Joe Horn 的啟示錄

2.0.16 有安全性修正 , 而且在最常被存取的 viewtopic.php :

$message = str_replace('"', '"', substr(@preg_replace('#(>(((?>([^>< ]+|(?R)))*)<))#se', "@preg_replace('#b(" . str_replace('\', '\\', $highlight_match) . ")b#i', '<span style="color:#" . $theme['fontcolor3'] . ""><b>\\1</b>', '\0')", '>' . $message . '< '), 1, -1));

改為

$message = str_replace('"', '"', substr(@preg_replace('#(>(((?>([^>< ]+|(?R)))*)<))#se', "@preg_replace('#b(" . str_replace('\', '\\', addslashes($highlight_match)) . ")b#i', '<span style="color:#" . $theme['fontcolor3'] . ""><b>\\1</b>', '\0')", '>' . $message . '< '), 1, -1));

更新範圍列表如下 :

• Fixed critical issue with highlighting – Discovered and fix provided by Ron van Daal



• Url descriptions able to be wrapped over more than one line again



• Fixed bug with eAccelerator in admin_ug_auth.php



• Check new_forum_id for existence in modcp.php – alessnet



• Prevent uploading avatars with no dimensions – Xpert



• Fixed bug in usercp_register.php, forcing avatar file removal without updating avatar informations within the database – HenkPoley



• Fixed bug in admin re-authentication redirect for servers not having index.php as one of their default files set

官方公告 在此 .

竹貓星球 也發出了 這篇公告 .

沒錯! Sun 推出筆記型電腦了.

在 這篇 裡面有提到大致的規格 :

新款筆記型電腦有15吋與17吋螢幕二種機型，處理器可搭載550MH、650MHz的UltraSPARC Iii處理器，或是1.28 GHz UltraSPARCIIIi處理器。Ultra 3筆記型電腦也內建最高2 GB記憶體、512MB RAM、40GB硬碟及2D繪圖處理晶片，以及升級選購。這款電腦也具有802.11b無線網路設備可將之搬離機房外。

原本大家如果不想用 x86 CPU 的 NB , 不想跑 Windows , 大概只能考慮 Apple 的 NB .

可是之前 Apple 已經宣布要投靠 Intel 陣營了, 所以以後就算買 Apple 的 NB , 大概也逃離不了 x86 CPU 的命運.

於是, Sun 決定出來拯救廣大 NB 族, 讓大家有非 x86 CPU 的 NB 可以選!

( 還是埋好新地雷等人跳!? XD )

總之, 除了蘋果以外, 要搞台與眾不同的 NB , 大家還可以來考慮一下太陽! XD

不過, 我總覺得這種機器大概只適合放在機房裡!?

( 那種場景就像我之前在桃園 SeedNet co-location 機房看到 iBook 一樣吧!? XD )

剛剛看到的, 總部打出 連 三 發 security advisories.

第一跟第三個真的是不作不行.

不過步驟蠻簡單的, update /usr/src 之後重新作 kernel .

第二個則是, update /usr/src 以後用這些指令 :

% cd /usr/src/lib/libbz2

% make obj && make depend && make && make install

% cd /usr/src/usr.bin/bzip2

% make obj && make depend && make && make install

( 啥? make world ? 不用那麼悲苦啦... XD )

剛剛在 DK 大長輩那 看到 這篇 .

就把 文章連結 丟給 Solaris 叔叔 .

結果他老人家看到以後狂找索賠的地方.... orz

( 見錢眼開!? XD )

然後被他老人家刮到 這個網頁 , 受災戶們可以參考看看.

我沒買過 IBM 的 HDD ( 後來變身成 Hitachi 後我還是不敢碰 ) , 所以我不是受災戶 , 當然, 未來應該也不可能是. XD

繼昨天的 這篇 .

我後來把 Domain Keys 搞定了, 從昨天到今天的 log 觀察, 我發現正在使用有 Yahoo! 跟 Gmail .

除了英文語系的網站, 大陸那邊也有人玩過, 而且有 這篇 對 Domain Keys 作簡略的說明.

不過, 就如我留的 comment 中所說的這段 :

不過 Domain Keys 仍然怪怪的, 我這邊遇到這種問題:

某廣告商偽造 From: 為 xxx@yahoo.com , 但是因為他並不屬於 Yahoo.com 這個單位, 所以沒有使用 Domain Keys ( 他的來信裡面沒有 DomainKey-Signature: ) .

於是, 收信方就算使用了 Domain Keys , 就沒有將此信進行 verify signature 的動作, 信也就繼續流入.

Yahoo! 跟 Gmail 的 address 就算被偽造, 放進 From: 裡面, 仍然無法被辨識出來.

剛剛重新看了一次 Domain Keys 的 draft .

