利用Google破解密碼!!

“MMDays 的新家在 http://mmdays.com，請大家告訴大家！舊址 (就是這裡) 將在 12/22 號之後，結束與新家的同步更新。還請網友轉往新站留言 : ) , MMDays 的永久 feed 位址: http://feeds.feedburner.com/mmdays”
Google搜尋力量的強大相信許多讀者已經親身體驗過，甚至用Google找出私人的電話住址也不是太奇怪的事了。但是您能想像用Google找出您在網路上使用的密碼嗎？
目前許多網站的使用帳號都會利用密碼保護，而存在資料庫中的密碼如果不是直接用明文儲存（通常不會這樣做，萬一被駭客入侵那後果不堪設想），就是會經由雜湊後（例如MD5或是SHA-1等hash function）再儲存。不久之前Cambridge University security team發生被駭客入侵的事件，駭客翻出了資料庫中的帳號密碼紀錄，但是密碼已經被MD5雜湊處理過所以無法直接使用。經過幾次字典法的嘗試失敗後，駭客把腦筋動到了Google身上，。駭客將本身創建的帳號調整到管理者的權限。駭客入侵的動作很快就被管理者發現，也將新建的帳號關閉，但是管理者進行了一些有趣的實驗希望找出駭客建立的帳號的密碼。在嘗試使用字典法失敗後，轉向從Google上尋找解答。直接把得到的密碼雜湊，20f1aeb7819d7858684c898d1e98c1bb，丟到Google上查詢，結果得到的搜尋結果都含有Anthony這樣的特徵，最後駭客使用這組密碼成功破解最後管理者終於找出了駭客使用的密碼。
原來是因為網頁URL透漏了這樣的訊息！許多程式或系統會用雜湊後的碼來當作網頁的索引，而進行雜湊時所使用的字串也經常與該網頁內容有關。簡單來說，Google成了一個超大的雜湊碼字典了。
資料來源：BLORGE.com

Read Full Post »

從「駭客與畫家」到軟體在台灣

“Blog 的新位置在 http://mmdays.com，本Blog將在 12/22 號之後，不同步更新。還請網友轉往新站留言:)”
Posted by Mr. Holiday
一直想聊聊這本書，若尚未看過，可先讀 iThome 那邊的一段書摘，開個胃口。書本身有專屬的繁中網站，網路上也有些讀書心得，不過將時間花在閱讀書籍本身會更好。對內容以我能力不夠評論，只能說若是喜歡以程式創作，那麼絕對是 must read. 倒是從這本書引申出來的一些思考，相對於台灣現況，頗有些玩味的空間。

Read Full Post »

恐怖! 還我超級星光大道公平性連署活動, 網站後台一覽無遺…

“Blog 的新位置在 http://mmdays.com，本Blog將在 12/22 號之後，不同步更新。還請網友轉往新站留言:)”
Posted by Mr. Friday
這篇是個緊急聲明. 最近超級星光大道第二屆因為評審公平性(對啦, 跟方志友有關係), 引起一些網友的不滿. 一些不平的網友, 這兩天發起”還我星光大道公平性”連署活動, 希望能夠透過網路連署, 一起向星光大道抗議…
在這裡呼籲各位網友, 千萬不要填真實資料!!! 因為這個網站後台製作之糟…任何人都可以點進去看!
這則消息是PTT2上sleeping網友首先發現的:
作者 sleeping (不說) 看板 AAAAAAAA
標題 Re: 【還我星光大道公平性 連署行動】
時間 Tue Sep 4 12:58:52 2007
───────────────────────────────────────
※ 引述《Galong (是非)》之銘言：
: 【還我星光大道公平性 連署行動】
: 我要連署: (網址)
(略)
建議大家不要連署
至少不要填真實資料
這個系統不用登入就可以進入管理端
連破解都不用
進到”帳號或密碼錯誤”那一頁
就能使用管理端的各項功能
回首頁 管理頁首頁 修改連署說明 修改組織介紹 只列團體資料 只列個人資料
不只可以修改整個連署的內容
還可以看到每個人所留下的資訊

Read Full Post »

