Drupal系列谈(1) - 谈使用Drupal 7

通常,人们喜欢把Drupal视为一套内容管理框架,而我更愿意把它看成是一个建站系统,一个一流的、完善的建站系统。它强大的建站功能,首先,得益于自身设计的高度开放性、可扩展性;其次,得益于在这种高度开放性、可扩展性上而衍生出来的大量的功能组件(modules)、模版(themes)以及语言包(translations)。截止目前,仅就Drupal官方网站正式立项的项目而言,有10989个功能组件、1201个模版以及97个语言包。

2011年1月5日,当Drupal最新一代的版本, Drupal 7.0正式发布的时候,我曾快速做了一个计划,计划在2011年7月4日,也就是7.0正式发布半年后将我的Drupal 6网站全数升级到Drupal 7。之所以要等半年,是因为大部分Drupal功能组件要么还不支持Drupal 7,要么还缺乏平滑升级到Drupal 7的升级方式。当时,我预期半年后,我所使用的几十个Drupal 6功能组件应该大部分都已完成了对Drupal 7的支持并且提供自动升级方式。

半年后的今天,我并没有如期地完整这个升级步骤,原因有两个。一是我在Drupal 6上使用的50来个组件中还有9个左右的组件不支持Drupal 7;二是相当一部分的组件的升级可能需要一定程度的手工操作或存在风险,例如CCK。同样由于这两个原因,在未来的几个月内,我都不会考虑把现有网站从Drupal 6升级到Drupal 7。

由于知道从Drupal 6升级到Drupal 7存在诸多困难,因此,自年初以来,当需要新建一个网站的时候,我都是在Drupal 7建站,虽然在Drupal 7上建站存在一个很明显的问题:很多成熟的、重要的组件要么不支持Drupal 7,要么就是还处在开发阶段,存在各种bug。

半年来,在Drupal 7上,我累计安装、使用了52个开源组件(不包括自己编写的),大体上和在Drupal 6上使用的组件数量相当。这其中,80%以上的都是使用的dev版本。所谓dev版本,就是还在开发中的版本,连Alpha版本可能都不是,更别谈Beta、RC版本了。

目前相当部分处于dev版本状态下的Drupal 7组件其实已经比较稳定了。某些dev版本下的组件可能还存在些明显的bug,不过这种情况下一般都会有使用者汇报并且有人提供补丁,因此,如果自己会打补丁的话,还是可以用的。我目前所使用的50多个Drupal 7组件中,仅有一个组件的dev版本存在问题且长期没有修复,需要我自己根据他人提供的反馈打补丁。

说了上面这么多,最主要的是为了总结并分享我目前对Drupal 7的如下三点使用经验:

(1). Drupal 7已可以取代Drupal 6使用在正式网站上。也许你会跟我说:“这是废话,Drupal 7如果不能使用在正式网站上,还能叫正式版本吗?”我只能跟你说:没有了各种功能组件的支持,Drupal也许就是鸡肋,什么都不是。

(2). 大部分主要的组件,例如多网站支持、多域名支持、搜索引擎优化以及电子商务方面的组件,都已支持Drupal 7,虽然不少依然处于dev版本状态。

(3). 目前,如果使用Drupal 7的组件,应该比较大胆地使用dev版本,而不要死等到稳定版出来的日期,因为那可能是遥遥无期的。关于这一点,我举个典型的例子。FAQ (常见问题)是Drupal中非常好的一个组件,但是它的Drupal 7版本目前还是2011-02-25年发布的dev版本。用户对这个版本已经反馈了超过10个bug,但它的开发人员却一直没有更新。我在苦等了几个月后,终于自己动手,根据用户提供的各种补丁,在dev版本上打了9个补丁,然后使用它。(目前为止,这是唯一一个需要我自己来打补丁修复bug的Drupal 7组件。)

标签:

类别:

