今天是码农中箭改密码日，ms是中午爆出来有黑客在网上公开了CSDN网站用户数据库(2009年4月数据)，包括600余万个明文的注册邮箱帐号和密码。很神奇的是我不知从哪里看到了caoz在12月16日就写了的 谈谈近期的安全事件 。

他在微薄说：“这个库很早就在黑客群体里有传了，社工库里的重要资源呢，今年参加过4399内部安全培训的都听我提到过，前几天写近期安全事件文档的时候没好意思点名说出来，看来是今天才有人公开出来。”

所以其实安全问题一直都在，之前很多人都没有重视，我也是第一次听说”爆库”，”社工库”。下面整理了些caoz文章里的信息：

按照 tombkeeper 教主所说，国内有点影响力的网站，2/3都被爆过库，传闻人人网和开心网也是被破的七七八八了，待证实。但是爆库不等于密码泄露，爆库+不正确的加密方式才是密码泄露！！！

防爆库是安全架构里非常重要的一点，还要做最坏的打算：别人拿到会怎样。密码明文存储的(没加密)，那就是今天的csdn密码泄露；可逆加密的，只要黑客用点心，也是死路；不可逆的，比如HASH算法生产md5，有一个碰撞库的概念，现有的破解都是将常用字符计算HASH值后反向比较。例如密码123456，假设MD5值为1ab9744e58acee3ed8f03508cbf82bf5，那么数据库中查到MD5值即知道了密码。通过社会工程学的应用，大量常用密码已可直接破解。虽然2004年山东大学王晓云提出有关快速查找“碰撞对”的算法，震惊了世界，但是逆向md5目前仍然是不现实的事情。具体可以参考cnBeta的 浅谈HASH算法与CSDN密码泄漏事件 启蒙一下。

在爆库泛滥和密码破解率很高的情况下，社工库扫描就很流行了，简单说，你在若干网站用了同样的账号和密码，其中一个被爆库，密码被泄露，你的账号和密码就进入了社工库，这个库现在很庞大，有数亿条记录。比如今天csdn明文密码泄露，有经验的黑客会利用社工库数据扫描批量著名网站，就可以造成使用同样密码的支付宝被盗或是微博盗号，这就是社工库的威力所在！
防止社工库扫描，目前除了验证码，并无太好手段，但是BT验证码（不BT的验证码是很容易破解的）又是一个“伤害用户体验”的行为，这就无奈了，所以最好自己有方面的意识才是王道。

PS: 根据大牛,著名黑客Eric S. Raymond 的《Hacker 文化简史》，其实hacker黑客是Real Programmer。
“有一群人大声嚷嚷着自己是黑客,但他们不是。他们(主要是正值青春的少年)是一些蓄意破坏计算机和电话系统的人。真正的黑客把这些人叫做骇客cracker,并不屑与之为伍。多数真正的黑客认为骇客们又懒又不负责任,还没什么大本事。专门以破坏别人安全为目的的行为并不能使你成为一名黑客,正如用铁丝偷开走汽车并不能使你成为一个汽车工程师。不幸的是,很多记者和作家往往错把骇客当成黑客;这种做法一直使真正的黑客感到恼火。根本的区别是:黑客搞建设,骇客搞破坏。”

什么是SOPA
今天才了解到前阵子在美国闹得沸沸扬扬的“Stop the Censorship”中的SOPA是指Stop Online Piracy Act，《终止在线盗版》，它基于PROTECT IP Act ，IP指的是intellectual property 知识产权。
类似SOPA这样的提案在美国称之为一个Bill，它于2011年10月26日由参议院提交，并在11月的16日举行了首次听证。这部法案所标榜的使命是最终赋予司法机构和版权所有者更大的优势去和网络盗版做战斗。

在听证会召开之前，这则提案一直在很低调的进行，直到AOL、eBay，Facebook，Google，LinkedIn，Mozilla，Twitter，Yahoo，Zynga等互联网巨头在纽约时报上联合声明“We stand together to protect innovation”反对SOPA，反对审查，反对集中式监管，并指SOPA提案与国会提出的数字千年法案（DMCA）背道而驰，才被美国互联网主流用户所关注，并得到了病毒式的传播。

