Philipz學習日誌

遊戲新幹線-GF線上嘉年華

今天看到新聞說到遊戲新幹線舉辦，GF線上嘉年華百萬獎品大方送 刀劍Online千人戰役ｅ觸即發，便好奇上去看看，其中的GF線上嘉年華的拉拉霸是透過回答廠商問題後有三次拉霸機會，但是分析那Flash程式之後，發現其中並沒有任何能連成一線的程式存在，也就是說不可能會得到任何獎品，因此那舉辦單位的拉霸遊戲是欺騙遊戲玩家。
為避免日後那主辦單位改變成能得獎的Flash，並指控此Blog，特別將那Flash放置於此，永不會得獎的拉霸。希望各位網友能玩看看。連成一線時記得通知小弟，將提供精美禮物給各位(限本站的拉霸喔）。

因流量超過十G遭封鎖

十月份，跟TotalChoice Hosting所租用的虛擬空間，在十月二十九號晚上因流量超過十G導致網頁封鎖，使得家中餐具店和自己的Blog都無法瀏覽，趕緊向TotalChoice說明需要增加流量限額，價格是超過1G要多付2.5塊美金。可能因為Google Sitemaps導致搜尋引擎讀取故過於頻繁而流量暴增，之前每個月都6、7G左右，沒想到這個月超過10G。 向TotalChoice要求增加流量，但是卻因為這網址的DNS不是指到 DNS3.TOTALCHOICEHOSTING.COM 和 DNS4.TOTALCHOICEHOSTING.COM，說這違反規定，並指出五月份有未經網域名稱，而直接以那主機名稱存取。因為這樣以虛擬主機名稱讀取是不會計算到流量，也因為這樣，讓小弟知道他們計算流量的方法，透過log來計算。他們以這樣理由將帳號暫停使用，再次向他們反應，是因為將Blog搬到虛擬主機，但DNS紀錄需要兩天才能生效，所以用虛擬主機名稱直接測試，才會有這樣的log。美國人也真是奇怪，明明就十月份超出流量，為何要搬出五月份的事情，來證明違反規定。反應之後並線上刷卡後，卻因為時差問題，拖到晚上才增加流量，這件事也學到教訓，在快超出流量時要主動申請增額，而不是等到被封鎖才著急。

手機JAVA遊戲排名比賽

最近emome又推出手機JAVA遊戲比賽，JAVA鬥陣賽，這次不再透過手機回傳分數來排名，而是到行動生活旗艦店使用店內的手機來比賽，為何會這樣呢？應該是之前手機傳回的方式遭到破解，才讓emome使用這本末倒置的比賽方式。
雖然這是沒有提供回傳的方法，但仍然解說如何破解JAVA遊戲的排名比賽。
1.首先當然是下載遊戲。
2.利用軟體將手機上的JAVA遊戲擷取出來，MobiMB(Mobile Media Browser)是目前可以擷取出遊戲的傳輸軟體。正常可以每個遊戲有兩個檔案，xxx.jad和xxx.jar。
3.將jar那檔案用解壓縮軟體，如WinRAR解開。
4.利用Decompiler軟體，如DJ Java Decompiler，分析那程式碼。找出傳回值的字串和方法。
5.找到之後，用手機輸入或簡訊傳入方式打上那網路位址及其傳回值，便可破解JAVA遊戲的排名比賽。
下載遊戲必須申請GPRS傳輸，且需具備JAVA程式的基礎。其實還有另一種方式，就是透過手機的Sniffer程式，目前只找到WinCE上的監聽程式，vxSniffer for Windows CE和Airscanner Mobile Sniffer，便可以直接監聽到遊戲傳回的字串，再加以改值回傳便可達到相同效果。其他的手機平台可能就沒辦法用這方式了。
2005-10-29 補充：蔡學鏞學長在天瓏資訊圖書的【書評】Decompiling Java談到一本專門的Java反組譯原文書。
2005-10-31 補充：提供幾個介紹並學習Java的網站和Blog
維基百科，Java
朱孝國的JAVA Note
JAVA程式師面試32問
Java之父-James Gosling的Blog