我發現了這兩筆有趣的資訊 :

_domainkey.yahoo.com text = “t=y; o=~; n=http://antispam.yahoo.com/domainkeys”

*** Can’t find _domainkey.gmail.com: No answer

在文件中的 3.6.2 Interim sending domain policy , 對 o 這個 tag 有這兩段說明 :

o = Outbound Signing policy (‘-’ means that this domain signs all email, ‘~’ is the default and means that this domain may sign some email with DomainKeys).

There is an important implication when a domain states that it signs all email with the “o=-” setting. Namely that the sending domain prefers that the recipient system treat unsigned mail with a great deal of suspicion. Such suspicion could reasonably extend to rejecting

such email. A verifying system MAY reject unverified email if a domain policy indicates that it signs all email.

Of course nothing compels a recipient MTA to abide by the policy of the sender. In fact, during the trial a sending domain would want to be very certain about setting this policy, as processing by recipient MTAs may be unpredictable. Nonetheless, a domain that states that it signs all email MUST expect that unverified email may be rejected by some receiving MTAs.

也就是說, Yahoo! 跟 Gmail 的設定中, 並沒有強制要求使用 Domain Keys 的收件方對他們的信件進行 signature verify 的動作.

所以在目前的狀況下, 就算我們使用了這個機制, 也無法對他們的信件作出完全正確的判斷.

說好聽點的話, 叫做 Domain Keys 還在測試階段 .

講難聽點的話, 就是 目前的 Domain Keys 還沒啥鳥用 . XD

剛剛在玩 Domain Keys .

不管我改用哪種模式 ( nofws, simple ) , 在驗證方那邊都會失敗.... orz

不過, 剛剛發現它用這些 header 跟 mail body 一起 sign .

h=from:to:subject:date:message-id:x-mailer:

x-originatingip:mime-version:content-type:x-virus-scanned:x-greylist;

因為兩台 ( signer 跟 verifier ) 都有作 virus-scan 跟 grey-listing , 所以問題好像出在兩邊的 header 會不一樣!?

晚點來把 x-virus-scanned 跟 x-greylist 這兩個 header 從 mail 裡面拿掉試試看好了...

昨天看到 這篇 , 剛好之前我也有玩過 Yahoo 知識+ , 所以有些話想補一下.

因為我們有時要找問題的答案時, 幾乎都會靠搜尋引擎, 而 Yahoo 奇摩 剛好又是入口網站廠商, 於是他們便推出了 Yahoo 知識+ .

這個 idea 其實很棒, 但是這個系統卻被使用者玩爛了.

我們可以分成兩個方向來看使用者們把系統玩爛的問題.

首先是發問, 也就是問題方面.

Yahoo 知識+ 上面有許多主觀定義的問題, 例如 : 這些 , 這種問題具參考性嗎? 每個人的狀況不同, 看法也不同, 哪來的一定, 最佳解答? 更別說其他方面, 問題搞錯分類的, 問題問的非常籠統的, 大有人在!

再者, 在解答方面.

Yahoo 知識+ 上面充斥著許多複製/貼上的解答, 在許多解答的版權上就有其爭議性.

而解答的投票制沒有對投票權作有效的控管, 使得想入選的解答者可以發動人海戰術對他自己的解答進行灌票. 同樣的, 知識評價權也一樣沒有受到良好的管理與劃分.

在我看來, 目前 Yahoo 知識+ 的亂象實在是非常多, 但是這些亂象的起因都是使用者本身的問題.

不可否認的, 有些問題可以在上面找到答案. 至於要不要參與這個大遊戲, 就讓大家自行抉擇吧.

剛剛有學弟跟我說, 他在 FreeBSD 上面的 perl 升級從 5.8.6 升到 5.8.7 之後爛掉一堆東西.

因為這陣子我在忙考試, 所以我的機器也還沒升.

之前我從 5.8.5 升到 5.8.6 時, 必須很悲苦的自己檢查相依的軟體, 然後用 portupgrade 重裝.

剛剛在自己的機器上面測升級, 發現升級 5.8.7 的步驟簡單很多, 只要在升級完之後跑這兩串指令就能幫你修好 :

# perl-after-upgrade

# perl-after-upgrade -f

此舉真是造福了不少 host master 啊

我一定要記錄一下這個歷史性的一刻!!

2005 年美國站, 目前在場上的只有 Ferrari 的 Michael Schumacher 跟 Rubens Barrichello , Minardi-Cosworth 的 Christijan Albers 跟 Patrick Friesacher , Jordan-Toyota 的 Tiago Monteiro 跟 Narain Karthikeyan .

這三家車廠用的都是 Bridgestone 的輪胎! XD

其他車廠罷賽的原因 在這 .

在 這邊 看到的 .

Researchers at Microsoft’s computer science lab in Cambridge have developed a peer-to-peer filesharing system that they say overcomes the scheduling problems associated with existing distribution protocols such as Bit Torrent.

The researchers claim download times are between 20-30 per cent faster, using their network coding approach, than on systems that only code at the server, and between 200 and 300 per cent faster than distributing un-encoded information.

paper 的 PDF 檔 在這 .