不少民间团体纷纷站出来，有的网站快速的制作了很多介绍SOPA是什么、SOPA会带来什么后果等科普内容，向普通市民宣传网络审查可能带来的坏处；有的制作了视频 PROTECT IP Act Breaks The Internet；有的联名收集群众的签名；有的收集了众多互联网名人们对SOPA提案的看法，这其中包括互联网之父、目前在Google任职的Vint Cerf：“我们的政府在保护版权这个方向已经开始越界了。”
在Mozilla, EFF, Creativecommons, PublicKnowledge, BoingBoing等机构和团体的共同倡议下，campaign网站很快架了起来，并且他们还鼓励网友通过facebook, twitter等进行串联，甚至是在自己的网站上贴上“Stop Censorship”的标签，以示支持。

SOPA与DMCA区别
与现行的《数字千禧年版权法》（The Digital Millennium Copyright Act，后简称“DMCA”）相比，新法案的最大变化在于改变了对于识别出的盗版侵权案例的处理：

DMCA 强调由版权拥有者负责识别侵权内容，在他们向内容发布平台拥有者举报后，平台拥有者可以要求内容上传方将侵权内容撤下，如果内容上传方不撤，版权拥有者可以直接起诉内容上传方；

而在两项新法案中，版权拥有者在识别侵权内容后，可直接要求搜索引擎、互联网广告平台、互联网支付平台屏蔽内容发布平台所有内容，甚至可以要求互联网服务供应商（ISP）直接停止对该平台提供服务。所有司法程序可以在直接端掉内容平台后再进行。

为什么会和Censorship有关
《保护知识产权法》(PROTECT IP Act)和《阻止网络盗版法》(Stop Online Piracy Act)，出台的目的为减少盗版电影及音乐的交易，将赋予版权所有方和执法官员两大权力：

1. 切断相关盗版网站链接的权力：法律上美国政府可以以含有盗版链接为名，强制互联网服务商停止对某个网站的解析。换而言之美国政府可以对网站内容（无论内容是来自自身，机器人爬虫或网民发布）进行审核。迫于压力，网站们将不得不进行自我过滤。

2. 要求搜索引擎、支付工具等阻止对这些盗版渠道的访问通道的权力：如果任何盗版网站经查证在美国有用于提供资金帮助的账户或在线账户Paypal，则这些账户将被冻结或取消。

SOPA的未来
据说11月的16日的首次听证本次听证会中有5位都支持SOPA——他们分别来自版权登记局、美国电影协会(MPAA)、Pfizer（一家医药企业）、MasterCard（根据Techdirt的介绍，之所以没选择Visa，是因为Visa反对SOPA提案）、以及AFL-CIO（美国工会），而唯一的一位反提案者则来自Google。

下个月SOPA提案将继续在众议院进行表决。双方博弈的过程中，互联网一方只是反对没有用，还要拿出更好的在线盗版问题解决方案，最后双方才有可能达成妥协。

據版本帝考古帝說，Vim是在1991年11月2日發佈了第一个版本。原來Vim和Linux差不多大，也20歲勒~~撒花

Vim後於Linux，所以一開始兩者沒什麼關係。最初Vim最初是为Amiga平台开发的Vi编辑器克隆。Vi克隆出现于80年代末和90年代初，主要原因是Vi的许可证不能自由分发，而克隆则因为采用了没有限制的许可证而得到广泛使用。早期的两个著名克隆是Stevie和Elvis。Vim作者Bram Moolenaar对Amiga平台上的Vi克隆不甚满意，他开始在Stevie基础上开发新的文本编辑器，也就是Vim。Vim意思是Vi IMitation， 後來才改成vi的加強版Vi IMproved.

Vim的前身Vi，它的作者Bill Joy也是傳奇的大Boss…前任Sun的首席科学家，在Berkeley时主持开发了最早版本的BSD，还是sh的作者。传说！他想看看自己能不能写个操作系统，就在三天里写了个自己的Unix, 也就是BSD的前身。另一个传说是，1980年初的时候，DARPA让BBN在Berkley Unix里加上BBN开发的TCP/IP代码。但当时还是研究生的Bill Joy怒了，拒绝把BBNTCP/IP加入BSD，因为他觉得BBN的TCP/IP写得不好。于是Bill Joy自己出手，很快就写出了高性能的伯克利版TCP/IP。
三天里写了個BSD的前身…太打擊人了吧！！！…操作系統拜您了orzorz

今天看到了蛮多东西，各种文章里引用的都是大牛的东西！最早是在看一篇纪念Dennis Ritchie的博客文章，文章最后推荐了一个Rob Pike 2001做的演讲的slide，好像蛮有名的：The Good, the Bad, and the Ugly: The Unix Legacy

Rob Pike何许人也? 他也是贝尔实验室元老级别的大牛，他参加了UNIX系统、C语言、AWK语言和许多其他系统的开发，与Ken Tompson协同发明UTF-8, Plan 9操作系统的设计者，《Unix Programming Environment》,《The Practice of Programming》作者。现供职于Google，Google的首席工程师，参与开发了Go语言。

slide里面有一句很内涵，一下就抓人眼球：

C is the desert island language.
想看看有没有大牛给出自己的理解，又找到了stanford的《C Craft》。接着第一句“C is the desert island language.”，作者Ben Lynn对C做了很高的评价:

Despite its age, despite many flaws, C is still the de facto standard, the lingua franca. Why? As with other older languages, inertia is partly to blame, but this cannot be the only reason. C must possess a near-perfect balance of vital language features.
Or as Linus Torvalds puts it, “C is the only sane choice”.

