Author Archives: gfrog
自行车升级计划
前两天青蛙的HT060折叠车后轮辐条竟然莫名奇妙断了一根,让青蛙不得不把升级自行车的计划重新捡起来。虽然折叠的后轮可以换菜辐条然后平平圈凑合用,但是青蛙已经对HT060的滚珠花鼓加上6速旋飞不爽很久了,正好借此机会整体换掉。 但是如果升级后轮,飞轮一定要换成卡飞了,这样的话,飞轮、后拨、链条、指拨全部都要换,还真是牵一发而动全身。青蛙琢磨了几天,想出了2个升级方案,现在二选一的困扰中: 首先想到的就是给HT060全部换新装备,8/9速飞轮,x5/x7后拨和指拨。这样造价不菲,性能提升应该是最多的,不过就违背了HT060当作通勤/代步车的初衷。可不是嘛,青蛙的山地车还使着X4套件,8速飞轮呢。 既然山地车上有一套X4套件,那就可以把它拆下来放到HT060上,然后山地车升级9/10速系统。问题呢,就是这辆RR5.2是不是值得升级9速,甚至10速系统。好处,就是俩车都升级了;坏处呢,谁知道升级了性能会不会有提高。 目前青蛙比较倾向于方案2,反正都要买一套新变速套件,那就买一套不错的放山地车上,毕竟山地车才是锻炼用车。代步车嘛,只要用起来比较顺滑就成了,性能要求倒不高。 对于方案2,初步的计划型号是: PG950 + X7后拨 + X7指拨,链条还在选型中。。 本来是一个换轮组的问题,结果还扯出来了变速套件的选择,真是很麻烦呀。
2011年终总结及展望
又到了年终岁末的总结时间了,青蛙已经发表过一篇关于今年骑行生活的总结,所以其他方面的总结就很简单了,几句话就可以说完。 写完才发现又唠叨了一大堆。 首先,婚礼办完了,五月某日。唯一的印象就是折腾,青蛙对中国式婚礼这种不折腾死人不算完的事情表示很无奈。 其次,工作上似乎有条例了一些,但是自己仍然处于迷失状态。自己到底做点什么,以后怎么发展,仍然迷茫。虽然这是一件很不应该的事情,工作四年,仍然不知道自己的方向在哪里,真是loser。以至于年终曾经转去做kernel方向,但是担心自己的能力,又不了了之。 不过在现在的职位上已经有一些心得了,对于python,对于虚拟化,已经不像去年像一个文盲的状态了。如果再在这个方向上做下去,也是有许多有趣的事情可以做。不过一年中学到的技术知识似乎不多?现在想想,似乎编程技能并没有太多的提高,这是一个急需提升的地方。 十月份青蛙收了一部kindle4,之后的三个月里阅读量比之前的九个月加起来都多。kindle真的是值得拥有的好东西,赞美亚马逊。 另外青蛙自己写了一个小工具抓取小说并推送到kindle(好吧,kindle上看的小说也不少),写这个小东东的过程中会思考一下如何构建一个方便扩展又方便编码的结构,不过写完之后却发现跟工作上使用的 kvm-autotest 结构真的很像。由此,青蛙决定多读读其他的代码,目前正在抽时间读读vdsm,恩,争取2012第一季度可以读完。 哦,最后,青蛙赶在年底公司培训经费作废之前报了一个CCIE培训班,争取明年上半年可以把CCIE认证考下来。(为什么又回去学网络了,青蛙也不知道,姑且算作上一段工作经历的一个总结性考试吧,毕竟做了三年网络,再系统的学习一遍当做知识储备。) 2012展望 恩,前面说了两个了: 读完vdsm代码 通过 CCIE认证 剩下的还有(就不考虑SMART原则了,哈): 增加跟autotest upstream的联系,多多在upstream冒泡 经常回顾python的基本知识,python核心编程之类,多读几遍 读一本关于linux内核的书,可以找尽量短点的,先学个皮毛 完成那个给python推文章的小工具 做/改一个irc bot,给内部irc,也可以自己在freenode上跑一个,方便自己。 采购计划: 一个更加给力的读书工具,kindle dx? kindle fire? ipad? 一部胶片口袋机, 奥记u2? 给媳妇买台ps3/ps4? 再加一台电视?
