demo@virushuo

这是给FTChinese写的稿子，发表于 http://www.ftchinese.com/story/001030941

所谓搜索世界的两端，一端是美国，一端是中国，一端是Google，一端是百度。如果眼下这些乱七八糟的事情继续坏下去，两端都会继续背离，越走越远。

另外，我并非专业写评论的，只是个程序员。班门弄斧，博大家一笑。

------------------------------------------------------------------------------------------

在蒸汽机出现之前，就算用鞭子拼命抽打坐骑，也不能让速度变快一倍。机械时代开始之后，一切都变得不同，从铁路到航空，速度变快了数倍。在今天这个时代，现实中的运动速度已经基本到达上限。科技再发展10年，也未必能让飞机的速度再提高一倍。但网络可以。从第一次工业革命到现在，"变快"一直是人类经济活动的重要部分。

网络传递的是数据，而非实体物质。在网络普及之前，传递一份文件尚可通过传真，但传递一段声音，一段影像，除了传递存储介质之外，别无他法。当网络把一切都数字化--电子邮件，电子文档，音频流，视频流之后，这些都变得简单了。人们发现，越来越多的东西无需传递实体物质，仅传递信息即可。简单来说，我们手写一封信通过邮局投寄，需要传递给对方的只是信的内容，并非信的实体。对方只要获知了信中的内容，并不需要拥有信封信纸之类的实体物质。网络通过让信息快速移动的方式，再次让人类的活动"变快"。

互联网如同高速公路，四通八达。要想快速移动，只有路是不行的，还需要足够好的车。对于互联网来说，搜索引擎就是这辆车。搜索引擎帮助人们快速找到需要的东西，换言之，缩短了人和信息之间的距离。即使在互联网的时代，人们也从来没有这么方便过，一般来说，大部分需求，用不了半秒钟都可以得到满意的答复。搜索引擎缩短了人到信息的距离，广告也就接踵而来。这种广告也和以往大不相同，既然已经"知道"人需要的东西，于是便可毫不干扰用户的插入对应的广告。这种经过整理的广告，甚至可以被认为成信息的一种。你在找Macbook的价格？Google不仅告诉你价格，还告诉你哪在出售。这就是Google在前面10年中的主要工作。

Google有个响亮的口号，叫做"整合全球信息"，其意图非常明显，只需获取更多的信息，进行整理，等着人们来使用，把广告放在合适的位置，其收入就会持续增长。Google根据页面之间的关系，创造了PageRank的排名方法，根据这种算法排序搜索结果，绝不允许被人工干扰，广告和搜索结果有严格明确的区分，放在搜索结果右侧，绝不混淆。Google尽量去选择并提供用户可能需要的，绝不干扰用户原本的筛选行为和结果。对应到现实世界，就好像建设覆盖更广的高速公路，帮助更多的人到达目的地，同时在路边树立广告牌。不干扰用户，只给用户需要的东西，无论是信息还是广告。对于这样一家公司，信息越多，流动越快，人们就越需要Google来整合信息，使用Google的次数也就越多。这也就意味着广告可以被展示更多，进而带来更多的点击，创造更多的利润。这家公司几乎是最近10年来信息流动最大的推动者，他们甚至希望把用户接入网络的ISP费用都免掉，以便让信息流动的更快。Google不仅"不作恶"，而且"无需作恶"。事实上，任何作恶行为（比如改变用户的搜索行为和结果）都会阻挡信息正常流动，最终受损害的不仅是用户的利益，更是Google的利益。

一个伟大的事业，不会只有一种盈利方法。在中国，其竞争对手百度，找到了另外一条道路。起初，百度和Google类似，也整合信息，缩短人和信息之间的距离。在百度的模式中，可以将一些付费的内容放在搜索结果页面中比较靠前的位置。这是一个相当有趣的平衡，百度同样希望缩短人和信息之间的距离，百度也需要用户点击他们提供的广告来获得盈利，他们比google走得远得多：他们将广告直接置入搜索结果，以鱼目混珠式的点击获得更快捷的盈利。这听起来有点像高速公路上的收费站。收费站当然不希望让高速公路完全拥堵，车辆仍然会在那里堵上个几分钟，缴纳过路费。甚至，他们只在乎过路费，并不太在意人们最终是否能够到达目的。几年前，百度特别热门的关键词搜索结果前几页都是付费广告，且没有任何标记，在这种情况下，人们很难利用百度找到有用的信息。一旦百度开始左右用户的搜索结果，就很难停下来，因为一旦停止，利润就会快速下跌。百度也在力图改变这个微妙的平衡，经过几年的努力，现在搜索结果中的广告会被标明"推广"，而且最热门的关键词，也只有半页的付费结果了。

好的利润和坏的利润并不那么区别明显，何况，百度也在力图让自己的搜索结果更有用。但这仍不可避免的令公司陷入很多麻烦事中，前面的几年中，我们看到广告主，网站站长，代理商等各种角色对百度发泄过不满。百度是一家不错的公司，但他们确实很难和Google一样宣称自己"Don't be evil"，他们显然也并不相信这个。对于Google来说，IPO只是一个起点，甚至到今天，Google仍然还远远没有到达巅峰，对于这家伟大的公司来说，这颗星球上还有太多的信息需要被整合，下至传统出版物，上至人们随身携带的移动设备。这些都将逐渐成为Google广阔帝国的一部分，Google仍然在关注如何缩短人和信息的距离，让信息流动的更快。至于这些地方是否被树立上广告牌，那并非第一优先考虑的事情。但对于百度，利润永远是第一的，百度的平衡仍然会继续下去，他们将走向另外一种模式。也许再经过5年的时间，我们可以看到"中国的Google"变得和Google截然不同。

Posted by virushuo at 12:16 PM | Permalink | Comments (8)

很久不在这个blog上写和技术无关的东西了，尤其不想写跟业界有关的东西，觉得太空，太忽悠，对别人没价值。但这次，我想写写这5，6年对google和百度的一些观察心得。这里面，这里面存在大量的个人推论，我并不能担保完全正确，请只当作是一次思想的碰撞。

这篇blog主要由我完成，Tinyfool提出了大量修改意见，亦有重要贡献。

1 google，不作恶，信息流动

众所周知，google的目标是"整合全球信息"。从另外一个角度看来，这可以看作加快信息流动。信息流动变快是有巨大的经济价值的。加速，始终是人类经济活动的主线，快即是价值。从蒸汽时代到现在，每一次让移动速度加快的方式都造成了人类巨大的变化，只不过，在蒸汽和机械的时代，加快的是人和货物的移动，信息时代加快的是信息的流动。

仔细观察，可以发现，很多事情不再需要实体物质的流动。比如，我们不再需要人去送一封信，而只需传递一封电子邮件。我们也不那么需要去订阅一份报纸送上家门，而只需要浏览门户网站。这是信息时代带来的改变。而Google所做的，是继续加快这种信息流动的速度，让人们需要的东西更快的呈现在眼前。

Google始终坚持Pagerank排名，除了惩罚作弊者，并未干预过任何排名。这是因为，信息的正常流动才会加速，加速信息是Google的价值，也带来巨大的经济价值。Google绝对不允许把广告插入到搜索结果中。否则搜索结果质量会下降->用户不满意->搜索量降低->广告点击降低，最终仍然造成收入下降。（后面我们会讲到百度完全不同的做法）

投放过Adwords的同学会发现，并非价格越高越好，就算单价非常高，如果匹配度很低，广告点击率就会很低。这样Google仍然会降低这种匹配的出现频率。这样就避免了在A在B的搜索结果中投放"我是B"的广告来误导用户。

在这个体系下，有用的东西就是有用的，信息流动会变快，Google会推动这种信息变的更快，没用的东西就是垃圾，会阻碍信息流动，Google就让他变的更慢，直到被放弃。

Don't be evil 这句口号，可以理解为东欧出生的布林对人生的追求，也可以理解为Google商业利益的准则。因为，越是不作恶，越是让信息有序，正常的流动，给Google带来的实际利益也就越大。很多人认为这只是一句作秀的口号，事实上这是商业和个人追求的双重准则。

2 baidu，竞价排名，Google

百度显然看到了搜索的巨大价值，于是挤进了这个市场。我们且不论搜索质量，先看百度的利润来源。

百度同样有右侧广告(类似Adwords)和左侧排名。左侧排名就是所谓的竞价排名，这是百度的"创新"。竞价排名是百度收入的主要来源(注1)。

前面说过，竞价排名会干扰用户搜索体验，这大家都深有体验，某些热门关键词，百度前几页的结果都是竞价结果。那么为什么Google不敢这样做，而百度这样做就赚翻了呢？

昨天我在twitter上说过一句话："adsense是促使信息有序流动并盈利，竞价排名是破坏信息流动并盈利。也难怪两个公司的人看问题截然不同。"

很多人有体验，如果你的搜索结果比较靠前，百度会有销售来找你做竞价排名，如果不做的话，很快你的搜索结果就骤减。这种"巧合"正好说明了阻碍信息流动也是可以盈利的。换言之，帮助别人照看孩子可以赚钱，威胁别人家孩子来收保护费也可以赚钱。

那么，按照前面的说法，阻碍信息流动的应该会被用户抛弃，在百度这边为什么情况相反呢？

搜索引擎的结果好坏实际很难评价，通常来说，"好10%"是完全没有意义的。这在这个市场上反复被证实，仅仅让搜索结果比对方好10%，或差10%，不会对用户体验影响太大。第二梯队中的搜狗，有道，搜索结果未必真的比百度差多少，但无论如何也无法翻身。同样的竞争也发生在了Google,Bing,Yahoo之间。换言之，搜索引擎产品是一种先入为主的产品。

在百度起家的年代，Google遭遇了最严重的屏蔽。大家应该都有体验，在大公司内基本无法正常访问Google。我们且不去讨论这种屏蔽的始作俑者是否是百度(无论百度是否加快了这种行为，最终的结果也必然发生)。那几年，又正好是中国互联网用户增长最快的年代(注2)。大量的新互联网用户直接成为了百度的用户。

搜索引擎市场上，"获得第一批用户"是至关重要的。

比较百度和Google的产品和收购策略，百度通常收购能带来巨大流量的产品，包括hao123，天空软件站等等。而Google收购的通常是具有独特的技术，可产生独特数据的产品，比如Analytics,blogger。

百度的主要企业运营行为是围绕"获得第一批用户"的。这些方法包括：工具条，hao123，和软件下载站合作等等。Google被屏蔽看作这种行为的反向手法，无论是否百度造就的，至少这个结果导致了百度获得了更多的第一批用户。

