Wednesday, February 29, 2012

空腹吃香蕉会出问题吗zz

有一些所谓的补品实际上是形状相似+"吃什么补什么"的错误传统观念带来的。

 
 

Sent to you by Tony via Google Reader:

 
 

via 谣言粉碎机 - 果壳网 by 箫汲 on 11/7/11

流言: 有传言称香蕉与牛奶不能同食,同食容易拉肚子。果壳达人少个螺丝君已经详细分析并破解了这一谣言。( 牛奶与香蕉同食会拉肚子吗? ) 但又有人提出,牛奶与香蕉同食未必会发生什么特别的变化,但是如果空腹吃香蕉的话就会拉肚子;而且由于香蕉富含钾,空腹食用对心脏功能差的人不好。到底如何呢?且让我们逐条剥开有关香蕉的迷思。

真相: 关于香蕉能通便的传言流传甚广,有很多长期受到便秘困扰的患者都曾经试图用香蕉来"解决"问题。在许多影视作品中,我们还能看到主角坐在马桶上一边用力嗯便便,一边大嚼香蕉的镜头。关于食用香蕉会引起腹泻的说法,很有可能就是源于香蕉通便的传说。

对于"香蕉通便"的原理解释,通常有两种说法:其一,香蕉富含膳食纤维,而膳食纤维具有通便的作用;其二,香蕉中富含果糖,果糖具有通便作用,严重的可以引起腹泻。不过很遗憾的是,这两种说法都颇站不住脚。

腹泻病人的上佳补品

首先是膳食纤维。膳食纤维指的是食物中不能被人体消化的植物细胞残存物,包括纤维素、果胶等。膳食纤维确实有软化大便、促进排便的作用,适当食用有益健康。但是香蕉在膳食纤维含量方面并无特出的表现,其含量仅1.2g/100g [1],不仅低于同为水果的梨、蜜橘等,也远远低于大多数谷类、蔬菜,以及几乎所有常见菌菇类食品。如果按膳食纤维计算,香蕉并不具备比其他植物性食物更为突出的通便能力。

膳食纤维不如人,那果糖效果如何呢?同样的,香蕉的果糖含量与其他食物相比并无特殊之处。即使香蕉的果糖含量高于平均,仍然不具备通便、甚至引起腹泻的能力。

临床上有一种名为"乳果糖"的通便药物,是由一个半乳糖残基和一个果糖残基构成的一种双糖。这种药物不能被小肠消化和吸收,进入大肠以后在肠道细菌的作用下会分解为小分子有机酸,这些代谢产物和乳果糖一起可以起到提高肠腔内渗透压,使大便变软、变稀的作用。同样的,如果果糖能顺利进入大肠,也能起到同样的作用。但健康人的小肠具有强大无与伦比的消化吸收功能,无论是以果糖单糖,还是以蔗糖形式存在的果糖,小肠都能充分的利用,除非短时间内摄入大量果糖的情况,一般很少会留给大肠。只有乳果糖这样的例外可以逃脱小肠的吸收,而香蕉所含的果糖多为果糖单糖或蔗糖,无论是否空腹服用,都难以顺利到达大肠,发挥通便的作用。大多数食用香蕉后的腹泻往往是由于进食不洁食物引起,或仅仅是出于巧合。

有一种很特殊的情况是遗传性果糖不耐症。这样的患者体内缺乏一种消化果糖用的酶,因此小肠完全无法消化吸收和利用果糖,因而引起严重的腹泻。不过果糖不耐症是一种非常罕见的疾病,通常婴儿期就会发病,而且不止香蕉,患儿吃任何含有果糖的食物都会腹泻,并不属于通常探讨的范围。

讽刺的是,香蕉不仅未必具有传说中的通便作用,相反是腹泻病人恢复期良好的营养补充品[2]。香蕉质地柔软,易于消化,并且富含碳水化合物而又少含脂肪,非常适合为腹泻病人补充营养,促进疾病恢复;并且严重腹泻病人体内的钾离子大量从粪便中丢失,富含钾的香蕉可以帮助患者快速补充丢失的钾。

生命离不开的钾

既然香蕉富含钾,可以迅速补充腹泻病人体内丢失的钾离子,那么心脏病人吃香蕉会不会出现高钾而对心脏不利呢?正常人的血钾浓度维持在3.5~5.5mmol/L[注]之间[3],血钾如果高于这个范围,无论是正常人还是心脏病人,都有可能发生致死性的心律失常,引起猝死。血钾浓度的正常范围非常的微妙,一个中等身材的成年人体内大约有4000ml血液,理论上仅需312mg的钾就能将血钾浓度从正常范围的4.5mmol/L提升到危险的6.5mmol/L,而香蕉的钾含量为256mg/100g,只要摄入122g的香蕉就能补足这312mg的钾。难道说香蕉真的吃不得,无论是健康人还是心脏病人,仅仅摄入一百多克就能要你命?

任何一个有过一口气吃掉一整串香蕉经历的人都可以挺起腰杆回答:不可能。相反,人体每天对钾的需要量非常大,一个健康非孕期的成年人,每天需要钾约2000mg,甚至有人提出健康人每天应摄入4~6g钾[4],而人体内所含的钾总量大约有140~150g,这些钾主要存在于细胞内,只有极少量存在于血浆中,而这极少量的钾却对人体的各种生命活动发挥极大的作用。因此人体内发展出一整套极致复杂而又极致精密的调节血钾的机制,以细胞作为钾的储备库,血钾高时存入细胞内,血钾低时放仓,维持血液钾离子的稳定,而有盈余的钾离子则通过肾脏排出体外。肾脏是人体最强大的废水处理厂,每天能够滤过33000mg的钾,因此理论上讲,健康人即使每天摄入三十几克钾(约合13吨香蕉)也不会有生命危险(其实,在高钾血症之前,你先要担心的是被撑死的问题,详见 《人是如何被"撑死"的》 )。

只有对于那些肾脏或内分泌功能受损,不能正常排泄钾的人来说,严格限制钾的摄入量才是有必要的。虽然严重的心脏问题也会引起肾功能受损,但心脏疾病本身并不会使人更不适合摄入钾。相反的,对于冠心病的重要危险因素——高血压病的患者来说,适当的高钾低钠饮食在控制血压和血管硬化,预防心梗的发生方面有积极的作用。

结论:谣言粉碎。 无论是否空腹,吃香蕉不仅不会引起腹泻和心脏病,反而是腹泻病人的良好营养品和帮助预防某些心脏疾患的健康食品,适合健康人和很多病患食用。但是肾功能受损的病人则不宜多食香蕉,以防因排钾功能受损而发生高钾血症。

[注]mmol/L(毫摩尔每升),1mmol/L钾离子折合3.9mg/dL(毫克每分升)

更正说明:原文关于乳果糖作用机理的描述存在纰漏,经 少个螺丝小顾营养 指出,现已更正。


参考资料:

[1]《中国居民膳食指南》,西藏人民出版社,2007年版
[2]Diarrhea: Top Eight Things to Eat When You Are Feeling Awful
[3]《生理学》,人民卫生出版社,2004年第一版
[4]钾离子

 
 

Things you can do from here:

 
 

量子悬浮!奇迹or骗局?

