Light In Mind

「从音乐台获取的视频代码」

这是牛奶咖啡的“早上好”，最近一直很喜欢这首歌儿，最开始了解牛奶咖啡是从越长大越孤单开始，记得在大三学可视化编程的时候，老师用贪吃蛇的例子教大家怎么可视化编程，也要求大家发挥自己的创意，自己也做个贪吃蛇，当时我就给我的贪吃蛇游戏加了背景音乐，就是越长大越孤单。蛇越吃越大，越大就越孤单吧，更容易受伤。

慢慢的随着长大，自己也越来的越体会到什么叫孤单。昨天看@wing酱的微博，她说「人与人难免或相失人海或分道扬镳。说到底，这人世大部分时候还需我们独自前行。有人陪伴，是恩恤；没有，是本分，所以我格外珍惜每一段友谊。」

一下说到了心坎儿里，从刚出生时，周围只有家人，随着慢慢长大周围多了许多玩伴，开始上学时又认识了更多的玩伴，年级一级级长周围的同学来了一波走了一波，或许有人在一直陪着你，或许有的曾经很熟实的，现在见面都只是寒暄。曾经经历这些时总是很痛苦，痛苦于这种改变，因为每当换新环境时，总是扯着原来的环境不放，拒绝去适应新的环境。现在发现，其实我一直是错的。

每个人都有每个人的轨迹，当相遇时，要加倍珍惜，当离别时，要含笑祝福。就好像明天来了成了今天，今天过去了就成了昨天。生命是场旅行，我们要做一个好的旅行者，欣赏旅途中的每一处美景，珍惜旅途中的每一段感情，当一个景点已成过去时，我们不是悔恨不是痛苦，而是把回忆珍藏在心里。

当新的一天来临时，揉揉惺忪的眼睛说：早上好。

各位 圣诞快乐！

上上篇文章还在讨论对待用户密码应该是个什么态度，结果从昨天CSDN的600万用户注册账号和密码信息被放出开始，各种网站被爆的库也相继在网络上传了出来，掀起了一波改密码的风潮。真是躺着也中枪，看来真是得有必要写篇关于密码认证和保护方面的文章了。

一些Tips：

• 如果不知道该如何设计密码，酷壳的一篇文章：如何管理并设计你的口令。
• 如果密码太多记不住，可以用keepass管理。
• 为什么用明文密码的解释。(加密和能不能获取明文完全两码事儿，又不是不可逆的，搞个密码要反查)
• 推荐乌云漏洞报告平台，里面有最近各种安全事件的报告。

十一的时候回家，手机一不小心掉进马桶里了，虽然只是泡了一下水，但是马桶的水池里加了3.5元的清洁球，当时也没多想感觉手机晾干就没事儿了，谁知这东西腐蚀力极强，手机主板被腐蚀的不像样子了，就这样我的三星5230就彻底离我而去了，它的终结方式也是这样的喜剧，被3.5的清洁球干掉了。不过话说旧的不去新的不来，立马买新手机，多亏也攒了些钱，虽然没正式工作但实习也能挣些钱，这样就不用花家里的钱，自己心里也不用感觉到愧疚了。：）

由于这次教训，所以在挑手机的时候不由自主的对手机的防水性特别注意，就这样moto defy马上进入了我的视线，经过前思后想后决定就买它了，到手的第一天它给我的印象不是很好，原因就是它的原生系统总是会时不时的卡住，虽然过会儿就好了，但是这样用着很难受，于是决定：刷机！

刷机包的选择当然是MIUI了，当时还有一个选择是CM7，不过考虑之后还是决定刷MIUI，后来证明这个决定是正确的。因为之后也刷过CM7，刷过之后发现跟MIUI真是差了一个数量级，相比之下MIUI很人性化，常用的功能很容易就找到。并且MIUI有很活跃的社区，能够跟很多米粉交流，这个感觉很好。

MIUI刷机后的截图：

说到这儿貌似离主题越来越远，呵呵，用MIUI的第一天我就发现之前开机的Blur图标被换成了红色的Moto图标，我感觉这个太难看了。总是想换掉后来我打开MIUI的刷机包发现里面有个文件叫做logo.img。我想这个就有可能是开机的图标，这个在后来刷CM7时得到了印证，在底包相同的情况下刷CM7和MIUI的开机logo是不同的，相比之下我更喜欢CM7的开机logo。打开CM7的刷机包也同样有个logo.img的文件。我想如果用CM7的logo.img替换MIUI的相应文件是不是就可以了。于是说做就做，将两个刷机包用WinRAR打开，将CM7的logo.img文件拖到MIUI中替换相应文件，然后重新刷MIUI包。

重刷后开机红色的Moto开机Logo消失了，换来的是Google的Logo。嗯，看起来舒服多了。Logo如下：

ps:这样只是能用现成的Logo.img文件，还不知道如何制作，如果能制作的话就更爽了，嗯，有时间探索一下。

由于前天在微博上看到@乌云-漏洞报告平台 推荐的一篇 80sec写的谁动了我的隐私 — 隐私风险初探，遂与@sneak 讨论了下md5的安全性，他说道：“我们对数据库抽样测试过，可反解的密码md5有96%这么多”，当时就惊了，原来这么不安全。后来一想其实也没多安全，原因有三个：

