2008-09-26

新的教育部安全測驗

教育部有新的資通安全測驗,剛今天看到公文。這此是網路上的,大家可以參加。而且還有獎品。只是……

這一整個測驗有點像跟小朋友講話的樣子。其實,身份別也從國中小學生開始,所以也需我不要說什麼…… 但是,如果是給小朋友玩,為什麼還要寄公文邀請到大學的電算中心?公文已經到這裡,我應該也可以“分析”一下其中一些問題跟答案……

“如果用來上網的電腦沒有安裝防火牆,可能會產生什麼風險?” 可選的答案是 電腦檔案被破壞、個人資料遭竊、電腦被駭客操控、以上皆是。

我用的電腦沒有防火牆,任何一台桌上電腦都沒有。我一台伺服器有,但是我沒有起動。為什麼?我不需要。第一,不管是家或學校,我用的電腦跟網際網路之間還有一台路由器做NAT,所以根本沒有人有辦法從外面直接連到我的電腦。第二,我桌上電腦平常只會開一個service: SSH。Port 22之外你可能找不到地方可以連接到我的電腦。此外,“電腦檔案被破壞”是指……?系統檔案?沒有權限。當然,如果你在Windows一定必需用administrator(或相當權限)的帳號上網,我只能祝你好運……

“美國警方破獲一個專門竊取無線上網者個人資料的駭客集團。這些受害者的電腦可能缺少哪一項防護措施?”可選的答案是防火牆、防毒軟體、無線網路基地台的安全管理功能、以上皆是

可惜,這個網站不會顯示答案有沒有錯。在我看到的問題跟答案,如果有“以上皆是”的選項,他們好像就會期待這個答案。不過,這裡是單純的基地台問題:如果你沒有用WPA,也沒有用SSH、HTTPS或其它安全連線方式,你原則上讓大家看到你的資料。你其實可以直接把你的e-mail或其它網路上的帳號跟密碼用大字寫在你的外套上 - 一樣安全。

“攜帶筆記型電腦外出時,下列哪種作法有助於提升安全性?”他們期待的答案是“設定開機帳號與密碼”而這樣講也有“一點”幫助,但是…… 如果我拔掉那台電腦的硬碟,你的資料還是在我手上……

算了…… 我現在沒有很多時間,所以不想再寫更多 - 不然永遠寫不完。反正,這些問題好像比較適合小朋友,真不了解為什麼還要發公文到大學的計中。你想令個獎品的話可以試試回答那些問題。不過,這個遊戲好像不太會提升大家對資通安全的想法……

2008-09-18

Firefox擴充套件本地化

之前已經提過如何自己把Firefox的擴充套件翻成其它語言。現在發現在mozdev.org有個很漂亮的華語的說明。不過:那篇文章雖然解釋如何把翻譯檔案放回去套件裡面,但是我還是覺得把那些檔案寄給那個套件的作者,這樣才有辦法把你的翻譯跟其他人分享……

2008-09-17

博客來不要我

我原來要在博客來的網站買東西,但是發現只有注冊過才行。看到他們的表單,我很樂觀,因為他們有提到住國外的事。但是…

他們軟體不想接受在台居住外國人的居留證號碼。幾年前政府還特別改成十位字號,跟台灣人身份證字號區別只是身份證開頭有一個文字,居留證有兩個。所以,台灣人的身份證字號是A123456789的格式,居留證號碼是AB12345678。要確認輸入錯誤的軟體只需要接受兩個文字就好 - 但是好像政府忘記把這件事告知他們國民,幾乎沒有人知道。

博客來網站不想接受我的居留證,所以我寄信到他們客服中心。把他們回答看了幾次後才相信我看到什麼:

若您為居住在台灣的外籍人士,煩請您在身份證欄位填寫"護照號碼",地址欄煩請您點選 ‧海外地區 填寫國外的居住地址。

我翻成白話一下:“如果你住在台灣,請寫國外的地址。”這麼棒的建議我也第一次看到… 而且,如果要護照號碼,為什麼還需要這個資訊?護照號碼會變,身份證字號(或居留證號碼)不會。我今年有換護照,而且可能還要在換一次。所以,如果兩年後那樣厲害的公司或學校為了確認我的身份要檢查我的護照號碼,我們其中至少一個人應該會說”Houston, we got a problem“…

而回信裡看到這一句只有搖頭:”對此造成您的不便及困擾,尚請海涵見諒。“不會。朋友們,現在2008年。如果你們沒有辦法修改你們軟體的運作,我會找到別人願意受我的錢,這麼簡單…