有了Google+,神马脸谱推特都是浮云

用了Google+一个多星期,就很喜欢它。原因主要有3个。

1. 最重要的原因之一就是Google是我用得最多的网站,尤其是Google搜索和Gmail,可谓每天必用。Google+无缝集成到几乎所有的Google应用中,所以登陆、监测它十分便捷。

2. Facebook、开心网、sina微博等都需要主动登陆其网站,而且充斥着乱七八糟的应用和邀请(别跟我说用手机挂着,我不想无谓地浪费电池以后收到些可有可无的更新消息)。Google+不需要我主动登陆,因为我在使用别的Google应用的时候自动就登陆了;而且依据Google超强的反垃圾反骚扰功能,相信我的Google+是会比较清净的。

3. 最后一个重要原因是,和以往的任何Google应用都不同,Google+是目前我看到的Google推广力度最大的一个产品:在几乎所有的Google应用中都在推广它(通过页面顶部的工具栏)。虽然之前的Google Buzz比较失败,但我有理由相信,Google如果能够如此大力地推广一个产品,那它肯定能成功。

最后,转载Mike Elgan(一位硅谷科技专栏作家)在一个多小时前在Google+里面写的一份帖子来总结一下Google+的特点(我非常认同他的观点):

下面就是我为什么特别喜爱Google+的原因:

有了Google+,你不再需要说“我想要写一份网志”,或“我想要发一份email”,或“我想发个微博”了。你可以直接在Google+里面写下你想说的,然后选择对谁说:

如果你选择“Public”,它是一份网志;
如果你选择“我的朋友圈”,它是一个微博;
如果你选择“我的客户”,它是商业新闻贴;
如果你选择某一个单个个人:那么它是一份email,例如一份发给你母亲的email。

我觉得这是一个革命性的变化。


下面是原文:

Here's what I love about Google+ in general and the Google+ Diet in particular:

Instead of saying, "I'm going to write a blog post now," or "I'm going to send an e-mail" or "I think I'll tweet something" you simply say what you have to say, then decide who you're going to say it to.

If you address it to "Public," it's a blog post.

If you address it to "Your Circles" it's a tweet.

If you address it to your "My Customers" Circle it's a business newsletter.

If you address it to a single person, it can be a letter to your mother.

I'd say this is pretty revolutionary.

类别:

什么样的教育管理机制?什么素质的老师?

==2009年==

“漯河人才网”网站上有一份电子报表文档,题为《2009年小学高级教师专业技术职务任职资格评审通过人员公示名单(708)人》。其中有如下内容:

"年 度","单位名称","申报职称","申报专业","评审类型","姓 名"
......
2009,"漯河市郾城区黑龙潭乡张德武小学","小学高级教师","语文","破格","黄二洲"

参考网址:http://www.lhhr.com.cn/tempfile/2009xxgj.xls

==2010年==

“漯河教育网”网站在2010年11月16日发布了题为《郾城区黑龙潭乡坡杨学校成功举行师德师风演讲比赛》的一则新闻,其中有如下内容:

“11月16日下午,郾城区黑龙潭乡坡杨学校全体教职工齐聚学校会议室参加别开生面的'师德师风演讲比赛'。......黄二洲老师在《用爱熔铸师德》中用生动的语言阐明,教师要用爱去播种,用爱去感受,用爱去塑造明天的主人。......”

参考网址:http://www.lhjy.net/xqjy/xqedu/201011/91668.html

==2011年==

2011年5月17日,多家网络媒体发布题为《8岁女童未完成作业被打瘫 打人老师被评优秀》的一则新闻,其中说到:

漯河市郾城区黑龙潭乡坡杨村小学二年级的学生“张津津只是因为没有完成作业,竟然在课堂上被打了300多棍,而打人老师......黄二洲.....是中共党员......还是学校业务主任,曾在多个小学任教,连年获得乡优秀教师、模范班主任称号。”

参考网址:http://news.qq.com/a/20110517/000816.htm

标签:

类别:

