Friday, May 22

支付宝的键盘记录器

今天收到转来的 支付宝涉嫌耍流氓 监控用户键盘

从技术上我能理解这个软件为什么要这样做。

中国的流氓软件很多,病毒很多。许多电脑都是带病毒运行。有些病毒就监控了用户键盘,盗取用户的输入密码。所以支付宝为了安全,就必须重新抢过键盘的监控权,才放心让用户输入。否则,用户的密码被盗了,还抱怨支付宝不够安全。

为什么中国的流氓软件多,病毒多?因为许多人都是用盗版windows,都不执行Windows的自动更新。这个自动更新干什么用的?是安装补丁的。微软做出windows之后,大家到处找漏洞;没有漏洞的软件是不存在的,你也知道。因此,发现漏洞了,微软就发布补丁来堵漏洞。如果你不执行自动更新,那么漏洞就一直开着,等着病毒的攻击。这就是中国Windows的现状。有些政府单位全部用盗版软件,所以在黑屏事件时,上级单位还发通知如何应对。而且,国内用户的安全意识不强,许多人认为:我电脑里没什么秘密,所以有病毒也无所谓。

所以我说,从技术上我能理解支付宝为什么要这样做。但是从公关的角度上,它可以作更好的。比如说,它可以给那些杀毒软件送一个样本,告诉他们这些文件是我的正常软件,杀毒软件就不会因它而报警了。或者,把这个“与病毒抢制空权”的原理告诉大家,大家也就没有什么埋怨了。

其实,用软件是要讲缘分的。你用一个软件,就表示你信任这个软件和后面的公司不会对你不利。我在《一段黑客经历》里就提到:
软件的使用本身就是建立在相互信任的基础上的 ,如果如此滥用别人的信任,这个世界已经完蛋了。例如,我们为了聊天,从网上下载,或者用软盘拷了oicq并执行,但是你怎么知道这个软件里没有一个代码准备格式化你的硬盘呢?甚至,微软的windows除了将你的注册信息发给微软公司之外,是否还把你硬盘里的秘密发送出去了呢?如果对网络的东西毫无防范,你死了都不知道怎么回事;但是如果完全基于不信任主义,我们就只能使用自己编制的软件。我们只能在这中间找一个平衡。

Sunday, May 10

Release: PhorumUpload: File-Uploading function of Phorum

This code can help uploading files in the Phorum. The original file-uploading function is retarded because the file is saved in database!

Download

Readme.txt:

// Copyright: This work is licensed under a Creative Commons License: Attribution-Noncommercial 2.0 Generic,

// the same as posts in my blog http://benincampus.blogspot.com

// You can retrieve the copyright detail from http://creativecommons.org/licenses/by-nc/2.0/

// This work was first deployed in http://www.starlakeporch.net/bbs/ by ivyfoxlab.



// Ben@fadshop.net. April 1, 2009

// version 1.1: levitate to root folder. Add PHORUM[user][user_id]. By Ben. April 6, 2009

// version 1.2: Add filetype='other' for extension compatibility. By Ben. April 16, 2009

// version 1.21: Bug fixed for OtherExts. By Mantou. April 18, 2009

// version 1.3: Create an empty index.htm in the newly create folder to prevent folder browsing. By Ben. April 22, 2009

// version 1.32: Show warning message before uploading. By Ben. May 8, 2009



安装文档:

1,把upload.php放到论坛根目录。然后成立upload目录并给777权限。后面这一步也许不需要,我的程序会自动创建这个目录;也许在别的系统会创建失败。所以为了保证质量,还是手工创建最保险。

2,在 templates/所用的模版/posting_buttons.tpl ,其他按钮前面, 加上



< input type="button" name="upload" class="PhorumSubmit" value="Upload" onclick="window.open('upload.php','上传文件','toolbar=no,menubar=no,width=500,height=350') ;" / >





3, 检查php.ini中文件大小限制:upload_max_filesize


INSTALLATION:

1, upload upload.php into phorum's root folder and create /upload/ folder with permission 777.

2, Add upload button in the template/the template you choose/posting_buttons.tpl, along with other buttons:



< input type="button" name="upload" class="PhorumSubmit" value="Upload" onclick="window.open('upload.php','Upload File','toolbar=no,menubar=no,width=500,height=350') ;" / >



3, Check upload_max_filesize in your php.ini


TODO:
Make it as a mod of Phorum. User can delete files of his own.