[好書介紹]人月神話 The Mythical Man-Month

“Blog 的新位置在 http://mmdays.com，本Blog將在 12/22 號之後，不同步更新。還請網友轉往新站留言:)”
Posted by Mr.Sunday
我想任何對於軟體工程有興趣的人，或多或少應該都聽過或看過這一本書。如果都沒有的話，現在應該就趕快去找一本來讀一下。 這本書的作者是Frederick P.Brooks, Jr，目前還任教於北卡Chapel Hill分校，而且他是1999年Turing Award的得主，原因是「對計算機結構、作業系統和軟體工程做出了劃時代的貢獻」。
Brooks大師約在60年代擔任IBM的Architect (總工程師)，開發OS/360。 想想那居然是四五十年前的時代，而這本書的初版日期，居然是1975年。 對於一個發展如此迅速的資訊領域，其實很難想像現在四五十年後的現在，還有多少地方可以從這本書學習或是借鏡？ 但事實卻是，即然是現在的我多次閱讀，我還是每次都會有一些新的感受跟心得，也愈讀愈有意思，也不禁為作者在那麼久遠的年代，就有辦法思慮如此清楚，令人肅然起敬。

Read Full Post »

從尋找質數談談搜尋演算法

“Blog 的新位置在 http://mmdays.com，本Blog將在 12/22 號之後，不同步更新。還請網友轉往新站留言:)”
Posted By Mr. Thursday
我們要在網路上找東西的時候，常常會到搜尋引擎裡面，打關鍵字來找文章。然而今天要提到的搜尋演算法，卻和搜尋引擎的「搜尋」兩個字的意思有些不一樣。所謂搜尋演算法，就是一種演算法(之前提到演算法可以看成是一堆步驟，有先後順序，有重覆執行的步驟，有依照條件不同而部分執行的步驟)，這個演算法可以幫忙我們解決一個問題，就是在茫茫大海中找到一根針。
舉例來說，今天可能遇到一個問題，是要找出1到100之間的質數。所謂的質數(prime number)，就是除了1和他本身可以整除以外，其他小於他的數字都沒辦法整除他，舉例來說：7是質數，因為除了1和7，其他數字像是2,3,4,5,6都沒辦法整除7，所以7是質數。也許你會感到奇怪，我們沒事尋找質數要做甚麼呢？其實質數扮演滿多重要的角色，尤其在之前Mr. Friday在〈ClickClickClick的中忍考試 : 民族主義與網路安全?〉提到資訊安全的問題，一些非對稱式的加密演算法，就是建立在質數的基礎上面，因為質數不好分解，所以兩個乘在一起的質數要分解開來，需要花費很多時間，當花費的時間夠久，加密得到的保障也越大，也就達到加密的效果(譬如說某個密件10年後才能公開，這個演算法能夠讓駭客10年內無法解開就算有效)。因此，找到大質數也是件很重要的事情。

Read Full Post »

Click*3續觀察 : 圖形驗證與網路分工

“Blog 的新位置在 http://mmdays.com，本Blog將在 12/22 號之後，不同步更新。還請網友轉往新站留言:)”
Posted by Mr. Friday
前情提要: 看不懂我這一篇在寫什麼的, 請先參照這篇: ClickClickClick的中忍考試 : 民族主義與網路安全?
這幾天, 台灣, 日本與德國的網路好不平靜, 為什麼? 因為點點點大戰啊 ! XD

(網友Hollowcorpse繪)
隨著ClickClickClick網站Game 6的開打, 為了爭取自己國家能在排行榜上獲得冠軍, 台灣與日本兩個科技強國各自召集了大量鄉民投入這場”戰爭”, 更吸引了眾多網路駭客開發破解程式來灌自己國家的票, 這當中的技術演進之快, 網路攻防戰之精采, 還有鄉民24小時全天候持續不斷的熱情投入, 在我的印象當中, 應該還真的是前無古人, 想不出有哪個活動可堪比擬, 諸位看官應該要鼓掌致意一下才是!
(註: 駭客hacker是褒意, 指電腦技術高超的人, cracker才是專門去破壞別人網站的作亂份子)
接下來呢, 我們再來看看這幾天之內, Click*3上的技術攻防戰又有哪些新變化, 以及這些又給我們什麼啟發.

Read Full Post »

網路高相似度文件搜尋系統 - Parrot

“Blog 的新位置在 http://mmdays.com，本Blog將在 12/22 號之後，不同步更新。還請網友轉往新站留言:)”
Posted By Mr. Wednesday
由於前一陣子MMDAYS發生了文章被抄襲的事件，因此Mr. Wednesday開發了一個工具來幫助了解這類情況，取名為《Parrot》，用於尋找網路上高相似度的文件。