在一个基本没有竞争对手的市场上，百度可以"挟流量以令诸侯"，这时候，他破坏一部分信息正常流动也不会造成太严重的后果。因为用户毫无比较。

Google的铁杆用户分为两类。一类是早期用户，这部分用户用过Google，也用过百度。有明确的比较和鉴别能力。他们最终选择了Google。另外一类是专业用户，他们真的发现百度找不到他们需要的东西。这时候Google对比百度的优势大大增加，到达了用户满意程度的临界点，于是这部分用户也选择了Google。

在中国互联网上，大部分用户偏重娱乐。这些用户很难分辨Google和百度的区别。甚至他们会觉得百度更好一些，因为百度提供了方便无比的MP3搜索。他们一旦先尝试了百度，那么就会留下，继续成为百度的用户。这就是我们今天看到的样子。

3 谷歌做了什么

2006年，Google决定开设中国办公室，并命名为谷歌。这是Google创始以来，最大胆，也是最小心的尝试。他们从来没有过试图进入一个需要过滤某些内容的国家(如前所述，这是阻碍信息流动，同时也背叛了Google的价值观)。

我们可以从一些细节看到Google的小心翼翼。比如，Google.cn是没有Google Account的。用户不能注册，也就没有密码，因此也就没有泄密之忧。后来有人嘲笑谷歌音乐可以用各种帐号登录，但就是不能用Google Account登录。所有需要登录的Google服务都没有进入中国。包括Gmail,Gtalk,Blogger等等等。

Google从进入中国那一天，就给自己设置好了底限。这种底限，就是李开复所说的"总部压力"。

李开复的谷歌，是谷歌，绝不是Google。是一个像百度的外企。

3个字可以来概括谷歌几年的工作："倒流量"。倒流量的工作由一系列的合作(迅雷，sina，天涯，265)完成。这和Google的传统做法完全不同，Google几乎不去主动谋求流量，产品质量会解决所有问题。但谷歌必须谋求流量，一个急进，喜欢去大学讲座和写书的职业经理人，不会有创始人那样的耐心慢慢的守着一个市场。这让谷歌越来越像百度。

众所周知，用和对手一样的手段不可能打倒对手。

谷歌推出的最重量级产品，是谷歌音乐。这显然是看到了百度在MP3搜索上获得的好处，意图获得以娱乐为主的用户。当然，鉴于Google全球的品牌，这些音乐需要有版权。我不评价这个产品的好坏，但这显然和Google总部习惯格格不入。难道Google不知道去做一个音乐下载产品吗？难道Google不能去做一个下载站吗？总部不去做，只不过是因为这和价值观不符。

同样的价值观不符，还包括和天涯合作的来吧。之前说过，除了独特的数据，Google不会主动创造内容。以Google的胸怀，可以去索引百度贴吧和知道，并放在结果的显著位置，但没必要自己去模仿一个贴吧出来。这种竞争的水平太低了。

甚至，谷歌把中国访问Google.com的流量"劫持"到了Google.cn，以便提高自己的"占有率"。这件事让很多Google老用户恼火，Zola曾经在某个李开复参与的活动中举手提问，如何才能在中国正常的访问Google.com。

"倒流量"之后，谷歌的市场占有率有所上升。这是应该的。不过，新上升的占有率中，有多少是真正的搜索流量就不得而知了。正如百度搜索和贴吧等产品的比值是个秘密一样。

百度跟在Google后面，而谷歌跟在百度后面。

除了倒流量，谷歌也在"抓收入"。

投放过Adsense的朋友，大概会记得，Adsense的匹配质量越来越差，医疗方面的内容也越来越多。之前经常有人因为作弊被封掉帐号，后来再也没人说过自己的帐号被封。

我07年的两篇blog提到了这件事：
对不起，这是谷歌，不是google
去掉了blog上的google adsense

这两个特点都不是Google Adsense应有的特性。Google Adsense应该是匹配准，不干扰用户，且提供有用信息。时常读英文内容的人会时常看到Adsense广告的匹配相当精确，时而有点击的必要。

离开了这两个特点，可以把谷歌的广告看作一个大的广告联盟。这和拿了很多小网站的Banner的流量去找广告主谈价本质是一样的。在这种广告销售策略下，不需要匹配，不需要杜绝点击欺诈。最舍得花钱投这种广告的，无非是医疗，美容几类。

这几类是最赚钱的部分。不仅对于谷歌，对于百度，甚至对电视台都是一样的。

关于Adsense的故事，可以看看Tiny这篇文章 :我和Google Adsense那点故事

在这5年中，最常被记者们提起的"谷歌困境"就是"总部压力"。在我列出的这些部分，都已经触及到了Google价值观，所以Google必然不满。

有兴趣的同学可以对比一下2005~2010这5年，Google做了什么，谷歌做了什么。你会看到截然不同的项目。虽然结果看起来似乎都是："市场份额增加，收入增加"，Google在这几年，砸实了搜索的基础，扩大了搜索的内容来源和范围，把索引伸向了非数字内容，完成了地图/卫星图/Earth/街景等一系列重要产品，完成了在移动和3G方面的布局。谷歌做了什么呢？音乐，热榜，还有一个抄袭的输入法。

从谷歌存在的那天，我就写过一篇文章，核心意思是：要么把中国当作研发基地，投资，研发，但不运营，要么就干脆去印度开分公司。不幸言中。

4 孙云丰的观点

从商业价值和经济利益方面考量，都可以看出Google的不作恶，并不是作秀的口号。对于一个靠信息有序化赚钱的公司，必须要不作恶才行。百度正好相反，必须要作恶才行。

Google是幸福的，可以把商业价值建立在一个正确的价值观之上。这确实是可遇不可求的机会。很不幸，百度不行。

孙云丰的言论是无法自圆其说的。一方面，他认为Google不是人权斗士，只是个为了利润的市侩分子。另一方面，他又高举社会公平的大旗，宣称百度的道德感。这两者之间有明确的冲突。如果Google只为了利润，那么百度同样不应该有道德可言。

一方面，他宣称自己观点毫无错误，另一方面，他又删掉了自己的文章。有人说删贴未必是他自己的意愿。那么，作为宣称"有道德感"的百度员工，他不应该屈从别人的意见删掉自己认为正确的东西。作为百度高管，不应该允许百度公关去打电话要求别人删贴。

今天有一些百度员工为孙云丰辩护，这些说法同样无法自圆其说。试图证明百度是一家很好的公司，并不能证明孙云丰说的正确。正如纳粹德国有一支很有战斗力的军队，并不能证明希特勒是正义的。他们甚至自相矛盾，认为孙云丰对竞争对手恶言相对是正确的，其他人骂孙云丰是错。如果孙云丰代表自己骂了一家公司，该公司的用户有权回击。如果孙云丰代表百度，那他严重的缺乏职业道德。从任何角度，我也得不出百度员工和前员工的那些结论。

当然，我从来也没认为过百度是一家很糟糕的公司，甚至很多次认为百度正在逐渐变成一家有责任感的公司。遗憾的是，从高管到员工，似乎都没和这家公司一样完成这种转变。

不要以为这次事件打击了Google在中国的份额就幸灾乐祸，事实上，中国的互联网市场消失了。这和市场份额无关，和宏观形势有关。这个国家温情脉脉的互联网时代就此结束，就好比IT精英们看不起的那些传统生意人一样，慢慢被兼并，重组，消亡，剩下的那一点，会被扫倒利润微薄的边边角角。就好比，你家楼下菜市场那个可怜的菜农，守着那一点点收入，还要担心城管。这是这个行业中每个人的悲剧。

Tinyfool说:百度的矛盾在于，Google的成功是他在全世界资本市场受宠的原因，但他们可能无时无刻不想google死掉会更好。在全世界范围内，这是不可能出现的，现在在中国出现了，他们真的会高兴吗？

Google给我们的最大价值，除了信息流动加速，就是信息永存。当我写完这篇blog，发布在我的blog上，按下"发布"之后的几分钟，各种蜘蛛就会蜂拥而至，把这篇文章复制若干次，存在这世界的各个角落。这文章即永存。无法被某个组织控制或删除，也无法阻止其流动。公关公司不行，某个国家政府也不行。孙云丰的言论，和百度其他员工的言论，也将和这篇文章一样，被永存，成为历史的一部分。这是我们热爱Google的原因。

现在，我要按下发布按钮了。

Posted by virushuo at 10:59 PM | Permalink | Comments (295)

我的看法：

1 百度忘了自己是怎么被CCTV菊爆的了？
2 百度忘了自己的股价和google永远是波动一致的了？

原帖他自己删了，CSDN转载的 http://news.csdn.net/a/20100113/216459.html 被百度的人要求删掉，所以我就在这里再多备份一次。

声明：本文由 @dupola 备份。现原文已被删除。原页面截图在此 http://tweetphoto.com/8630311 ，感谢霍炬 @virushuo 帮忙。
update2010年1月13日20:22:51 又有截图：http://www.flickr.com/photos/46280976@N08/4271559306/sizes/o/ 感谢 @Bamind 提供。

关于谷歌退出中国_在地铁站 - http://hi.baidu.com/whomi/blog/item/2b1001e9be877834b80e2df6.html
作者：百度首席产品设计师孙云丰

google宣称要退出中国，所证明的，恰恰不是市面上的那些g粉所宣称的那样，google是个"人权斗士"，而刚好反了过来，正好证明google是个市侩分子。

google的首席法律顾问的调调让我感到恶心。因经济利益退出，就直白白的说好了，把自己涂脂抹粉一番，还煞有介事的提到google被中国人攻击，中国异议分子的Gmail信箱被攻击，把这些事情作为退出中国的铺垫，这种论调是侮辱中国普通老百姓的智商，但还真有可能迎合那帮目空一切，但从未到过中国、对中国没有丝毫了解，却又喜欢对中国说三道四的西方人的假想。

只提一个假设，如果谷歌占据了中国80%的搜索市场份额，google的高管，还会这么高调的宣称要do no evil，从中国退出吗？

整个事情给我的唯一感受，就是恶心。

科普一点：

信息不对称是造成社会不平等最主要的原因之一。而对普通百姓最为关键的信息，并非中南海秘闻，而是最为常规的经济、文化、科技等领域信息。尽可能的为普通老百姓对这些领域的信息提供便捷，并消弭信息占有的不对称，这是搜索引擎存在的最大社会政治意义之一。

从这个角度而言，尽可能的设法为百姓提供便捷的信息获取技术服务，提供切实的价值，而不是挂羊头卖狗肉的宣称自己do no evil和政府撕破脸皮搞壮烈，才是一种真切的负责态度。找台阶下可以，但不要拿一个高管制国家的民众感情来做台阶，这是极其不道德的。

政治环境短期内是无法改变的。在中国，每个企业或者个人，都必须戴着镣铐跳舞。其实在别国一样，只是程度之别。但这是现实。在有限的条件下，尽可能的提供自己勉力而为的一份子，才是一个真切的做企业、做人态度。

