Archive for the ‘Gossip’ Category

…GNOME adheres to the highest standards of software usability.
— GNOME 2.16 Release Notes

…… if you own a 28″ monitor with 2560 × 1920 resolution.

不太久前的某一天，不知為何老遠跑出去 City’super，當時手癢癢又口癢癢，結果在貪新鮮的情況下，買了一瓶 RingoWork 蘋果汁飲。除非鮮搾，以前是未飲過和果肉一起的蘋果汁的。飲的時候覺得很幸福，每逢吃到好味的食物都是一樣。但實在買得太少了，一支 180ml 的，兩口就飲完，結果只剩下這個小瓶子，現在還未扔：

本來想寫多一些，但原來已經有人寫了，也就不用我長氣再來一遍。一瓶 180ml 的要 HK$28 (我買時減了 3 元)，大概不能常常飲，雖然自己找個比較靚的蘋果用攪拌機搗爛來飲也不壞。City’super 好像將它用自己的品牌重新包裝過，平一半，但似乎蘋果汁沒變，希望下次到 City’super 時不會忘記回味一下。

因為一點小病，今天需要在家裏躺下來。稍好一些後，覺得無聊，但仍然未到能夠工作的狀態，只能做些不用腦的事情，所以不常做的事也去做：就是幫 Windows 掃病毒。就因為這次掃毒，令我整晚都不再無聊。

用 AVG 掃完一次後，結果嚇了我一跳。平常工作需要用的工具，全部被隔離了。

• netcat 是病毒。
• pwdump 和 fgdump 是病毒。
• 某些 packer 和 binder 逃不出同一命運，病毒。
• 一些 rootkit trojan 如 Donald Dick 和 BO2K 等更不待言，病毒。

結果整晚都為了救亡，而不再覺得無聊。稍為偷懶一下不用腦，就會落得這種下場。

04:27 更新：精神不好，搞錯了。Donald Dick 是 trojan，不是 rootkit。

Subscribing to HappyPenguin RSS feed might be an error. I just keep reading the same game descriptions over and over (and yawning). Finally, finding myself so bored, I decided to summarize the game descriptions. These patterns should fit more than half of all games listed in Happypenguin:

(more…)

一則只有寥寥數字的新聞，竟引起我的注意：

李投資逾億美國社交網站

第一次從標題就可以猜中新聞的所有內容，幾乎一字不漏。現在美國哪個社交網站成為天之驕子？全行皆知現在是 Facebook，根本不用說，MySpace 已經過氣了。哪個姓李的人會做這種投資？因為以往工作經驗的關係，立即就估中，不過不是李澤楷哪。(相信看到這句後，有些人會回想起當年的日子。) 這時第一個在腦海中浮現的字，就是「科網股 2.0」。想不到魔手這麼快伸到外國的 Web 2.0 了，且看看 Facebook 何時完蛋。不過，不同於香港那種純粹炒爆谷，Facebook 的大老闆比較懂得生意經，公司也比較有實力，沒像香港般，只有個不能用的 webmail 竟也可以上市，用幾億也搞不成一個網站。

2008-03-31 更新：原來我是井底之蛙。

之前看 Zone-H，留意到一則評論，基本上是網絡上的反華主義文章。和當初聯想收購 Thinkpad 的情況其實已經差很遠，華為不是全面收購 3com，只是佔少於 20% 的股份；但不同的是被美國政府以國家安全理由腰斬。不想中國染指美國的技術，向來都是這樣的，很正常。

中國人的 IT 技術，十居其九都是左抄抄右抄抄得出來的，真正自家研究得出的成果少得可憐可笑；即使是中國人本身，也清楚得很，許多都是高官、紈袴子第、親戚朋友的家家酒遊戲，不會對這些「大企業」有甚麼指望。所以被別人瞧不起，也毫無反駁餘地。說到底現在中國還有幾億人在挨餓，還說 IT ?

裏面有一兩句，可以很明顯看到文章的立場：

……we should all be concerned about the possible implications in having a Chinese networking company controlling one of the largest western producer of network and security appliances. Here both stakes and risks are too high.

反過來，中國大陸也怕呀。大陸政府也好，企業也好，老百姓也好，哪個不是 Windows？有朝一日美國政府指示 Microsoft 等等美國公司將全大陸的機密資料漏出去，或者學以往一樣不提供任何更新，任由病毒摧毁網絡，那一樣會完蛋。但是，大陸只是借 Linux 作為和 Microsoft 談判的籌碼而已，以往就是國家補貼，現在就是「不干預自由市場」，一般中國人的用家都可以看到，中國人搞的 Linux，應該死的都已經死清光，就只剩下少數苟活。台灣和香港的都一樣無需要再談。有多少個中國人的 Linux，不是將 Red Hat 的 logo 和桌布換掉，就變成新產品 XXX Linux 1.0?

別誤會，現在僅剩下最後一點慨嘆而已，恐怕也是我最後一次。人要面對現實的。將來的預測，將來再算。

話說回來，Zone-H 那篇文章也有些地方有點見地。我們的資料，是誰擁有的？No no no，不是我們自已，而是屬於各式網絡硬件廠商、ISP、政府、執法人員、各大電腦系統和網絡巨擘、黑客，假設以上所有 party 不會要了我們的資料，排隊排最後的才到我們自己。

Here we take a glimpse of WordPress fanboys’ mindset. Why WordPress is more than SSH? Because SSH is vulnerable to username guessing (more formal term: enumeration), while WordPress isn’t! But why?

I can repeatedly send password attacks to an SSH server very fast without it being particularly impacted by it.
Hitting a WordPress server very fast would either a) have a very long round trip time or b) bring down the server due to the sudden high amount of database activity.

Look at the old SSH documents, and yeah, a username leak makes it that much easier to run a brute force attack. But this is not SSH. This is a webpage with a login form. The same solutions should not instantly apply just because that’s what people think of as ’secure’.

In no way shall this bug report about leaking WordPress username be forgotten:

There are other ways to verify user names. You can reverse engineer them from the author archive URLs (e.g. http://example.com/author/mark/). I believe the consensus last time this came up was that it was trivial to figure out the user names anyway, and that it is much more user-friendly to tell them when they messed up their username, and not the password. Also, “admin” is created on install, and can’t be changed using WordPress itself, so there’s no hiding that.

In short: default user name is already leaked in multiple ways, it is of no use protecting the user name.

Heh, I suppose this is the reason why WordPress doesn’t need to protect against username enumeration, in addition to all kind of attacks possible. The word ‘insecure’ is blasphemy to WordPress fans and developers alike, and all reports saying WordPress has holes would be automatically countered with ‘Bwahahaha’, be it true or not; while all Automattic hard-coded answer would be ‘please send e-mail to security@wordpress.org’. Of course, sending email to that alias is usually met with dead air. (No, not just me) After my second email report to them about my previous WordPress hole, only the newest employee gave a single line of reply: “we saw that”. Of course, the hole is still there without any fix, even though multiple releases has passed.

Other quotes worth chuckling:

• MD5 is an encryption.
• “WordPress is highly secure by default.”
• Any error must be user or administrators’ problem, not related to WordPress at all.