起网名

[前言] 上个月有个也用PHP程序语言工作的小兄弟在MSN上问我咋老不更新网志,我答应说这个月会写一篇,是为此篇。

4个月前现在就职的公司跟另外一个公司合并了,据说新来的公司老大的iPhone上不了内部使用的即时消息软件,于是公司开始要求员工注册AOL(美国在线)账户以便用于网络交流。

我没怎么上过AOL的网站,更别提用它的服务了。今天称着周末,打算把注册AOL账号这个事情给办了。

自己个人常用的两个网络账号(deminy和deminyin)之前在AOL上都已经被注册了。deminy这个账号我不确信到底是不是我注册的,但通过查阅自己的email历史记录,deminyin这个账号确实是我自己在2002年10月份用deminy@163.net这个邮箱作为通信地址注册的。可惜的是,我尝试了好些个自己历年来常用的一些密码组合,都无法使用deminyin这个账号登陆成功。看来是只能考虑通过email恢复密码了。deminy@163.net这个邮箱我已经多年不用了,而且现在已经改成收费邮箱了。为了恢复在AOL上deminyin这个个人账户的密码,于是掏了50元人民币购买了163.net邮箱一年的服务。糟糕的是,似乎deminyin这个账号已经不再和deminy@163.net这个邮箱关联了(抑或AOL把长期不活动的账号彻底冷冻了?),结果还是无法恢复密码。

看来,唯一的出路就是重新注册一个新的AOL账号了。我个人倾向于的网络账号应该是:跟我的个人姓名有明显关联(看到ID就知道是我)、不能太长、且以英文字母为主。基于这几点考虑,我重点考虑了如下几个账号:
  • deminy, deminyin, yindemin: 这3个跟我中文名字拼音有着直接关联的账号都已经被注册了,因此肯定不在考虑范围之内了。另外,我个人其实一直都比较不喜欢deminyin和yindemin这2个账号,因为太土,偶尔使用它们纯粹是别无选择的缘故(要么最喜欢的网名deminy已经被占了,要么账号要求最低7个字符以上)。

  • deminy8,: 比较常见的组合,不过最后一个8纯属多余,而且为什么不是deminy88, deminy1688, deminy518呢?总之,不喜欢。

  • deminyd: 重复率相当低。不过在deminy之后加上一个d,很多人看到这个ID会有点懵,不明白啥意思,也不容易被记住。

  • deminynet: 我的个人网站的域名。缺点就是有点跟裹脚布一样,太长。

  • ......

思前想后,起一个不容易跟别人重复的、简单易记的网络账号还真难。忽然,一个新账号进入我的脑海:d3miny!这个账号具有如下优良特征:
  • 跟我的主账号(deminy)非常吻合,因为这个新ID就是根据deminy这个账号经过Leet语言转换而来的。Leet是一种替代语言,又称黑客语,是发源于欧美地区的BBS、线上游戏和黑客社群所使用的一种文字书写方式。通常是把拉丁字母转变成数字或是特殊符号,例如E写成3、g写成9等;或是将单字写成同音的字母或数字,如to写成2、for写成4等等。

  • 跟我的职业相关,因为Leet语言经常在计算机/网络行业中被用于生成复杂而易记的密码。(例如,密码password可以写成pa55w0rd,纯暴力破解类似的这么一个简单的密码的话,后者比前者要多花13.5倍的时间。)

  • 短小。6个字符,是很多网站注册账号时候所允许的最低字符数。

  • 超低被他人占用的可能性。除了我以外,如果还有人无聊到愿意用d3miny来做个人账号的话,这个概率比起买彩票中500万大奖的概率来讲,也许只低不高(如果你有内幕消息的话,除外)。

因此,我的AOL新账号就是:d3miny,而以后我的网络账号起名的优先顺序就是:deminy1, d3miny, deminyin了。 :)

[补充说明1] 关于个人最常用网名deminy的优缺点,可参见《与我联系》一文中的相关说明。

 