在我博客上乱喷的兄弟，甚至还有搞笑的喷我five毛党的，都回家好好的念点书，再回来喷吧。希望看得见点水平的，而不是除了咒死爹死娘就不知道说啥的。 80年代的愤青，可不是现在这副衰样儿。

--------------

以上是作为一个曾经的忠实google用户而说的，和百度无关。市面上沾沾自喜于了解一点google的产品技术细节将google奉为道德楷模而自封G 粉的兄弟，请勿跟帖瞎喷，你们根本不懂什么叫搜索引擎，什么叫自由人权。

--------------

btw，评论关闭。要喷到twitter上喷吧。我的地盘不欢迎。

Posted by virushuo at 8:42 PM | Permalink | Comments (24)

http://code.google.com/p/phpjsrsa/

这是一个用于文本加密的库，主要用于http协议下的防窃听。一般来说，如果应用https协议可以有效的避免窃听。但有几种情况必须考虑。

(1) 主机同时有https和http协议，部分用户通过https协议访问，获得了保护。但也有用户通过http访问，这部分用户会遭到窃听。除非关闭http请求，全面转向https。
(2) 主机并没有https支持。

很多情况下，我们需要保证主机安全，最好的办法是将其混入数字森林中。即：这台主机输出的内容没有人能看得懂的，只由无意义的代码和数字组成。用户浏览这台主机，不会触发任何关键词扫描。甚至该主机连https协议都不使用，更凸显其低调本色。

换言之，一个网站如果把自己的内容都变成字母和数字的组合，且不使用https协议，那么他就是数字森林中的一片树叶，丝毫不引人注意。

我们的目标应该是传输过程中不引人注意，并非绝对的不可破解的安全。

因此这个库的工作流程是：
1 php对"内容"做rsa加密->将加密结果输出到页面上。
2 用户浏览页面，html代码中的"内容"被加密成数字形态。私钥可以直接输出在页面代码中，也可由用户输入一次，保存在cookie中。使用cookie会降低密钥泄露的危险，更加有效。
3 通过javascript在用户浏览器上将这些数字解密为内容。
4 通过javascript dom来把内容写回到页面上。用户即可浏览。

利用javascript解密，可以把运算负担分散到客户端上。窃听者如要窃听每一个页面的内容，则必须要 1 获得密钥 2 用密钥解密内容

在已知密钥情况下，如客户端的每个页面运算负担为 1 ，页面数量n ，那么窃听者获得密钥之后的运算负担为 1*n。

为了运算效率，使用小质数作为rsa的p,q，理论上窃听者可以通过因数分解算出密钥，其运算负载为k，注意k 远远大于1。

如果每个站点使用不同的密钥，共计m个站点，窃听者的运算负担为 m*k+1*n，且负载集中。

而，如果采用双向可逆加密方法，在得知算法的情况下，窃听者运算负载极小。如果在通过变换算法来增加难度，又无法做到通用，给用户正常浏览造成困难。使用rsa方法，算法是标准的，用户使用成本很低，窃听成本很高。

在项目代码中，我已经实现了这一目标。但仍然有效率问题。

目前问题：

1 在没有bcmath和gnumath函数的php主机上，php加密内容的运算效率很低。和bcmath差距几十倍。好在大部分情况下，主机都是有bcmath函数的。这个问题不严重。
2 JS的bigint运算效率很低，主要是powmod的效率低，而这是rsa解密最频繁的操作。

希望有兴趣的朋友加入这个项目。效率问题解决后，还需要port在一系列常用软件上。比如dabr或twitese等。

另外，需要的质数可以在 http://www.prime-numbers.org 找。

我放了一个demo在： http://blog.devep.net/rsatest/test.php 可以看html代码，里面是没有中文内容的。

update: 使用了 http://www-cs-students.stanford.edu/~tjw/jsbn/ 的大数运算库，效率提高很多。

Posted by virushuo at 6:56 PM | Permalink | Comments (30)

如前所述，这次活动我分享了银杏搜索在使用snmp监控方面的一些经验和演变过程。其实起初我认为这是一个相当冷僻的话题，没多少人会有类似的需求或是兴趣。没想到的是还是有很多同学说有用，也在沙龙上碰到了一些正好也在做这方面开发的朋友。非常令人欣慰。

总体来说，这个方案还是有很大的局限性。局限性首先来源于我们的服务特性，可以说是为了解决特殊问题的特殊方案。其次，还有很多地方不完善，仍然需要在应用中进一步完善。

ppt放在这里了：

另外做个广告，敏捷中国大会 2009即将召开，含金量颇高。有兴趣参加的，可联系 agilechina@cn.infoq.com 购票，说是我介绍来的可以有100块钱优惠 :D

Posted by virushuo at 3:11 PM | Permalink | Comments (9)

应大家要求，上场讲一次。但是我作的事情多而杂，实在想不出来讲什么。以前我blog写过一篇我们是怎么使用snmp来做到免配置的监控搜索服务的，包括获得搜索服务的各种状态数值。很多同学对这个有兴趣，于是这次就分享这个吧。

时间地点 2009年8月23日 14:30 在西直门，奇遇花园咖啡馆: 交通和地图

欢迎来捧场

话题简介：
"
对于大规模的服务软件，尤其在SAAS服务中，对所有服务的状态进行管理和监控是系统的难
点之一。本次活动分享银杏搜索基于snmp协议实现的免配置的服务管理方法。通过这种方法
，银杏搜索管理着分布在10多台服务器上数百个服务程序的状态，增加和减少服务设备时，
不需要进行任何人工配置。
"

可参考我过去这篇blog：在你自己的软件中应用snmp和agentx协议传递信息

Posted by virushuo at 5:08 PM | Permalink | Comments (8)

学过高中物理的人，应该会记得，原子中的电子获得能量之后，将发生能级跃迁，到达更高的能量状态。其实任何工种都是一样的，要跳出自己的水平，到达更高的级别，不是件容易的事，这个跳跃过程总需要一些东西的辅助。诚然，如果要成为一个好人，那么只要做好在幼儿园中学到的一切就足够。如果要成为一个好程序员，所需要的道理也不太多，只不过，当水平不够的时候，永远不能认识到那些朴素道理的重要。而当水平达到的时候，这些道理自然会明白。所以一本帮助程序员进阶的书，很容易落到低手觉得是废话，高手也觉得是废话的悲惨境地。

很多年以前，有人和我推荐过这本《程序员修炼之道》，甚至专门买了一本送到我家。而当年的我，不知道是由于无知，自负，浮躁，或是其他，只草草翻了一下，就下了个"烂书"的定义，扔在书架一角。后来有朋友在我书架上发现，如获至宝，说已经买不到了。我当然乐得送了人情。在我心目中，最好的入门书永远是《代码大全》，那也是对我影响最深的一部书。

过了很多年之后，再来谈这本书，发现很多人的评价比我高的多，自知不妙，赶快找来重读，这才知道错过了什么。在一个滥俗的译名之下，在一个看起来不知所云的目录之后，在一些读起来拗口的句子之中，隐藏的竟然是相当伟大的思想，朴素而真挚，简单而有效。这时候我突然明白，这是一本不逊于《代码大全》的伟大著作，后者一直被我誉为"新手圣经"。

经验这个东西，往往并不能告诉我们什么一定对，但是可以告诉我们什么一定不对。这本书完全是经验凝成，没有大道理，没有新观念。这些朴素的道理就是创造一个合格软件和作一个好程序员所必须了解的。比如 "提示44 不要靠巧合编程"，这句话表达的意思是"不要预设立场"。听起来简单，但是只要随手翻翻你最新写过的一段程序，通常都会发现代码中做了大量的"假设"。书中用一道习题，假设了用户使用命令行环境，假设用户懂英语....都可能导致问题。怕了吧？幸好还有"提示30 你不可能写出完美的软件"，这可不是帮你开脱责任，而是在讲如何控制需求，这正是能顺利完成一个项目的根本前提，可惜事实上往往到了项目失败的时候，人们才想起来需求出了问题。

这本书涉猎的范围相当广，如何设计架构，如何思考问题，如何测试，如何编码，如何处理文档...如果细心琢磨，构建软件的所有主干和细微枝节都有所涉及。和很多人的看法不同，我不认为这是一本可以轻松读完的书。一方面，这本书涉及的内容太多，虽然已经尽量讲述，但所有话题都可以继续引申出无限的内容，如果用心，还可以配合附录中所提到的各种论文和资源继续学习。习题也需要仔细思考。这绝不是一本小说。另一方面，作者用了大量的隐喻，导致读起来有一定难度。开始我认为是翻译质量有问题，不过慢慢发现美国的读者读起来也未必容易。原因还是涉及到的范围过大。我特意模仿这种风格写了本文的第一段。虽然是中文，读起来也不容易吧。

相信以上的两点会阻挡一部分人阅读这本书。我也算是曾经受阻的人之一。 不过，好书并不会随着时间的推移和平台变化而消亡，好书只会成为经典。无论是《人月神话》，还是《代码大全》，都在时间的长河中沉淀下来，传颂至今。这本书，虽然历史只有10年，不过现在再来翻看，不仅毫不落伍，甚至感觉穿透了时间，看到了这些年中不少自己犯过的错误，我相信这也是一本能经的起时间沉淀的书，只不过需要多点耐心。因此，我郑重的写下这篇书评，希望再能读到这本书的人多一点耐心，越过语言的障碍，直入本质，直至跃向更高级别。这个希望，不仅仅是对新手说的，其实也包括我自己。如本书开头所说：注重实效的程序员应该不断学习。我们都应该不断的学习下去。

Posted by virushuo at 12:30 AM | Permalink | Comments (9)

某年某月某日之后，我决定blog上只写技术话题。再不写个人有关的任何事情。另外一个某年某月某日开始，作为一个环保主义者，我决定不买任何报纸和杂志，因为我觉得浪费资源，我看电子形式的东西已经足够了。甚至很多时候，别人赠送我的印刷品，我都会拒收。决定不买杂志的那个日子，到现在已经有10年了。中途极少破例。

但今天，我破例同时买了一份杂志和一份报纸。于是，我也打算再破例一次，在blog上写一次非技术话题。

这本杂志是《时尚先生》2009年8月号，报纸是《南方周末》8月6日。

杂志，我是为了许志永这页而买。报纸则是为了A3版关于黑监狱的报道。

如果你理解，那么你应该明白我为什么会把这些东西买来作为收藏。如果你不能理解，那么请听我慢慢说清楚这件事吧。

许志永博士是公盟创始人。公盟是一个法律援助公益组织。他们做过很多事，比如 ：2003年 就孙志刚案提起违宪审查建议，这件事最终取消了暂住证。如果你在2003年之前离开家乡，在另外一个城市工作，那么你很有可能和孙志刚一样，因为暂住证而莫名其妙丧了命。记得我刚来北京的时候，周围不时流传着"到昌平筛沙子"的典故。感谢互联网，我们现在仍然可以找到"筛沙子"这个现在听起来好像小说一样的故事。在当时这可是笼罩在大家身边的实际威胁。

概括点说，公盟做过的事情之中，一定有为你争取权益的，且不说大事，就说身边的事情，如果你在异地工作，如果你养狗，如果你家的房子要拆迁，如果你来自农村，如果你使用网通和电信的服务，如果你有孩子，如果你坐火车...就这几条大概就能涵盖所有人了吧。夸张一点来说的话，如果你纳税....