 
 

Sent to you by Tony via Google Reader:

 
 

via 谣言粉碎机 - 果壳网 by 梓叶 on 2/3/12

流言: 网上流传着名为【什么神八天宫对接都弱爆了,看看人家外国大学生发明的量子悬浮技术,开开眼界】视频。视频展示了一个冒着白气的盘子悬空的浮在一块磁铁上,有点像磁悬浮,但是随后的展示却展现了不一样的效果。它能随着演讲者的操控而"锁定"在空中不同的角度!更神奇的是那块圆盘不仅能悬在磁铁上放,还可以倒挂在空中!这是传统磁悬浮无法实现的,片中称此现象为"量子悬浮"。

真相: "悬浮"这等挑战重力的事总是迷人,磁悬浮也不是什么新鲜事了,不过,这个被网友大呼神奇的视频号称是"量子"级别的,它究竟有什么特别的呢?在这个什么词前面加上量子就能装高级的年代,小心求证为妙。

中文搜索"量子悬浮",得到的结果都是同样缺乏真相的内容,甚至出现了"量子反重力"这样的神奇词汇。而换成直译的词汇"Quantum levitation","Quantum trapping"google了一下,才得到了基本靠谱的解释。

用一个词解释:超导悬浮。

用一句话解释:高温超导材料在达到临界温度后产生的抗磁性使得物体悬浮并能锁定在不同的位置。

还不太明白?我们来解释一下:

什么是高温超导材料

超导体这个词相信大家都有所耳闻,泛指在一定低的温度下电阻突变为0的材料。电阻为0就意味着电流在超导材料中传输时根本没有损耗![1]

1911年,海克•卡末林•昂内斯(Heike Onnes)发现,将汞冷却到-268.98℃时,汞的电阻突然消失!这是首次发现超导体和超导现象。话说2年后昂内斯就因为这个发现获得了1913年的诺贝尔物理学奖。

我们看到,汞的转变温度为-268.98℃,这么低的转变温度要用到昂贵的液氦冷却和低温设备,没有什么实用价值。如果能找到转变温度较高的超导体就好了,也就是所谓的高温超导材料。当然这里的高温指的可不是几百上千度,而是指一些具有较其他超导物质相对较高的临界温度,一般能够在液氮的气化温度以上(约在-190℃)就能称作"高温了"。至于"室温超导",目前仍是遥不可及。

什么是超导悬浮

超导体有着各种奇特的性质,最著名的就是其抗磁性,也称作迈斯纳效应。

1933年,德国物理学家迈斯纳(Walther Meissner)发现了超导体的完全抗磁性,即当超导体处于超导状态时,在外磁场H小于临界磁场Hc时,产生迈斯纳效应,体内磁感应强度突变为0。[2]

抗磁性的简单解释:当把超导体放进磁场中时,由于电感应作用,在超导体表面形成感应电流I(永久电流),在超导体内部,感应电流I激发的磁场和外磁场等值反向,相互抵消。下图显示出放进磁场中的超导体球体的磁感应分布情况。

http://img1.guokr.com/gkimage/pu/wo/uc/puwouc.png

超导体的抗磁性使得在外界磁场不太强的情况下产生斥力。如果将一个处于超导状态的物体放在一块永久磁铁上,斥力与重力平衡,就实现了超导悬浮。

有了对超导悬浮的基本认识之后,再来解答对视频里的"量子悬浮"的种种疑问。

Q1、那个冒着白气的盘子是什么?

A1、主要由3部分组成

a)500 µm蓝宝石单晶基底圆盘(single crystal sapphire wafer),纯属打酱油的支撑材料。

http://img1.guokr.com/gkimage/fl/is/w8/flisw8.png

b)一层0.5 µm的高温超导材料:yttrium barium copper oxide(YBa2Cu3O7-x)。它的相变温度在 -185.15℃左右,各种悬浮现象都由此材料提供。

http://img1.guokr.com/gkimage/yj/4e/46/yj4e46.png

c)最后镀上一层金,起保护作用。

http://img1.guokr.com/gkimage/fo/0r/8d/fo0r8d.png

Q2、我问的是冒白气的是神马?

A2、盘子上厚厚一层白色的物质应该是固氮,起冷却作用,使该超导材料处于超导状态。(氮气的沸点-195.75℃,凝固点-209.95℃,低于该超导体的相变温度。)

Q3、量子漂浮在哪里?

A3、我们已经知道因为超导体有"迈斯纳效应",即超导体的抗磁性,可以在磁场中悬浮[2]。而在这个视频中,不同于一般超导悬浮的是,此处采用的高温超导材料属于二型超导体。对于二型超导体,存在两个临界场——下临界场Hc1和上临界场Hc2。当外磁场H小于Hc1时,产生完全的抗磁性,体内磁场为0;当外磁场H介于Hc1和Hc2之间时,会有部分磁场穿透超导体,产生穿透的位置是量子化的,如下图所示,产生了分离的磁通管(flux tubes)[3]。超导体就是被这些磁通管锁定(pin)住的,这种现象被称作"quantum levitation",也就是中文直译过来的量子漂浮。

http://img1.guokr.com/gkimage/w1/66/pn/w166pn.png

Q4、看,为什么可以倒着放?这不是"反重力"吗?

http://img1.guokr.com/gkimage/52/zl/5n/52zl5n.png

A4、正如前面说的,整个超导体相当于被磁通管所固定住(试想一块被万箭穿心的烧饼),所以能够平衡各个方向不大的外力。

另外,当外力较小(拿着磁铁到处走的时候)是时,超导盘与磁铁的相对位置不会改变,而当外力较大(如视频中实验者用手调整圆盘角度)时,圆盘可以稳定在了一个新的角度。这是因为当外力较大时,圆盘越过了之前的势垒,与磁铁相对位置发生改变,在新的位置上重新形成磁通管,所以可以稳定在磁场强度足够的范围内的几乎任何方向。

Q5、视频中他们直接用手碰固氮!零下一百多度,不冻死了?