我教你什麼是安全……

其實不是我要教你,是別人要教我。教育部現在提供一些“資訊安全技術相關教育訓練課程”(我知道,只有真偉大的課才會有這麼偉大的名稱)。因為其中一次訓練幾乎在隔壁而已,我原來也想去一下。我雖然不期待偉大的新發現,但是他們應該有免費的便當跟飲料。(不然你為什麼去?)可惜,試過報名(而失敗)之後,我現在感覺相當不安全。

教育部好像有請一家公司(這個我猜,因為教育部計中的人平常不會做這麼丟臉的事,厲害的電腦公司才會)幫他們建一個“校園資訊安全服務網”。在那邊報名不簡單:知道公文號碼之外,你還必需是“會員”(哪裡的?)才行。好吧,雖然沒有漂亮的會員卡,但是為了報名這麼偉大的課程,我也會加入多一個俱樂部。或也許不會……

註冊的時候,這種資訊安全網站當然會用安全連線,而為了這個連線需要有一個憑證。這有點像警察到你家,在門口先給你看他證件,然後你才讓他進來,因為制服的話,別人也可能買得到,所以不能靠外觀。問題是,如果那個資訊安全技術的網站是那位警察,他給我看的是一張他自己用鉛筆劃的證件。無效……

我自己也在用這種自己簽的憑證,但是

1)我這樣做是因為我不想為了在學校用的主機花自己的錢買憑證
2)我不在提供“資訊安全技術相關教育訓練課程”

但是想要做資安教訓的人怎麼不會注意這麼基本的事……

不過,還沒結束…… 記得,我還想拿到免費的便當跟飲料,所以我很勇敢地不在乎那個不安全的憑證,輸入他們要的資料,送出去…… 啊,對不起,沒有成功。他們也要我設一個秘碼。而且,因為他們是資安高手,他們不會接受任何秘碼,他們會有很高的要求:“8~16字元並含最少2個英文字或2個數字”。

我的秘碼只有八位,但是它包含至少兩個羅馬字(抱歉,沒有英文字)跟至少兩個阿拉伯數字。而且,為了安全,它也包含其它字(你可能說“符號”)。可惜,他們網站不想接受我的秘碼,而我只能想到一個原因:他們要我只用羅馬字跟數字,不要用其它字……

所以,我好像(目前)失敗了。而且,經過這些經驗,我現在真缺一點安全感……

更新:沒錯,這個網站在秘碼裡頭不會接受羅馬字跟數字之外的字,所以一個要教我資安的網站先教我如何使用較不安全的秘碼。而且,聯落電話格式根本沒有想到分機,所以網站不會接受分機資訊。網站對象真的是學校嗎?

2008-09-13

The day the music died

A long long time ago
I can still remember how that music used to make me smile
And I knew if I had my chance
That I could make those people dance
And maybe they'd be happy for a while
But February made me shiver
With every paper I'd deliver
Bad news on the doorstep
I couldn't take one more step
I can't remember if I cried
When I read about his widowed bride
But something touched me deep inside
The day the music died

原來這個學期終於又有機會教“英語歌曲”。第一批學生也許還記得…

沒了,被取消掉…

2008-09-12

考什麼?

不是“烤”,是“考”。禮拜天要烤肉,禮拜二要考學生。OK,那不叫“考試”,這次的叫“測驗”,但是還是一種考試 - 考英語。我裝好一個Moodle網站,調好所需要改的設定,所以學生到那個網站應該不會有“迷路”或技術方面的問題。Moodle真不錯。它雖然不會取代一般的課,但是可以幫助。不過,你真需要花一點時間了解它,不然你不會知道它可以怎麼幫助你,而你要怎麼用它…

好啦,網站好了,最後還需要考題。而考題… 如果你只有在台灣體驗過考試,你也許還沒有發現,但是這裡蠻多考試不太有意義,只是為了考試才做考試。不管是駕照、業余無線電執照或英語考試,都有很奇怪的考題,讓我懷疑想出考題的人是不是只有五分鍾的時間就要完畢任務,還是他根本就是以考題數量領薪水…

看到這次的考題,我想到其他住台灣的外國人也提過的問題:在這裡,很多老師們寫課本。有的是自己用,有的也給其他人用。這還不一定有問題,麻煩在這裡才開始:在台灣,你不可以懷疑老師。我有時候跟我的學生開玩笑:在台灣上課,你要注意兩個基本規則。

