http://blog.kangkang.org/wordpress Knowledge Sharing. Tue, 11 Nov 2008 15:35:05 +0000 http://backend.userland.com/rss092 en 139 邮箱的 Pushmail 看起来还挺好用 原本很早以前 10086 就一个劲的给我打电话推销 139 邮箱，说免费啥的，但是我手头邮箱已经够多的了，再开这么一个能给自己不停发骚扰短信的邮箱似乎也没啥太大用处，于是很坚决的拒绝了。前几天看到招行也在推广这个 ，说通过招行开通 139 邮箱有 139 个积分送，而且收费的 139 邮箱还可以多免费用一阵子，于是顺手开通了 5 元版本的，打算体验一下传说中的 pushmail，没想到这个 pushmail 远比想象的要好用。 开通 pushmail 的时候需要下载一个客户端装上，我的 m600i, uiq3 的系统居然也有支持，装上的很顺利。我本来一直以为 pushmail 这个东西只能在 blackberry 机器上做出来，而移动这个 pushmail 是山寨货，需要靠客户端不断的连接上 GPRS 去查询一下，就像飞信那样，但实际使用的时候发现它还真是 push 的，平时没看到手机有任何 GPRS 行为，但一旦给 139 邮箱里面发一封信，在十几秒钟之内就会看到手机自动开始连接 GPRS 并下载邮件，下载完邮件以后就又迅速断开 GPRS。然后就是这个客户端做得很有 SE 自己软件的特色，邮箱内容显示风格和 m600i 自带软件几乎完全一样，弹出联系人框和自动补全之类更是神似，怀疑是移动直接外包给 SE 做出来的。不管怎么说，用起来确实相当顺手，比飞信那个 Java 界面要顺手多了，而且还比飞信省电且不需要加好友，可以一定程度上代替飞信用来聊天。。 我现在已经打算把这个 ... http://blog.kangkang.org/wordpress/index.php/archives/216 话说我的 blog 也 down 了有数次了，每次 down 掉以后都好久起不来，其中很大程度上是 blog 的数据没有及时备份出来，用以前的备份开的话，中间的就都丢了，回头合并又是个麻烦事情。 最近有点时间，在北京机器上的 MySQL 配置了一下，让他作为从库从唐山机器的 MySQL 同步下来 blog 的数据，只要网络不是太烂，基本可以做到实时备份了。 当然，从公网上用 MySQL 复制存在各种风险，不过实际能做的事情不多，只能用 iptables 保护，只对同步机器开放 MySQL 端口；关闭除同步账户之外其他所有用户的网络访问权限；同时使用 MySQL 内建的 SSL 功能防止监听；最后复制用的账户要求 SSL 发行者校验，只相信北京机器发过来的 SSL 连接请求。 不过现在异地备份还是太近，不满足 1000km 的基本要求，无法抵抗华北平原地震，要不要再在美国买个便宜空间专门定期上载打包后 gpg 加密的备份数据呢？ http://blog.kangkang.org/wordpress/index.php/archives/215 自从支付宝控件某个版本开始装驱动拦截键盘以后，我就没能在我的 Vista 下面正常用起来过它，无论是在 IE 里面直接点 cab 装，还是下载下来装了以后重启，都不成，访问 www.alipay.com 的时候 IE 还是让我安装，不知道发生了什么事情。害的我明明在 Windows 下面，却不得不用虚拟机。 然后更恶心的一个事情是发现这个用驱动拦截键盘的版本，不知道是为什么不认我的远程桌面，远程桌面上去的时候在支付宝控件中输入无效，我在水木上发帖说这个事情，有人还专门回我信箱说没这个问题。。。当然可能确实是我用的 seamlessrdp 和它有点冲突。看水木上面的帖子，有人甚至因为这个破控件不认自己的键盘导致无法登录而搞得差点重装系统，最后是靠 remote registry 才删掉。 招行的控件虽然也被很多人骂，但至少没出现这么多不兼容报告。支付宝这控件的测试貌似还差的远，而且他们似乎很着急的就把网页上面要求的最低控件版本号给升了，搞得我专门装上囤积的老版本控件都不能用。 唉，说这么多也是没用的，还是等什么时候彻底闲下来，自己反向算法搞个山寨版本的出来自己用吧。 