他在微薄说：“这个库很早就在黑客群体里有传了，社工库里的重要资源呢，今年参加过4399内部安全培训的都听我提到过，前几天写近期安全事件文档的时候没好意思点名说出来，看来是今天才有人公开出来。”

所以其实安全问题一直都在，之前很多人都没有重视，我也是第一次听说”爆库”，”社工库”。下面整理了些caoz文章里的信息：

按照 tombkeeper 教主所说，国内有点影响力的网站，2/3都被爆过库，传闻人人网和开心网也是被破的七七八八了，待证实。但是爆库不等于密码泄露，爆库+不正确的加密方式才是密码泄露！！！

防爆库是安全架构里非常重要的一点，还要做最坏的打算：别人拿到会怎样。密码明文存储的(没加密)，那就是今天的csdn密码泄露；可逆加密的，只要黑客用点心，也是死路；不可逆的，比如HASH算法生产md5，有一个碰撞库的概念，现有的破解都是将常用字符计算HASH值后反向比较。例如密码123456，假设MD5值为1ab9744e58acee3ed8f03508cbf82bf5，那么数据库中查到MD5值即知道了密码。通过社会工程学的应用，大量常用密码已可直接破解。虽然2004年山东大学王晓云提出有关快速查找“碰撞对”的算法，震惊了世界，但是逆向md5目前仍然是不现实的事情。具体可以参考cnBeta的 浅谈HASH算法与CSDN密码泄漏事件 启蒙一下。

在爆库泛滥和密码破解率很高的情况下，社工库扫描就很流行了，简单说，你在若干网站用了同样的账号和密码，其中一个被爆库，密码被泄露，你的账号和密码就进入了社工库，这个库现在很庞大，有数亿条记录。比如今天csdn明文密码泄露，有经验的黑客会利用社工库数据扫描批量著名网站，就可以造成使用同样密码的支付宝被盗或是微博盗号，这就是社工库的威力所在！
防止社工库扫描，目前除了验证码，并无太好手段，但是BT验证码（不BT的验证码是很容易破解的）又是一个“伤害用户体验”的行为，这就无奈了，所以最好自己有方面的意识才是王道。

PS: 根据大牛,著名黑客Eric S. Raymond 的《Hacker 文化简史》，其实hacker黑客是Real Programmer。
“有一群人大声嚷嚷着自己是黑客,但他们不是。他们(主要是正值青春的少年)是一些蓄意破坏计算机和电话系统的人。真正的黑客把这些人叫做骇客cracker,并不屑与之为伍。多数真正的黑客认为骇客们又懒又不负责任,还没什么大本事。专门以破坏别人安全为目的的行为并不能使你成为一名黑客,正如用铁丝偷开走汽车并不能使你成为一个汽车工程师。不幸的是,很多记者和作家往往错把骇客当成黑客;这种做法一直使真正的黑客感到恼火。根本的区别是:黑客搞建设,骇客搞破坏。”

在听证会召开之前，这则提案一直在很低调的进行，直到AOL、eBay，Facebook，Google，LinkedIn，Mozilla，Twitter，Yahoo，Zynga等互联网巨头在纽约时报上联合声明“We stand together to protect innovation”反对SOPA，反对审查，反对集中式监管，并指SOPA提案与国会提出的数字千年法案（DMCA）背道而驰，才被美国互联网主流用户所关注，并得到了病毒式的传播。

不少民间团体纷纷站出来，有的网站快速的制作了很多介绍SOPA是什么、SOPA会带来什么后果等科普内容，向普通市民宣传网络审查可能带来的坏处；有的制作了视频 PROTECT IP Act Breaks The Internet；有的联名收集群众的签名；有的收集了众多互联网名人们对SOPA提案的看法，这其中包括互联网之父、目前在Google任职的Vint Cerf：“我们的政府在保护版权这个方向已经开始越界了。”
在Mozilla, EFF, Creativecommons, PublicKnowledge, BoingBoing等机构和团体的共同倡议下，campaign网站很快架了起来，并且他们还鼓励网友通过facebook, twitter等进行串联，甚至是在自己的网站上贴上“Stop Censorship”的标签，以示支持。