按此進入Parrot服務首頁
經過初步的實驗，效果還不錯。今天特別邀請各位讀者多加利用，希望在各位讀者碰到類似被抄襲的情況時，能提供一點幫助。使用方法很簡單，進到首頁的畫面後會看到兩個輸入欄位，第一個欄位為文章所在網頁超連結，請輸入文章所在的網頁超連結。第二個欄位是文章內容(必填)，請輸入要比對相似度的文章內容，可只輸入文章某的單一段落，也可輸入整篇文章。接著按下submit按鈕即可，運算過程約需30秒鐘左右，請耐心等候。接下來系統會依據相似度由高到低列出相似的網頁連結與其對應的重複字元數，重複字元比例(0到1之間)，重複字元比例為一個0以上的正數，越高代表內容越相似，根據實驗，重複字元比例在0.5以上的網頁為高度相似。
Parrot目前仍在實驗中，不保證結果完全正確。如有任何問題，請與我們聯繫，謝謝。
ps. 目前Parrot的服務是跑在port 8180上，如果有伺服器長時間沒有回應的情況，請確認一下是否被您的防火牆給檔掉了。

Read Full Post »

ClickClickClick的中忍考試 : 民族主義與網路安全?

“Blog 的新位置在 http://mmdays.com，本Blog將在 12/22 號之後，不同步更新。還請網友轉往新站留言:)”
Posted by Mr. Friday
如果你在這之前不知道ClickClickClick.com是什麼玩意兒的話, 看到這邊應該會很傻眼: 這是怎麼回事!? 這個遊戲哪裡好玩了!? 針對這個問題, Mr. Friday在這邊要說: 這個遊戲的本質遊戲性非常低, 但是整個遊戲中網友的互動過程卻非常有趣. 何解? 以下的文章會試著從它的遊戲規則, 網友的民族主義心態, 以及網路安全控管制度來觀察一番. 本文最想要表達的是, 這場遊戲雖然目前發展的技術都還只是小兒科, 但是這股風潮的走向與技術發展, 卻不得不讓人特別留心.
ClickClickClick.com 是什麼? 相信有很多讀者已經知道了, 這是最近在台灣網路圈掀起一陣炫風的點滑鼠競賽. 網友只要連到clickclickclick.com, 網頁就會先根據你的網路位置得知你的國籍, 然後把你在這個網頁上點擊滑鼠的次數算到該國總數裡面, 然後做成一張排行榜, 比賽哪個國家在這段時間內點擊最多次. 說實話, 任何人第一眼看到這個遊戲時, 應該都會覺得…真是有夠宅 ! 然而這個遊戲的資訊經過網友在ptt八卦版揭露後, 立刻引起一陣炫風, 短短的四小時內, 台灣的點擊數排名立刻從34名暴漲到第3名, 點擊的情況如下圖所示:

Read Full Post »

可信賴計算 (Trusted Computing)

“Blog 的新位置在 http://mmdays.com，本Blog將在 12/22 號之後，不同步更新。還請網友轉往新站留言:)”
Posted By Mr. Wednesday
網路應用發展至今日，已經有太多事情可以在網路上直接完成。但無可避免的，網路上詐欺與惡意侵害的行為也是時有所聞，為了保障終端使用者在網路上行為的安全性，開始有人提出所謂可信賴計算(Trusted Computing)的觀念與相關技術。然而，是否只要利用這項技術就可以完全避免電腦被惡意侵害並給予使用者一個更可靠的使用環境。知名的密碼學家Bruce Schneier就表示，”可信賴，並不代表值得信賴(A ‘trusted’ computer does not mean a computer that is trustworthy)“。以下這段影片就是對可信賴計算抱持著懷疑的角度，他們的理由是：
原始的可信賴計算的想法是，讓使用者自行決定什麼是可以信賴，什麼又是不可以信賴的。工業化的可信賴計算產品看起來與這個原始想法很類似，但是，它們已經決定了什麼是可以信賴，什麼又是不可以信賴。換句話說，它們”已經”決定了不信賴你，那麼，你又為什麼要信賴它們呢？

Read Full Post »

寫程式到底需不需要懂數學？

“Blog 的新位置在 http://mmdays.com，本Blog將在 12/22 號之後，不同步更新。還請網友轉往新站留言:)”
Posted By Mr. Saturday
最近 PTT 的八卦版有一些人在吵一個很有趣的問題：「寫程式究竟需不需要懂數學？」問題一出現之後，正反意見立刻於板上展開廝殺，有些跨入業界的人主張數學不是那麼 重要，最重要的是主管要你的 code，你能準時交出來就好了。也有的人主張數學很重要，寫程式一定要懂數學。我的想法是，數學對於程式設計的發展有著非常重要的角色，然而是不是每個學習程式的人都需要去學習數學，或著是學到某個程度，就是見仁見智。你不懂數學，但是把工具和程式語言用得好，並且能夠展現出軟體工程的素養，你是一個軟 體業界需要的重要人才。你懂了數學，可以打造出更有效率的演算法，對於 Google 這種愛計較搜尋效率和結果的公司，你還是一個重要的人才。