更为难得的是，许志永是个非常温和的人，始终提倡非暴力，一切都在法律范围内进行，一切合理合法，甚至到了被人打也不还手的地步。

《时尚先生》的照片配的文字是许志永的梦想："我希望我们是个自由幸福的国家。每个人不需要违背良心，只要靠自己的才能和品德就可以找到合适的位置；一个简单而幸福的社会，人性的善得到最大的张扬，恶得到最大的抑制；诚实、信用、友爱、互助将成为我们生活的常态，没有那么多烦恼和愤怒，每一个人脸上是纯真的笑容。"

那么现在公盟怎么样呢？很遗憾，许志永博士刚刚被抓起来，关进了看守所，'公盟咨询有限责任公司'的下设机构'公盟法律研究中心'则被民政局宣布为非法组织。有时候我真想狠狠扇自己两个嘴巴，让自己从这个魔幻的超现实的荒谬的梦中醒来。不幸的是，这并非恶梦，而是现实。

南周报道的这件事情我不想多说了。有兴趣的自己找来电子版看吧。

著名专栏作者许知远(这两个人的名字时常被别人弄混)写了一篇相当感人的文章，《我们这一代 》

我能做的，只能去买一本正面宣传他的杂志，在blog上记录这件事，并试图告诉我blog的读者，这件事发生过。当然，我还会为公盟捐点微不足道的钱。

写完了这篇，我的blog有可能被封。封就封了吧。天下何人不翻墙？

对了，我还要推荐下这篇文章

无论结果如何，公盟做过的事情应该被我们铭记。 以下转载"公盟"曾经为我们每一个人做过的那些事情：

2003年度
1、就孙志刚案提起违宪审查建议（2003年）
2003年南方都市报报道了孙志刚在收容遣送站被殴打致死的消息后，三位法学博士（公盟发起人）就收容遣送制度向全国人大常委会提起违宪审查的公民建议，在媒体和社会公众的共同努力下，两个月后国务院废止了收容遣送制度，一年后全国人大常委会成立了法规备案审查办公室。
2、孙大午案法律援助（2003年）
2003年7月，公盟的发起人张星水律师和许志永博士参与大午集团涉嫌非法吸收公众存款一案的辩护。社会各界的共同努力下，10月30日，孙大午先生被判缓刑，获得释放。
3、推动基层人大代表预选程序（2003年）
2003年10月，北京市各区开始进入人大代表选举预备阶段。许志永于11月正式宣布以独立候选人的身份参与北京市海淀区人大代表选举，经过其本人和助选团的不懈努力，最终当选为海淀区人大代表。

2004年度
1、为《南方都市报》喻华峰和程益中辩护。（2004年）
2004年2月，为了声援媒体的良知和责任，许志永博士接受邀请作为《南方都市报》总经理喻华峰案的代理人之一。
2，参与代理承德四公民五次被判死刑案。（2004年）
2004年2月，许志永博士应吕宝祥律师之邀开始参与代理承德四公民冤案，四名被告人从1994年涉嫌抢劫出租车入狱先后被判处四次死刑。经过数次去承德周密调查，我们确认这四位公民是无辜的。公盟通过网络发布案卷材料，和众多有良知的新闻媒体一起表达对此案的关注。2004年3月26日，河北高院作出二审判决，分别判处四被告人死缓和无期。此后，开始了漫长的申诉过程。
3，对北京动物园搬迁的合法性组织研讨会提出质疑。（2004年）
2004年4月，媒体报道了北京市政府某部门提出准备将北京动物园搬迁到郊区。我们认为，北京动物园作为北京市民乃至全国人民的重要公益设施，其搬迁应作为北京的一件重大事项通过应有的公开的法律程序来决定，而不能由某部门私下做出决定。为此，我们联合环保组织"绿家园"组织了一场大型研讨会。6 月，建设部有关负责人表态，北京动物园不宜搬迁。
4，组织人大代表论坛（2004年）
2004年7月，在中国人大代表制度创立五十周年之际，公盟持续组织了六期"我们是人民代表"论坛。论坛邀请了部分海淀区人大代表和北京市人大代表讲述其参选人大代表以及履职的经历，分析人大制度，努力推动人大制度改革。
5、参与起草并向全国人大递交了宪法人权条款的修订建议
2004 年 1 月，我国即将第四次修订宪法之际，许志永、范亚峰、滕彪、秋风、王怡等法律学者共同起草完成了《完善我国宪法人权保护条款的建议》，提出了全面修改我国宪法人权保护条款使之形成了一个完整的人权保护体系的建议。并征集了贺卫方、秦晖等 30 位知名学者的联合签名。并举办了"完善我国宪法人权保护条款"的学术研讨会。
6、关注河南爱滋病村"关爱之家"孤儿院被政府强制关闭事件。

2005年度
1、启动中国信访制度的研究（2005年）。
2005年初，公盟开始了对中国信访制度的研究。该项目目标在于通过全局性的总报告、地方分报告以及北京上访村的典型上访人的报告，向公众展现中国目前严重的上访现状以及上访者的悲惨人生，在现实调查的基础上提出建立基层民主制度的改革建议。许志永博士在调研过程中，通过公布上访人被接访人员殴打的亲身经历，提请了有关部门对上访人权益的关注，从2005年5月起，打人现象明显减少。
2、参与营救朱久虎律师（2005年）。
2005年5月，朱久虎律师因为代理陕北民营石油案得罪地方政府，被以扰乱公共秩序的罪名逮捕，滕彪博士、许志永博士与众多律师一起到陕北参与营救。在这个过程中，他们通过正常的法律途径、撰写陕北民营石油企业生存报告，以及媒体的宣传将朱久虎律师的遭遇公之于众。在多方努力之下，朱久虎律师无罪释放。
3、设立人大代表接待日，延续至今（2005年-2009年）。
2005年5月起，我们顺应海淀人大中的有利局势，每周四下午在办公室设立海淀区人大代表接待日，为海淀区选民服务。
4、人大制度研究。
为配合公盟在人大代表工作上的努力，建设了人大研究网，以此平台传播优秀的人大代表事迹、各级人大和村委会的竞选经验、选举制度与人大制度的理论探索等和人大相关的全方位的信息。并以此网站为平台协助下一次竞选中独立候选人参选。
5、撰写《中国人权发展报告》。
为了客观理性表述中国公民的宪法权利保障在过去一年取得的进步和存在的问题，提出改进的建议， 2005年度报告已经印发寄给政府有关部门，并通过网络发表。

2006年度
1、继续为承德案提供法律援助并努力推动律师在场制度进入立法程序：
从2004年至今，对于河北承德案的法律援助一直没有中断。滕彪、李方平等律师组成的辩护团成员多次前往河北省高级法院与法官商谈该案的再审事宜，争取再审。2005年11月，辩护团发起了呼吁最高法院再审此案的法律人签名，截止于2006年7月，共征集到181位法律人的亲笔签名。2006年 3月，公盟成立了以赵国君、李玉洁、林峥为主要成员的关于确立"律师在场权"制度报告的项目小组。
2、完成2005年中国人权报告。
3、关注北京出租车提价和管理体制改革。
4、开设公盟评论。
从2006年4月开始，公盟网站增设了"公盟评论"栏目，该栏目针对社会普遍关心的热点问题，以评论特稿的形式在网站上刊登。"公盟评论"是公盟开展制度倡导活动的一个形式，体现了公盟一贯保有的温和、建设性地推进制度改革的行动立场。
5、福州陈信滔国家赔偿案。
2006年6月，公盟立项为福州陈信滔国家赔偿案提供法律援助，该案是有利于推动我国国家赔偿制度改革的一个典型案件。目前，该案正在起诉阶段。
6、完成中国信访问题研究报告。
公盟"中国信访问题研究报告项目小组"花费了大量时间在全国三个县和北京上访村进行实地调查研究，完成了近20万字的深入报告。在项目结束之际，公盟邀请到全国范围内关注信访问题的知名学者和政府官员，召开了一个大规模的信访专题研讨会。报告在学界范围内有了广泛的流传，影响了更多的公众关注访民这个特殊的群体以及中国信访问题的现状。
7、启动高校社团项目。
2006年8月--10月，公盟首次在高校中开展社团小额资助项目，鼓励更多关心中国问题的大学生参与到社会调研和制度建设的讨论中来。
8、关注2006年北京市海淀区人大代表直选：
2006年9月，公盟成立了"关注2006年北京市区人大代表直选项目小组"。该小组由李玉洁、蒲素等与高校志愿者组成。项目小组召集了北京市各区关注社区建设的业主委员会成员，开会讨论即将到来的选举，鼓励大家参选。10月，项目小组在各选区提名候选人之前，印刷了近400份由"人大代表选举研究课题组"编写的《选举指南》，以及许志永代表撰写的《致选民的一封信》，寄往全市357个小区业主委员会的主任。在寄出邮件后，陆续接到回馈电话咨询参选事宜。之后项目小组派出十多名志愿者为有意参选的市民助选，帮助他们发放宣传材料，征集居民联名推荐，观察确定正式候选人的程序，为候选人提供法律咨询。
9、关注打工子弟受教育权。
2006年12月，公盟着手开始对以北京为主的打工子弟学校的生存状况和法律保障问题进行的调查研究，力求在详细、深入地调研基础上提出切实有效的立法建议，从制度上保障新移民子女受教育的权利。目前，该项目计划由联合提出《关于慎重处理打工子弟学校问题的公民建议书》的公盟研究员李方平律师和胡星斗博士作为项目负责人。 这个项目的关注点在于城市新移民子女的受教育权利，涉及到教育制度、财政制度改革以及社会保障等社会公正的制度性问题。
10、关于修改《北京市养犬管理规定》的立法建议。
2006年12月，公盟开始关注在北京成为社区民众、养犬人与政府之间矛盾焦点的养犬问题。通过对现有法规和养犬人现状的调查研究，公盟起草提请北京市人大修改现行《北京市养犬管理规定》的立法建议。为了使立法建议具有充分的社会调查基础，公盟在12月8日组织了50名志愿者在北京主要城区的大型超市进行了1023份问卷调查，得出了一系列客观可靠的调查数据，指出在北京市城区养犬人比例高达27.8%，说明养犬问题不是一个小问题。通过电话、邮件等形式游说人大代表提出修改议案来改变现有法规中不合理条款。游说工作收到了意想不到的积极效果。