http://blog.kangkang.org/wordpress/index.php/archives/214 这个机器最早刚拿到机房的时候，发现不知道为啥，启动时候总是协商成 10M 半双工，但是交换机和网卡显然都是 100M 的，于是只好在 rc.local 里面加了一条 mii-tool -F 100baseTx-FD eth0 ， 这么一直用了一年多也没有太大问题。后来因为一些原因，这个机器 down 了又有一年多，再起来以后就总觉得这个机器网络慢，在 shell 上面执行比较大输出的操作，都会一卡一卡的，一直没搞明白是为什么。这段时间为了解决访问 blog 慢的问题，对 web 进行了不少优化，gzip, expire 啥的都设了一遍，有一点提升，但是没有特别明显的效果。因为没有太多时间，所以就懒得管了。 今天稍微清闲了一点，就仔细研究了下这个问题，发现从同一内网用 ab 压 17K 的静态文件最好情况下只能到 40 个每秒左右，大文件则是只能到 1.8MB/s，这明显有问题。但是 ping 也看不到什么丢包。 习惯性的看 dmesg 的时候，发现网卡每次启动时候还是会协商成 10M 半双工，这就奇怪了，机器经过这两次倒腾，机箱换了，网卡也换了，网线也换了，交换机上网口也换了，为啥还是 10M 半双工，莫非这个交换机其实只能上半双工？于是 mii-tool 重新调整为 10M 半双工，马上 shell 就不卡了。 但是 10M 半双工虽然 shell 不卡，带宽实在比较不能够接受，于是尝试了一下 100M 半双工，貌似效果很好, ... http://blog.kangkang.org/wordpress/index.php/archives/212 邪恶的泛域名 前段时候发现域名经常不好用，在很多机器上面很长时间解析不出来。今天有点时间，就研究了一下，发现原来是泛域名到 CNAME 导致的。 这个域名用了 CNAME 两次的方式来做双网分流，也就是 www.host.com 长时间 CNAME 到 www.a.host.com ，然后 www.a.host.com 会根据不同的来源 CNAME 到某个机器名，最后某个机器名对应到某个 A 记录。出问题的原因是，有 IPV6 支持的客户端通常会先请求 AAAA 记录，如果没有则会再次请求 A 记录(没仔细研究过 DNS 协议，虽然好像协议中有 ANY 选项，但是我 tcpdump 出来的结果，过来无数 AAAA 请求)。对于 AAAA 记录，www.host.com -> www.a.host.com 和 www.a.host.com -> machine2.host.com 的 CNAME 都正常执行了，在 machine2.host.com 到地址的时候，假如有 AAAA 记录，那么这时候当然是正常返回该记录，但是实际上没有，于是落到了以前设置的一个泛域名解析上面了。这个泛域名解析会将 *.host.com CNAME 到 ... http://blog.kangkang.org/wordpress/index.php/archives/211 php 打开 zlib 压缩 lighttpd 打开静态文件压缩 theme 目录下面的图片和静态文件设了 7 天 expire http://blog.kangkang.org/wordpress/index.php/archives/210 log 里面看都是 500, 但是现在没太多时间修, 先备个忘好了. http://blog.kangkang.org/wordpress/index.php/archives/209 那就是今天刚发现，原来这机器 MySQL 的 query cache 一直都没有开开。。直接打开发现首页时间从 0.4s 变成 0.2s 了。。 http://blog.kangkang.org/wordpress/index.php/archives/208 闲话招行的安全本文原发表于 http://blog.kangkang.org/wordpress/ 转载请保留老实说，在我写这篇东西的时候，曾经考虑过要不要用个比较新浪一些的题目，比如“警惕！招商银行专业版留在你电脑中的后门”，或者"招商银行七宗罪" 之类的。