后续更新记录

  1. 2015-07-01: 删除“补充说明1”里面失效的“与我联系”链接。

标签:

类别:

在未名空间上关于Drupal内容管理系统的一些回复

前言:
最近开始泡mitbbs(未名空间)。

我上网一般不主动发贴,基本上只回帖。基于我上网发贴/回帖“不误导别人,不废话,不灌水。”的准则(这一准则写在了我的mitbbs发贴签名档里面),当每次我回答别人一些我熟知领域内的问题的时候,态度是比较端正的,回复是比较详细的,措辞是比较客观的。

遗憾的是各类网站新开张的新开张的,说关闭的就关闭。有时候我发现我在别的网站写下的文字说不定什么时候就没有了,于是决定把我在别的网站写下的文字(主要是回帖)整理整理,放在我自己的网站上,权当备份。

本文整理的是这两天我在mitbbs有关Drupal这一内容管理系统的有关回复。需要特别说明的是,后面比较长的一段时间内我也许还会断断续续写下其他一些关于Drupal这一强大的网站建站系统及内容管理系统的方方面面。

下面转贴中仅对文字拼写错误和排版作必要修正。所述内容均为个人观点,仅供参考。


问题一
发信人: cplus2009 (mac), 信区: StartUp
标 题: question about open source software
发信站: BBS 未名空间站 (Wed Jun 16 13:05:28 2010, 美东)


我在考虑改写某些开源软件后推销出去...一般情况下大家是怎么做这个的?我需要购买授权许可证吗?通常需要多少钱?1 (I am thinking of to use some open source software, to enhance it and marketing it... normally how people do this? Do I need to license the open source and normally how much is the cost....)

回答
发信人: deminy (deminy), 信区: StartUp
标 题: Re: question about open source software
发信站: BBS 未名空间站 (Wed Jun 16 22:48:41 2010, 美东)


比较常见的做法,也许是基于某一个开源软件提供服务(service),当然,首要条件是这个开源软件要好。事实上这样的开源软件是比较多的。

例如,Drupal,也许是当今最好的免费内容管理系统(根据某些标准来评判),好些公司都基于它来做服务。它的创始人开办了一家公司acquia.com,提供基于Drupal的各种网站建设、搜索引擎优化等服务。另外一家公司volacci.com,则专门做基于Drupal的搜索引擎优化(它还开发了一个最好的Drupal SEO流程插件)。这两家公司至少表面上看都比较成功,至于其他大大小小的基于Drupal的网站建设、网站托管公司,那就更多了。

中国人当中,内容管理系统做出了点名堂的是XOOPS (xoops.org.cn),是一个Montreal的中国博士生牵头维护的一个开源系统,成立了自己的公司。

因此,你的思路是可行的,而且事实上很多人在做。

问题二
发信人: XiHuaYuan (美不胜收), 信区: StartUp
标 题: Re: question about open source software
发信站: BBS 未名空间站 (Thu Jun 17 19:21:37 2010, 美东)


谢谢大侠的贴子,很好很好。 那个 PHPChina/Discuz 也是中国人做的,还有PHPwind,PHP168等等. 做中文站,是不是这些比Drupal更好一些呢?
谢谢大侠指点哦。

回答
发信人: deminy (deminy), 信区: StartUp
标 题: Re: question about open source software
发信站: BBS 未名空间站 (Thu Jun 17 20:31:30 2010, 美东)


谢谢你的夸奖。

首先,我个人很倾向于Drupal,这是根据我个人喜好、以及多年来在相关技术和行业方面的经验作出来的选择。和绝大部分国产或海外的内容管理系统比起来,Drupal都有着明显的、长足的优势。

制作和维护中文网站,Drupal比较明显的缺点有2个:1. 中文信息方面不够,大量的有关技术和维护信息(文档和讨论)都是英文的;2. 可能在中文插件(modules)上有所不足(从插件数量到插件维护状态)。如果你的网站不特别强调使用某些中国的第三方服务(例如集成taobao的某些功能等),那么Drupal依然是很好的选择。