DMCA 强调由版权拥有者负责识别侵权内容，在他们向内容发布平台拥有者举报后，平台拥有者可以要求内容上传方将侵权内容撤下，如果内容上传方不撤，版权拥有者可以直接起诉内容上传方；

而在两项新法案中，版权拥有者在识别侵权内容后，可直接要求搜索引擎、互联网广告平台、互联网支付平台屏蔽内容发布平台所有内容，甚至可以要求互联网服务供应商（ISP）直接停止对该平台提供服务。所有司法程序可以在直接端掉内容平台后再进行。

1. 切断相关盗版网站链接的权力：法律上美国政府可以以含有盗版链接为名，强制互联网服务商停止对某个网站的解析。换而言之美国政府可以对网站内容（无论内容是来自自身，机器人爬虫或网民发布）进行审核。迫于压力，网站们将不得不进行自我过滤。

2. 要求搜索引擎、支付工具等阻止对这些盗版渠道的访问通道的权力：如果任何盗版网站经查证在美国有用于提供资金帮助的账户或在线账户Paypal，则这些账户将被冻结或取消。

下个月SOPA提案将继续在众议院进行表决。双方博弈的过程中，互联网一方只是反对没有用，还要拿出更好的在线盗版问题解决方案，最后双方才有可能达成妥协。

Vim後於Linux，所以一開始兩者沒什麼關係。最初Vim最初是为Amiga平台开发的Vi编辑器克隆。Vi克隆出现于80年代末和90年代初，主要原因是Vi的许可证不能自由分发，而克隆则因为采用了没有限制的许可证而得到广泛使用。早期的两个著名克隆是Stevie和Elvis。Vim作者Bram Moolenaar对Amiga平台上的Vi克隆不甚满意，他开始在Stevie基础上开发新的文本编辑器，也就是Vim。Vim意思是Vi IMitation， 後來才改成vi的加強版Vi IMproved.

Vim的前身Vi，它的作者Bill Joy也是傳奇的大Boss…前任Sun的首席科学家，在Berkeley时主持开发了最早版本的BSD，还是sh的作者。传说！他想看看自己能不能写个操作系统，就在三天里写了个自己的Unix, 也就是BSD的前身。另一个传说是，1980年初的时候，DARPA让BBN在Berkley Unix里加上BBN开发的TCP/IP代码。但当时还是研究生的Bill Joy怒了，拒绝把BBNTCP/IP加入BSD，因为他觉得BBN的TCP/IP写得不好。于是Bill Joy自己出手，很快就写出了高性能的伯克利版TCP/IP。
三天里写了個BSD的前身…太打擊人了吧！！！…操作系統拜您了orzorz

Rob Pike何许人也? 他也是贝尔实验室元老级别的大牛，他参加了UNIX系统、C语言、AWK语言和许多其他系统的开发，与Ken Tompson协同发明UTF-8, Plan 9操作系统的设计者，《Unix Programming Environment》,《The Practice of Programming》作者。现供职于Google，Google的首席工程师，参与开发了Go语言。

slide里面有一句很内涵，一下就抓人眼球：

Despite its age, despite many flaws, C is still the de facto standard, the lingua franca. Why? As with other older languages, inertia is partly to blame, but this cannot be the only reason. C must possess a near-perfect balance of vital language features.
Or as Linus Torvalds puts it, “C is the only sane choice”.

可再看看原slide里“C is the desert island language.”出现的位置，我觉得Rob Pike肯定了C前无古人后无来者的里程碑式地位，但也有持负面观点得把? 他认为C写得丑陋，从1970以来也没什么改变。

后来看到《C Craft》下面还有介绍Obfuscated Tiny C Compiler (OTCC) ，发现作者是Fabrice Bellard，他凭这个参加著名的国际C语言混乱代码比赛（IOCCC）就拿了奖。OTCC后来发展为TCC项目。
我是第一次听说TCC，Tiny C Compiler（TCC）是一个轻量级高速的C语言编译器，完全支持C99标准。与其他C语言编译器不同，它是一个自我TCC标志依赖的系统，不需要其他外部的汇编器和连接器。TCC很小，传说是目前最小的ANSI C语言编译器，小于100k，编译速度快，编译出来的执行文件比gcc更小，可以有内存和边界检查，还可以让C语言源文件可以像Perl和Python一些脚本语言一样直接执行! orz是不是可以抛弃gcc了…