吐槽:关于用户口令
CSDN的密码泄漏事件被爆出之后,在Twitter和Weibo上引起了广泛的反响,很多人质疑国内网站的安全管理工作,竟然敢直接用明文保存密码。有一点常识的Web应用开发人员都应该知道直接在数据库里明文形式的密码是相当不安全的。但是为什么还有那么多人仍然这样做呢?他们出于什么目的呢?引人深思呀。 一个网站到底应该怎么保存用户的密码才安全呢?又怎么应该设计登录流程呢? 酷壳上有两篇文章介绍的不错:你会做Web上的用户登录功能吗? 和 Web开发中需要了解的东西。 青蛙除了大学的时候搞的那个神马选课系统,基本就没有做过Web应用,就从一个Web用户的角度唠叨几句算了。 首先,是我们到底需要多少个密码? 只有一个显然不行,如果使用这个密码的网站有一个不靠谱,把用户密码给泄漏了(被黑了也好,被无良网站卖了也好,当然在天朝还有另外一种可能:被政府收缴),所有的网站都必须重设密码。那每个网站都设置一个密码呢,现在是个网站都要登录,谁能记得住那么多密码呀。 为了防止密码忘掉,大体上有两种思路: 密码管理器 这种方法比较简单,实际就是保存一个密码。本因为浏览器就内置了记住密码的功能,把用户从繁重的记忆密码的任务中解脱出来。但是浏览器的密码记忆方式功能单一,而且跟浏览器绑定,换一个浏览器就完蛋了。还有系统自带的密码管理工具,例如KDE的KWallet之类的都会有这种问题,跟某个环境绑定,移动性不高。青蛙目前也没有好的实践经验,可以想到的方法就是加密KWallet之后放在Dropbox上,这样多台电脑之间的密码同步可以解决,但是仍然没有解决跨平台的问题。可能这个问题需要借助移动设备来完成,例如Android上的密码管理应用。 基础密码+网站特征的组合规则 密码管理器的实际上是有安全隐患的,因为密码都保存在电脑上,攻击者可以获取这些密码文件然后尝试暴力破解(密码管理器仍然需要主密码的)。所以另外一种被广泛推崇的方法就是一个基础密码加上针对特定网站的特征字串组合。这样可以方便大脑直接记忆。酷壳也有一篇文章介绍这种方法: 如何管理并设计你的口令,但是青蛙有一些其他的想法。这篇文章里提供的针对每个网站做变化的方法看似简单实用,实际上有大问题:很容易被人看出基础密码和变化规则,因为攻击者拿到密码的时候一般都会知道这是个什么网站,网址是神马,然后跟密码一对照,原来只是加上了前后缀,照此规则,其他网站的密码就完全可以推测出来了。所以这个变化规则应该有三个要求:容易计算(考虑下人类大脑的计算速度)、不太明显(不容易被看穿把戏)、但是还要足够复杂(增加被猜出来的难度)。有了这三项要求,寻找一个规则就不太简单了。青蛙在这举个例子: 首先根据顶级域名分类,获得数字A,例如com是1,net是2,cn是3,其他的就是4,分类随你 数出站点字母个数,获得数字B,例如gfrog.net,域名主题有5个字母 取站点的首位字母,获得第三位、第四位密码,例如gfrog.net,首尾字母是g和g 这步可选,为了不让获得密码明文的攻击者一眼看出破绽,把第三步取到的字母做个变换,这个变换可以固定的,例如直接前移后移几个字母,或者直接转换成ASCII码, 然后把上一步取到的两位密码插入到基础密码里的第A个位置和第B个位置上,获得的密码就是这个网站的密码了。 这个方法只是青蛙随便想到的一个例子,不要拿去直接用哦,这种依赖算法的加密规则说出算法就不好玩了。找一种容易使用,算出结果又不太明显的算法来组合你的密码吧。 另外在酷壳的如何管理并设计你的口令这篇文章里也提到了密码分级的问题,看来大家都意识到一套基础密码仍旧不安全,XD 密码分级,青蛙觉得至少要分成5套,重要性依次递减: 与钱有关:涉及真金白银啊,一定要强密码 重要个人信息网站:gmail、SNS网站,MSN等等,这些网站往往都保存着重要的个人信息资料,所以保障帐号安全很重要。 国产邮件服务提供商、SNS等等,虽然个人信息同样重要,但是国内网站往往都会屈服于某种无形的压力,你懂得,所以单独列出。当然,在国内网站上提供个人信息同样要注意,完全没有安全性可言。 一般网站,一个普通密码足矣 怀疑没有完善密码保存流程的网站,对于这种网站最好的处理方法就是不用丫的,如果没法避免,最低安全级的密码处理就好,因为密码难免会暴露在别人眼前。 哦,说了半天基础密码,生成基础密码的方式也有很多的,青蛙推荐一下apg这个包,各大发行版都提供,它可以生成指定长度的一组密码,例如: $ apg Please enter some random data (only first 8 are significant) (eg. your old … Continue reading
