选择chaos这个词是因为~~实在很难找到一个更合适的词来形容这儿了……
将近三年前搬家的时候买了一台三星 WF350ANW/XAA 洗衣机,结果上周发现门合不上了。上网找到了 这个视频,发现更换并不麻烦,打电话给三星,对方说已经过保,于是决定自己动手修理一下。
首先是断开电源和水源。
拆解比较简单:首先用尖嘴钳从洗衣机下部胶皮中将弹簧拽出(这是一个细金属丝+弹簧构成的圈,用来箍住橡胶皮隔水圈),然后小心将橡胶隔水圈拆开。接下来把门锁的螺丝拧掉,然后把它取出(有连接线)。
首先将外面的塑料外壳卸下(有两个比较重要的塑料卡隼)。接下来将连接的线断开。
拆下来以后,发现最下面的螺丝所在的位置的塑料裂开了,同时在这个地方发生了比较严重的开裂。
由于是受力的地方,而采用的材料是较为廉价的塑料,因此可以预见这个部件在未来还是会发生问题。
安装过程基本是拆解过程反过来,其中比较费力的部分是将金属圈装回的部分,基本上要把圈上到3/5左右,剩下的部分用 iFixIt 套件中的 Spudger 在两侧同时用力来装上。
Read more...The tide recedes, but leaves behind bright seashells on the sand.
The sun goes down, but gentle warmth still lingers on the land.
The music stops, yet echoes on in sweet, soulful refrains.
For every joy that passes, something beautiful remains.
– Hardin Marshall via
Read more...WhatsApp CEO及创始人 Jan Koum 宣布捐出一百万美元给 FreeBSD基金会。这是 FreeBSD 基金会成立十五年以来收到的 最大一笔捐款。
Jan Koum 在他的 Facebook 页面上写道:
Last week, I donated one million dollars to the FreeBSD Foundation, which supports the open source operating system that has helped millions of programmers pursue their passions and bring their ideas to life.
I’m actually one of those people. I started using FreeBSD in the late 90s, when I didn’t have much money and was living in government housing. In a way, FreeBSD helped lift me out of poverty - one of the main reasons I got a job at Yahoo! is because they were using FreeBSD, and it was my operating system of choice. Years later, when Brian and I set out to build WhatsApp, we used FreeBSD to keep our servers running. We still do.
Read more...
详情参见 Google Online Security Blog。
说两个我认为比较有意思的事情:
第一个是 Google 并没有公布作为证据的证书。由于证书是以 CA 的私钥签署,因此这类未经授权的证书本身就可以作为证据。但是,Google这样做(不公布证书)意味着签发者不得不销毁全部签发的证书,而不仅仅是被公布的那些。
第二个是 Google 在 Chrome 中限制,而不是直接删除或禁止了负有责任的根CA: India CCA 的许可范围。我认为这是远比禁止使用或删除根CA更好的做法(同样的原则也适用于几年前 Mozilla 基金会决定接纳 CNNIC 证书),原因如下:
接上回书。
启用 virt-net 支持。采用 RedHat 的 virtio-win-0.1-52.iso 版本驱动,这是最后一个可以在 Windows 2003 上安装的版本,之后(0.1-59 及以上)的版本均有问题,这里先记一笔,等有空的时候再看看到底 KVM 把哪儿改错了。换网卡的过程中需要重新激活 Windows,直接网上激活即可。
将原有的 IDE 控制器换成 AHCI 控制器。这个其实主要是体力活:先切换芯片组并增加一个 AHCI 控制器,启动 Windows,然后在 Intel 网站找到 AHCI Windows 2003 的驱动(F6那款,以前装 Windows NT 时代插软盘的那种),那个未知设备就是虚拟出来的 Intel AHCI 控制器,选中刷掉驱动。重启后可摘除 IDE 控制器,并将磁盘挂到 AHCI 控制器上。
然后注意在 Windows 2003 中启用磁盘的 Advanced Performance,在换控制器的时候会需要。
Read more...我知道这是个十分蛋疼的需求。
这篇 介绍了如何转换,但是实际情况是进 Device Manager,打开 Computer,只会看到两个适用于单处理器的选项(一个ACPI,一个非ACPI)。
仔细查资料发现需要使用一个叫 DevCon 的工具。Q311272 可以下载这个工具。DevCon 可以绕开 Device Manager 的一些限制。
接下来是暗黑科技:
SET HAL=ACPIAPIC_MP
devcon.exe sethwid @ROOT\ACPI_HAL\0000 := !E_ISA_UP !ACPIPIC_UP !ACPIAPIC_UP !ACPIAPIC_MP !MPS_UP !MPS_MP !SGI_MPS_MP !SYSPRO_MP !SGI_MPS_MP
devcon.exe sethwid @ROOT\ACPI_HAL\0000 := +%HAL%
devcon.exe update %windir%\inf\hal.inf %HAL%
devcon.exe ReScan
然后重启即可。这一操作适用于在虚拟机中安装了Windows 2003,然后主机升级,增加内存及CPU数量之后的情形。
Read more...今天早上4点多就爬起来准备发安全公告(友商约的是早上5点发),一刷,OpenSSL官方已经正式发表了(时间大约是4点30),于是立即开始相关手续,commit修正,发公告,通知CERT,这些不表。
总体来说,这次安全公告比之前 Heartbleed 那回要有序的多,这主要归功于上回大家的声讨以及 Solar Designer 同学做的友商提前告知列表。大致时间线如下:
本次问题可分成两类:SSL/TLS 和 DTLS。DTLS 常见于采用 UDP/SCTP 等 datagram 协议的应用,实际影响范围较小。
SSL/TLS 方面,CVE-2014-0224 CCS协议可在任意状态下使用的问题,可导致中间人攻击,后果严重,利用容易(可改变网络数据即可)但实际影响面较小,因为大部分人使用的浏览器并不是用 OpenSSL 来实现 SSL/TLS 支持的。但对邮件本身未做加密的邮件来说,基本等于是全军覆没了。这个漏洞存在了约16年,是的,十六年。发现者blog
\[[英文](http://ccsinjection.lepidum.co.jp/blog/2014-06-05/CCS-Injection-en/index.html)\]。我想,可能搞个可以形式证明的描述语言来重写SSL/TLS的实现才是正路?