可再看看原slide里“C is the desert island language.”出现的位置，我觉得Rob Pike肯定了C前无古人后无来者的里程碑式地位，但也有持负面观点得把? 他认为C写得丑陋，从1970以来也没什么改变。

后来看到《C Craft》下面还有介绍Obfuscated Tiny C Compiler (OTCC) ，发现作者是Fabrice Bellard，他凭这个参加著名的国际C语言混乱代码比赛（IOCCC）就拿了奖。OTCC后来发展为TCC项目。
我是第一次听说TCC，Tiny C Compiler（TCC）是一个轻量级高速的C语言编译器，完全支持C99标准。与其他C语言编译器不同，它是一个自我TCC标志依赖的系统，不需要其他外部的汇编器和连接器。TCC很小，传说是目前最小的ANSI C语言编译器，小于100k，编译速度快，编译出来的执行文件比gcc更小，可以有内存和边界检查，还可以让C语言源文件可以像Perl和Python一些脚本语言一样直接执行! orz是不是可以抛弃gcc了…

其开发者 Fabrice Bellard 又是个传奇的天才：他是FFmpeg（暴风影音，KMPLAYER什么的都是拿FFmpeg的解码器），虚拟机QEMU（科创大作业好像要用这个东西！），TCC作者；发现了最快速的计算圆周率的算法貝拉公式；2009年他声称仅用了一台小于$3,000的台式机算出小数点后2.7万亿位，打破了圆周率计算的世界纪录?
我开始知道Fabrice Bellard是因为那个在web跑linux就是他的作品！原理ms是用js写出了x86虚拟机然后加载二进制linux镜像。关于js版的linux的开发原因，他说…I did it for fun！气场全开，HOLD住全场阿！！！

PS1: Rob Pike主页：http://www.herpolhode.com/rob/
Fabrice Bellard主页：http://bellard.org/

为毛茸茸小组，团团臀臀吞吞3T oh yeah，建了个豆瓣小站: http://site.douban.com/130380/
求关注求扩散，喜欢兔纸，兔粑兔妈看过来~~垂耳兔混血王子团二代，道奇狮子萌神翘臀在此恭候~~<

左边的是翘臀，也可以叫臀臀，萌二代。道奇狮子，天生有一条白围巾，一对白手套和靴子，少女，生日2011.6.26！ 喜欢卖萌，做体操，母鸡趴，跳踢踏舞，还有躺在主人怀里?！！！吃得东西可多，有时给她奖励喝奶当夜宵，乳酪球什么好高端，她妈妈还会给她做草饼吃，羡慕不来！！！诶，写得像lovebridge的挂牌lol，ms是要相亲啦?！=v=

传送萌->落入凡间的萌二代，各种卖萌视频

右边的是团二代，因为他的主人叫团团。他的身世是谜，有可能是二次元乱入，品种是谜，性别是谜！他觉得乃们都是愚蠢的地球人！！！！他喜欢拍栏杆！啪啪啪啪啪！他去过好多地方，看过好多美女！上师大才是他的天堂！咩嘿嘿~推倒 啪啪啪啪啪！
经毛茸茸小组研究讨论，才知道团二代是公的，一秒格格变王子阿，有木有！！！她妈妈和后爸后妈们几个月来都把他当mm养，差点还带他去相亲了…知道真相的后爸们表示对搞基不能接受阿！！！！毛茸茸小组还讨论出~团二代有可能是狮子兔+垂耳兔混血儿喔，他的耳朵老是一只垂着一直竖着，玩cosplay阿！！！

传送萌->混血王子团二代，顺便把 团团 也挂牌了，豆瓣红人，咆哮组管理员，吼！！！！！！

PS1: 我竟然用了英语里的插入语orz
PS2: 还有个人人小站:http://zhan.renren.com/iloverabbit，也欢迎关注:)
PS3: 豆瓣小站还有卖闲置，白菜价转阿转阿转阿！