A5、君不见还有喝液氮的同学,至于原理嘛,很简单。在固氮和皮肤短暂接触的时候并没有直接接触到固氮,由于气化较快,在皮肤和固氮间形成薄薄的一层气体,而气体传热较慢,所以在短时间的接触下并不会造成伤害。(严重警告:喝液氮什么的还是太危险,别人做不会受伤,不代表你也行,别轻易模仿哈。)

实验危险,请勿模仿。

实验危险,请勿模仿。

好了,基本原理介绍完毕。量子悬浮,科学奇迹?算不上,大骗局?也不算,只是国内媒体的噱头罢了。对大众而言,倒是个非常好的展示科学神奇的现象,很适合于在科技馆展出。


在最近热映的电影《碟中谍4》里也有这么一段戏,特工穿上特殊材料的衣裤就可以悬浮在半空中,而给他提供"浮力"的则是身体下方的一辆遥控车。特工可以随着小车的前进、后退而同步移动。简单地把物体悬浮起来靠磁悬浮就可以实现,但如果为了精确平稳地控制物体,在室温下用超导现象来实现的话,目前看来还是遥不可及的。

扩展视频:

"量子锁定"的详细解释

视频很详细的演示了整个超导片的组成,量子悬浮效应的原理,以及形成磁通管的形状。后半部分还可以看到越过一个磁铁产生的障碍,以及双层的悬浮表演。

超导磁悬浮轨道的基本原理

视频中的火车、汽车都是浇上了液氮的超导体,在低温下产生了超导效应,超导效应使得轨道的磁力线形变成类似一个管道的形状,将小车固定在之间。


参考资料:

[1]Superconductivity
[2](1, 2) Meissner effect
[3]Flux pinning

 
 

Things you can do from here:

 
 

Thursday, February 23, 2012

由拖库攻击谈口令字段的加密策略zz

 
 

Sent to you by Tony via Google Reader:

 
 

via 月光博客 by 雷锋 (leiphone) on 2/3/12

  编者按:本文作者肖新光,网络ID江海客,安天实验室首席技术架构师,研究方向为反病毒和计算机犯罪取证等。如果有读者想要就安全问题和作者探讨,可以在微博@江海客。

  我不得不惨痛地写在前面的是,这是一个安全崩盘的时代。过去一年,已经证实的遭遇入侵、并导致关键数据被窃或者被泄露的公司,包括索尼、世嘉这样的大型游戏设备厂商;包括花旗银行这样的金融机构,也包括了RSA这样的安全厂商。

  这些事件中最令业界瞠目的是RSA被入侵,这直接导致多家工业巨头遭遇连锁的攻击,很多安全企业本身也使用RSA的令牌。比RSA弱小很多的荷兰电子认证公司DigiNotar已经在被入侵后,宣告破产。

  就在2011年上半年,我们还是站在旁观者的立场讨论这些事情。但随即我们就遭遇了CSDN多玩天涯等等的数据泄露,其中最为敏感的,一方面是用户信息,另一个当然就是用户口令。由于身份实名、口令通用等情况影响,一时间人人自危。各个站点也陷在口水当中。

  但实际上根据推断,这些入侵都是一些过去时,也就是说这些库早就在地下流传。同时流出,也许就是一个集体性的心理效应。

  这种针对数据库记录的窃取,被一些攻击者称为"拖库",于是有了一个自然而谐音的戏称"脱裤"。只是攻击者日趋不厚道,从前只是偷了人家的裤子,现在还要晾在大街上,并贴上布告说,"看,丫裤子上还有补丁呢"。

  如果拖库是很难避免的,那么采用合理的加密策略,让攻击者拿到库后的影响降低到更小就是必要的。

  明文存放口令的时代肯定是要结束了,但加密就安全么?

个人密码安全策略

  那些错误的加密策略

  明文的密码固然是不能接受的,但错误的加密策略同样很糟糕。让我们看看下列情况。

  简单使用标准HASH

  我想起了一个90年代黑客笑话,有人进入一台UNIX主机,抓到了一个shadow文档,但破解不了。于是,他用自己的机器做了一个假的现场,故意留下这个shadow,最后看看别人用什么口令来试,最后再用这些口令与渗透原来的主机。遗憾的是,那时我们都把这个当成一个Joke,充其量回复一句"I服了you!",而没有反思使用标准算法的问题。

  目前来看,在口令保存上,使用最为广泛的算法是标准MD5 HASH。但实际上,很长时间,我们都忽略了HASH设计的初衷并不是用来加密,而是用来验证。系统设计者是因为HASH算法具有不可逆的特点所以"借"用其保存密码的。但其不可逆的前提假设,是明文集合是无限大的。但放到口令并不一样,口令的长度是受限的,同时其可使用的字符也是受限的。我们可以把口令的总数看正一个事实上的有限集(很难想象有人用100个字符作为口令)。

  比如一个人的密码是"123456",那么任何采用标准MD5加密的网站数据库中,其存放的都是这样一个MD5值:E10ADC3949BA59ABBE56E057F20F883E

  由于密文均相同,加之HASH算法是单向的,因此攻击者较早使用的方法就是"密文比对+高频统计"后生成密文字典来攻击,由于绝大多数网站和系统的加密实现,都是相同明文口令生成相同的密文,因此,那些有高频密文的用户就可能是使用高频明文口令的用户。攻击者一方面可以针对标准算法来制定高频明文的对应密文档来查询,另一方面,对于那些非标准算法,高频统计攻击的方法也非常常见。

  但查表攻击迅速压倒高频统计的原因,正是从2000年开始陆续有网站规模性明文口令泄漏事件开始的。在过去每一次明文的密码泄漏事件,攻击者都会把使用MD5、SHA1等常见HASH算法加工成的口令与那些采用HASH值来保存的库进行应对。

  随着超算资源的廉价、GPU的普及、存储能力的增长,一个不容忽视的威胁开始跃上桌面,那就是,这些巨大的HASH表已经不仅仅是基于泄漏的密码和常见字符串字典来制作,很多攻击者通过长期的分工协作,通过穷举的方式来制作一定位数以下的数字字母组合的口令串与多种算法加密结果的映射结果集,这些结果集从百GB到几十TB,这就是传说中的彩虹表。

  HASH的单向性优势在此已经只有理论意义,因为HASH的单向性是靠算法设计保证的,使用一个有限集来表示一个无限集,其必然是不可逆的。但攻击者是从查表来完成从HASH到口令明文的还原的。因此其算法的单向性也就失去了意义。

  联合使用HASH

  一些人误以为,HASH不够安全是因为HASH算法的强度问题,因此把MD5或者SHA1联合使用,其实这是毫无价值的(只是徒耗了存储资源)。如上面所说,HASH的不安全性在于大量口令与其HASH值的对应关系早已经被制作成彩虹表。只要你联合使用HASH的算法其中之一在彩虹表中,自然就可以查到了。

  同理,那种采用"MD5的头+SHA的尾"之类的,或者采用其他的混合两个值的方法,也一样是没有意义的。因为攻击者可以很容易的观察到这种组合方法的规律,经过拆解后继续按照查表法破解。

  自己设计算法

  我一向认为,既然我们不是一个密码学家,而是工程师、程序员,那么放着现成的好东西不用,自己开发加密算法是相当愚蠢的事情。我相信很多程序员都遇到过挖空心思想到了一个"新算法",然后发现早在某篇20世纪80年代的数学论文里,早就提出了相关算法的情况。

  况且在开源时代,很多算法不仅被实现和发布了,而且还经历了长期的使用推敲。这些都是自己设计、自己实现无法比拟的。

  关于自主设计的算法的不安全性,有一个事情深达我脑海。记得我在证券系统工作时,由于刚刚接手收购来的营业部,需要把一个clipper编译的柜台系统进行迁移,但原来的开发商已经联系不到了,当时我们制定了两条路,一位高手李老师负责,进行数据破解,看看是否能还原明文,而我则负责破解算法,如果李老师那边走不通,则我需要解出算法,把000000~999999之间的数字全部加密,然后用密文做碰撞(那时证券都是柜台操作,没有网上炒股,密码都是柜台用数字键盘输入的)。