1. 对于大部分的用户来说采用了简单的数字密码，一般位数较少，即使长过8位也是电话号码或者QQ号一类。
2. 其实这也算第一个原因的原因，正是由于单纯的数字比较简单所以建立起数字与MD5码的对应库，并不难，所以能够利用现成的库就可以反查MD5码对应的密码。
3. 厂商的态度，不能一概而论我没法调查，应该很多只是简单的将密码做了一个MD5的加密或者简单的变换，现在看来并不安全。

也是由于第三个原因，昨天和今天就利用闲余时间测试了一下人人网和新浪微博在登录的时候是如何传送密码的。

人人网：通过WireShark抓包发现，人人网在登录的过程中传送的是账户和密码明文，一点变换都没做。把这个消息告诉同学后，他当即就要把人人注了。后来在微博上发布了这个消息，原来这个问题早就被人提交过了，但是并不把它做为一个问题，可问题是传送明文的做法也太蛋疼了，而且据说很多中小网站都是采用的这种做法。

新浪微博：同样通过抓包发现，微博登录的过程就要复杂的多，而且采用了修改后的WSSE算法，感觉这个类似于HTTPS和SIP的认证过程。新浪具体的做法是首先将密码进行两次SHA1加密然后和服务器返回的时间戳加上生成的随机NOUCE字符串组成新的字符串，再次用SHA1加密然后传给服务器。这样很大程度上保证了认证的安全。因为传送的过程中不是密码，而是通过协商密码（或者经过转换）作为输入生成的指纹来认证客户。

做到这儿我就很好奇在服务器那一端，微博是怎么存密码的。然后我又验证了一下注册微博是如何传输密码的，因为密码的其实肯定是从注册开始。通过抓包发现，微博在注册的时候传送的用户名和密码竟然用的是明文！我去，通过这个信息也推断不出服务端用了什么方法来加密存储用户的密码，但是如果可以找回密码的话，只能是用了可逆的加密算法（注意是可逆，而不是反查）。不明白微博这么设计的原因。

关于用户密码的一些思考：

用户密码对于用户来说是一个极重要的隐私，是打开隐私大门的一把钥匙。产品的设计应该把用户密码隔离在PC之内，（例如像微博一样登录验证用密码生成一个一次登录的认证指纹，数据库存储密码可以和登录验证生成指纹的结合起来，不存密码的可逆加密密码而是很难破解的多次散列值）而不是堂而皇之的将密码在Internet线路上自由传输，最后在服务器的数据库中随意一放了事。用户给应用提交密码完全是出于对的信任，但是如果应用辜负了用户的信任，那么口口声声说的用户是上帝还有什么意义。

平时上网是个麻烦事儿，特别是多人共享一个3G上网卡，就更郁闷了，典型的串行上网模式，效率太低了，查个东西要排队。于是想可以在有上网卡的主机加个代理，这样其余的人可以通过代理上网了，多人并行，虽然网卡速度有限，但是对于查资料简单的浏览网页来说这个完全没有问题，并行操作互不干扰。

如果事情进行到这儿就可以结束了，但是由于众所周知的原因，导致查资料的时候总会碰到此页面无法显示，而且计算机方面的不少好的资料全是国外的网站，这个对于求知若渴的我们来说，实在不是一个办法。总要找个解决的方式。

那么可以通过SSH来解决这个问题，具体咋解决Google之，具体说说二级代理的事儿，由于网络的模式，导致已经使用了一次代理，那么如果想用SSH这个也需要设置代理，那么这两个代理就互相影响了。这个时候就需要二级代理了。

其实二级代理的设置很简单，SSHTunel设置里在Login下面有个proxy，点进去可以设置代理，这个代理指的是外面的代理。例如A主机能上网，开了个代理服务器叫A.IP:A.Port，那么在软件里就填写这个信息（当然还需要SSH的帐号和密码）。此时SSHTunel就是一个代理服务器了，可以通过它连接到主机A然后再通过A上网。本地的代理就设置成SSHTunnel提供服务的端口号。例如：127.0.0.1:12345。

SSHTunel建立连接以后，就可以通过它上网了。

结构图：

从前天突发奇想申请域名到现在成功开辟了自己的一亩三分地儿，一切还算顺利，当可以敲这篇文章的时候心里说不出的高兴。一种成就感悠然在心中升起，这是一个由想法快速变成实际的过程，这个也算是考研之后获得的最强烈的成就感。人在实现自己的想法的过程真是一个美妙的过程，我想这个博的名字也正是此意，在头脑里总会时不时的闪现一道灵光，此时抓住还是任它流逝，我想趁着年轻让头脑中的‘灵光’更多的变成实际的行动吧。