2007年度
一、公盟援助个案
1、帮助黑砖窑受害人提起行政诉讼要求国家赔偿
2007年8月22日，受黑砖窑受害者陈小军和庞飞虎委托，在中国政法大学张树义教授工作室张亚东先生的帮助下，许志永和滕彪律师向山西省洪洞县人民法院递交了行政起诉状，起诉洪洞县公安机关行政不作为，要求就不作为带来的伤害给予黑砖窑受害人国家赔偿。2008年，公盟继续援助陈小军等人的刑事附带民事诉讼。
2、程海户籍诉讼案
2007年4月，程海律师先后将合肥市庐阳区公安分局和北京市昌平区公安分局告上法庭，要求两者为他办理自由迁移手续。现在诉讼在继续中，公盟为程海律师提供支持，并将结合户籍制度研究项目，2008年继续关注和研究公民自由迁徙权和户籍制度改革。
3、杨花秀为子鸣冤案
1996年10月6日，杨花秀子之程鹏被河南焦作市修武县公安局以涉嫌盗窃罪关押于修武县看守所，1997年9月25日死于看守所，当地公安机关在没有通知死者家属并且没有出具死亡鉴定书的情况下，雇佣一农民将尸体埋藏于当地河边的大树下，杨花秀找到尸体后要求追究相关人员责任并赔偿损失。公盟援助律师江天勇、李春富深入了解此案并多次前往案发地调查此案，不断向相关机关反映案情，但公检法机关不作为，案件进展缓慢。公盟将持续关注此案，为杨花秀提供法律援助。
4、陈信滔诉公安机关职务侵权民事赔偿案
2001年2月20日，福州发生了一起重大警匪勾结杀人抢劫案。公盟认为，福州市晋安分局参与本案的干警的行为是职务行为，分局应当与徐承平一起承担连带赔偿责任。该赔偿可以适用民法通则第121条关于职务侵权的规定。然而陈信滔的民事赔偿诉讼请求，从2007年4月2日陈信滔向福建省高院起诉至今，一直没有立案。
5、三死刑冤案：河北承德案，广东揭阳案，江西乐平案
公盟为三个死刑冤案中的十二位当事人提供法律援助。多位公盟律师赴广东、江西进行调查。我们也为这三个案件召开过题为"冤案为什么得不到纠正"的案件研讨会，对最高人民法院刑事案件再审机制的失灵进行了讨论，并整理出案件材料和证据寄给多位人大代表，请人大代表关注并帮助呼吁案件的重新调查。
二、公盟个案研讨会
1、钉子户事件与拆迁制度的法律问题研讨会，3月30日
2、冤案为什么得不到纠正----关于刑事错案再审机制的研讨会 ，6月9日
3、谁导致了孕妇的死亡----关于手术决定程序和责任承担法律问题研讨会，11月27日
三、公民参与行动
１、关注北京宋庄小产权房合同纠纷案并发布联名呼吁，提议让农民自由决定他们的土地交易和交易的对象，从而真正保护农民权利。
2、参与河北省南高和村村民不满京石高速路修建而发生的群体性事件，为村民呼吁，并得到保定市张石高速公路筹建处答复。
3、许志永作为海淀区人大代表，为海淀区博雅德园小区业主维权呼吁，最终维权成功 。
4、李方平、王利平律师"要求查处电信、网通垄断行为"，得到信息产业部书面答复。
5、就"纸包子"事件发表公开信，指出舆论封锁比假新闻更可怕。
6、关注济南暴雨后，网友因发布帖子说有人淹死但政府未公布而被拘留事件。
7、关注中关村拆迁案。北京市规划委员会以生造的"规划意见书"，取代法定的"选址意见书"和"建设用地规划许可证"。2004年11月16日，中关村科技城的居民龙新华提起行政诉讼，要求撤消《规划意见书》。公盟律师一直关注本案。
8、关注王粪堆死亡案。2007年8月4日早晨，4名河南籍公民在北京市崇文区左安门地区拾荒过程中被当地联防队员当成小偷追赶，其中两人被抓，一人逃跑，另一人失踪，失踪者王粪堆的尸体在左安门护城河里被发现。死者家属认为联防队对王粪堆的死亡负有不可推卸的责任，公盟对此案进行了调查并给与法律帮助。
四、法律研究
1、关于推动《公民权利与政治权利国际公约》的批准和履行项目
我国政府已于1998年签署该公约，但一直未经过全国人大常委会批准，该项目的目的是推动《公民权利与政治权利国际公约》的批准，提出相关法律法规的修改意见，推动中国的人权保障。该项目由周梅燕、王建勋、赵晓力、姚国建、许志永、滕彪等人执笔，研究报告已经完成。公盟于2008年1月把研究报告和呼吁批准该公约的信寄给众多全国人大代表。
2、关于推动北京改革"户籍制度"完善城市新移民准入制度项目
目前北京市在面对数量庞大的新移民时存在严重的制度缺失。该项目目标为促使北京市政府改革现行暂住证制度，使来到北京一定年限的新移民获得在社会保障、子女入学等方面的平等市民权利。该项目调查和研究工作已经完成。2008年公盟通过研讨和游说市人大代表继续推动该项目。
3、关于推动改革中国城市拆迁法律制度的项目
在《城市拆迁管理条例》废除之后，该项目的工作重点转移到《征收法》的起草上。该项目由杨支柱老师负责，计划在2008年5月末结项。
4、公民观察行动（http://www.gmguancha.org/）
公民观察是公盟基于公民立场通过监督政府履行职责推动政府廉洁、透明、高效、高质量服务的长期项目。观察项目主要集中在和公众生活比较密切的、公众比较关注的医疗、教育、环保、司法、廉政五等部门，主要工作方式是接受公民投诉，关注个案，必要时进行调查，通过人大代表监督或者公布调查报告的方式监督政府履行职责。
2007年关注问题包括翠湖湿地、六里屯垃圾场的建设、圆明园的环境保护、海淀公园的拆建问题，及打工子弟学校问题、农村合作医疗等问题的调查等。
五、公盟评论
全年公盟评论共发表《反对电信垄断暴利的公益之诉》、《坚决支持小产权房合法化》、《一个案件的真相与两个案件的正义》（关注"聂树斌案"）、《ATM机故障的无期徒刑与法官的堕落》等46篇文章。为公盟研究员对当期热点新闻话题和重大新闻事件发出的建设性理性声音。