  由于原来的开发者加了一点花活,我这边还没有眉目,那边旁观李老师的工程师,已经发出了惊叹之声,我跑过去,只见李老师根据构造的几个密码的加密结果,在纸上汇出了长得非常像杨辉三角的东西。不到半个小时,李老师已经连解密程序一起做好了。

  上面故事的目的是说明,自己设计算法无论怎么自我感觉良好,看看美国官方遴选算法的PK过程大家就明白了,我们无法和全球数学家的智慧组合对抗。

  因此自己设计实现算法,并不是一个好主意。这其中也包括,在实现上会不会有类似输入超长字符串会溢出一类的Bug。

  单独使用对称算法

  在标准HASH安全破灭后,又看到有人呼吁用AES,其实这不是一个好建议。AES这些对称算法,都不具备单向性。网站被攻击的情况是复杂的,有的是只有数据库被拖,有的则整个环境沦陷。而后者AES密钥一旦被拿到,密码就会被还原出来,这比被查表还要坏。

  当然我们还看到一种把AES当HASH用的思想,就是只保留一部分的AES加密结果,只验证不还原。但其实这样的AES并不见得比HASH有优势。比如即使攻击者没有拿到密钥,也只拖了库,但攻击者自己在拖库之前注册了足够多的帐号,并使用大量不同的短口令。那么就拿到了一组短明文和对应密文。而此时密钥是完全有可能被分析出来的。

  而使用DES、AES一类的算法,还是使用标注HASH,还是自己设计算法,如果不解决不同用户相同口令密文相同的统计性缺陷,那么攻击者即使拿不到密钥,也都可以先把一些高频口令用于帐号注册,拖库后进行密文比对。就可以锁定大量的采用常见口令的用户。

  加"一粒盐"

  其实很多同仁都指出了哈希加盐法(HASH+SALT),是问题的解决之道,所谓加盐(SALT)其实很简单,就是在生成HASH时给予一个扰动,使HASH值与标准的HASH结果不同,这样就可以抗彩虹查表了。

  比如说,用户的密码是123456,加一个盐,也就是随机字符串"1cd73466fdc24040b5",两者合到一起,计算MD5,得到的结果是6c9055e7cc9b1bd9b48475aaab59358e。通过这种操作,即便用户用的弱密码,也通过加盐,使实际计算哈希值的是一个长字符串,一定程度上防御了穷举攻击和彩虹表攻击。

  但从我们审计过的实现来看,很多人只加了"一粒盐"。也就是说,对同一个站点,不同用户使用同一个密码,其密文还是相同的。这就又回到了会遭遇高频统计攻击,预先注册攻击等问题。

  口令的安全策略

  在传统密码学家眼中只有一种加密是理想的,那就是"一次一密",当然事实上这是不可能的。但如果我们套用这种词法,我们也可以说,口令安全策略的理想境界,我们可以称为单向、一人一密、一站一密。

  单向:标准HASH算法的价值尽管在这个场景下,已经被推倒,但其单向性的思想依然是正确的,口令只要是能还原的,就意味着攻击者也能做到这一点,从而失去了意义,因此使用单向算法是必须的。

  一人一密:同一个站点设置同样口令的不同用户,加密生成的密文内容并不相同。这样就能有效的应对结果碰撞和统计攻击。采用字典的攻击的方法基本是不收敛的。

  一站一密:仅仅保证一人一密是不够的,还要保证使用同样信息、同样口令去注册不同网站的用户,在不同站点的口令加密结果是不同的。鉴于有大量用户用同样的信息、同样的口令去注册不同网站,如果能做到这一点,流失出的库信息会进一步打折扣。而攻击者基本会放弃生成密文字典的尝试。

  实现这些说起来很简单,依然是HASH+SALT,关键在于每个站点要有不同的SALT,每个用户要有不同的盐。

  但如果攻击者不是只获得了库,而且也获得了相关的加密参数和密钥,我们就要看到攻击者依然可以自己通过相关参数和密钥调用算法,使用常见密码对每个用户生成一遍密文,然后是否有匹配。当然我们可以看到由于"每人一粒盐"的策略,攻击者所需要的计算代价已经变化了,如果过去只需要生成一次的话,那么假如使用100个常见的口令来做,那么只要口令没有碰撞到,对每个用户都要做100次加密操作。但这也是不容小觑的威胁。因为有太多用户喜欢使用那些常见口令。

  因此,设定一个密码禁用表,让用户避免使用常见口令,可以进一步让破解者付出更大的代价,从而最终导致计算资源不收敛而放弃,也可以是一个可以考虑的策略。但也需要提醒WEB开发者的是,这样会增大你的用户忘记口令的风险。

  另外,用户是否有把密码设置为123456的自由呢,我想只要不是国防、航天、涉密系统和有安全要求的企业环境,如果只是潜潜水、骂骂街,网站或许提醒用户就好,但也许并不需要做成强制策略。

  具体的实现

  了这么多,怎么来具体实现一站一密、一人一密的策略呢,2011年12月23号,我们想到与其空洞的说教算法原理和策略,不如提供一些非常直接的示例程序和文档。

  因此同事们写了一份名为Antiy Password Mixer(安天密码混合器)的开源代码,当然这没有什么技术含量,也不是"自有知识产权的国产算法",有的只是对实现较好的流行开源算法包的示范性使用而已,目前的Python版本,也只有三百行代码,在其中封装了RSA和HASH+SALT使用,并给出了具体的在初始化、注册和认证时如何使用的范例文档。

  大家可以在这里找到这个东西:http://code.google.com/p/password-mixer/

  当然,就像我们惋惜很多应用开发者缺乏对安全的重视一样,其实我们并不懂应用开发,所以这些代码和文档对于应用开发者看来可能非常丑陋。尽管可能被鄙视,我们还是要打开门,证明安全团队并不保守。

  而同时,我们必须与应用走得更近,因为我们也在使用着这些自认为违反了某种安全原则的应用,却因为不是其开发者而无法改造它们。

  过去的10余年,中国的Web应用甩开安全而飞速狂奔,开发者们凭借自身的勤奋和冲击力奠定了现有的格局,但也因快速地奔跑遗落了一些东西,比如安全。也许现在是拾起这些弃物的时间了。

  中国的安全界则因保守、敏感和很多自身的原因,与应用的距离越拉越远,在我们还在幻想某些完美的安全图景时,发现我们已经望不到应用的脊背了。也许,在应用会回头等等我们的时候,就是我们加速前行、拾起应用所遗落的安全性,追送上去的时间了。

  来源:雷锋网

评论《由拖库攻击谈口令字段的加密策略》的内容...

