手机浏览 RSS 2.0 订阅 膘叔的简单人生 , 腾讯云RDS购买 | 超便宜的Vultr , 注册 | 登陆
浏览模式: 标准 | 列表2010年03月的文章

利用跨站脚本攻击(XSS)摧毁Web

关于xss的攻击与防范,我在08年09年写过一些文章,有自己记录的,也有摘抄的。昨天我又看到一篇讲攻击的文章,记录一下,也可以与以前进行一下对 比。

本文是写给那些不拿XSS当Web应用严重漏洞的人看的。 实际上,人们可以利用XSS漏洞大捞一笔。本文是在热爱黑客技术 但从不攻击他人的网站上发表的,所以我不会对这里介绍的知识的使用方式负任何责任。

» 阅读全文

Tags: xss

gouki

gouki这个词对我的影响其实是很大的。
从第一次玩街机游戏《street fighter》开始,就大致了解了SF的人物,也在一些【格斗天书】中发现了gouki(查看百度百科)这个名字。在那个没有拳皇的时代,gouki就是巅峰的代名词,于是乎,那时候就大言不惭的称呼自己为gouki了。

细细算来,以gouki为笔名、网名、其他的呢称等至今也有了15年左右了。其实已经很多年没有玩SF了,只是突然想怀念一下。再加上博客的作者又是以gouki为名,所以查看了一下搜索引擎,看看如果搜索gouki,能否搜到本站。

果然。。。。

大小: 59.44 K
尺寸: 500 x 303
浏览: 1303 次
点击打开新窗口浏览全图

这样的数字还是很让我开心的啦。HOHO

 

Tags: sf, gouki

软件介绍:FavBackup

从软件的介绍中,我很为之心动,要知道每次电脑重装,除了软件外,浏览器才是我们用的最多的程序之一。目前对我来说常用的是Firefox,chrome,但IE我也在用,因为很多网银只支持这玩意。。。

因此重装后就不得不再次进行设置,比如firefox的插件,IE的收藏夹等等。现在firefox和chrome都有了在线收藏夹,而IE下面,360浏览器、maxthon、世界之窗、搜狗等也开始内置类似功能,但IE却是没有这样的设置,因此收藏夹却是需要自己备份(所幸只是某个目录直接拷出来就行)

所以,当看到软件介绍时,就忍不住想推荐给大家了。【申明一下,我没有用过,只是感觉不错】

以下介绍来自汉化新世纪,点击浏览 FavBackup V2.0.0 绿色版

    FavBackup 是一款适用于 Windows 7/Vista/XP/2000 操作系统的,简单易用的网页浏览器设置与其他数据备份和恢复的免费软件,你甚至不必安装即可使用。
    FavBackup 支持 IExplrer、Firefox、Opera、Safari 与 Google Chrome 等各版本的网页浏览器,可以备份包含书签、Cookies、下载纪录、浏览纪录、浏览器设置、储存在浏览器中的密码、搜寻引擎、会话、工具栏设置及其他使 用者个性化设置。透过非常简单的操作介面执行备份、还原等操作,让我们可以快速将原来电脑系统中的浏览器设置快速的搬迁到新的电脑或新的系统中,马上恢復 工作。

大小: 84.88 K
尺寸: 336 x 376
浏览: 1383 次
点击打开新窗口浏览全图
可支援的浏览器:

Internet Explorer 8
Internet Explorer 7
Internet Explorer 6
Firefox 3
Firefox 2
Google Chrome 3
Google Chrome 2
Google Chrome 1
Opera 9
Safari 4
Safari 3

注意!由於浏览器版本不断推陈出新,建议及时下载、更新最新版 FavBackup 软件。
中文版的最新资讯与更新,请关注本人博客(www.localier.com) 中的汉化更新。

--EOF--

点击浏览 FavBackup V2.0.0 绿色版

《Don’t make me think》笔记

邓榕的笔记,值得一观。

突然发现自己好久没有定下心来看书了。不管是技术类书籍还是文学类,又或者管理类的书籍,真的好久没有定下心来看书了。以前还能做到每天晚上看半小时到一小时呢,现在。。。几个月没翻书了(电子书不算),更别挺看书笔记了。

