鲁夫的爱

Adblock Plus+Chinalist 使用指南

分类: 小小极客    标签: , , , , , ,     评论: 7人评论

〇、写在前面的话

大家好, 我是Chinalist 的committer.
我与你一样, 都很厌恶广告, 本帖不是为Chinalist 打广告, 用不用Chinalist 是您自己说了算.
虽然我也会写一些用于过滤广告的用户脚本, 但是去除网页广告的最佳手段仍然是使用 Adblock Plus+ Chinalist .
继续阅读 »

03-24
2012

Echofon for Windows 的使用

分类: 小小极客    标签: , , ,     评论: 14人评论

上一篇文章发表之后,@iDenpa 小姑娘叫我研究一下Echofon for Windows . 虽然她无情地拒绝了我 "一起过情人节" 的邀约T,T ,但mm 的无情, 扑灭不了好人做好事的热情火焰 .

那么就来研究一下Echofon for Windows .

注意: 以下行为有可能触犯当地的法律条款, Echofon for Windows 的最终用户协议 或 UberMedia 的隐私条款, 也可能会影响Echofon for Windows 的稳定性, 安全性或性能; 任何用户在执行这些行为前都应先自行评估其可能造成的后果; 如果选择执行这些行为, 则该用户必须对自己的选择负全责. 继续阅读 »

02-15
2012

去除Echofon for Firefox 的广告

分类: 小小极客    标签: , , ,     评论: 17人评论

update 2012.02.15: Echofon for Firefox 又名Echofon for Twitter , 为了不与Echofon for Windows 混淆, 本文统一用Echofon for Firefox 来指代Echofon for Firefox 和Echofon for Twitter .
update 2012.02.08: 修改去除广告的步骤

2012年1月31日, 优秀的Firefox扩展、Twitter 客户端 Echofon for Firefox 更新至 2.4版本, 引入了广告功能, 未购买授权的用户在自己的timeline 上方会看到有一块很大的广告.

通过阅读这个浏览器扩展的源代码,我发现Echofon for Firefox 的广告功能是这样工作的

  1. Echofon for Firefox 会将用户信息提交到 140proof api ;
  2. 140proof 收集用户的公开数据后,根据用户兴趣产生不同的广告内容 ;
  3. Echofon for Firefox 将获取的广告显示在用户界面 .

继续阅读 »

02-07
2012

YSSY.Ajax.Uploader – 饮水思源文件批量上传脚本

分类: 小小极客    标签: , , , , ,     评论: 5人评论

大家都知道,饮水思源BBS自带的上传功能一次只能上传一个文件。昨晚有mm要自曝让我帮忙上传图片,我与饮水思源文件上传功能死掐了很久,但繁琐的操作太容易出错,最后我实在不能接受这样的重复体力劳动,不得不退出战斗。

大约半年前我就有想法给饮水思源BBS写一个Ajax上传脚本,可一直没什么动力;直到昨晚,我沉睡已久的小宇宙终于被mm的期待与失落唤醒:勇敢的死宅啊快点去战斗。

于是写了这个脚本继续阅读 »

01-18
2012

关于明文密码的保存,新浪为什么要撒谎

分类: 小小极客    标签: , , , ,     评论: 14人评论

2012年的第一天,自号网络游侠的白帽黑客张百川发现了新浪网iask的SQL注入漏洞,读取出了数据库内的用户账号和明文密码,并用刘谦的新浪微博账号发布了一条微博作为攻击演示。由于这个漏洞存在的时间可能比较长久,我们不能排除恶意攻击者已经获取大量新浪账号却秘而不宣的可能性。

csdn和天涯泄露千万密码之后,说明情况,认错道歉,保证今后改正,网民们看了顶多抱怨两句,也没有非要网站赔偿什么,这两个网站也还能保持着比较高的人气。可就是面对着如此宽容大度的中国网民,新浪还要睁着眼睛撒谎,坚称其用户密码是密文保存的。张百川发现的这个漏洞就像一记清脆的耳光,狠狠地甩了新浪一巴掌:叫你丫撒谎,pia死你。
继续阅读 »

