Posts tagged ‘Chinese’

想不到一個流言可以延續這麼久。到昨天還收到「聯合國2008年廢除繁體中文」這類鬼話的 chain letter，要大眾一起聯署抗議。我絕不是怪散佈流言的人，有不少都只是本着一腔熱誠，不知那些是假話；我想說的是，一些說話沒有經過驗證就接受成為知識，盲目成為別人的工具，是多麼可怕的事。(小狼的文章已經說得夠多了，令我齒冷的不是聯合國這椿事本身，而是甚麼都盲從這種機械人指令思維。)

Read the rest of content »

之前看 Zone-H，留意到一則評論，基本上是網絡上的反華主義文章。和當初聯想收購 Thinkpad 的情況其實已經差很遠，華為不是全面收購 3com，只是佔少於 20% 的股份；但不同的是被美國政府以國家安全理由腰斬。不想中國染指美國的技術，向來都是這樣的，很正常。

中國人的 IT 技術，十居其九都是左抄抄右抄抄得出來的，真正自家研究得出的成果少得可憐可笑；即使是中國人本身，也清楚得很，許多都是高官、紈袴子第、親戚朋友的家家酒遊戲，不會對這些「大企業」有甚麼指望。所以被別人瞧不起，也毫無反駁餘地。說到底現在中國還有幾億人在挨餓，還說 IT ?

裏面有一兩句，可以很明顯看到文章的立場：

Read the rest of content »

今次破戒了。本來還說永遠不再碰維基這種玩權力鬥爭、機械 admin 和兩岸互相傾軋的地方，結果還是忍不住出手。在隨意瀏覽時，看到某一頁有些「不符合質素」的內容，開始時還以為是編輯者弄出來的，細看一下編輯紀錄，原來是某個網站的管理者投訴維基侵權，但因為投訴無門，於是逕行編輯該頁，加上自己的投訴內容；但這被那些如同機械的編輯者視為破壞而刪除。

這種和機械人一樣的人，不只是金字塔底層的編輯，連最高層的也大不乏人。很早時已經看不順眼，所以玩大一點：即使明知如何進行正式投訴也不去做，而選擇更公開、公平、公正地奚落這種管理手法：紅色的字是我加的，黑色的字則是相關網站的擁有者的投訴原文。如果正式投訴，到頭來還是正式處理，不曉得汲取教訓。

As promised in previous post (in Chinese, sorry), here is the full advisory of WordPress SQL injection vulnerability I have mentioned. Excerpt below:

It is found that the search function provided within WordPress fails to sanitize input based on different character sets. So if WordPress tries to query MySQL database using certain specific character sets, WordPress search function is exploitable using charset-based SQL injection.

Currently known character sets exploitable include: Big5, GBK, GB18030. All of them may use backslash (’\') as part of multibyte character. WordPress with MySQL database created any other character sets fulfilling such property may also be exploitable.

Executing this attack alone results in exposure of all database content on web interface without need of authentication. However, if combined with other exploits (such as cookie authentication vulnerability disclosed earlier), any remote user can obtain WordPress admin privilege, resulting in server compromise.

Actually, I have long been suspecting this is exploitable, though the real effort to verify such claim doesn’t occur before a few days ago. Given the security track record of WordPress, such thing is entirely within expectation.

Chinese sites which are stubborn enough to continue using Big5 or GBK encoding in database are in jeopardy; but otherwise most sites should be rather safe from this exploit (as most should be using UTF-8). Neither is latin1 character set vulnerable (as used in most earlier default WordPress installation). But in contrary to common belief, it looks like mysql_real_escape_string() doesn’t fix the problem at all. Anybody can confirm or deny this?

2007-12-10 20:55 update: GB18030 is not vulnerable. MySQL 5.0.x doesn’t support this character set at all, don’t know about 5.1 series.

As I have written before, Babelfish of Altavista can’t really compare with Google Translate; not only in terms of translation quality, even when considering number of supported languages and performance, Babelfish immediately pales in comparison.

I have always been wondering what goes on with Babelfish. Now the answer is clear. Altavista is dead. Long live the Google!

真是的，不看 Slashdot 也留意不到，原來很多系統都會將全形和半形字當成同一個字看待，利用它可以作為繞過檢查字符的方法，即是說下面兩個 “tag” 是相等的：

• ＜script>
• <script>

那麼不是等於

• <script＞
• ＜script＞
• ＜ｓｃｒｉｐｔ＞
• ＜ｓcｒiｐt＞

全部都可以用？很好玩哩。不如發一下神經，以後 regular expression 除了 ‘[:alpha:]‘ 這個 character class 之外還弄個叫 ‘[:alphalike:]‘ 的 class 出來，PHP 除了 ctype_alpha 外又寫個 ctype_alphalike 的 function……沒完沒了。

WordPress 2.2 的香港中文翻譯算是大致上完成了（只差幾句）。要下載的話，請下載 zh_HK.mo 檔案，並跟隨這一頁的指示安裝翻譯。

這裏要特別多謝亞當，因為得他應承，幫我將 announcement 發放出去，好讓多些人知道和參與！

可是，雖然有了翻譯檔，要達到完全中文化（或國際化）還是有一段距離，主要是預設的佈景主題和 TinyMCE editor 未有完整支援國際化，很多字串都是硬塞進去的，要變中文就要直接改 code。太負面的說話就暫且放下了，希望一班正在為此努力的 WordPress 開發人員和 contributor 能夠做出甚麼成績出來。

Read the rest of content »