相关文章:

统计
微博:新浪微博 - 腾讯微博
QQ群:186784064
月光博客投稿信箱:williamlong.info(at)gmail.com
Created by William Long www.williamlong.info

 
 

Things you can do from here:

 
 

Monday, February 20, 2012

从北京到纽约:中药的阴暗面zz外一篇

在中国最大规模的其中一家中药店里,嘈杂的背景声中突然响起了一个尖锐的声音:"不准照相。"一个身穿白衣的工作人员满脸怒容地指向一个标志--一 个相机的图案,上面是一个大大的红叉,挂在一排排明亮的玻璃盒上。在这些玻璃盒的黄色和红色绸制衬里上,整齐地摆放着风干的动物和动物制成品,从海参、蜥 蜴,到燕窝、麝香。

在北京同仁堂,一家中药店里,药剂师们正忙着驱赶吵闹的,带着相机并对陈列的风干动物不停问来问去的游人。刘宁(音译),一位年轻的中国生态学家,小声地说,我们的这些照片和问题"让他们绷紧了神经"。最近中药正面临着前所未有的详细审查,而且这些白衣工作人员知道这个。

不同的文化

有超过一千五百种动物的身体部分被用作中药材,其中一些动物类药材,如虎骨和犀角,对于物种数量的明显下降有促进的作用。但是许多中药从业者认为这 些药材是不可替代的:"所有东西都有一定的治疗作用,"大连神谷中医院的中医专家周军(音译)这么告诉我们。周是在我们访问了三家中医诊所后同意回答问题 的第一个从业者。周一边对一个刚刚做完拔火罐的患者进行按摩,一边说他认为所有的药材都是必要的,包括濒危物种的产品。许多中国人看起来同意这一点。由于 富裕人群的增加与野生动物制品的现状,中药材的需求正在上升。

但不是所有中国人都相信中医。湖南的中南大学科学史及科学哲学教授张功耀就站在反对中医药的最前线。钟在一篇2006年发表在中国期刊《医学与哲 学》上的论文《告别中医中药》中说,中医是"一个没有科学依据编造出来的谎言"。张知道他的观点在中国只有很少的支持者,而且他的想法已经造成"许多争议 和众怒"。虽然他相信传统中医的理念是大错特错,但他同时解释道中医已经施用了数千年了,所以不是那么容易被打破的。张的反对者是出于情感而不是科学角度 来对待他的观点,张说,而且"(许多)中国人缺乏以客观角度看待此事的能力。"

中医里基本上对于每种病症都有相应的治疗。用穿山甲之类食蚁兽的胎儿制成的汤据说有增强男性性功能的作用。龟甲用于治疗热病,能止盗汗,滋阴潜阳。 海马(龙落子)通常用于治疗哮喘,阳痿和心脏疾病。蛇油用于治疗关节痛。这些动物中的许多物种已经由于过度捕猎和生境萎缩而处在灭绝的边缘,而中药对它们 的需求不断升高使得情况更加恶劣,专家说。

犀牛已经在中国绝迹了。现在用于中药的犀牛制品都是从其他国家进口的,张指出,而老虎种群也在减少,濒危的藏狼也由于可制成中药材而被捕杀。并且这种情况正变得愈加严峻,他说。

浙江中医药大学的项目负责人陈烨(音译)说,中医是整体地对待人体的。中医治疗利用形而上学的而不是科学上的原则,而且经常不能通过临床实验和常规 科学验证,导致大多数的治疗没有科学证据来证明它们的有效性甚至安全性。但是陈认为把传统中医硬塞到西方以证据主导的药物治疗的框架中是不公平的。"两者 的哲学是不同的。"他说。

对于很多患者来说,被治疗的疼痛不是身体上的而是心理上的,张说,而且中医从业者经常根据某种动物和某种疾病的汉语书面符号的关系来配制药方。在汉 语里,枫树皮的汉字是"枫",而关节炎疼痛是"痛风"。这种语音上的巧合使得中医里认为枫树皮可以治愈关节炎痛。如果名称可以匹配上,他们就相信他们找到 了一种治疗该疾病的方法,张说。

迄今还在使用的传统中医最早可以追溯到商朝,约公元前1600到1100年。它严重依赖于经历了几千年时间考验的药方。传统中医是建立在道家阴阳平 衡学说的基础上的,它通常是用于治疗慢性病而不是急症。在他大连的诊所里,周正在为一位患者进行针灸,他说道"中医的情况有点复杂,不是每个人都有这种技 术。"的确是这样,传统中医缺乏西方医学的精确的,精心权衡的公式,每位患者的药方都是预先准备好的,这在美国人看来是一种随意的做法。在药店里,工作人 员急匆匆地从这跑到那,猛地拉开抽屉,抓出一小撮草药,再从另一个抽屉抓出另一种草药,扔进银制的盘子里。这些混合物会送到患者家里用来治疗各种疾病。

陈认为使用濒危野生动物的身体部分,比如用来增强性功能的虎鞭,用来凉血清热的犀角,是一个问题。张同意这个观点:"杀害濒危野生动物是一种资源的浪费,而且毫无益处。"

尽管中国政府已经立法禁止在药品中使用濒危动物如老虎和犀牛,"教育大众还需要时间",陈说。

熊的故事

一条教育大众的可行之道就是走进一家熊农场,谢罗便臣(Jill Robinson)说。她是亚洲动物基金(Animals Asia Foundation)的创办者,该组织总部设在香港。在二十世纪八十年代中国冒出了许多用于收集用作中药的熊胆汁的农场。1993年,谢罗便臣参观了其 中一家。当她回忆起这次经历的时候仍然非常激动:"我完全被这种折磨击溃了。"离开旅行团,她偶然遇到一只寂寞的熊,"尽管从她的腹部伸出一个七英寸长的 导管,她仍表现出(对人)极度的信任。"

在它们三十年的生命期限中,熊被关在小小的钢丝笼中,它们身体上被开了一个永久性的洞,用来收集胆汁。不愈合的创口导致细菌感染,并且经常引起大范 围的癌症发展。如今,在中国收集熊胆汁仍然是合法的。像谢罗便臣曾参加的那种娱乐性参观仍然存在,而且这些熊的近况仍和在1993年一样,谢罗便臣说。

谢罗便臣在期刊《动物福利》(Animal Welfare)2009年的一篇文章中报道说:每年有数千公斤熊胆汁以这种方式从一万到两万只养殖的熊身上采集,而中国政府官员和农场主都认为这是人道 的。在中国有大约180家制造商生产123种含有熊胆汁的不同产品,这些产品可以有效地分解胆结石,对慢性肝病的治疗也有帮助效果。但是与胆汁相比,合成 药的效果更好。

对于采集胆汁持支持态度的中国记者冯磊在2011年三月写到,"主张停止使用熊胆粉的提法是不现实的"因为这会影响到"危重病人",并且也不利于中 药产业(贸易总额超过20亿美元)的发展。冯同时还声称熊胆"仍然是不可替代的",而这并不符合事实:有超过50种草药可以替代熊胆。熊去氧胆酸,胆汁中 的有效成分,也可以在实验室中轻易地合成出来。没有任何证据可以证明冯的观点。