其开发者 Fabrice Bellard 又是个传奇的天才：他是FFmpeg（暴风影音，KMPLAYER什么的都是拿FFmpeg的解码器），虚拟机QEMU（科创大作业好像要用这个东西！），TCC作者；发现了最快速的计算圆周率的算法貝拉公式；2009年他声称仅用了一台小于$3,000的台式机算出小数点后2.7万亿位，打破了圆周率计算的世界纪录?
我开始知道Fabrice Bellard是因为那个在web跑linux就是他的作品！原理ms是用js写出了x86虚拟机然后加载二进制linux镜像。关于js版的linux的开发原因，他说…I did it for fun！气场全开，HOLD住全场阿！！！

PS1: Rob Pike主页：http://www.herpolhode.com/rob/
Fabrice Bellard主页：http://bellard.org/

左边的是翘臀，也可以叫臀臀，萌二代。道奇狮子，天生有一条白围巾，一对白手套和靴子，少女，生日2011.6.26！ 喜欢卖萌，做体操，母鸡趴，跳踢踏舞，还有躺在主人怀里?！！！吃得东西可多，有时给她奖励喝奶当夜宵，乳酪球什么好高端，她妈妈还会给她做草饼吃，羡慕不来！！！诶，写得像lovebridge的挂牌lol，ms是要相亲啦?！=v=

右边的是团二代，因为他的主人叫团团。他的身世是谜，有可能是二次元乱入，品种是谜，性别是谜！他觉得乃们都是愚蠢的地球人！！！！他喜欢拍栏杆！啪啪啪啪啪！他去过好多地方，看过好多美女！上师大才是他的天堂！咩嘿嘿~推倒 啪啪啪啪啪！
经毛茸茸小组研究讨论，才知道团二代是公的，一秒格格变王子阿，有木有！！！她妈妈和后爸后妈们几个月来都把他当mm养，差点还带他去相亲了…知道真相的后爸们表示对搞基不能接受阿！！！！毛茸茸小组还讨论出~团二代有可能是狮子兔+垂耳兔混血儿喔，他的耳朵老是一只垂着一直竖着，玩cosplay阿！！！

PS1: 我竟然用了英语里的插入语orz
PS2: 还有个人人小站:http://zhan.renren.com/iloverabbit，也欢迎关注:)
PS3: 豆瓣小站还有卖闲置，白菜价转阿转阿转阿！

而Shell有个内置的环境变量$SHLVL，可以用echo %SHLVL%显示当前Shell的级别Level或者说递归层次，你可以想象成Inception里的第n层梦境。在使用Shell(Bash为例)的过程中，实际上就是一个Inception的过程：

执行一个脚本的时候，并不是在当前的Shell环境下执行的，而是父进程shell fork()出一个“相同”的子进程，再调用exec()重新装载，执行具体命令，执行完毕后，销毁它，并回到当前的Shell。

一般情况下，我们的Shell都是第一层，如何进入下一层？只需要不停地执行自身(bash)即可，如果理解递归的话-3-

Shell最多支持几层梦境呢？Bash的源代码variables.c里搜索adjust_shell_level，可以找到

if (shell_level < 0)
shell_level = 0;
else if (shell_level > 1000){
internal_warning (_("shell level (%d) too high, resetting to 1"), shell_level);
shell_level = 1;
}

也就是说最多可以有1000层，超过1000层后，又回到第1层，也就是现实世界了？其实是不一样的，最多1000层什么是伪的，因为1001层(显示1)两次exit后重新显示999了- -! 回到第1层还是要一层层返回上去的吧…

发现同一张图片在不同显示器下显示效果可以差好多，在自己本本上可以显示，但是在另一台台式上几乎看不出，一做显示器灰阶测试差距就出来了，台式只能看到第二行orz…弱爆了！！！

一个nobel官方网站都打不开，地址也发不出的国度，还期待着能有人获得nobel prize…好奇怪，昨天测试时候官网不能上，一小时前能上，现在又不能上了？墙真是像女人的心深似海- -b

从凌晨到中午都被iphone刷屏…听闻前阵子德国盗版党获得议会席位，想想从字面理解，“盗版”在天朝可是有足够群众基础了吧，要是有这么个盗版党or苹果党搞起来了，会不会和“邪教组织”一个下场。
PS: 盗版党的政治主张：
1.获取信息是一种人权。为了个人使用的目的，自由获取版权材料的权利，应该得到保护
2.反对网络审查