2008年
一、个案援助
1、 为三聚氰胺奶粉受害者做法律援助，提起共同诉讼（2008年）
2008年9月毒奶粉案曝出后，公盟迅速组织了由全国上百律师组成的志愿律师团，为受害消费者提供法律指导和服务。
10月中旬，公盟通过网络以及《南方周末》发出《公盟志愿律师为因食用含三聚氰胺奶粉而患病的消费者提供法律援助的公告》，并通过网络发出《公盟关于"三聚氰胺"奶粉受害者赔偿方案的建议》，并把此建议邮寄至卫生部、质检总局、国务院等部门，开始正式接受全国各地受害者的委托。
11月24日，援助律师前往石家庄，向三鹿集团递交了《关于解决三鹿"三聚氰胺"奶粉受害者赔偿事宜的律师函》、《三鹿"三聚氰胺"奶粉受害者赔偿方案律师建议书》以及一份援助律师已经接到委托的三鹿受害者名单。
11月25日，公盟和传知行社会经济研究所共同举办三聚氰胺奶粉受害者家庭与媒体、律师见面会。12月8日，公盟援助律师代表63名三鹿三聚氰胺奶粉的受害者正式向河北省高级人民法院提起共同诉讼。目前，公盟正在积极准备向其他奶粉企业提起诉讼。
2、杨佳袭警案二审调查（未获准）
9月8日，律师团成员刘晓原律师、李劲松律师、李苏滨律师、张建国律师、季化律师、程海律师与杨佳父亲等一道赴上海，取得一审判决书，但未被获准会见杨佳。9月9日，杨佳的姨妈王静荣在律师李方平陪同下，就北京市公安局朝阳分局在杨佳母亲王静梅失踪案上的不作为，向朝阳区人民法院提起行政诉讼。朝阳法院立案庭拒绝立案。10月26日，杨佳被执行死刑。
3、杜学雷案
2008年10月3日中午，杜学雷在河南省内黄县楚旺派出所被殴打致死。公盟志愿律师张兴奎、兰志学介入此案为杜学雷家属提供法律援助。10月下旬，此案受害者家属与公安机关达成民事调解协议。
4、甘锦华案
2004年10月12日晚，佛山市顺德区陈村镇大都村慈济精舍庵堂尼姑林某、周某二人被杀，经过调查，警方逮捕了当地村民甘锦华。甘锦华被判处死刑后，在临刑前喊冤，省高级法院组织重新审理。2008年11月6日，此案再审二审开庭，在这场关乎甘锦华生死的重要庭审中，滕彪担任甘锦华的辩护人，提出28出重要疑点以及刑讯逼供等问题。
4、承德陈国清案
5、福州陈信滔案
6、其他个案
◎2月19日，接到"四川打工女火车上挤死"的案件材料，联系死者家属为其提供了一些法律方面的咨询，并两次建议其坚持与铁路方面谈判。经过当事人家属与铁路多次协商，最终铁路方面把抚慰金提高到5万元。家属接受了此赔偿。
◎北京海淀区苏家坨地区163户拆迁户代表徐玉清向公盟反应回迁楼建设延期、周转金太低等问题。3月13日许志永写了"人大代表建议"寄往海淀区政府人大代表联络室。
◎海淀区四季青镇孙振环拆迁案、海淀区西洼村拆迁征地案。
◎河北省唐山市民黄玉秀反应其子廖海军被控故意杀害幼女，2003年法院在证据不足的情况下判处廖海军无期徒刑，黄玉秀及丈夫廖友以犯包庇罪均判处有期徒刑5年。案件可能涉及刑讯逼供、公安机关伪造证据等情况，公盟决定对此案给予法律援助。中华人民共和国最高人民法院口头通知此案已经立案。
◎对抗非法强拆的张薇、马秀兰聚众扰乱社会秩序案。
◎公民黄勇因对政府养犬管理部门蛮横打狗限小发表言论、进行表达而被关押、起诉，为维护公民合法言论表达自由，我们无偿援助黄勇并进行了无罪辩护。目前案件已审结，我们的工作获得了当事人的充分肯定。
◎于博诉清华大学培训合同纠纷案。
◎上访公民单亚娟被黑监狱暴力人员打伤后，在积水潭医院诊断，结果为"陈旧性骨折"，与其他多家医院多次诊断结论相反，导致其故意伤害案无法成立。为此单亚娟将北京积水潭医院诉至法院，目前正在二审审理中。
二、公盟个案研讨会
◎公盟个案研讨会----由辽宁县委书记进京刑拘北京记者说起，1月10日。
◎城管制度反思----从城管杀人案谈起，1月10日。
◎2005--2007中国新闻自由度研究报告研讨会，3月2日。
◎ 维护灾区稳定法律问题研讨会，5月31日，与检察日报•正义网合办。
◎拆迁现实问题与征收法立法研讨会，6月1日。
◎ 网络言论自由----从杜冬劲诉上海电信案说起，6月21日。
◎ 政府信息公开的困境与突破研讨会，6月25日。
◎ 推动律协直选的意义和方法研讨会，7月26日，与北京传知行社会经济研究所共同合办。
◎周正龙虎照案，10月19日。
三、公民参与
◎推动北京市律师协会直选项目
2008年6月，公盟与多名律师合作，对台湾、香港、美国等律协选举制度进行研究，积极宣传律民主选举，希望通过各界律师的合作推动北京律协的民主选举。
8月下旬，律师们起草了《顺应历史潮流，实现律协直选----致全体北京律师、市司法局、市律协的呼吁》和《北京律师协会选举程序（草案）》等文章，这些文章在网络上迅速传播，引起了法律界关注，受到了各界律师的支持。9月中旬，参与推动北京市律师协会直选项目的律师们为了听取更多律师的意见和建议，向北京市近16000名律师分别发出了信函。9月12日北京律协公布律协章程征求意见稿。同日，直选律师们向北京全体律师发出了《竞选律师代表的策略和建议》。9月13日，直选律师开办的《律师沙龙》网站开通运行。10月24日，直选律师之一李方平等发表公开信，对全国律协七大律师代表的产生缺乏合法性和民主性提出质疑。11月，向北京市司法局和北京市律协发出《关于敦促律协换届审计并公开财务的公开信》。12月20日，北京市律师协会七届五次代表大会召开，会议审议通过了《北京市律师协会章程》。推动直选的律师们对此提出了质疑。
◎政府信息公开项目
公盟关注关注并支持了以下信息公开申请及后续行政诉讼：
北京市海淀区市民朱福祥、湛江向北京市海淀区环境保护局、海淀区四季青镇政府依法申请部分工程相关的政府信息公开；
北京市昌平区市民陈育华向北京市公安局依法申请公开2003年至今的养犬管理费用使用情况；
郝劲松申请陕西省林业厅公开虎照案相关信息；
海淀区四季青镇居民兰靖远向海淀区四季青镇政府申请一项关于集体土地被占用的相关信息公开。
◎对电信、网通网络封锁的共同诉讼
2007年初，上海居民杜冬劲上网时发现自己在海外注册的一家网站无法正常访问，但该网站实际上当时正常运营。因此，杜冬劲起诉上海电信，他要求被告明确告知自己的网站为何不能通过国内互联网登陆，并按照合同赔偿两个月宽带使用费和诉讼举证费用，但一审败诉，二审再次败诉。公盟一直关注此案。
李方平诉中国网通北京公司反垄断案。
四、民声频道
民声频道旨在关注遭遇不公正的个体，发布来自公民社会的声音。以案情报道的方式，放大个体微弱的声音，以获得社会公众的关注；以公民来信的方式，刊登公民对法治和社会改革提出的理性建设性意见和建议。
◎编写了"北京海淀区苏家坨镇163户拆迁户质疑住房周转金过低"的民声频道文章，并对此类事件进行了简要分析。
◎ 3月收到河南省洛阳市人郭克哲家属以及贵州省铜仁市茶店镇开天村村民杨鑫家属的上访材料，分别反应郭克哲、杨鑫在看守所羁押期间意外身亡。
◎3月，经过对近年公盟收到的相关羁押期间犯罪嫌疑人死亡事件的整理，编写了"危险的看守所----犯罪嫌疑人在看守所频繁死亡"的民声频道。
◎ 4月，北京市海淀区北京体育大学南侧西洼村居民反应，2006年当地拆迁征地过程中拆迁单位欺骗居民。根据材料公盟编写了民声频道文章并进行深入调查，参与了居民与政府部门的协商，政府部门初步同意为拆迁户解决实际问题。
四、法律研究
选择中国前沿的法律问题进行调查研究，提出改革意见和立法建议。
◎ 2005-2007中国新闻自由度观察报告（2008年）
◎推动《公民权利与政治权利国际公约》的批准和履行研究报告（2007年-2008年）
◎户籍制度改革及北京新市民居住制度改革研究（2007年-2008年）
◎征收法立法草案（2007-2008年）
五、其他工作
◎2008年度十大法治事件评点
◎公民责任奖。"公民责任奖"是公盟于2008年启动的一项民间权利保障促进项目。其宗旨是鼓励公共精神和公民责任。首届公民责任奖获得者如下：韩寒、简光洲、丘建东，获得提名奖的为：郝劲松、韦东英、陈光标、陈育华、刘绍坤。

2009年度（部分，简要）
继续为三聚氰胺奶粉事件的受害者提供援助。
关注精神病强制收容问题。孙东东事件后召开研讨会。
邓玉娇案发生后，派出律师为邓玉娇提供法律援助。
上访者姚晶北欧驻京办殴打致伤严重，许志永撰文呼吁并提供法律援助。
网友捐款，公盟建立法律援助基金。...
信息公开项目负责人杨慧文律师向北京73家政府部门申请公开"三公消费"和"本部门所有收入支出具体情况"。
完成西藏34事件社会经济成因调查报告，并寄往有关政府部门。
完成公民维权手册。
公盟开展第一期法律知识培训。
关注"汉中屠狗事件"，召开研讨会。
关注非北京户籍学生的教育权问题。

Posted by virushuo at 10:04 PM | Permalink | Comments (25)

题外话：有人问我，这么极端的安全有用吗？ 我的回答是：对某些人没用，对某些人有用，对另外一些人可以救命。

前文:匿名网民的安全指南(1)，是关于计算机安全方面的内容

Version: 1.0b virushuo (twitter@virushuo) 20090727

注意：

1 这不是一份完整的安全手册，只是一些知识参考。但他能帮助你了解那些最重要的细节。如果有发现相关部分好的文档和教程，请提供给我，我连接上。
2 本文主要用于商业安全和个人隐私安全(包括你的私人照片，银行账号等的安全)，本文不鼓励将这种技巧用于其他用途，使用在其他用途造成的损失和后果与本文无关，正如用菜刀杀人与磨刀的老大爷无关。
3 本人并非专业研究计算机和网络安全。只是觉得略有所知，所以分享一些常识。如有专业人士认为有错漏，请不吝赐教。virushuo( attt ) gmail.com
4 Geek的选择，geekcook.org
5 郭宝锋，你妈妈喊你回家吃饭 ，#amoiist 恭喜你成为本年度收获明信片最多的人
6 本文会时常修补增加内容，要转载请务必注明出处和以上注意事项。

账号安全和如何选择安全的服务

使用互联网，就是在使用各种服务。对于大部分服务来说，账号是唯一用来识别你的方式。账号安全不仅关系到你的在线数据安全，还关系到你的身份。如果对方盗用了你的账号，就很容易利用信任关系，从你的朋友手里盗走更多的东西，并且危害你朋友的安全。这不仅在计算机安全上成立，在现实中也比比皆是，比如如果你的手机落到别人手中，对方也有可能利用你的手机给你家人打电话说你出了车祸，急需手术费用等方式骗钱。在互联网上，不加密的情况下，你并不能知道那个熟悉的账号后面是你的朋友还是江洋大盗。所以，不仅为了你自己，为了你和朋友们的安全，请保护好你的账号。

安全的服务至少应该提供可选的https连接方式和一个足够复杂的验证码。来看看gmail和国内比较常用的新浪,163邮箱的对比吧。

1 复杂的验证码

一个足够安全的验证码至少要包含以下特征：

• 要有横向和纵向的随机扭曲


• 位置和大小要随机变化


• 验证码长度要随机变化


• 内容应该是字母的而不仅仅是数字


• 字体要有随机的变化


• 最好再有足够的干扰图案和条纹

目前看来，能符合以上大部分特征的服务，只有google，yahoo和msn这3家。这样的验证码在目前的情况下OCR出结果的成功率非常低，这样对于防止暴力破解相当有效。换句话说，如果有人想猜测你的密码，如果想解开如此复杂的验证码，只让计算机替他一个个试验是不行的，必须还需要有个真正的人来帮他做识别。这样就让破解的速度大大下降，成本大大上升，距离安全就更近了一步。

图0:看看google的验证码，其实有时候人来辨别也有一定困难。

国内常用的服务商中，sina和163的验证码也算安全，虽然距离gmail尚有较大距离。第二梯队的网站的验证码通常极不安全。

图1:163的中文验证码，其实也并不是很难处理。OCR(图像识别)软件要处理的情况通常比这个更复杂。

看看tom的，是不是觉得惨不忍睹？这种水平的验证码OCR的成功率轻松就可以达到100%，事实上和不存在是一样的。交警用来拍违章车牌的系统，要处理的情况都要比这个复杂吧？识别率不一样在98%以上？

图2:Tom的验证码,不堪一击

2 进行安全登录

常用google的同学会发现，当你登录google账号的时候，地址栏上的http会自动切换到https。也就是说，google是强制使用https方式进行登录的。进行登录的时候，需要把用户输入的用户名和密码发送给服务器，验证用户身份。如果是普通的http方式，所有传输的数据都是明文发送的，包括刚才输入的账号和密码，这种明文信息是非常容易被截获的，数据包所经过的任何一个节点都可以轻松获取，和你在同一个局域网的用户也有可能利用arp欺骗等方式获得这些数据。想想看，你在路边急需上网，突然发现了一个可用的无线连接，是不是很高兴？这时候，如果通过http登录了邮箱，账号就可能被泄露了。所以，强制使用https的方式进行登录，是非常必要的安全措施。google和yahoo都已经是这样的方式了。

同样看看163和sina吧。163是可选ssl的，默认是选中，勉强算合格。sina也可选ssl，但默认是不选中，高下立现。至于tom，似乎那个"增强安全性"被选中之后也不会通过https登录...