01-07
2012

天涯泄露4000万用户的密码,我终于中枪了

分类: 小小极客    标签: , , , ,     评论: 23人评论

天涯泄密,劳资中枪

之前泄露的csdn和人人网用户数据库里都没有我的帐号邮箱,让我很惴惴不安,这密码到底是丢了没丢呢?现在天涯泄露了4000万对用户名密码,我终于结结实实地中枪了。

天涯数据.kz 下下来,是个奇怪的压缩文件,需要用国产软件快压来解压,可我一点也不想安装这个“免费、方便、快速的压缩和解压缩利器,拥有一流的压缩技术,是国内第一款具备自主压缩格式的软件”。
快压此前一直是非常小众的压缩软件,现在攻击者偏巧使用了这么冷门的自主压缩格式,而快压也很配合地在cnbeta上发表《KZ格式用什么解压?》一文来推广自己,这不得不让人怀疑快压在此次泄密事件中扮演的角色。

按照老规矩,出动sandboxie,在沙盘里安装快压,解压.kz文件,清空沙盘,这个“国内第一款具备自主压缩格式的软件”就从我的硬盘上滚蛋了lol。
在这里顺带提醒一句:请各位同学在任何情况下都不要尝试360压、好压、快压等国产压缩软件,如果不得不用,像我这样在sandboxie里安装运行,用完即删。

解压出来一共50个txt文件,卧槽,这找起一个id来得多麻烦啊,我们用cat把这些txt合并到一个文件里。

cat *.txt>all.txt

据说泄露了4000万,但我这怎么只算出来3000万多一点点?

wc -l all.txt
31761424 all.txt

继续阅读 »

12-25
2011

IT人士对用户密码安全问题的常见误解

分类: 小小极客    标签: , , ,     评论: 5人评论

此次国内网站用户数据库大规模泄露事件,暴露出来的不仅仅是几个网站的安全问题,更让我们看清了不少所谓软件工程师的缺陷:缺乏常识。下面我们总结一下,事件中的各方人士到底在多少基本常识上犯了错误。
当然我很有自知之明,我这样一个业余脚本员、IT门外汉,斗起胆子来点评专业IT从业者的不是,认识必然不够深入,言辞必然会犯不少错误。但幸好我的姿态比他们低,我不会打肿脸充胖子,如果任何人发现我有任何不足,请及时告诉我,我不想一直一直犯同一个错误:)
继续阅读 »

12-24
2011

新浪微博也泄露了用户密码的hash

分类: 小小极客    标签: , , , ,     评论: 1人评论 还剩板凳

update 2012-01-07: 有证据指出新浪明文存储用户密码,并有可能大规模泄露
update 2012-01-05: 文中所提到的weibo.com_12160.dbh 被怀疑是人人网伪造的数据库,并非来自新浪微博。主要论据不可靠,故标题及正文中所提到的有关新浪微博泄露用户密码hash的任何结论都是不正确的。

前面说到,人人网泄露的是用户密码的hash,现在我们拿到一个 weibo.com_12160.dbh ,用同样的方法进行分析,得到同样的结论:weibo.com_12160.dbh 里的密码来自hash碰撞。

D:\Downloads\weibo.com_12160\weibo.com_12160>grep -i -P "\s+null$" weibo.com_12160.dbh|wc -l
4001

跟人人网差不多,正好也是4000多条,好奇怪。

ps. 这两篇对泄漏数据库的分析和结论都需要一个前提:这两个数据库必须是真实有效的。到目前为止人人网和新浪微博都没承认用户数据库泄漏,而我也没办法确认数据库的来源,所以这两篇文章里所说的某网站存储用户密码hash、某网站泄露用户密码hash等结论都只是可能成立。

12-23
2011

虚伪的加密——金山的“密码泄露快速查询”

分类: 小小极客    标签: , , ,     评论: 7人评论

最早是在人人网上看到有同学谈论金山的这个“密码泄露快速查询”网页,我没有太在意。刚看到cnbeta有报道,我决定一探究竟。

打开地址http://cs-test.ijinshan.com/security/,网页载入挺快,但验证码载入非常慢,还经常载入失败,看来某些人的负载做得实在失败呀。

金山密码泄露快速查询网页载入速度

金山密码泄露快速查询网页载入速度


继续阅读 »

12-23
2011

无觅相关文章插件,快速提升流量

loading...