中文的内容管理系统近些年做得比较努力,也不错,但我个人从来不采用(XOOPS是个例外,但是我比较后悔曾经采用过它一次,希望其开发者不要介意),也很少测试。个中原因,我就不细说了,纯属个人喜好和看法而已。我只能说,中文的某些产品在安全性(易受攻击程度、以及漏洞修复速度)、软件产品升级维护、功能丰富程度等方面,也许有待改进。

另外,如果做英文网站,综合多方评测的结果、包括我个人的使用体验来看,通常最好的是应该是Drupal。当然,Joomla也是很不错的有竞争力的一个产品。如果所建网站是多语言版本的(同时有多种语言支持的)、或者是重视搜索引擎优化效果的、或者是数量较多的网站,Drupal是当然的首选。

问题三
发信人: tianbao999 (天宝), 信区: StartUp
标 题: Re: question about open source software
发信站: BBS 未名空间站 (Fri Jun 18 13:30:22 2010, 美东)


对wordpress比较熟悉。

Wordpress和drupal相比,有什么差异呢?
您对wordpress怎么看呢?

回答
发信人: deminy (deminy), 信区: StartUp
标 题: Re: question about open source software
发信站: BBS 未名空间站 (Fri Jun 18 17:15:45 2010, 美东)


WordPress应该是最流行的blog软件产品。这是有历史原因的(因为起步早等等),但并不一定代表它是最好的该类产品。不过,由于它确实很流行,因此用户使用它可以得到更多的一些便利:更容易在网上得到技术支持;更容易找到相应的网站托管服务;更多的(付费的或免费的)theme(页面样式选择);更多的公开的或私有的插件等等。

对于一般的blog用户,选择WordPress应该是个不错的选择,但绝不是唯一的选择,也不一定是最好的选择。另外,它起步于blog这一单一功能需求,虽然可以将它归类于CMS(内容管理系统),它依然算不上一个功能强大、功能完善、扩展性好的CMS系统。

Drupal和WordPress的部分主要差异在于:

1. Drupal可以比较轻松地胜任多种不同类型网站的需要:论坛、blog、电子商务、新闻等等;WordPress在这方面不是其所擅长的;

2. 一个基于WordPress开发的(支持多用户的)blog网站,要拓展其功能、转型成为一种功能比较齐全、类似某些门户或论坛等性质的网站的话,比较困难;而一个基于Drupal开发的类似网站,则不存在这样的问题。

3. Drupal(加上相关插件)可以做到绝大部分WordPress所具有的功能;反过来则不行:Drupal有一些特别的功能(甚至是很好的功能)WordPress是做不到的、或者是比较吃力的。

不同用户有不同的需要。简而言之,通常而言,在更广泛的范围内Drupal功能明显更强大、更灵活;而如果仅仅就blog或者类似功能而言,WordPress始终是一个不错甚至挺好的选择。

另外,功能强大的,不一定是最适合你需要的。如果你仅仅是需要一个简单的blog,使用Drupal不一定是你最好的选择:对于大多数人而言,即便有利器在手,如果这个利器很沉,玩起来也许是更吃力的。

补充说明1: 此段“问题一”中的中文部分是根据最初问题(英文)翻译过来的,非发问者原文。

标签:

类别:

是谁可笑?《扬子晚报》还是监管部门?

