December 2011

花十分钟把我所有网站的口令重置了，防止万一嘛，天涯虽然不常用，谁知道其它网站有没有密码泄漏，特别是各大邮箱，Gmail自然是不用的，知道密码也登录不进去，当然，还是使用密码管理器随机生成的一批密码，刹那间突然想起编程界的一句名言，任何一个优雅的接口，背后都有一个龌蹉的实现。生活又何尝不是如此呢？

抽风啊，84在Los Angeles的机房绝对抽风，一天重启三四次，这已经远远超过了抽风的范畴，Pingdom一天到晚都在报警。果断决定换到Scranton，很显然是因为LA到大陆的网速太过优秀，使得垃圾站长们人多力量大的优势再一次体现了出来，还和平演变个毛啊，大陆有的是钱，有的是人，随时瘫痪美国互联网。换机房之后呢，风一次都没有抽过，就是网速略微慢了一些，响应速度尚可。

最近连接境外的SSL速度下降得不是一星半点，甚至连接国内网站的SSL都很慢，可能是功夫网又在测试新的阻断手法，据说新的阻断手法会检测根证书合法性和访问目标，我觉得这不太可能，每个访问目标都去偷窥一下，想把功夫网的服务器撑爆啊，数据量太大，无法进行完整的截流和分析，本质上来说，我依然觉得，只要解密不可行，功夫网就拿SSL没有办法，只能是像前端时间阻断Gmail一样进行限流，这样真的很愚蠢，难道那些决策者真的以为上网用电子邮箱的都是些木有文化的农民伯伯？当然了，就像有些评论所言，他们知道那些使用Gmail的人有一定的认知，所以并不是真的要阻断Gmail，而是要恐吓你，不许用了，再用就把你抓起来！其实我觉得这还是说明了他们很愚蠢。

实际上，还有四天才到备份邮件啊通话记录啊短信神马的时间，无奈被扣扣邮箱判断为垃圾邮件的电邮内容，并不会通过过滤器自动转发到我的Gmail邮箱，使得扣扣面板上的邮件提示日益增多，打算清理一下，觉得似乎少了点东西……左想右想，少了什么呢？啊，少了一个邮箱。

于是，这个邮箱里面的邮件数量，定格在了1166。

比之于其它网站粗暴的通知，例如金山直接通知修改密码，58同城就做得很人性化，首先他们可能是将CSDN的泄密文件中涉及到的电子邮箱和自己的用户数据库进行了一次匹配检索，然后将需要通知的用户摘录出来，最后邮件通知使用相同邮箱在CSDN和58同城注册的用户，其实呢，58同城甚至可以把CSDN的明文密码按照58的加密方法进行一次加密匹配（如果58同城的用户密码有加密的话），然后直接通知用户“您在CSDN泄露的密码和58同城的用户密码是一样的”，这样估计很多用户会大惊失色，你们怎么知道密码是一样的……这就是这么做的风险所在了，并非所有人都能够理解，密码虽然不可以读取出来，但是知道明文，还是可以进行加密匹配的，密文虽然不可读，但是可以进行比对嘛，这就是所谓的暴力破解。CSDN没有改版之前就是个烂渣网站，使用.net开发的xml网站，随时拖死一台电脑，但是依然有很多程序员混迹在上面，毕竟微软不断更新开发软件开发工具，就是为了产业链啊，改版之后CSDN已经不再侧重于微软的架构，有点全面发展的意思，但是除了人气，它在unix平台内容的建设完全赶不上Chinaunix，实际上，Chinaunix根本从来就没有鸟过Windows平台的开发者，虽然很多次它试图这么做，可见CSDN已经是江河日下。

由于各个网站的密码设置规则不一样，有的需要大小写，有的必须要有数字，我很早之前就使用密码管理器对每个网站的密码进行随机密码生成，基本上，我自己都不知道那些个网站的密码是多少，虽然我没有看到CSDN这份数据文件，但是我可以确信我在CSDN的密码是独一无二的。

密码并不是最后一道防线，必须要有数字令牌，才是最终的解决之道，然而，统一登录一直是互联网的老问题，微软的passport失败了，openid也是半死不活。目前可以使用数字令牌（Google authenticator）的openid只有Google的帐号，神马yahoo，wordpress之类的早就不知道死哪里去了，当然，即使它们可以用，也没有数字令牌。市面已经有一些结合到Google authenticator的安全产品，这些产品都是通过验证Google帐户信息来实现的，更多的是自主实现，例如各个网游争先恐后推出的数字令牌，这个安全性就不得而知了，毕竟，服务端是必须要有相关信息的，或者是同步口令，或者是相关的算法，我更倾向于Google服务端保存的是算法，因为在同一时间，同一个帐户的二次验证口令，显然可以有很多种可能（不信你可以多找几个手机同时扫描那个二维码看），虽然这个二次验证口令看起来似乎应该是唯一的。