除了熊胆汁,还有很多的原料取自野生动物,这些药材使用与熊胆相似的手法采集而来。然而很多医生被养殖户"说服"并推销像熊胆汁这样的产品,谢罗便臣说,而其他人,例如有钱的生意人,会把熊胆当做昂贵的礼物馈赠给同事和朋友。

据谢罗便臣所说,许多胆汁充满了杂质。她指出,在动物亚洲对胆汁样品进行的分析结果表明,在熊胆汁中有锈屑、尿、脓液、粪便、癌细胞、细菌和抗生 素。越南传统医学协会的主席阮春香(Huong Xuan Nguyen)博士说,在越南发现了使用污染的胆汁与肝、肾损伤相关的初步证据。越南文化与中国密切相关,许多越南人同样喜爱中药和野生动物制品。自 1985年起,阮已经治疗了十位由于熊胆汁中毒的病人,其中两人因此而死。同时他也在越南推动停止使用熊胆汁的行动,尽管他赞成使用其他的传统疗法。

地域趋势

顾客需求导致的采集熊胆汁和其他动物成分的活动,不论是合法的还是非法的,不仅仅发生在中国,在整个亚洲甚至其他地方都在发生,克里斯・谢泼德 (Chris Shepherd)说。他是马来西亚的一家野生动物贸易监视组织--国际野生物贸易研究组织(TRAFFIC)的地区副主任。他说,虎骨--通常被研磨成 粉沏茶服用,用来治疗关节疼痛、瘫痪和腰膝痿软--数百年来被列入药方,对它的需求是对老虎生存的最大威胁。对于犀牛来说,它们因犀角而濒临灭绝。其他用 作传统中药的动物例如壁虎和海马的交易量数以吨计,但是往往能够避开监视雷达,因为它们不像老虎、犀牛这种大型的动物那样引人注目。谢泼德说,"对于禁止 非法贸易的谈话已经足够多了,(我们)需要将其变为真正的行动。"

2006年,越南对传统中药的需求达到了顶峰。这一年,越南政府官员公开宣布犀角治愈了一个家庭成员的癌症。这立即激起了对犀角的强烈需求,导致了 一波偷猎犀牛的狂潮,在南非有超过330头犀牛被猎杀,犀角出口到越南。于此同时,可能是越南本土极其稀有的爪哇犀牛(Javan rhinoceros)种群中的最后一只也于2010年五月被猎杀,表明这个物种在越南可能已经灭绝了。自然资源保护主义者道格・亨得利(Doug Hendrie)――他协助成立了总部位于河内的非盈利组织越南保护自然教育组织(Education for Nature Vietnam)――相信越南的年轻一代正变得更加关注环境,但对于很多的亚洲物种――包括爪哇犀牛――来说,这种变化可能来得太晚了。"要改变传统信仰 很难,"亨得利说。犀牛问题迫使TRAFFIC实施一项交流项目。这个在越南和南非的警察、骑警和环保部门官员之间的交流项目在2010年十月举行,目的 是建立相互理解,并且解决问题。但是现在要评价他们努力的成效还为时过早。

大熔炉(美国)

西方国家在动物制品贸易中也扮演着重要的作用。2004年,TRAFFIC对旧金山和纽约的中药店进行了暗访。在商店的货架上发现了非法的虎骨、豹 骨、犀角、麝香和熊胆。利・亨利(Leigh Henry),现在是位于华盛顿特区的世界自然基金会(World Wildlife Fund)的高级政策官员,是实行这次调查的TRAFFIC探员。她发现在旧金山受访的33家药店里只有一家宣称经营虎骨,与之前1999年的调查中22 家药店中有7家的数字相比是很大的下降。而纽约的情况就不一样了――27家中有11家经营虎骨制品--亨利认为旧金山更严厉的政策造成了这种差异。但是这 次调查之后并没有后续调查,亨利认为目前没有其他的组织在监视传统中药贸易。

如今游览纽约的唐人街的时候,顾客可以在货架上找到产品如鹿鞭和海豹油,但是所有绘有老虎图案的产品都用中英文特别标注"不含真虎。"位于桑树街 (Mulberry Street)的爱娃贸易公司(Ewa Trading Company)中的一家店主说,当被问起是否有老虎或犀牛制品的时候,回答是"没有,我已经很久没见过他们了。"杰弗里・陈(Jeffery Chen),巴克斯特街(Baxter Street)上一家针灸与草药店的主人,说这些产品是被禁止的,要的话"你得回(亚洲)去"。不论是用中文还是英文询问,另外几家店的店主同样否认销售 犀牛或老虎制品,有一些人简单地说这些产品很难得到,而一个药剂师暗示道"去东百老汇街"能得到它们。

这个小小的胜利该归功于TRAFFIC和美国鱼类和野生动物服务组织(U.S. Fish and Wildlife Service)的双重努力,然而亨利也认为这努力还不足以禁止用于传统中药的非法野生动物制品的买卖。"不是官员不够努力,"她说道,"事实上是我们人 手不够。"据濒危野生动植物国际贸易公约(CITES)的贸易数据库显示,2000到2009年间,美国鱼类和野生动物服务组织截获了数百起非法进口的动 物及它们的身体部分。查收物品包括243只熊,141只老虎和85只穿山甲(其余数据未显示)。每个数字代表一个完整的动物或可能代表成百的身体部分,如 骨、鳞或爪。这些案件中,42%的老虎,41%的熊,28%的穿山甲来自中国或越南。

保护性法令如濒危物种法案(Endangered Species Act)与犀牛和老虎产品标签法(Rhino and Tiger Labeling Act)的颁定使得含有甚至声称含有犀牛或老虎成分的产品的销售非法化。但是亨利抱怨说野生动物保护并不是美国政府关注的重点。根据众议院最近提出的一份 要削减鱼类和野生动物服务组织的多国物种保护基金达32%的提案,她指出,"自然资源保护的预算已经被大幅削减。""这是对野生动物保护的一次全面打 击,"她说。

而且毫无疑问,美国是传统中药制品的消费者和提供者,例如来自美洲黑熊的熊制品和西洋参,鱼类和野生动物服务组织中的CITES行动的负责人克雷 格・胡佛(Craig Hoover)说。他强调,然而"我们(美国)不是世界上最大的消费国,而且我们已经有了使我们能够有效处理问题的一系列法律。"现在有120名野生动物 监察员在美国入境港工作,200名特别探员在全国进行相关调查。扩大的活动范围,教育和有效的法律实施,三者共同限制非法贸易,胡佛对这种组合充满信心。

然而,TRAFFIC探员亨利警告说,即使自1999年唐人街的调查以来,情况已经大幅好转,认为非法贸易处在掌控之中的想法仍然是危险的。鱼类和 野生动物服务组织调查发现的动物以及动物制品的数量有上涨的趋势。2000年,查获了23批熊及熊制品;2009年,这个数字上升到38,,大幅超过这十 年的平均查获量(24批)。与此相似的是,2000到2009年间,查收的虎制品的数量从13跳到24(年均14),穿山甲的数量从5飞涨到19(年均 8.5)。很难说事情正在向什么方向发展。一方面,加强法律实施力度会使得截获几率增加,另一方面,可能越来越多的动物制品正非法进口到美国。