南京的《扬子晚报》在国内报界算是非常强的了(从发行量来讲),其实它也是中国网络媒体的先行者之一。早在1998年就开始有其专门的网上新闻网站(yangtse.com),并且它的新闻网站一直内容比较丰富。

一直以来,我都经常时不时登录一下《扬子晚报》网站,看看有什么值得瞅一眼的南京本地新闻。

今天下午访问《扬子晚报》的网站还好好的;可是,晚上临睡觉前,敲了一下《扬子晚报》的网址想上去瞅瞅,结果敲了几次,浏览器都显示默认的空白页面(about:blank)。一时觉得奇怪,就拽下其网站首页的代码看了一下。这一看,真让人有些哭笑不得:


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312" />
<title>扬子晚报网</title>
</head>

<body>
<script type=text/javascript src=http://fw.qq.com/ipaddress charset=gb2312></script>
<script type=text/javascript>
var ip=IPData[2];
if (ip=="江苏省") window.location.href="http://web.yangtse.com";
else {
window.location.href="about:blank";
}
</script>
</body>
</html>


简单来讲,就是说,如果访客使用的电脑(或手机等上网设备)的IP地址不是江苏省(境内)的,《扬子晚报》就会把访客转到空白页面;如果是江苏省的,就会把访客转到一个含有网站内容的页面。显然,我使用的IP地址不在江苏省境内,这就是为什么我在浏览器里面一敲yangtse.com这个网址就会出现一个空白页面的原因。

我无语了,只能说一句:这么脑残的点子是哪个当官的想出来的?

不过,还是要感谢《扬子晚报》网站的技术人员,以一种相当消极的工作方式既应付了脑残的上司,也让我等有机会能够继续访问《扬子晚报》网站。想上《扬子晚报》网站的非江苏省的朋友,可以使用 http://web.yangtse.com 这个网址正常访问(至少目前还是这样的)。不过,这样的网站,还有多少存在的价值?

另外,顺便提醒一下《扬子晚报》网站的技术人员,按目前的架势,要是哪天QQ.com的某些网站万一瘫了的话,那就连江苏省境内的朋友们也没法正常上《扬子晚报》网站了。这年头,不管哪个城门失火,都有一群天真无辜的鱼跟着遭殃。

最后,对于这样反潮流的网站,我就不在文字中给出直接的网站链接了。

更新说明1:本文发出一天之后,貌似某些脑残的官员终于改变主意了,《扬子晚报》网站目前可以正常访问了。对于某些个体或现象,我不喜欢在文中用一些贬低性的词语(例如"脑残")来描述,但是却往往找不出其他适合的词语来更准确地加以描述。我想对作出这种水平的决策的官员说一句:为了您和这个社会更加和谐,您还是早点回家种红薯吧。Thu 10 Jun 2010 02:51:42 AM EDT

类别:

《昔日重来》重新上线

我用GoDaddy.com来注册、管理我的域名大概有7年了。大概从去年开始我使用GoDaddy的monitoring和backorder1这两项功能来监控、抢注那些我关注的域名。近1年来,我抢到两个我中意的域名。也许你觉得我抢到的好域名太少了,那是因为我不是做域名生意的,我只关注个别我感兴趣的域名,所以长期监控的域名很有限(前前后后加起来不过12个左右),而且并不是每个监控到的到期的域名我都特别想买。

言归正传,我抢到的其中一个域名就是oncemore.net

之所以我关注这个域名是因为11年前(1999年),在我大学刚刚毕业的时候,也就是第一波互联网泡沫兴起的时候,我做了一个叫做《昔日重来》的网站,用来纪念、记录自己曾经过去的高中生活及其后续故事。在这个网站里面,罗列了一些从网络上搜集的高中母校的资料、以及高中同学的有关信息。在中文网络信息相对贫乏的那个年代,《昔日重来》的内容还算比较丰富。如果你是南师附中的校友,那么,《昔日重来》上的一些图片和文字足以引起你一定程度上的共鸣。

