android) 或是 Google Authenticator (iOS) 當做 OTP software。

不過用手機跑 OTP software 的安全性還是沒有傳統實體 token 的高 (可以藉由 OS exploit 取得 key),像 AWS 就同時有提供實體 OTP 與 HOTP+TOTP 的版本...

不過 AWS 的實體 OTP 低成本應該是靠 AWS 量而壓出來 (靠 IAM 一個帳號設很多子帳號,每個子帳號都可以設定要不要用 OTP),這部份 WordPress.com 沒有這個需求。另外 WordPress.com 的資料似乎沒有 AWS 吸引人,所以...

大概還是不會設 OTP 吧...

裝 Ubuntu One...

Ubuntu One 是個類似 Dropbox 的軟體,有 5GB 免費空間可以用。

看到「Ubuntu One Mac Client Out of Beta, Now Stable」之後跑去裝 Mac 版,發現 Mac 版上的安裝介面跟 Mac 的風格完全不一樣... (很突兀,有種看到沒有 CSS 的 HTML 的感覺...)

裝完後開起來在這個畫面跑很久:

完成後的畫面:

另外在安裝完以後 Finder 不會出現 Ubuntu One 的側邊欄,對於第一次用的人應該會覺得有點茫然...

設定畫面長這樣:

那個配色與圓角框感覺起來好糟糕 XDDD

反正都裝起來了,就測試看看吧,晚點在 Ubuntu 上也跑起來看看是不是配色會比較搭?

Google +1 按鈕的效率問題

在「Google +1 Button Performance Review」這篇中,Aaron Peters 對 Google +1 按鈕所提供的方法感到疑惑,因為官方所提供的方法效率其實並不好。

首先先拿出官方的 sample:

<!-- Place this tag in your head or just before your close body tag -->
<script type="text/javascript" src="http://apis.google.com/js/plusone.js"></script>

<!-- Place this tag where you want the +1 button to render -->
<g:plusone></g:plusone>

即使 Google 給了建議「Place this tag in your head or just before your close body tag」,但這仍然會延遲 onload 的時間。

另外一個更糟的是,目前 Google 的伺服器會把使用者從 http://apis.google.com/js/plusone.js 導到 https://apis.google.com/js/plusone.js,多一個重導又使得 onload 時間又更久了。接下來是噴飯的「Cache-Control: private, max-age=360」,這使得 proxy server 無法 cache,而且因為 cache 的時間過短而經常要向 server 要資料。

再來是這個 js 沒有 minified,造成 gzip 後仍有 628bytes 的差距。然後在這個 script 裡面還可以看到特地為 Blogger「減速」使用 sync loading (喔喔)。

從以上的情況,可以看出來 Google +1 這個產品符合了不少產品成功的要件... XD

Anyway,真正的重點在文章最後面,他有引用一段 async loading 的程式碼讓大家用,雖然不能解決所有問題,但至少可以讓 onload 事件儘快觸發... (這是其中一個很大的問題)