图3:sina免费邮箱，"增强安全性"默认是不选中的

3 日志功能

日志可以帮助你了解是否你的邮箱被入侵过。遗憾的是，目前应该只有gmail具有这个功能。把页面拖到gmail邮箱的最下面，可以看到 Last account activity: 1 minute ago at this IP 字样，这里给出了最后一次账号活动的时间和ip。

图4:gmail页面尾部有log功能

按一下Detail，信息更完整，最近的所有访问都有记录，包括IMAP方式，POP方式，WEB方式，一个也会少。有这个功能，可以很容易的知道是否有别人使用过你的邮箱。有人入侵就会留下时间和IP。这些记录是不可被抹掉的，除非入侵google的服务器。这可不是件容易的事。

图5:gmail的活动报告

鉴于以上原因，我强烈建议使用gmail作为你的主要邮箱，这是目前互联网上能找到的安全性最高的服务了。甚至我认为一个有理智的入侵者不应该来打你gmail的主意，因为他们很难成功，即使成功也很难不留下痕迹。

经过以上分析可以发现，除了大的服务商，google/yahoo/msn，包括163/sina..，大部分网站是不提供https方式的登录的。所以，至少应该让你的账号分为2组，不要把普通论坛之类的账号和邮箱账号的用户名密码相同。

update:从留言等反馈中看来，很多朋友推荐QQMail，据说也符合以上特征，不过我没用过，也不好评价。在这些指标上可能没问题，不过根据目前大量QQ群聊天纪录轻松被某些部门拿到手的情况看来，就算指标上没问题，实际应用效果恐怕也要打折扣。所以，还请结合用途，自行判断。

用证书来验证对方的身份

钓鱼攻击 ，通常是伪造一个网站，诱骗用户输入一些类似账号密码的信息。这就产生了如何验证网站身份的问题。我们如何知道打开的页面确实是google，而不是别有用心的一小撮人伪造的呢？

看页面样式？看网站地址？答案是都不可靠。网页样式很容易做到完全一样。地址则可以注册相近的，或欺骗性比较强的域名。比如，注册一个 sina-account-service.com 自称是sina账号服务中心之类。

最稳妥的确认对方身份的方式，是通过查看证书来确认。

大部分浏览器在访问https网站的时候都会在显眼的地方提供查看证书的功能。一般来说应该是一个锁头一样的图标。证书可以帮助你确认站点身份，这样你就不会被钓鱼或DNS欺骗。这些具体的欺骗手法我以后还会说到。只要判断证书是否是由是可信任的机构颁发的，是否是这个网站的正确拥有者所有，就可以知道你浏览器打开的这个网站是不是真身了。证书有问题，那么这个网站一定有问题，这时候就不要进行登录或是找回密码或是重设密码之类的操作了，无论页面上写了什么，牢记这个原则，证书不符合，就是不可信任的。对于163,sina这种邮箱来说，只在登陆的时候提供了ssl加密，用户在输入密码之前甚至没有机会察看一下证书，实在是令人遗憾的事。

图6:在safari中查看gmail的证书

图7:在firefox中查看gmail的证书

简单介绍一下钓鱼欺骗的办法吧。比如说，你收到一封邮件，来自sina-account-service@sina.com.cn，邮件告诉你，你的sina邮箱账号被攻击，需要立刻修改密码。这时候应该怎么办？正确的方式应该是完全不理，因为任何一个邮箱服务商不会这样给你发信。

当然，很多人觉得还是要点去看看的。于是就点了邮件中的连接。看一看应该没什么损失嘛...是的...不过...

这时候有两种可能，一种可能是：你来到了一个叫做 sina-account-service.com 或是干脆叫china-sina-account-service.com 的网站，页面内容和平时你使用sina邮箱的密码修改页面是一样的。这时候你会不会有可能在里面输入了密码？

有人会说了："光页面像是不行的，域名不对嘛。" 没错，攻击者注册了sina-account-service.com 这样的域名，虽然看起来像那么回事，但是并不能骗住所有人。那么，另外一种情况：你看到的地址真的是 http://login.sina.com.cn/xxxx 这次相信了吗？这时候仍然不相信的人就不多了。

其实域名一样是可以仿造的。最简单的方法，如果对方修改你的hosts文件，把login.sina.com.cn指向了他控制的一台服务器，那么刚才的情景就很容易发生了吧？除了改hosts这种低级手段，还有很多其他的"高级"一点的方法，比如DNS欺骗...总之，这是完全可以实现的欺骗方法，事实也证明是带来损失最大的。

现在我们知道了，通过看域名来验证网站是否为真的办法是不可靠的。最可靠的办法是查看证书。大多数浏览器默认的128位的证书已经非常难伪造了。256位的证书被伪造就更困难了。当然，这里说的"困难"是伪造出一个真正的，完全一样的证书。如果只是要骗过浏览器，还有一些其他办法，特别是IE6，竟然还曾经出现过可以被伪造证书的bug。

总结一下就是：没有证书的网站很可能是假的。错误的证书一定是假的。看起来正确的证书也存在一定可能是假的。

对证书和https方面知识有兴趣的同学，可以去看wiki百科 SSL 和 PKI

保护你的重要账号守则

1 选用安全级别高的服务。邮箱可以推荐gmail,yahoo mail。yahoo mail有出卖用户的恶劣记录，但仅讨论产品，仍然是最安全的邮箱产品之一。

2 如前文所述，保护好你的计算机安全，打开防火墙，注意检测木马。

3 不要在不安全的地方使用你的重要账号。

4 选择一个足够复杂的密码，并根据重要程度增加复杂性，对于最重要的服务，不要和其他服务公用同一套账号密码。如果不能做到所有服务的密码各不相同，至少也应该分成几个级别，对最重要的服务使用最复杂的密码，不要和其他服务使用相同的密码。随手注册的论坛之类可以使用简单密码。

5 时常检查邮箱是否有入侵迹象。

6 不信谣不传谣，什么"中奖了"，"好友请你输入账号"，"你的账号被盗用，请在此修改密码"之类的东西统统不要相信，牢牢记住，你唯一可以输入密码的情况是：一台安全的计算机，输入密码的页面证书正确，使用https。除此之外，在任何情况下都不要输入你的账号密码。

7 应该理解，不通过https加密的登录是极不安全的。存在极大的泄露可能。注意检查证书。熟悉你使用的产品的安全特性。

8 多注册几个马甲，分为不同的安全级别，用在不同的地方，这样在最糟糕的情况下，损失也可以小一些。

如何选择密码和密码提示问题

如果你选了一个123456作为密码，恭喜，这是最常被用到的密码之一。如果你用了qwerty，恭喜，这也是最常用到的密码之一。至于用户名和密码一样的家伙们，你确定你真是有隐私而不是暴露狂吗？

好吧，你选了一个6位数字密码。如果你幸运的没有选择你自己的生日，没有选择你的手机尾号，那么运气最糟糕的破解者大概要尝试10的6次方次。仅仅100万次，在这个时代，如果你的服务商没有可靠的验证码，没有限制一天尝试密码的次数，那么这个运气最糟糕的家伙试完全部的100万次排列组合也不太可能超过24小时。这个运算能力空前强大的年代，用反复尝试的办法来破解密码已经越来越容易了。所以必须要让密码变的更复杂。

密码提示问题是容易被忽略的地方。很多人设置一个复杂的密码，却往往设置一个简单的密码提示问题。这就好比你家装了一把防盗性能很好的锁，但是却在门口的地毯下面藏了一把钥匙一样危险。

密码提示问题和密码应该是同等重要的，而不是注册的时候演示的那种"你的爸爸叫什么名字"之类的愚蠢问题。

正确的密码和密码提示问题选择守则

1 够复杂

所谓够复杂，意思是：超过8位，包含字母，数字，不同的大小写和至少一种符号。这样的组合会让暴力破解者累死。如果你跟我一样喜欢用13位以上的长密码，那么试图暴力破解的人可能会等到他老的敲不动键盘也拿不到你的密码。如果不是网站的服务，而是rar压缩包之类的文件密码，就更要遵守这个原则，文件打开的时候可不会问你验证码。

2 不要和你的公开信息有关

如果你遵守了1，那么也就没有这条的问题了。一个那么复杂的密码不太可能包含直接的个人信息。如果你实在不愿意遵守1，那么，至少不要用你的生日，电话号码，门牌号这种非常容易得到的个人信息。

对了，也不要把这些东西作为问题放到你的密码提示问题中。竟然有服务商会把默认的密码提示问题写做"我爸爸的生日"，用户也老实的跟着回答了。要知道有种东西叫做户籍系统，你以为真的没人能知道你爸爸的生日？

3 使用不同的密码

不要给不同的服务使用相同的密码。这世界奇怪的事情太多。你很难知道对方是否把你的密码md5之后保存了，也很难保证各服务的安全性能一样好。如果你使用了一样的密码，那么泄露一次，全盘皆输。

如果实在不想记那么多密码，那么选出来最重要的几个，用最复杂的密码。其他的可以简单一些。其实，实在忘记，可以通过邮件来找回密码，这样邮箱安全就更重要了。
按照我的建议，你应该去注册一个gmail邮箱，然后按照原则1来设置一个13位以上的密码，然后再也不要再其他任何地方使用这个密码。

4 别把你的密码记在本子上

我常常看到，有些人使用非常复杂的密码，密码的强度是合格的。但是他们自己也记不住。于是就写在一个小本子上，或者干脆记在一个文本文件里。这是非常危险的习惯。一旦丢失，所有的密码都丢了，而且因为他自己并不能记住密码，小本子一旦丢掉，连去修改密码都做不到了。

最重要的几个密码一定要用脑子记住。其他的密码可以记录下来，但是要选择一个适当的密码管理工具。如果你使用mac，那么就是Keychain Access。这是一个非常安全的工具。如果操作系统本身不带有密码管理功能，还有一些软件可以完成这个工作。但是要注意软件来源安全(以前也讲过这个问题)，也要考虑软件本身的可靠性。

下一部分我们来探讨网络传输过程的安全，以及如何做到真正的匿名。

一些相关链接：

gmail 安全检查步骤

检查你的 Google 账户安全

Posted by virushuo at 2:59 AM | Permalink | Comments (12)

Version: 1.0b virushuo (twitter@virushuo) 20090724

注意：

1 这不是一份完整的安全手册，只是一些知识参考。但他能帮助你了解那些最重要的细节。如果有发现相关部分好的文档和教程，请提供给我，我连接上。
2 本文主要用于商业安全和个人隐私安全(包括你的私人照片，银行账号等的安全)，本文不鼓励将这种技巧用于其他用途，使用在其他用途造成的损失和后果与本文无关，正如用菜刀杀人与磨刀的老大爷无关。
3 本人并非专业研究计算机和网络安全。只是觉得略有所知，所以分享一些常识。如有专业人士认为有错漏，请不吝赐教。virushuo( attt ) gmail.com
4 感谢geekcook.org的支持和建议
5 郭宝锋，你妈妈喊你回家吃饭 #amoiist
6 本文会时常修补增加内容，要转载请务必注明出处和以上注意事项。