11年后的今天,我把当年的网站内容(以及其后陆续更新的部分内容)重新上传到网上,陈列起来。和现在比起来,11年前曾经存在的许多网站和网页已经不存在了,《昔日重来》上链接到其他网站的网页大多已经失效了;和11年前比起来,现在的网络技术也已经有了一些变化:标记语言(HTML)从HTML 4改进到XHTML以及即将在未来普及的HTML 5,搜索引擎优化也成为网站建设的一个极其重要的话题。此次重新把《昔日重来》放到网上以后,我不会对该站的页面布局、文字内容等作任何变更;不过,我会断断续续修复或屏蔽已经失效的链接、修改部分标记语言并作适当的搜索引擎优化,以适应当前网站的一些基本要求。同时,根据未来网络技术的不断发展和进步,我也会断断续续地作一些必要的修改。

以此记录《昔日重来》的重新上线。

正当青春,现在怀旧,为时尚早。

补充说明1: 关于域名monitoring和backorder功能的说明:前者是监控域名的任何变更,例如域名拥有者变更、网络服务器变更、域名服务器变更、域名有效期变更等等;后者是针对已被注册的域名,在其即将或已经失效的短时间内,通过域名注册商抢注该域名。

类别:

一个关于SQL的技术问题

目前我还没有发现很好的在线剪贴板工具。通常如果碰到需要零时记录一些事情的时候,我往往会打开Google的notebook网站(该服务已经不对新用户开放了),在里面随手把需要记录的资料贴上去。然后每隔一些日子,清理掉一些过时的临时记录。

今晚清理Google notebook记录的时候,看到下面两段SQL查询语句,是我前几个月在工作时顺手整理的一个问题临时存在了那里,于是贴出来,算是一个技术方面的小问题在网上分享一下:这两个查询语句的区别是什么?

SELECT
    *
FROM
    Employee e
LEFT JOIN Department d
    ON e.DepartmentID = d.DepartmentID
WHERE
    d.DepartmentName IS NOT NULL


SELECT
    *
FROM
    Employee e
LEFT JOIN Department d
    ON e.DepartmentID = d.DepartmentID AND d.DepartmentName IS NOT NULL


上面两个SQL语句是用MySQL写的。如果需要该问题的数据表结构(和模拟数据),可以在WikiPedia英文网站的“Join (SQL)”一文中找到。

答案我就不更新在网志里了,相信迟早访客回复里面会有正解的。

标签:

类别:

OWASP"2010十大安全隐患"

周五的午后,看到朋友的RSS种子上转了一篇别人的网志《安全漏洞的原因》 (by fs_knownsec,由于内容不算我特别愿意推荐的,因此也就不链接到原文了),想到了OWASP(开放式web应用程序安全项目)这个项目,进而想把它的最新进展在网志上共享一下。

顾名思义,OWASP(开放式web应用程序安全项目)关注web应用程序的安全。OWASP这个项目最有名的,也许就是它的“十大安全隐患列表”。这个列表不但总结了web应用程序最可能、最常见、最危险的十大安全隐患,还包括了如何消除这些隐患的建议。(另外,OWASP还有一些辅助项目和指南来帮助IT公司和开发团队来规范应用程序开发流程和测试流程,提高web产品的安全性。)这个“十大”差不多每隔三年更新一次,目前的最新版是《Top 10 2007》(2007年十大web安全隐患列表,该链接指向的是英文版的)。ZDNET上有一系列中文文章《OWASP 10要素增强Web应用程序安全》(一共七篇),对2007年的这个十大有详细的介绍,有兴趣的同学建议去阅读一下。

“OWASP Top 10 2010”大概将在2010年第一季度发布,目前处于发布前最后的征询意见(RC, request for comments)的阶段。本文将对“OWASP Top 10 2010”RC版本做一个简要的介绍。以下凡是提到“OWASP Top 10 2010”之处均指其RC版本。

和“Top 10 2007”相比,“top 10 2010”有如下主要改动:

  • 明确指出,“十大”指的是十大安全隐患(top 10 risks),而非十大最常见的缺陷或薄弱环节(not top 10 most common weaknesses)。
  • 修改了用于评估安全隐患的排名规则,而非仅仅依赖于安全隐患所关联的缺陷的流行程度和范围。这一点会影响新的“十大”的排名次序。
  • 在最新版的“十大”中,用两个新的安全隐患替代两个旧的安全隐患:
    • 添加新的第6大安全隐患:错误的安全配置 (Security Misconfiguration)。这曾经是“Top 10 2004”当中的第10大安全隐患,后来因为觉得这不属于软件问题而从“Top 10 2007”当中移除了。但是,从应用程序使用、配置方面的安全隐患程度和常见性来讲,足以重新将这条列入十大。
    • 添加新的第8大安全隐患: 未经验证的网址重定向 (Unvalidated Redirects and Forwards)。有证据表明有关于此的安全问题已经相当普遍,并且可能造成明显的危害。
    • 删除旧的第3大安全隐患: 不安全的远程文件引用和执行 (Malicious File Execution。注:此非意译)。这依然是一个普遍存在的严重的安全问题。不过,它在2007年前后的空前的普遍流行相当程度上是因为当时很多PHP 程序存在这个安全隐患。目前,PHP的默认设置中已经对此做了更多的安全方面的弥补和限制,使得这个安全隐患不再像过去那么普遍。
    • 删除旧的第6大安全隐患: 信息泄露和不恰当的错误处理 (Information Leakage and Improper Error Handling)。这个问题相当流行,不过危害程度一般比较有限。

以下是最新的OWASP Top 10 2010 (RC版本,可以从这里下载到官方英文PDF文档,更多官方英文信息可以参考这里):

  • A1 – 注入 (Injection)
  • A2 – 跨站脚本 (Cross Site Scripting (XSS))
  • A3 – 无效的验证和会话管理 (Broken Authentication and Session Management)
  • A4 – 对资源不安全的直接引用 (Insecure Direct Object References)
  • A5 – 跨站伪造请求 (Cross Site Request Forgery (CSRF))
  • A6 – 错误的安全配置 (Security Misconfiguration) (新加入)
  • A7 – 失败的网址访问权限限制 (Failure to Restrict URL Access)
  • A8 – 未经验证的网址重定向 (Unvalidated Redirects and Forwards) (新加入)
  • A9 – 不安全的密码存储 (Insecure Cryptographic Storage)
  • A10 – 薄弱的传输层保护 (Insufficient Transport Layer Protection)

标签:

类别:

全力以赴,争取第一 (慈善募捐)

各位(在美国/加拿大的)朋友,

由causes.com组织的慈善捐款挑战赛还有不到24小时(截止美东时间11月6日周五下午三点)就要结束了,第一名可以获得$50000美金的大奖用于慈善事业。纵观挑战赛最后几天的情况,各主要慈善组织获得的捐款人次均大幅上升,每日前三名变化起伏,竞争相当激烈。

目前,虽然有关中国的两个慈善机构OCEF (Overseas China Education Foundation)和OSCCF (Save Chinese Children)暂居第一名和第三名,但是,考虑到北美华人数量毕竟处于弱势,而暂处第二名的"TPRF: Food for People"近来上升势头相当凶猛,为了避免最后关头掉链子而使得中国慈善组织痛失$50000美金大奖,恳请各位朋友在美东时间11月6日周五下午三点前:
  • 在经济条件允许的情况下,在causes.com网站上捐出$10美金给中国的OCEF(或OSCCF)。(点击前面的链接直接进入)
  • 尽可能呼吁周围的朋友、同事等参与到本次挑战赛最后一次的捐款行动中来,为中国慈善机构捐款。
  • 在经济条件允许的情况下,最好能同时给OCEF和OSCCF各捐$10美金。
友情提醒:每人每天只能捐一次;多捐对于获得大奖没有帮助。

请记住:你捐出的$10美金,有可能为中国的慈善机构赢得$50000美金,有可能帮助到数百个中国孩子!!

挣美国人的钱,帮中国的娃~

参考资料:
1. OCEF关于本次比赛的宣传资料
2. OSCCF关于本次比赛的宣传资料

标签:

类别:

页面