Read Full Post »

遞迴之美: 數學, 電腦科學與碎形

“Blog 的新位置在 http://mmdays.com，本Blog將在 12/22 號之後，不同步更新。還請網友轉往新站留言:)”
Posted By Mr. Thursday & Mr. Saturday
(註：本篇文章有一點長，請耐心服用 XD)

想像一下，我剛才說了一句話，那句話是：「想像一下，我剛才說了一句話，那句話是：「想像一下，我剛才說了一句話，那句話是：……….」」，如此下去，就好像站在兩面平行擺設的鏡子中間，鏡子中的影像不斷的重複。再舉個例子，寫完一封信想要匿名保密，就署名「知名不具」。回信的人寫：「知 知名不具 具」。之後再回信的時候就變成：知知知名不具具具，加上括號可能比較清楚：(知(知(知名不具)具)具)。
遞迴就是類似這樣子，不斷的重複同樣的東西，只不過每次重複的是比較小的東西了。大家應該對數學歸納法不陌生，在使用數學歸納法時，我們首先確定 n=1 的時候某件事情是成立，然後在證明 n 到 n+1 的過程是正確的，就可以從 n=1 的例子，一路推論出第 n 項是甚麼東西。就像是推骨牌一樣，把第一張牌推倒了之後，剩下的骨牌自然就被前面的骨牌給推倒。

Read Full Post »

日式P2P原理探究(三) — 作者也下水, P2P分享軟體的原罪?

“Blog 的新位置在 http://mmdays.com，本Blog將在 12/22 號之後，不同步更新。還請網友轉往新站留言:)”
Posted by Mr. Friday
延續之前的話題. Winny自2002年由金子勇發表之後, 立刻快速榮登日本第一大P2P分享軟體. 然而人紅是非多, 沒多久(2003年8月)就出現一種專針對Winny而來的病毒Antinny, 會偷偷把使用者的資料洩漏到winny上, 連續造成多起日本軍警機密資料外洩; 加上Winny上所分享的多以版權物為主, 嚴重侵犯著作權, 因此引起日本政府的高度重視.
2003年11月28日, 日本警方宣稱破解了Winny的匿名機制, 並逮捕了兩名使用者, 分別是41歲的Yoshihiro Inoue與19歲的少年. 咦, 看到這裡大家一定覺得很奇怪, Winny不是承襲了Freenet的匿名機制, 為什麼還會被警方給破解了呢?

Read Full Post »

日系P2P原理探究(二) — Winny, 日本崛起

“Blog 的新位置在 http://mmdays.com，本Blog將在 12/22 號之後，不同步更新。還請網友轉往新站留言:)”
Posted by Mr. Friday
上一篇提了Winny的運作原理, 現在讓我們來了解一下Winny這套軟體的緣起吧.
Winny作者金子勇(Isamu Kaneko), 原是日本東京帝大(經網友雞屁更正: 東京大學)的資工所研究助理, 也曾在日本自動化能源研究機構(Japan Atomic Enerygy Reserch Institue)待過一陣子. 他最初在2ch是以匿名身分發表文章的. 由於2ch鄉民對匿名者都直接以文章編號稱呼之(有點類似Ptt上常講的五樓), 因此他的網路化名就變成47號.
在2002年Winny出現之前, 日本本地最流行的P2P軟體是WinMX. WinMX使用與Napster相當類似的網路架構(Opennap). 使用者先連到一個伺服器(日文術語叫”鯖”), 然後才能與在同一個鯖的使用者交換檔案. WinMX有一個特點, 就是每個人能控制要把檔案分享給誰, 因此如果你高興的話, 可以讓某個人插隊 : 讓他優先從你電腦上下載他要的檔案. 這個特性進而衍生出一種交換機制: 要下載時, 得先請問對方願不願意讓你下載, 而對方往往是先看幾眼你電腦裡有哪些東西, 如果有他感興趣的, 則兩方才會進行下載. 換言之, WinMX的運作方式就像是回到貨幣還沒出現的時代, 古早人所採取的”以物易物”. 為了搏取對方的好感, WinMX使用者常被教導要”懂禮貌”: 手上的檔案要多, 要先把自己手上的檔案整理得一清二楚, 讓對方看你檔案清單時能快速找到他要的東西, 說話要客氣, 網路連線速度要開高一點…等等.
雖然WinMX在2002當時在日本就已經相當流行, 但金子勇顯然對它相當反感. 他曾經說過, WinMX只能算是”交換”軟體, 而不能算是”分享”軟體. 因此在2002年中他獨立以c++程式語言, 撰寫了Winny這套軟體. 從名字就可以看出Winny跟WinMX的關係 : [...]