原文地址为《Don’t make me think》笔记,内容如下

很多年前就看过《Don’t make me think》的第一版,第二版在书架上很久了,这两天才翻看。温故知新,笔记如下:

  1. 某个东西越是需要投入大量时间(或者看起来会这样),它将来用到的可能性越小。
  2. 可用性第一定律:别让我思考。
  3. 我们使用web的第一个事实:我们不是阅读,而是扫描,一般会关注“与手头任务有关的”或者“当前或接下来的个人兴趣”或者“长久的兴趣,如免 费、美女等”这些文字和短语。(老邓注:所以,别老想着在首页上放一大段自吹自擂的话了,那是自恋)
  4. 我们使用web的第二个事实:我们不作最佳选择,而是满意即可。
  5. 我们使用web的第三个事实:我们不是追根究底,而是勉强应付,很少有人花时间读说明书,大家总是贸然前进勉强应付,一旦发现某个方法能够用,即 使很难用,也不愿意再主动去找另一种更好的方法,这不是智力问题,而是并不认为这个网站对自己有那么的重要。(老邓注:所以,别老想着用Flash去制作 一个“预订流程说明”了,那是单恋)。
  6. 让页面不易理解的一个最大原因是视觉噪声,设计的时候可以先假定所有内容都是噪声,除非得到证明它不是。
  7. 大多数页面上的大部分文字都不过是在占地方,因为没有人打算阅读它们。但它们确实在那儿,所以会暗示你可能需要阅读它们,这样常常使得页面看起来 难度更高了。去掉没有人看的文字能降低页面噪声,从而让有用的内容更突出,人们更加愿意阅读。(老邓注:这就是设计中常说的“少即是多”,加文字的时候需 要反问“是想给客户看的还是只是为了立此为证以便后面和客户理论?”)P34页有一个非常好的精简案例,精简幅度60%。
  8. 如果你想为我提供选项来调整搜索的范围,在它有用的时候再提供给我——当我到达搜索结果页面,发现搜索全部内容得到的结果太多的时候,这时就需要 缩小搜索范围。
  9. 共有区域的悲剧(The Tragedy of the Commons)。任何共享的资源(共有区域)都会因为过度使用而遭到破坏。(老邓注:这就是首页上为什么广告越来越多、内容越来越乱的原因)
  10. 从焦点小组了解到的是你在设计网站之前就应该了解的,别把焦点小组和可用性测试弄混了。详细的区别见P100页。
  11. 每轮可用性测试只测试三名用户,以保证尽快进行下一轮,多进行几轮。测试对象是谁并不重要,对于大部分网站而言,你只需要懂得上网基本知识的用户 就可以了。
  12. 推荐屏幕录制软件Camtasia,它是TechSmith公司的产品,和SnagIt出于同一家公司。只需要300美元。再加1000美元,可 以买到该公司的另一个产品Morae,它允许观察者在另一台电脑上看到真实测试情况。
  13. 测试中有两部分内容:理解测试,看看用户是否理解这个网站;任务测试,看看用户是怎么完成一些任务的。
  14. P109-P113页是很值得一读的用户测试对话范例。
  15. P115页,关于Kayak(皮划艇)问题。Kayak问题总是存在,因为有些含混之处总是没有简单的解决办法,比如“港澳台酒店”应该放在“国 内酒店”里还是“国际酒店”里,可能我们会觉得放到两个分类里。笔者的建议是一个项目最好只在一个地方存在,其他位置用链接“参见……”来标出。
  16. 要抵制添加的冲动。当在测试时清楚地看到人们没有理解某些内容时,大部分人的第一反应是增加一些内容,例如一些注释或一些指导说明。而正确的解决 方案往往是去除某个(一些)让人混淆的内容,而不是增加另一些干扰。
  17. 隐藏客户服务电话、运费、价格信息,会降低客户好感。隐藏电话的初衷是希望用户不打电话,通常这样做会降低用户的好感程度,而且他们找到号码并拨 打时会更恼火。另一方面,如果电话很容易看到,他们知道在需要的时候可以拨打,会让人们在网站上停留的时间更长,从而增加了他们自己解决问题的可能性。
  18. 人们喜欢对网站的外观发表意见,但是几乎没有人会因为觉得它不够好看而离开。(老邓注:不过,根据《情感化设计》,更赏心悦目的网站,能增加用户 忍受度,使用户更加愿意探索)
  19. 向用户询问不必要的信息可能产生三个后果:您得到的表单更少;您常常无法得到真实数据;您的网站形象下降。