1)老師是對的。
2)如果老師真的不對,請參考第一條。

你不可以懷疑一個老師,所以你也不可以懷疑他寫的課本。(或他上課時講的)所以,出版社不會再檢查課本內容。所以…

其實,老師們也是人。而人會做錯。我也是。我雖然盡量減少我錯誤的次數跟嚴重度,但是我也會做錯。別人也是。但是為了面子,你不可以說他有做錯。但是如果那個人是老師,會發生什麼事情?他的學生會“學”一件不對的事情。他們可能有點懷疑,但是他們也不敢講。他們原則上常常根本不可以思考,只可以背。

這次是一種考試。我以前自己當學生的時候有學到考試是一件很重要的事情,一定要準備很好。不只有學生要準備好,老師們也是,因為考題不可以有任何問題。我這次花了快兩個小時查出所有的問題。原來有17頁,我丟掉所有不值得修改的考題之後還有13頁。

我不知道那些考題從哪裡來(不是網路上的資料,這個我知道),應該是某一個(或幾個)課本的光碟。但是我可憐必須體驗那些資料的學生。有什麼問題呢?華語平常不會分單數跟復數,所以這個對學外語的台灣學生比較難習慣。但是,一個教英語的老師應該知道這麼基本的事。

另外,較多地方缺詞,主要是動詞。我在口譯課一直叫我的學生如果遇到較長的句子要盡量分析,抓出主詞、動詞、受詞,因為這樣至少先可以了解句子的基本意思。問題是,如果一個句子沒有動詞呢?Hmm...

我平常不會教這種“英語”的課,所以我比較少碰到這方面的教材(感天謝地 - 因為看到的時候大部分有跟學生一樣的感覺:好無聊…)。在朋友的地方看過她在國中必須用的教材 - 一拿到手上就看到錯誤… 那是國中,小朋友越小,很多人覺得正確地教他越不重要。所以在大學應該不會有這種問題… 理論…

看起來,面子還是比教育重要。好吧,現在可以來打我…

2008-09-11

Freeradius與MySQL

這可能不只在用MySQL的時候造成麻煩:我昨天需要裝一台Radius主機,所以覺得按照一個howto做會比較保險,比較快。不過,請不要用這個,因為它錯誤太多。(我有列一些問題,看他們什麼時候會開放我的comment...)

解決那個howto的錯誤後還是不行,我的test user一直收到Access-Reject。後來才找到原因。資料(Freeradius Wiki, config檔等)都沒有提到這件事,所以 較晚才發現。在/etc/freeradius/users有這兩行:
DEFAULT Auth-Type = System
Fall-Through = 1

第一行的意思是要予設查系統上的秘碼檔,所以它是第一個秘碼來原。不過,第二行也說如果失敗,那就要往下一個方式查。可惜,這個好像不會這樣動。如果你選其它資料來原(MySQL, LDAP...),Freeradius還是只會查系統上的使用者。所以,如果你像我要用MySQL,你最好把這兩行刪掉或至少comment out:
#DEFAULT Auth-Type = System
#Fall-Through = 1

希望這幫助減少你的白頭髮……

2008-09-09

Gravity

如果你想多一點了解地引力對星球的影響,你可以自己“摸一摸”… 我過了… :-P

2008-09-08

no_cache 不見了?

對,我回到計中了,這裡的椅子比較好…… 剛發現squid很奇怪的問體:在2.4可以用no_cache如果不要存某個網址的內容。3.0也有,但是在2.6好像不見了!(squid.conf裡面也沒有)

更奇怪的是,squid.conf裡面如果有包含no_cache,squid不會發任何錯誤訊息,只會完全停止存任何內容!花了一天才查出這個原因……

如果你用squid 2.6,最好確認一下你的cache會不會還在做caching...

Playdeb

OK,很多地方已經有提到,但是也許你還不知道:想試試用Linux,但是也喜歡玩遊戲?不滿意原來附上的遊戲?那,你可以試試用Playdeb… (特別適合Debian系列的系統,像Ubuntu或Xandros - 或當然Debian本身)

Ruckingenur II

對電子有沒有興趣?我不在問你會不會在讀什麼電子類的東西,這在台灣跟興趣沒有關系。如果你有興趣,你可以試試玩這個遊戲。(需要Windows跟.Net,不過好像也可以用Wine跟Mono)我猜這可能比你老師給你的作業有趣一點,而且你真的必須了,單純背東西沒有用…