Read Full Post »

日系P2P原理探究(一) — Winny元祖: Freenet

“Blog 的新位置在 http://mmdays.com，本Blog將在 12/22 號之後，不同步更新。還請網友轉往新站留言:)”
Posted by Mr. Friday
從BT, IP-TV系列之後, 好一陣子沒有回到P2P主題上了. 一方面是因為懶(這類的題目要做功課啊…), 另一方面則是對這次的主題感到相當惶恐. 惶恐? 因為這次我要講的P2P軟體主題, 是在台灣不甚流行(其實也只有日本流行)的Winny. 由於我自己親身接觸Winny的經驗少之又少, 對日文又不了解, 只能從一些相關的中文新聞與討論看到旁枝末節, 因此接下來的文章如果有明顯謬誤的話, 還請各位不吝指正.
日本所流行的P2P軟體與世界其他各地非常不一樣. 根據去年12月的報導, 排名第一的Winny大約每日有40萬人次, 再來據說是WinMX, 第三是Share, 約有10~15萬人次. 聽慣BT和eMule的朋友一定覺得很奇怪, 日本人幹什麼偏偏要特立獨行, 別人在用eMulel你們偏偏愛用自己寫的Winny呢? 其實說起來也沒這麼奇怪, 早期的P2P軟體(像是Napster啦, Audiogalaxy等等)是只支援英文的, 想找其他語言的可麻煩了. 還記得以前我在Napster上打”faye”(王菲英文名), 跑出來一堆”chi_ai_mo_sen_ran”(只愛陌生人)…. 在這種情況下, 想用自己語言的日本人只好自己寫囉, 這套軟體後來大家用慣了, 也就不想改用eMule了. 這就是本系列的主角: Winny. (台灣人也自己寫過中文的P2P啊! 別忘了ezPeer與Kuro這兩套軟體)

Read Full Post »

Coding Style - 程式設計風格對軟體開發的影響

“Blog 的新位置在 http://mmdays.com，本Blog將在 12/22 號之後，不同步更新。還請網友轉往新站留言:)”
Posted by Mr. Saturday
寫程式的人都或多或少會有這種感覺，別人的code看起來總不是那麼地順眼，閱讀自己的code才是像閱讀好書一樣如行雲流水般順暢。其實寫code如寫書，不僅寫給自己看，同時也寫給別人看；開發軟體也往往有如打造一件工藝品，投入其中的巧妙心思及用心，會影響到最後呈現出來的結果。所以，寫程式本身可以是一種藝術，而不僅僅是一件耗費勞力的枯燥工作。這也是為什麼Knuth要把他的巨著取名為The Art of Computer Programming，他認為打造軟體是困難的，是一種複雜度以及最後呈現結果足夠作為一件藝術品的一種過程。當然以Mr. Saturday的觀點來看，要邁入如創造藝術品般地去打造軟體這樣的一個境界，實在不是我們這種實力淺薄之人一日可成的事。所以，我還是比較喜歡寫code如寫書這個切入點。

Read Full Post »

P2P網路電視測試報告解讀(上) - 現行基本原理介紹

“Blog 的新位置在 http://mmdays.com，本Blog將在 12/22 號之後，不同步更新。還請網友轉往新站留言:)”
Posted by Mr. Friday
大家都有看到板上的Joost吧! 有沒有覺得很炫呢? 其實, 除去Joost超炫的操作畫面, 它的本質 — “網路電視”的概念, 從很早以前就有了, 但一直到最近才急速竄起吸引大眾的目光. 說起背後的原因, 其實也要感謝一下BT, 因為若不是BT利用P2P的原理達到前所未有的檔案快速傳輸效果, 進而帶動網路電視媒體業者在P2P方面的研究, 恐怕網路電視(IPTV)的普及到現在都還是遙不可及的夢哩!
前一陣子Mr. Friday看到了一篇流量分析報告, 作者在同一時間內觀察了PPStream, PPLive, Sopcast與TVants的效能與網路流量表. 這對Mr. Friday來說可謂如獲至寶, 因為從該流量表中不但清楚可見這四項軟體的整體表現到底誰好, 更重要的是它隱隱透露出了這些軟體的設計原理! 要知道這些軟體的設計過程通通是商業機密, 外人無從得知, 但是從這幾張流量表, 還是可以大概猜想得出它們的運作原理, 進而知道軟體的效能如何.
在進行解讀之前, 還是有一些基本的背景知識要讓大家知道一下.

Read Full Post »