毕竟在互联网上，很黄很暴力的文章更加容易传播一点。但是看起来以前 delphij 同学和招行打交道的经历 并不十分令人愉快，作为拥有中国最大网络媒体(之一)渠道的他尚且如此，我这只小苍蝇还是不要给自己找麻烦来的好。关于招行专业版的的安全或者扰民问题，互联网上面已经有很多讨论的，delphij 同学当年曾经掀起了批斗招行的大潮，在这里我要向他致敬，因为他是第一个把招行专业版的安全问题公开给公众的人。那次也引发了不少很有价值的讨论，可惜互联网上面的事情总是人多嘴杂，就像 bbs 上面发的帖三个回帖之内就会跑题一样，讨论最后也变成了好几个不同立场的声音各自为战。一方面是 delphij 同学和招行的员工在争竞招行专业版的文件签名问题，另一方面很多 *nix 粉们在号召大家向招行请愿要求推出 *nix 版本。还有一些人开始从安全的角度讨论这个安全控件到底有没有必要做。最后 delphij 同学自己也感到厌烦了，这个事情就不了了之，招行专业版在那之后也做了点小改进，比如增加了文件签名，增加了 64 位 windows 支持等等。以前的讨论总结一下，对招行专业版的负面意见可以列出如下。发行包的可执行文件没有签名用给系统增加驱动的办法来保护键盘监听是小题大作强行关闭用户的远程桌面是不可忍受的拒绝在虚拟机里面使用文件证书应该还有，但是我大概忘记了那么招行专业版的这些行为到底是对还是错呢？这并不好说，因为屁股决定脑袋，作为我们对计算机比较有使用经验的用户来说，是很反感强行关闭远程桌面，以及封禁虚拟机这些看起来跟流氓软件没什么差别的行为的；但是在招行开发人员的角度来说，他们的首要目的是保证小白用户的电脑尽量不要出问题，而小白用户的电脑既然流氓软件插得，我堂堂招商银行专业版凭啥插不得？至于电脑油子的电脑被误伤，关我啥事，何况老虎有打盹，电脑油子的电脑一旦真的不小心因为远程桌面被搞，这也是个麻烦。所以我当时就预计到了 delphij 同学和招行开发部门对砍结果不会有啥结果，其主要原因就是这个屁股决定脑袋。对于招行开发人员来说，什么你电脑的稳定性可用性，那都算个毛，我家专业版最大。话虽然这么说，但是有些事情，还是实在不能忍的，这也是我今天写这篇 blog 的原因。招行开发人员总体来说有增强系统安全性的愿望，但是他们的安全知识和系统知识看起来比较不够。我比较愤怒的是，过了这么多年，他们居然还在把提升权限的驱动往 windows 的 system32 下面装。而且这个驱动的代码里面没有对调用者做任何校验。在招行专业版的发行包里面有个叫做 CertClient.dat 的文件，安装完了以后，你可以在 windowssystem32drivers 下面找到它。那么这个文件到底是做什么用的呢？反编译一下就知道了，这个文件的用途其实只有一个，就是招行专业版的可执行文件为了在普通用户权限下面能直接读取系统的硬件端口来读取键盘，会调用这个驱动，然后驱动调用windows的接口，使得招行专业版的可执行可以直接读写所有的硬件端口。然后这个驱动里面对调用者没有做任何检查，任何一个程序在普通用户身份下打开这个驱动，就可以把自己的IO权限提升，即使是 Vista 也不例外。因为 Windows 的权限检查，是在将驱动加载入 windows 时候进行的，而招行专业版将这个危险的驱动装进了system32drivers, 在 Windows 开机的时候，这个驱动就会被加载入内存，为招行专业版和其他可能有的恶意程序，打开了一扇大门。写到这里的时候我不禁想，如果当年 ... http://blog.kangkang.org/wordpress/index.php/archives/207 http://wd-testnet.world-direct.at/mozilla/dhtml/funo/jsTimeTest.htm Google chrome 的测试结果好得一塌糊涂， 但是跑下面这个帖子八皇后表现就不太成。比 FF3 差不少 http://bbs.51js.com/viewthread.php?tid=75260 有时间的话 build 一个 nightly 的 FF3.1 看看 tracemonkey 的效果如何。 http://blog.kangkang.org/wordpress/index.php/archives/206