网络是怎样传递信息的

整个互联网，可以看作是一台台计算机组成。当然，他们承担了不同的任务。一些机器负责存储你的信息，一些机器负责寻找路线，另外一些则只负责传递。你的信息，或者叫做数据，总是穿过了一台台计算机，才到达最终的目的地。可以想像，在穿过这一台台计算机的时候，是一次多么惊心动魄的历险。每台计算机后面都有一双眼睛，有的还不止一双。这其中可能有你的朋友，可能有完全中立者，不幸的是，你的敌人也往往混迹其中，虎视眈眈。

如果你不采用任何安全措施，则你的信息对于这无数个环节都是透明的。这可能意味着：你的商业机密转天见报，你的情书转天成为办公室趣谈，你的账号上一大笔血汗钱不翼而飞。当然，当然，还有最糟糕的......你还没来得及反映过来，就发现被人塞进车里送到一个不知名的地方。为了不至于成为陈冠希或是被躲猫猫，那么你必须得把这个事情重视起来。

大部分情况下，危害安全的行为都是广泛的，并非针对你个人，比如说，用扫描器来大量寻找具有某些漏洞的机器，或是用爬虫来尝试用123456做邮箱密码的家伙。所以，只要稍微设置一些障碍，对方往往知难而退，去寻找更容易上手的菜鸟。而，特殊情况下，你被盯上了，这就要非常留心了。

一份数据(文档，照片，聊天的一句话，统称数据)，从你的计算机上完成编写，经过你的网络发出，进入公共网络。经过无数节点之后，到达某处，等待另外一方获得。这就是进行一次互联网应用的过程。我们来依次看看这个过程中哪里会产生安全问题。

1 你的计算机是否安全？你的操作系统是否有漏洞？你的计算机内是否有木马或病毒？是否有其他人可以使用你的计算机？
2 你的网络是否安全？你的局域网内还有谁？
3 经过的节点安全吗？你的数据是否进行了加密？
4 为你提供服务的服务商安全吗？你所拥有的账号是否泄露？
5 你的IP地址安全吗？你是否愿意被别人追踪到你的IP？
6 除了目标方，还有别人能看到你的信息吗？尤其是email和IM的聊天。

先问问自己这些问题，如果答案不确定，那么就继续往下看吧。

计算机安全

计算机安全是一切的基础，但又往往被忽视。可以想像，如果在你使用计算机的时候，身后永远站着一个人，时刻盯着你的屏幕，那一切安全都无从谈起。所以，首先要保证你有一台足够安全的计算机。这个安全是一系列良好的习惯。绝对不是安装一个杀毒软件就可以高枕无忧的。

1 补丁，木马，病毒，以及其他

安装一个木马到你的计算机上有很多方法。最简单的方法，就是诱使你安装某个程序。 这个行为又可以分成很多具体操作。常见的有:

a 绑定在正常的软件中。
b 通过常见的聊天工具，利用你的好友给你发送消息，骗你下载(比如QQ尾巴)
c 群发邮件，诱使你运行附件
d 把图片，flash等等打包成exe文件，把木马捆绑上。

最简单的办法永远是骗。千万不要看到"骗"这个词，就觉得技术含量很低。实际上，这个办法学名叫做"社会工程学"。实在是一种专门的学问，不可小看。后面我们还要多次提到这个词，你可以看到，几乎在各个环节，只要有人参与，就有"社会工程学"发挥的机会。

比最简单的方法复杂一点的办法，就是利用浏览器的漏洞。IE是个漏洞百出的浏览器，出现过多次致命漏洞。通过在网页中嵌入一些代码，就很容易利用带有漏洞的IE把木马安装到计算机上，比如"灰鸽子"。

最复杂的方法，就是缓冲区溢出(其实利用IE的漏洞也是缓冲区溢出的一种。)，你的计算机上总是运行着很多程序，这些程序，包括操作系统(windows)本身，都可能存在各种漏洞。这些漏洞如果被巧妙的利用，就可以用来安装木马。历史上有几次大的破坏，比如针对windows漏洞本身的"红色代码","尼姆达"。而如果你不小心安装了权限很高，漏洞很多的软件，那么就更容易被攻击。比如我之前说过绿坝的危害。

要保证你计算机的安全，建议做到以下几点：

a 如果可能，不要使用Windows。Mac和Linux的安全强度高的多(很多人认为Mac/Linux安全是因为用户群体小，这个看法是不对的。后面我会用一些例子说明)，Windows也并非如大家印象中的那么不安全，只不过需要付出更多的精力来调整和维护。这和一般认为Windows"易于使用"的特性恰恰相反。

b 如果要使用Windows，必须做到及时更新，打所有的补丁。最近看很多人号召关掉Windows自动更新，这是比较危险的行为。我记得360安全卫士提供了给Windows更新的功能，还不错，如果关掉了Windows自动升级，那么就用360的吧。反正不升级是肯定不行的。

c 正确使用防火墙。Windows XP自带了防火墙，一般来说就不用装其他的了。只要把大部分没用的端口关闭掉，就能应付很多情况了。这篇文章可以参考 如果你有一个路由器，那么配置合理的话可以当作硬件防火墙使用(当然也会导致一些新的问题)

d 不要运行任何来历不明的程序。包括你朋友的推荐来的。如果有朋友通过msn或是邮件发给你一个软件或让你下载，那么问他几个问题，以确认是他本人在操作计算机。必要的时候，甚至可以打个电话给他。不要怕麻烦，很多时候，这也是在帮助你的朋友。

e 如果你非常热爱折腾新软件。那么，准备一个虚拟机，专门用来试用软件。确认安全和有用之后再挪到你的工作系统上使用。相信我，你没有那么多需要的软件。

f 如果可能，尽量使用开源软件，并注意在下载的时候校验MD5或PGP，以便确认你下载的是真正的软件，而不是被别人替换过的。可参考这篇文章 其实，我甚至想极端的建议拒绝从不提供任何校验方式的下载站下载，这种下载站要么缺乏基础的安全常识(这样他们就很难保护你的安全)，要么就是根本不负责任。

g 杀毒软件在这个时代用处不大，空占资源，还可能惹出来很多新麻烦。包括把能够保护你的软件悄悄删掉(后文会提到)。所以，如果你做到了前面几点，就别浪费这份钱了。

2 权限，账号和共享

a 给自己的日常使用建立一个权限较低的账号。甚至低到这个账号只能运行指定的程序才好。

b 前面说了，尽量不要和别人公用计算机，哪怕是家庭成员，限于现状，实在做不到的时候，也应该给其他人单独建立账号，而不要公用一个账号。这些账号的权限都不应该太高，因为一个安全意识不强的人中招，有可能影响到所有人。一些网吧管理软件可以帮助你更好的完成这项工作。

c 设置一个复杂的密码。如果你的administrator密码为空，或是很简单，那么别人很容易通过访问C$来读取你的硬盘，这意味这对方可以拿走你硬盘上的所有文件，管他是艳照还是商业机密。（至少在XP时代，这样还是可行的），所以，给你的administrator设置一个复杂的密码吧。

d 时常注意检查你的共享文件夹。比如说，你在家里把笔记本上的文档通过共享复制到台式机，而你忘记关闭了笔记本的共享。那么下次你去咖啡厅上网的时候，跟你公用一个无线网络的人也可以轻松拿走这些文件。(但愿里面没有艳照...) Windows 使用管理工具->计算机管理->系统工具->共享文件夹 中可以查看哪些文件被共享了。

顺便说一句，我见过某人，从一个竞争对手的总经理笔记本上，弄到了数G的文档，无所不包，甚至包括该公司员工的工资表，相当壮观。其实，那个可怜的家伙也没犯太大错误，无非是违背了c和d原则而已。

在Mac中，默认系统是不允许直接使用最高权限账号root的，其实这也是unix家族的传统。在需要使用管理权限的时候，会给予提示并要求输入密码(这个特性我4年前写过一篇blog讨论 )。这个小小的技巧让系统安全性大大增加。Windows Vista似乎也采用了类似的方式，不过据说做的不好用。我没用过，就没发言权了。

Mac中，默认的共享只有一个"公共文件夹"和其下的"投递箱"，公共文件夹是所有人都可以看到的文件，而"投递箱"是别人给你传递文件用的，顾名思义，放到这里的文件，只有你本人才能访问，哪怕投递者本人，一旦放进去也不能再访问了。这些默认的设置很好的引导用户正确使用共享功能，降低了安全隐患。Windows通过一定设置应该也可以实现同样的效果。

3 公共计算机安全守则

当然，对方可能是你很好的朋友，他并无恶意，也没打算窃取你的机密。但是，如果他的安全意识不高，那么他早就成了别人饵下的鱼。你跑上去登录一下你的邮箱，只不过是给幕后黑手多一份惊喜罢了。

所以，同样也遵守一些守则吧：

a 不使用不加密的服务。只访问https的服务，这可以有效的避免有人记录你登录数据，所谓登录的数据就是你的用户名和密码。如果不是https的服务，那么你的用户名和密码是用明文发出的。等于白白送给别人。

b 不要使用你最重要的邮箱。你最重要的邮箱往往是你一系列服务的基础，如果这个邮箱落到别人手里，他可以通过找回密码来搞定你所有的服务。所以，最好准备一个备用邮箱，专门放一些不太重要的东西，以及在这种场合使用。

c 一个小技巧。输入密码的时候，先打开一个记事本，在里面胡乱按很多字符，然后用鼠标把你需要的密码字符一个个粘贴，复制到相邻的位置。然后把他们连同一些多余字符，一起复制粘贴到密码输入框中，删去多余的字符，登录。这个技巧是为了防止计算机后台运行了键盘记录木马，鼠标位置的移动比键盘的纪录难的多，所以经过这番折腾，能给窃取者制造一些麻烦，给你修改密码的行为争取一些时间。复制粘贴一些多余的字符，是为了防止有记录剪贴板内容的木马存在。这样他们得到的密码是比实际多几个字符的。

d 一旦回到你的安全计算机上，必须修改你的密码。要修改的密码包括你在公共计算机上使用过的服务，也包括同名同密码的其他服务。比如 iamhere@gmail.com 和 iamhere@163.com两个邮箱密码相同，你只登录了后者，但是前者的密码一样要改一次。不然，假如后者密码被键盘记录器记录了，那么前者也会被试验出来。c的技巧是为了给你争取到一些修改密码的时间。

公共计算机往往是安全泄露的重要环节，我听说过有人网游账号被盗，有人邮箱被盗，今天还听说了一个朋友因为邮箱被盗，最终导致支付宝被盗。这些尚且是损失一点钱和时间。如果你立志做一个匿名网民，邮箱里面有一些不想被别人知道的文档，那么...诸多血的教训一定要牢记啊。

待续，下一篇中我们将讨论什么样的网络服务比较安全，应该选择什么样的邮箱作为主要邮箱，如何保护你的账号安全等话题。

Posted by virushuo at 11:19 AM | Permalink | Comments (19)