与此相关的另外一篇文章:"胆熊的悲剧" http://songshuhui.net/archives/64541,节选如下:
即使你不是一个动物权利保护主义者,我想当你听到在中国有几千头国家二级保护动物黑熊被关在狭窄的笼子里几乎不能动弹,它们的肚子上被活活割开一个口子,被人用金属管子捅进去,而它们因此痛不欲生的时候,你多少也会感到于心不忍吧?是的,正常人在见到和我们的外形比较相似的哺乳动物受到虐待时,都会产生一种不由自主的恐惧感,从而对这些不幸的动物抱有恻隐之心,有的人于是起来大声疾呼,要求那些虐待动物的人尊重他们的免于因看到动物受虐而感到恐惧的权利――也就是所谓的"动物权利"。
为什么这些黑熊会受到这样的虐待?因为人们想获取它们的胆汁。但是如果把熊杀死,一次只能取得一点点胆汁,于是便有天才想到可以用"杀鸡不取卵"的办法获取熊胆汁,也就是把一根导管伸到活熊的胆管内,一旦分泌出胆汁就把它导引出来。不过和一般人的直觉相反,这种活熊取胆汁的残忍作法并不是中国人首创的,而是朝鲜人的发明,中国只不过迅速从友邦学会了这个"技术"而已。根据国家林业局野生动植物保护司副司长王伟的说法,中国是在1982年开始建立胆熊养殖场的,到1996年,胆熊的数目已经达到了7,000只,以后由于国内外的强烈抗议,这个数字才没有再增加,但也没有减少,而是稳定了下来。
动物的胆到底有什么药效?李时珍在《本草纲目》中是这么说的:"目者,肝之外候,胆之精华也。故诸胆皆治目病。"简单地说,就是中医认为眼睛和肝、胆有密切的关系,肝胆有问题,眼睛也会有问题;而根据"吃啥补啥"的法象药理,吃胆就可以补胆,补了胆,眼睛的病自然也就好了,所以各种胆都可以明目。那么为什么中医会认为眼睛和肝胆有关呢?原来按中医的五行学说,眼睛属木,肝和胆也属木,所以眼睛就是肝和胆在头上开的窍!这种荒谬的联系在今天当然只能当成笑话听了,举个最简单的反例:有不少胆结石病人动手术割除了胆,甚至还有人动手术割除了部分肝脏,难道这些人的眼睛变得比正常人更差了吗?
动物的胆又被认为具有"苦寒"的性味,而苦寒之药常常是用来"降火"的,偏巧,"火症"里面有一大类叫做"肝火"(今天我们还有"大动肝火"这样的成语),既然是肝的"火",用胆来治当然是最恰当不过的,所以胆又有了清热的功能――虽然这在今天看来同样是荒谬的。就这样,明目、清热成了动物的胆的两大"药效"。
在各种动物的胆中,为什么熊胆比较受到中医的青睐,这还是一个不好解释的问题。但是在过去,它并没有像今天这样受到如此的注目;除了熊胆之外,猪胆、牛胆、蛇胆和青鱼胆也常常使用,它们与熊胆合称"五胆"。熊胆在后来之所以一下子受到狂热的追捧,而另外四胆中除蛇胆之外却已经很少有人使用,全在于现代医学的一个并不是很重要的发现。
在解释这个发现之前,需要先介绍一下胆汁的成分。胆汁是由肝脏而不是胆囊分泌的一种粘稠液体,由胆囊将其汇集之后,经由胆总管排入小肠的第一节――十二指肠。胆汁有两大功能,第一大功能是帮助把食物中的脂肪打碎成微粒,以便能更快、更好地消化吸收,起到这个作用的主要是胆汁酸盐,它的分子就像肥皂分子一样,一端亲水,一端亲油,所以可以在水中聚成微团,把一小滴脂肪包裹在其中,形成乳滴。胆汁的第二大功能则是把肝脏中的一些脂溶性排泄物――主要是胆红素和胆固醇――带离肝脏。在正常的胆汁中,胆红素和胆固醇也是被胆汁酸盐包裹成乳滴而悬浮其中的;如果胆汁成分异常,胆红素或胆固醇过量,胆汁酸盐没法把它们全都紧紧地包住,它们便会在进入十二指肠之前从胆汁中沉淀出来,形成胆结石。
既然胆结石的主要成分是过量析出的胆红素或胆固醇,那么是不是可以让胆汁含有更多的胆汁酸盐,来把胆结石溶解掉呢?答案是肯定的。实验发现,口服胆汁酸或其盐,在某些时候的确可以起到溶石的效果,不过这些吃到肚子里的额外的胆汁酸或其盐并不是简单地从十二指肠倒流回胆管中去溶解结石(在正常情况下胆管是绝不会出现倒流的),而是先进入血液,随血液流到肝脏,再被肝脏和自身合成的胆汁酸盐一起分泌到胆汁里,然后再溶解结石。因此,从上世纪70年代起,口服溶石成了不动手术治疗胆结石的一种方法。
但是,胆汁酸有很多种,包括胆酸、去氧胆酸、鹅去氧胆酸和熊去氧胆酸等,而且不同动物的胆汁有不同的成分,如人胆汁中的胆汁酸以胆酸、去氧胆酸和鹅去氧胆酸为主,很多鸟类的胆汁中却绝不含胆酸和去氧胆酸,这也是为什么鹅去氧胆酸首先会在鹅的胆汁中发现而得名的原因。熊去氧胆酸,则在一些熊类(特别是黑熊)的胆汁中含量较高,但除了个别例外,在其他哺乳动物的胆汁中却不存在或仅以微量存在。
在这么多种胆汁酸中,如果鹅去氧胆酸是效果最好的溶石药物,那么今天人们祸害最多的就该是鸡鸭鹅等家禽,而不是熊了。不幸的是,实验表明,偏偏熊去氧胆酸的溶石效果比鹅去氧胆酸更好,而且毒副作用也更小,这似乎证明中医偏爱熊胆是有道理的,于是,胆熊的悲剧就这样开始了。今天从胆熊获得的熊胆汁,有的直接干燥成"熊胆粉",用在中成药里面,但大部分都用来提取熊去氧胆酸了。
然而,这些熊胆汁制品绝大多数都用来治疗胆结石和其他某些肝胆疾病,很少再用于什么"明目",什么"清热"。这时候,中医支持者其实已经把中医中动物胆原本的用法抛弃了,不过是在用一种野蛮落后的方式获取天然的熊去氧胆酸罢了。可是,熊去氧胆酸并非只能从熊胆汁中获取,用人工合成的方法,可以很容易把鹅去氧胆酸或其他某些胆汁酸转成熊去氧胆酸,成本并不比活熊取胆汁的方法高多少。这样,中医支持者就面临了一个巨大的悖论:如果你们坚持要用活熊取胆汁,那你们为何却用它来治疗胆结石,而不是按中医理论去"明目""清热"?如果你们坚持要用它来治疗胆结石,这就等于放弃了中医理论,全盘接受了现代医学的观点,那你们用人工合成的熊去氧胆酸好了,为何还要以"天然"为借口支持那些禽兽不如的勾当?