另一个 CVE-2014-3470 可导致崩溃,影响较小一些。
值得一提的是,这次的一个 DTLS 问题 CVE-2014-0195 (可有任意代码执行之虞)也是上回引入 Heartbleed 的 Robin Seggelmann 引入的,呵呵。
总体来说,我觉得这批漏洞让人觉得有些绝望。 OpenSSL 有非常多的问题,但其中有很多必须对协议十分理解才能看出来,而另一方面看出来了报告给开发者也无非是得到几句赞扬而已。在现在这个年代,有能力看出来问题的人未必不会选择找个好的买家把漏洞卖掉。这种趋势十分危险,而最近几年有愈演愈烈的趋势。
Read more...初步尝试了一下 Google Compute Engine(G社类似 Amazon EC2的产品,基于 Linux/KVM)。确认 FreeBSD 可用(在家里用qemu建一个image出来,装好,然后打包扔到 Google 的系统上,然后用这个包建一个image,再用image起个instance)。
几个比较显著的坑:
存到盘上的数据据说是加密的,不过个人认为扔到 Internet 上的数据基本就没有隐私可言了,有加密自然可以阻止一些泄密(例如如果一家创业公司想要保存一些患者信息,那么在 Google 本身不被黑掉且他们遵守一系列安全设计准则的前提下,他们至少不用担心由于硬盘坏掉,替换硬盘时这些数据被第三方厂商偶然得到),但基本上跟家里的门窗结实程度一样,你懂的。
实际测试,虚拟网络至少可以做到 100Mbps 跑满(对 Internet)。我认为对大部分普通应用而言应该是够用了。比较遗憾的是本地读写性能忘记测试了,等有时间再研究一下(看 这里 估计太快不了;可靠性方面,据说有内建冗余和校验和检查,不知道实际情况如何,个人感觉可靠性应该还不错)。
Read more...大通银行最近经常发一些其信用卡的 balance transfer 的活动。这种 offer 的特点是提供两张支票(一般来说有效期在2个月左右),通常提供18个月的免息期。
由于这种 offer 要收 2% 或 $5(以两者中较高者为准),所以我之前基本是直接碎掉的。今天和一位同学讨论了一下,发现似乎不是完全不存在合理价值,当然这次这份我还是要碎掉,但先把这个观点记下来,等以后有机会再做评估。
想要充分利用这种 offer,需要满足下面全部条件:
我个人认为意义不太大:现金流不足的时候似乎应该采取更稳健的投资策略而不是继续举债?而如果现金流充足的话,为什么要举债投资呢?(毕竟信用卡的额度通常不会让一个人的现金流增加数倍,吧?)但是假如有很可靠的高收益投资机会,似乎并不是太坏的选择,只是在充分竞争的市场中出现这种投资机会应该不太常见就是了。
Read more...今天看到 John Baldwin commit 的这个 r266391 增加了相关支持。
RDSEED 和 RDRAND 的区别是 RDRAND 采用的是 128-bit AES 密钥的 CTR-DRBG,而 RDSEED 则是直接从真随机数发生器中获得输出(两者并不是直接使用真随机发生器的输出,这些输出是做过 AES-CBC-MAC 处理的,防止外界通过观测输出了解内部运行的细节),较慢,后者具备 multiplicative prediction resistance 特性。
具体细节可以参考 Intel® Digital Random Number Generator (DRNG) Software Implementation Guide 和 The Difference Between RDRAND and RDSEED。
Intel 的后一份文档中建议实现 PRNG 时使用 RDSEED,不太清楚这样做是否会同时复位 RDRAND 的状态?假如不复位的话,这样做似乎也意义不太大?(PRNG 的实现者应该从更多的地方收集 entropy 而不是假定真随机发生器的输出可信)。
此外, DRNG 用的 AES-CBC-MAC 这个事情,我认为是一把双刃剑(虽然用比不用要好),因为这样一来便很难验证来自硬件的随机数是否具有某些特性了(此外我找到的文档也没有具体描述如何 AES-CBC-MAC 是如何使用的)。
Read more...