--EOF--
因为这些东西涉及到用户体验,所以,我就复制了下来,偶尔看看也行。毕竟看不了书,看笔记也好的。笔记毕竟是读书时记录下来的要点。

 

不会编程的程序员

【内容全是转载,觉得挺有意思。。。】
我想这让人难以置信,但是通过Twitter和电子邮件渠道蜂拥而来的报道表 明:许多参加程序员面试的求职者根本就不会编程,看看迈克·林最近的邮件就知道了:

为啥程序员 都不会编程呢?》 这篇文章让我改变了面试的方式。以前面试我开始都以营造融洽气氛为主。正如你提到的,事实证明这种方式太耗费时间了,大多数应聘者根本就 不会技术。因此我以技术问题作为开头来面试应聘者,刚开始的时候,问题的难度是从容易逐渐变难。后来我发现反过来的话,甄别应聘者的速度会快些,即难的问 题先问(前提是难的问题必须属于“工作必备技能”一类的问题)。多数面试仍然会花上20分钟作用,因为回答和评估仍然需要花上一些时间。但是这对于之前” 先营造融洽气氛“的面试方式来说一个相当大的改进,而且还可以通过电话方式来完成。

在读了你的文章之 后,我开始通过电话,网络会议方式进行编程面试,甄别不会编程的应聘者(也就是大多数人)所需时间降到了15分钟左右。

我写那篇文章的时候时间还是2007年,三年后当我再次听人说应聘编程工作的绝大多数所谓的程序员竟 然不能写一小段程序时,我震惊了,但是也并没有完全出乎我的意料。需要清楚的是,难是一个相对的词汇——我们不是指那种复杂的有如Google计算机专业 研究生难度的面试题。我们给应聘者做的都是一些极其简单的题目,但是他们不会。这就相当于你想雇一位卡车司机,但是却发现90% 的应聘者竟然找不到油门和变速挡

我也同意,这有些疯狂,但是这样的事情每天都在发生,而且这是我们这个行业在招人时常见的问题。

你需要通过这种简单的技术面试题来筛选掉这些伪程序员的大军。 我在前面提到过的,通过电话筛选是个明智的选择。不过通过网络方式来筛选效果要更好,并且更自然些。

XML/HTML代码
  1. 我还是非常不习惯通过远程共享对方电脑桌面的方式与应聘者进行网络面试。我在网上搜索 了一下类似“纸笔”方式的编程面试的工具,但是没有收获。所以我做了一件所有有自尊心的程序员都会做的事情。我自己写了一个。伙计,花在这个程序上面 的精力很值!对每个应聘者的初期技术筛选所花的时间,我安排了15分钟。但是遗憾的时,我一般只需5~10分钟就能结束。如果他们能写10行简单的 代码,我就会给他们安排一次真正的面试。但是这种事情并不经常有,不过也好,至少我不会再浪费大量的时间了。
迈克加了一个声明,称他这个自制的编程测验工具并不是想秀一下他的编程能力如何。他需要一个这样的工具,所以他就写了一个——并且非常贴心的与大家分享了。 或许除了这个还有其他的工具;你们大多数人都使用什么在线工具来筛选程序员?

三年后,我仍然想知道:为什么一点都不会写程序的人都会冒出他们可以胜任程序员工作的念头来呢? 的确,他们中有一些人会如愿以偿。但这也意味这个程序员这个行业的面试标准非常不合适。这是一种耻辱。它让每个在职的程序员蒙羞

水平差的程序还至少还可以接受教育来提高,而伪程序员不仅无药可就,而且还会让他周围 的同事自掉身价。这类人需要铲除,要做到这点就需要我们从最简单的技术编程测试做起,而这类测试也应该成为每程序员面试的一个组成部分。

本文来自东西 dongxi.net
来源: codinghorror | 作者:Jeff Atwood | 译者:neodreamer
声明:译者neodreamer拥有本文版权并授权东西网发布,非商业转载请参考东西网版权声明中的非商业用途转载版权说明;商业转载请联系东西网