非常厲害-Tradition Art & Computer Art

當代藝術館正展出非常厲害-設計中的藝術，藝術中的設計(2005/10/8 ~ 2005/12/11)。融合了傳統藝術及電腦藝術，當代藝術館的門票都是非常特殊，這次入場卷是可吸附的磁鐵材質，展出包括傳統藝術中知名的阿曼及電腦藝術的東京塑膠、虛擬樂團-街頭霸王，這兩個作品皆結合最近流行的扭蛋和公仔發行週邊商品；個人認為最奇特的創作是董承濂的愉慰寶貝-全家福，藉由銀器、貴金屬做出全家皆可使用的慰藉工具；有部份藝術品是可以觸摸的，但是必須排隊，所以建議非假日時段參觀。
在這些作品，尤其是電腦藝術，很多都具有日本東洋風格，這精緻文化已經大大影響西方創作並融合，從東京塑膠-打鼓機器(公仔)和街頭霸王可見一斑。
街頭霸王中文網站
東京塑膠-打鼓機器(Flash)
東京塑膠-Opera Dude(最新Flash)
2005-10-27 補充 今天看到10/24新聞，法國雕塑大師阿曼 病逝紐約，才知道這位大師過世了。
2005-10-27 補充 Gorillaz在Apple的ipod廣告，"Feel Good Inc."。

更新FireFox的即時翻譯書籤

之前的使用FireFox書籤來即時翻譯網頁，並未將Google Language Tools，且機器翻譯測試 Google最準，所以趕緊將翻譯書籤更新，讓網站翻譯又多了一個選擇。
下載最新的TransButton。

SQL Injection & Cross Site Scripting

雖然之前就在網路上看到這篇文章，商業周刊第930期-駭客帝國，但並沒詳細瞭解內容，上星期空閒時，仔細看了一下，主要談到的是2001年就出現的SQL Injection攻擊方法，還談到那位十九歲高中生蘇柏榕，雖然是自首，但是若那大考中心的系統管理者欠缺專業，依舊是沒法找出犯罪者，且舉證困難。
防護方法則從最早單機的防毒軟體，演變成網路設備的防火牆，再到入侵偵測系統(IDS)，之後層次較高的漏洞掃瞄器(Black-Box Testing)和網路應用程式防火牆，未來將出現的Script語言程式碼掃瞄器(White-Box Testing)。以成效來講，程式碼掃瞄器跟漏洞掃瞄器會比較有效，再來是應用程式防火牆，其他方法則不一定。目前針對SQL Injection的漏洞掃瞄器有Acunetix Web Vulnerability Scanner和Web Application Vulnerability and Error Scanning。之前Blog也能當履歷，就是要開發Script語言程式碼掃瞄器，主要以SQL Injection的資料庫和程式碼所建構的狀態機，以Model Checking來驗證Script程式碼是否滿足SQL Injection和Cross Site Scripting發生的錯誤情況，藉此修正程式碼來防止這類的網路攻擊。雖然沒法合作，但非常期待那間公司的產品。
而入侵方式是影響成功與否的關鍵，但取得商品和金錢的物流跟金流紀錄才是證據，需要實體商品寄送的入侵，是不可能成功的；相同地，將金錢轉入銀行帳戶也是會被追蹤(人頭戶例外)；因此以不需要實體寄送的商品是最難防範，且多元的付款機制，如Paypal、EZpay及Ecoin等等，都可當作貨幣使用，完全不用跟真實帳戶有關聯(雖然也可匯入個人銀行帳戶)，這些網路金流將可能成為網路犯罪的溫床。
2005-10-17補充：聯合新聞網-網路ATM若遇駭 3秒盜走10萬，讀卡機安全性也是一大問題。
2005-10-28 補充：關於SQL Injection的防範方法，還能透過Regular Expression Rules，目前Apache可以使用Jakarta Regexp。
2006-01-10 補充：一篇以無名漏洞解釋Cross Site Scripting，無名小站的 XSS 安全漏洞。
2006-01-11 補充：遠傳網路小額付費 遭駭客侵入洗錢，只要金流機制越來越多元，這樣問題就會不斷出現，且這問題是出在遠傳網路小額網頁程式設計師的錯，文中的"使用罕見的瀏覽網頁軟體，竟將「上一頁」功能重新顯現"，哈哈，FireFox的Tab Mix Plus就可以顯示完整瀏覽器按鈕和功能，我猜那王新安先生可能是用"罕見"的Firefox吧。

