Skip to main content

Security Policy 反降低安全性

Security Policy 反降低安全性

最近經手些事件,深刻感受到「過度管理只會使團隊蒙受其害」。 對使用強式密碼的人來說,關於大小寫數字符號的限制,只會限縮 Key Space 而弱化產生出來的密碼;不好此道者,反而因密碼難以記誦,若非將密碼列印於其他媒體,便是依手順並固定使用。能讓我在幾個不同的團隊中,見到高度相似的密碼,這代表流傳已久。如果「管理」反使程序繁瑣,各種漏洞後門小聰明自然隨之而生。 作為宅人,我相信自己對於網路安全也有最粗淺的認知。當 RDP 就是 primary service,並且客戶散布 internet 的時候,開放 RDP to Internet 就是合理方案;了不起在網路層多做點防護,看要驗密碼還是 OTP。在有方案能滿足 business requirement 且兼顧資料安全時,堅持 SOP 只是愚者的行為;只會讓開發者跑到不受監控的地方去亂搞。 當然,這些 SOP 狂又會拿用戶違反 SOP 作為 Root Cause,從此正向迴饋、信心滿溢。從此聰明人只能陪文件玩耍,SOP 狂沾沾自喜,團隊則無限內耗。 正解唯有教育,讓開發者熟悉工作環境中的多個領域,在受控的環境下犯錯並學習,並逐步淘汰不適任者;這也是維繫高效團隊的唯一法門。

雜記

雜記

來把目前還在腦子裡的所有瑣碎事情記一記,不然下週起猛烈修課很可能要忘記一大半 >///< 另外是這陣子寫太多 AWS 的東西了,我可沒打算搶關鍵字啊 :p 美國因應禁運,禁止特定國家訪視 MOOCs (完整、理智、基於邏輯的)教育,是破除各種迷信與威權的最佳手段;合理懷疑這是在培養新奴隸。 Heartbleed、Wordpress (session hijack) 等安全問題 正如 ISO 9000 只保證程序,開源也無法保證品質;眾人的參與及資助才是重點。對許多「典型華人」來說,社會投入與資源分配,還有很長一段路要走。大陸近年開放,發展與腐敗一同突飛猛進;台灣的發展似乎慢了些,但終究起了步。 世界產業 世界越來越小,跨國巨型產業開始超越國家;如果做不到世界級的 anti-trust,遲早會往獨占壟斷走。只有開放與發展的社會,有機會在大規模的典範轉移中,搶到前排座位。 抄 台灣很多人喜歡「照抄」,然後做出四不像。甚至我喜歡說,KPI 怎麼定,公司就怎發展 — 而且絕不是預想中的那種方式;乖乖從基本做起吧。 玩軟體系統的先去念 guideline,理解原則後,再來求新求變;社會政策也別再搞全民大創業了,只要風氣、技術、資金妥當,人民自然會找出 niche 來。 網路與資訊產業 台灣資訊顧問服務發展相當失敗,大案子被大 SI 綁標,實作水準看政府網站與報稅系統便能知一二;新創公司愛學國外 lean startup 那一套,結果欠一屁股技術債而不自覺。中高階人力外流後,一切都免談;如果沒能力砸錢請人,就只能靠教育與訓練著手。以台灣「長官」文化盛行的程度,就算方向對了,做起來也要七折八扣。 網路與金流 網路服務這塊沒啥好說,實質(包含資訊等無形但有質)服務市場沒啥變化,最多是雲端平台躍為主流。 網路內容產業就有趣的多,十多年來,網路廣告的兩端(廣告端與用戶端)始終維持拉鋸;但本質則與舊時代廣告接近。但只要使用者有能力通殺 (AdBlock 永遠不會消失),並且廣告端有人踩線,既有模式就只能持續拉鋸下去,直到演化出新模式。 我猜主動廣告平台(以前那種,看廣告賺錢)可能會復甦,而個人化置入性行銷也是大有可為。這兩個 model 都要由 raw data 計算用戶價值並拆帳,並且 control loop 會長很長。最近常看到類似案例,關鍵字:Big Data, Social / Viral Campaign, Gamification

