Posts for: #Tech

FreeMind测试版本的下载地址变了，下午有点时间，下回来接着用。 0.8.1 Beta4 的变化包括了：

Changes made in FreeMind 0.8.1 Beta 4

• Paste and Encrypted Node register new attributes in the attribtue registry correctly
• Bug fix for Attribute Registry
• Button on/off removed from Filter Toolbar
• Standard filter conditions “No Filtering” and “Selected Nodes” added to Filter Toolbar
• Pattern: Duplicate, create from nodes, intersection of patterns from nodes.
• Bug fix im Browser Toolbar: the browsed file was loaded twice, if its name was typed in the combobox
• Attribute View Type is saved in a Mind Map document
• Changes from Henning Dierks (thanks!): node selection and text field background colors adjusted.
• NodeView has got a new multi component capable layout manager
• Export of local hyperlinks to XHTML/HTML with image corrected.
• VariableSizeCardLayout implemented for Preference Dialog
• Automatic layout preference design bugs fixed
• Merged with Attribute Version

这个《了解铁卷》的flash就是用Freemind做出来的，很棒吧。

新装的 debian 服务器在启动时出现这样的错误： pciehp: acpi_pciehprm:SB.PCI0 _HPP fail=0x5 pciehp: acpi_pciehprm:SB.PCI0 OSHP fails=0x5 pciehp: acpi_pciehprm: Slot sun(1) at s:b:d:f=0x00:00:08:ffff shpchp: acpi_shpchprm:SB.PCI0 _HPP fail=0x5 shpchp: acpi_pciehprm:SB.PCI0 OSHP fails=0x5 shpchp: acpi_shpchprm: Slot sun(1) at s:b:d:f=0x00:00:08:ffff

现在懒了，凡事不求甚解，反正不影响使用，直接在 /etc/hotplug/blacklist 的末尾加上两行：

pciehp shpchp

再 dmesg 看看，凑合了，只要看不到错误信息，就行啦。

在Windows正版增值特价产品中看到Microsoft Private Folder 1.0，微软自己的宣传是：

1、界面友好，简单易用，采用先进的文件系统驱动技术及安全可靠的加密算法； 2、实现了与Windows文件系统的无缝集成； 3、没有与Windows 的登陆账户绑定，即使系统崩溃或重装，加密数据也可轻松恢复；

乍一看也是文件防泄露，既然做着铁卷电子文档安全系统，就该了解，于是下载安装了。感觉却比较一般。 安装完毕后，桌面上会有个“我的密码箱”，密码箱一旦打开，会有个托盘图标，提供少量几个配置选项：

初步感觉不足之处至少有：

1、密码仅支持字母（a-z和A-Z）以及数字（0-9），所以，当我不幸用了包含大小写字母和特殊字符的强壮密码时，反而得到一个“低或不符合要求”的评价。

2、存储位置放在c:document and settingsuser下面，没有提供修改存储位置的选项，很不方便。 3、不能为任意目录加锁，只能将想保护的文件拷进该文件夹，应用不方便。 4、仅支持XP Home Edition, Windows XP Professional, Windows XP Media Center Edition。

Jordan转载了一篇文章Estimate the true cost of a new security control，看完颇有感触：无论是中立的咨询顾问还是产品厂商，在与客户交流的时候，能把这些信息给客户交代清楚，一则尽责，二来其实也可以提高印象分 :)

简单翻一下，文章大意如下：

部署一款新的安全产品，需要考虑的成本大致包括以下几类：

1、采购成本 各种软硬件及服务的直接成本（可能还包括需要扩展的模块组件）。 2、实施成本包括了方案设计、产品测试、部署、咨询等。 3、日常维护成本 维护、监控、日志审计等。 4、培训成本 就该产品的使用进行培训教育。

上面四类成本是我们很容易想到的，但后面几类成本，则往往为人们忽略：

5、制度成本由于部署新的安全产品，安全策略与制度通常也会发生相应的变化，制度的宣讲贯彻、维持也有成本。 6、效率成本人们常说安全性与易用性是一对矛盾，安全产品部署往往会一定程度上导致操作流程、使用习惯变化。这也理所当然地会导致工作效率上发生变化。写到这里，不禁还要再做个广告，目前市场上的电子文档（图纸）防泄露产品，绝大多数都带来了使用习惯上的大变化（比如：改变文档类型、文件需要上传到服务器等等），这方面给普通计算机操作人员带来的困扰和效率影响会相当大。铁卷在这方面用心设计，做到的“透明使用”就能在几乎不影响使用效率的情况下，达成对电子文档（图纸）的安全防护。

7、验证成本 引入新产品后，往往也是增加了新的控制点，这时候我们需要验证该控制点的可用性、安全性后（比如渗透测试），才能将其融入现有的安全体系中。

看到朋友们在讨论两个消息：

1、0-Day attack in the Microsoft Word environment

这则消息可以和“国外安全人员称Word最新攻击代码来自中国”对照着看，从这里面我们可以看到，甚至应用程序（可能包括 Office、MediaPlayer、IM、浏览器、邮件客户端等等……）的攻击和渗透已经悄无声息地流行起来了。

2、0day 中国

这让我很诧异，市场经济果然神奇，有买家就一定会有卖家。在他们的站点上，可以看到这么一个 word 的溢出程序：

我在讲铁卷 ppt 时，最后会讲一个古希腊神话“阿基里斯之踵”，信息安全中的阿基里斯之踵在哪里？我们的最后一道防线是什么？

我觉得是铁卷这类产品，欢迎商榷 :) 查看全文