Saturday, February 18, 2012

本地文件夹同步软件大全与性能比较(附下载链接)

最近需要经常同步两个不同的本地文件夹,开始用allway sync 'n' go,费了半天劲配置,后来才发现其免费版本使用有限制,特定时间内只能同步指定个数的文件,一怒之下调研了当前主要的本地同步软件进行比较。

这里说的同步软件是指不通过服务器的本地同步软件。通过服务器的云同步软件用过的有dropboxsyncplicity,现在dropbox在墙外,我觉得syncplicity更好用一些,支持多个文件夹同步,免费的空间最多有5G,而且有个非常贱的trick,可以在账户B把一个同步文件夹共享给A,这样理论上一个帐户可以拥有无穷的空间,但syncplicity似乎对系统资源占用更多。

我对同步软件的要求功能:
1. 不依赖服务器,可以实现两个文件夹的同步。在两个文件夹的修改(增,删,改)可以通过同步体现在另外一个文件夹;
2. 不依赖服务器,可以实现文件夹A->B的备份,文件夹A中的改动(增,删,改)通过同步体现在备份目标文件夹;
3. 实现A->B备份时,支持A是B的一部分子集的情况,即工作目录A只包含备份目录B中的部分子文件夹的情况(一般通过过滤器实现,这种情况下最讨厌的就是在工作目录中删除某个文件的处理);
4. 出现冲突或异常情况下进行提示,选择不同处理方式,覆盖文件时进行备份;
5. 支持同时同步多对文件夹;
6. 支持对网络共享文件夹的同步(除了Allway sync都没有测试);
7. 无限制免费或破解软件。
希望功能:
8. 最好是绿色软件(portable);
9. 可以设置同步规则,如过滤器。
13. 速度较快。
不要求功能:
10. 定时自动同步;
11. 支持Linux/Mac,暂时没必要;
12. 支持FTP,Google Doc,Amazon S3等等;
15. 多个文件夹之间的同步。
问题:
14. 软件同步时如何判断是某一端新增的文件还是另一端删除的文件。

Allway sync 11.5.0: http://allwaysync.com/download.html
非常强大的同步工具。一直用它,直到发现有使用限制。
支持功能1,2,4,5,6,9,10,12,15
功能3:在删除工作目录A中的文件时会有问题。
功能7:共享软件,免费版有使用限制。每一月最多同步40000文件。有破解版,但新版的破解很麻烦。
功能8:有安装包,但可执行文件拷贝出可以直接运行。
功能13:速度中上。
功能14:在每个同步的文件夹中生成一个_SYNCAPP的目录,记录上次同步时的状态。

Quicksync: http://www.appinn.com/quicksync/
绿色软件,似乎但Windows 7 下无法同步,软件崩溃,放弃。
功能5:似乎只能支持单任务的同步。

SyncBack 3.2.26.0: http://www.2brightsparks.com/downloads.html#freeware
免费软件,有"simulated run"功能,不实际同步但会给出分析的信息。但异常提示要每个文件提示,非常烦。
支持1,2,3,4,5,7,8,9,10。
功能13:分析速度很慢。
功能14:无法判断,所有文件按新增处理。

PathSync 0.35: http://www.cockos.com/pathsync/
开源软件,界面简单。问题是分析列表无法排序,很难查看。
支持1,2,7,8,9,13。
功能3:可能可以通过过滤实现,但非常麻烦;
功能5:一个实例只能同步一个任务,但可以运行多个实例。
功能13:分析速度非常快。
功能14:无法判断,所有文件按新增处理。

FileGee Personal: http://download.cnet.com/FileGee-Backup-and-Sync-Personal-Edition/3000-2242_4-75206854.html
免费软件,付费版本更多功能。致命的问题是无法在异常情况下手动选择处理方式。
支持1,2,3,6,7,8,9,10。

Goodsync:http://www.goodsync.com/download
有破解版:http://www.pc6.com/softview/SoftView_55896.html
功能与Allway sync基本相同,但更加强大,对于单向备份时删除文件处理的很好。
支持1,2,3,4,5,6,7,9,10,12。
功能8:初步断定是portable的,但不确定,且需要注册机。
功能13:速度中上。
功能14:类似allway sync,在同步目录中新建一个_gsdata_文件夹储存信息。

FreeFileSync: http://sourceforge.net/projects/freefilesync/
开源免费软件。免费同步软件里面最好的,没有之一,功能与Goodsync与allway sync差不多,文档说明也很清楚。但界面列表操作起来不太习惯。
支持1,2,3,4,5,6,7,8,9,10,
功能3:实现起来没有Goodsync方便,需要加许多filter,而Goodsync经过合适的设置就可以。
功能11:支持linux,windows 7,windows xp。
功能13:速度中上。
功能14:在同步目录中新建一个文件sync.ffs_db记录上次同步的状态。

最终结论:
简单一次性的文件同步用轻量级的Pathsync。
大量复杂的文件同步用Goodsync更好,如果有不用盗版软件的洁癖,或有linux需求可以用FreeFileSync代替,效果也很不错。
对于我来说。。。。。。显然是FreeFileSync了。。。

Thursday, February 16, 2012

情人节快乐!

非常感谢lp在情人节那天千里迢迢到公司送来亲自做的饭菜并陪我一起下班,无论色香味,还是付出的辛苦都远无法用我手机照出的破烂照片来描述。
在相识相恋这么久之后,已经柴米油盐的我们,还会记得永远彼此相依的诺言。即便驽钝如我,也能深切的体会到其中的浪漫和思念。
情人节快乐!

Friday, February 3, 2012

再见,清华,我爱这个地方

终于离开了。
再见,清华,我爱这个地方。不是因为我在这里度过了九年半的最好的青春岁月,而是因为这里的环境深深的影响着我。
九年前的那个秋天,我怀着憧憬、希望与好奇踏进这个园子,九年之后,我已不再年轻。
然而,我从未改变过,我还是从前的那个我,仍然怀着憧憬、希望与好奇期待着新的生活,只是身上多了几个深深的烙印。
回头看走过的路,总是能露出淡淡的微笑,但这其中的酸甜苦辣,可能只有自己才能够了解和品味。所有的经历,都是无比宝贵的财富。
感谢上天能让我在这样一个本科班,这样一个实验室度过我可能是最后的学生生涯。
感谢我的父母,lp默默耐心的支持和等待,感谢所有帮助过我的人,所有出现在我生活中的人,是你们让我在最痛苦的时候没有放弃希望,在最开心的时候记得保持冷静。

梦醒处,来时路。
我会带着同样的微笑,迎接新的生活。