取消 AWS MFA

取消 AWS MFA

今天很不幸的摔了手機,為了安全緣故,必須取消上面的所有 authentication token,才能放心交給 Samsung 維修(其他有加密的資料就算了,真要我 adb 進去 factory reset 或砍 app 有點太苦 — 要是修回來還要再 bootstrap 相當煩人) 在 AWS 上想取消 MFA,如果客服能從帳號設定的電話號碼聯絡到人,會比較簡單 — 接通電話,回答信件(送件後 15 分內寄發,幾分鐘後會有生人來電)中的 PIN (英文與數字代碼) 與提問的個資問題以驗證身份後就能輕鬆搞定。 要是沒法接聽電話就麻煩得多:除了填表單以外,還要寄送 photo ID 驗證(話說我留 Cliff Lu,中文證件恐怕行不通,雖說我沒明確提問)。 我的狀況有些麻煩,panel 摔壞且觸控無反應;好不容易踹出插上耳麥能自動接聽,又因為訊號不良中斷對話。最後是翻出了八年前的舊手機,把 micro SIM 套上轉卡,邊用電腦充電(不知何因,它在開機下不接受我的 usb 充電器),才講完這通電話。 想到貴森森的維修費用,在被問到 how’s today 之後,只能回 terrible XD 好在有各種 cloud services,所有資料(必然)安然無恙;即使是單機軟體(例如 aCar),在四點之後也會由 Titanium Backup 在 SD 卡上打出備份。只要資料沒事,錢能解決的都算小事啊!

時間與時區

時間與時區

時距 時距 (Timespan) 定義為兩個時間的差值;任一時區與 UTC(協調世界時)的的差值,則定義為偏移 (Offset)。 時間 時區 地球上不同經度區域的時間有所差異,因此劃分有 24 個理論時區,且相鄰時區的(當地)時間相差一小時。然而受到國家統治影響,實際(法定)時區分隔線會依照國界、行政分界線區隔調整,隨著疆界與曆法的變動影響,且差距未必為 1 小時的整倍數。 在表示理論或法定時區時,以 UTC 作為基準,並紀錄該時區的偏移值。例如台灣使用的中原標準時間 (CST) 可記為 UTC +8:00。 時間修正 在各種太陽曆中,地球自轉的與公轉的時間還是會有偏差;古代往往要等誤差累積到數十日,才能藉由星象位置發覺並修正。現代人靠著天文與計時技術的進展,已經能夠極精確的測量;然而目前「秒」的定義並非基於太陽日,並且地球自轉速度會因各種因素變動,因此還是要透過閏秒修正兩者間的偏移。 閏秒是在 UTC 6/30 或 12/31 的最後一秒進行調整,若為正閏秒,則在當日 23:59:60 之後,才進入隔日 00:00:00;若為負閏秒,則在 23:59:58 之後進入隔日。 夏時制 除了時區以外,有些地區會使用 DST (夏時制、夏令時間、日光節約時間):在一年中的某個時段(包含夏天)將本地時間撥快(常見為一小時,下文以此為例)。在這段期間內,地區的本地時間會與法定時區相異。因此本地時間在進入 DST 的時候,會有一個小時被跳過;結束 DST 的時候,要重複經歷同一個小時兩次。 電腦時間 Unix Time 電腦有好幾種紀錄時間的方式,最簡單是 Unix time (又稱 POSIX time, Unix timestamp)。Unix time 將 1970/1/1 […]

Evernote 4.5.9.7465 臭蟲!

Evernote 4.5.9.7465 臭蟲!

今天在 Plurk 上看見朋友發布「今天更新的 Evernote 有問題」,但我不以為意,還是乖乖更新了。更新後,編輯文件會發生問題: 在主視窗內直接更動的部份不會回存 若開新視窗編輯以後,主視窗的內容會被更新為空白 今天有更新版本的人,記得檢查改過的文章,是否有正確回存資料(只有編輯的文章會受影響,檢視 匯出 沒問題)。可以使用「檢視」=> 「顯示記事歷程紀錄」抓出前次上傳的版本,但今天新編的部份應該是沒救了。 目前官網上的版本已經 rollback 回 4.5.8.7356;已升級的軟體版本「不會被自動降級」,因此要移除並手動重裝。 我付費用好一陣子了(純支持,我流量一般都不到),因此不清楚歷程紀錄是否是專業版特有功能 @@ 如果是的話,猜想 evernote 作為補救(也是唯一可能補救措施),會暫時提供給所有帳戶吧。不負責猜測喔!