苹果iCloud云平台看来和Amazon刚上了，都要把用户拉入自己的云端，Amazon的silk浏览器还能将多数的复杂网页渲染工作交给自己的云计算服务来预处理。不过这对用户都是透明的，用户需要外形改变而带来的装逼效果-3-

同样今天消息，北极也出现臭氧空洞了…原因是寒冷天气持续时间异乎寻常的长，在寒冷条件下，能破坏臭氧的含氯化合物会更活跃…说好的全球变暖呢- -b

又学到几个很美的新词，nautilus是鹦鹉螺，chinar悬铃木,法国梧桐 Aegean a.爱琴海的。还有个spring fever，猜猜是神马意思~~第一感觉是发春的握个手，其实正好相反，是春倦症- -

这学期基本就在Ubuntu下了，想配texlive和vim的latexsuite插件，鼓捣了一半搞不下去，尴尬。然后根目录下空间也要没了，囧。vim c语言的补全要搞一下，最近感觉出了好几个vim攻略教程键位图神马的。不会写makefile，弱爆了。

Linux下用vbox装minix，直接用vbox开会出现kernel panic，是一个known issue，有两个解决方法，一个是开VT-x, AMD-V支持，不高兴刷bios，另一个是在终端用VBoxSDL –startvm (虚拟机名) –norawr0 –norawr3打开，可能还有种就是装vwmare，也麻烦T_T…在win7下vwmare安装minix倒没问题。

前几天试了小小输入法，是国人dgod的一个作品，一直有在更新，集成了众多中文输入方式，比如五笔、郑码等，还有云词库，可以使用搜狗的词库作为分词库，可以改皮肤改输入法图标等。感觉靠谱很多，也没有发现BUG，就固定下来了~

关于安装:

可见Ubuntu论坛的小小输入法资料汇总，下载地址：http://u.115.com/folder/f69cec2c653

关于设置:

修改yong输入法的配置文件，在/home/用户目录下，ctrl+H，修改~/.yong/yong.ini，都有注释的。

如果想让拼音输入具有自动调频功能，将auto_move的值改为1；其他建议修改的项目，括号是我的配置：候选字个数cand(7)，联想字数legend(4)，候选显示长度strip(12)，中英文切换(LSHIFT)，二三重码选择select(;\’)；还有[IM]是显示在设置中的输入法条目，也可以自己删减，还可以添加云词库（百度/搜狗/QQ）。

改好后不用重启，退出小小输入法，然后Alt+F2运行yong -d就可以生效。如果发现进程管理器中有yong僵死进程，可修改/etc/X11/xinit/xinput.d/yong(root权限)，XIM_ARGS=”-d”改成XIM_ARGS=”"，重启后就不会再有了。

关于词库:

主要用的是pinyin.txt，刚装好小小的那个词库不大，需要找大点的词库，我现在挂的12M够用，不过原帖找不到了><直接问我要把；或者在Ubuntu论坛搜索”小小输入法 词库”，更折腾的可以看将搜狗细胞词库导入小小输入法

关于修改输入法图标:

linux输入法的图标各种难看，原来用ibus时是个”拼”被我改掉了。小小输入法的图标也可以改，做好图标，png,ico神马都可以，在yong/skin/skin.ini中修改icon=，前者是中文输入下图标，后者是英文输入下图标。放出我做的两个图标~~简单的“中”和“英”，和面板的显示时间和用户名很配！！！

第一次用cPanel，搞域名dns的a定向就晕了，因为它是3600一小时更新一次orz，当中突然就碰到诡异的博客后台CSS无效了的情况，不知道是不是两空间的wp都装在同一目录下的关系，把原来空间wp目录改了，不行，最后发现IE浏览没问题，于是把firefox缓存清了就正常了…汗

现在的空间只能挂wp，暂时把两个a都指向新空间，原来空间的bbs,photo都无法访问了。可不可以将二级域名blog.redswallowz.com指向新空间，www的指向原来空间，然后把blog.redswallowz.com重定向为redswallow.com/blog捏-3- 弱爆了，求启蒙！！！