2011骑行总结
这个总结分三部分, 上半年 下半年 明年上半年展望 上半年: 搬家到了上地,坐公交/地铁去公司都非常不方便,于是一狠心一跺脚,去DKN 699收了一辆RR5.0回来通勤。这算是青蛙到正式开始骑车之旅了。住的地方离公司有8公里左右的距离,骑车其实刚好不太远,开始的阶段一直需要40分钟左右。除了每天骑车,回家之后还要把车子扛上楼,是个额外的锻炼,XD 正式开始骑车是跟Center叔一起爬十三陵水库,具体的体会已经不记得了,记得的只剩下在十三陵水库边上望着蓝蓝的水蓝蓝的天感觉一路踩车骑过来还是很值得的,另外还有回来的时候的龟速(我俩已经累到不行,15-16一路爬回城里)。 这次之后青蛙就彻底爱上了骑车,几乎周周出去,经历过戒台寺的挑战失败(爬到离戒台寺还有1km的时候爆胎,泪目)之后,转向线联系平地路线,跟团爬过怀柔水库、腐败游温榆河、二游、三游十三陵水库、黄花城等等。 当然装备也慢慢收着,头盔、手套、头巾、水壶架、副把,当然还有那只蝴蝶把。 换过蝴蝶把之后青蛙跟团疯狂过一次白河峡谷,那时刚好S2线开放,大家赶新鲜S2出台到延庆然后爬白河峡谷到汤河口,放坡放的好爽,在白河峡谷里看山水看的很爽,这条路线真的值得多走几次的,风景真的太爽了。这次本来计划1天的行程因为大家贪玩改成了2天,晚上大家在汤河口找地方住宿,然后第二天沿G111骑到怀柔北站出台火车回城。 最后这辆RR5.0杯具的被人偷走了,青蛙一直认为是那个蝴蝶把招了贼,因为一个50块的车把,把700块的车丢了,唉,亏惨了。 然后进入下半年, 没车的日子很痛苦,挤地铁挤公交,青蛙成功的被13号线的空调吹出了重感冒,养了大半个月才好。于是青蛙再一次忍不住诱惑,在一个桑拿天去DKN(为神马又是DKN,便宜呀。)收了一辆RR5.2,继续开始骑车。本来收到车的当天青蛙就计划去一次十三陵水库,结果被桑拿天彻底打败,走半小时就要往身上浇水降温的天气里骑车很可怕。 虽然有了RR5.2,但是青蛙不敢再骑大车通勤了,于是又收了一辆大行ht060,专门用作通勤和城里闲逛,这辆小折让青蛙对折叠车的看法彻底改观了,小巧轻便、速度不差,虽然稳定性不好,但是在公路上足够了。 病愈收车复出之后第二次出行(第一次,收车当天去十三陵,失败。),是跟师兄挑战解字石、大科庄、永宁、四海、黄花城绕圈的两日行程因为青蛙的体力不支彻底失败,两日行程压缩到了一日,青蛙推了解字石、推了大科庄,挨到延庆,S2出台回家。 回来之后对体力深表不满的青蛙开始在水木车版灌水,找队伍刷奥园。夏天的晚上刷奥园真的是种享受,凉凉的风夹着一股草香,每次去刷都很舒坦。外加认识了一批喜欢骑车的少年们,在奥园骑车聊天吹水,好不惬意。 然后青蛙继续挑战帝都附近的线路,驼岭隧道绕圈、二爬解字石(这次成功的爬上去了,lol)、黑山寨吃驴肉、禅房、这段时间是青蛙骑车骑的最开心的一段时间,因为上山可以摘到枣子吃,哈哈。 接着青蛙计划在天气转冷之前跑完几条经典路线,例如没爬上去的戒台寺、潭柘寺、潭王路、东大高、妙峰山。妙峰山的计划一直被打断,有2次水木党爬妙青蛙也没有赶上,给今年的骑行留下深深的遗憾哪。 戒台寺、潭柘寺、潭王路一条线在叶子落的差不多的时候挑战完毕,在这条路上围观到了结满柿子的柿子树,很奇怪为啥没人去收,都留在树上。这趟线加爬了一次东方红,虽然体力压力不大,但是已经明显感觉到骑车久了开始发冷,放坡不敢放的太快。冬天要来了。 接着青蛙跟师兄一起跑了一次S2-八达岭-火烧营-横岭城-镇边城-高-大-雁翅-门头沟,这条路线青蛙第一次突破的单日170km,结果就是骑在四环上已经开始打瞌睡了。不过这次完成高大之后,青蛙的年度高大东计划算是完成了(算上之前的东),XD 之后的骑行路线彻底被缩短了,因为冬天的大风和体力迅速消耗。夏天的时候骑车几小时没事,天冷了2小时就被饿惨了。 青蛙又爬了一次大觉寺防火道-凤凰岭,外加一次十三陵水库。 2012展望 明年天气转暖之后计划 再把帝都周围的路线重新遍历一次 争取一次完成三字 争取爬一次长途,海南环岛? 上海?杭州?山东半岛+辽东半岛? 嗯,在策划中。 以上,流水一般,大概还会附加一个菜鸟装备总结? 有时间整理吧。