揭發應用軟體階層駭客入侵的十大技巧
開發人員要對程式碼安全負責
微軟SQL Injection (資料隱碼)– 駭客的 SQL填空遊戲
Taiwan CNET的Cross Site Scripting介紹
大陸有名的漏洞掃瞄器流光(Fluxay)
應用程式防火牆-InterDo Web Application Firewall

簡易攝影棚

之前參加TWE-Commerce聚會，聽駿馬工坊的王先生介紹靜物商品攝影時，談到如何自製簡易的靜物攝影棚，利用紙箱、描圖紙和白報紙，就可以用最少的金錢達到不錯的效果，並可減少去背的麻煩，尤其是鏡面的物品，如不銹鋼，會反射出拍攝附近的環境，所以要以白報紙圍繞四周，右圖是利用一個早上做出的成果，雖然比不上專業攝影師的作品，但還能接受，就湊合著用了。

博客來電子現金抵用券

昨天上博客來購書，注意到右邊有輸入通關密可獲得博客來現金抵用券，直接折抵購物金額，之前就有得到7-11的一百元(20元*5)的抵用卷，透過簡訊傳送通關密語，而通關密語出奇的簡單，因此看到這兩個統一投信跟第一銀行，便猜測其通關密語，正如7-11相同，統一投信的通關密語為ezmoney，而第一銀行為firstcard，今天一早就收到兩百元(20元*10)的現金抵用卷，希望對常在博客來購書的人能節省一些購書費用。
2005-12-01 補充：94/12/1至95/1/31止，至「博客來網路書店」輸入玉山銀行網路會員專屬通關密語「webatm」（限英文字母小寫），即可獲得100元 e-coupon現金抵用券。

讓Google暸解您的網站-Google Sitemaps

之前參加TWE-Commerce聚會，談到網路行銷時，家中的餐具網頁是在Google排名第一，主要因素是content和title，必須要有查詢的關鍵字，其他因素還有被PageRank高的網站引述等等，但是Google還是被動的去查詢您的網站。最近Google推出Sitemaps服務，讓網站管理者可以主動告知搜尋引擎那些是重要的，包括更新時間，優先順序等等，不再被動的等待，這可以提高網站排序名次，推薦給有網站和Blog的朋友們。

Mac OSX for X86

昨天假日在誠品看十月份新出的電腦雜誌講到Mac OSX的X86版本遭人破解並外洩，已經可以安裝到一般PC上了，但雜誌卻沒有透露那個網站可以下載，在網路搜尋後，找到PConline太平洋電腦網有詳細的安裝介紹，但是找老半天還是沒找著那OSX的DVD ISO，之後只好到PearPC找看看。之前就曾玩過PearPC裝上OSX 10.3，但是模擬還是有點慢的，可能是用NB的關係，硬碟傳輸太慢。在其討論區中找到KusTa's Blog中有詳細的介紹和下載的網址。
右圖是安裝的畫面，並非模擬喔!!^_^

TWE-Commerce聚會-活到老學到老

今天參加TWE-Commerce在台北辦的網聚，由TWE-Commerce的開發者-老爹(如右上圖)為使用者解答一些使用上的問題，雖然家中的餐具店是使用osCommerce，台灣社群是網路甘仔店，而TWE-Commerce是老爹以osCommerce為基礎所發展出來的OpenSource購物車，並由駿馬工坊的王先生介紹靜物商品攝影方法和周小姐的如何利用媒體曝光自己的網站(此處並非幫他們廣告，而是文章談論或引述他人作品，還是善盡告知的義務)，而如何利用媒體來增加網路人潮，其實之前的文章-再度見識到Blog+Google的威力就談到，這是比較好的方式，透過搜尋引擎和Blog來讓對的人找到需要的商品，這才是行銷，而強迫錯的人購買不需要的產品，是推銷。在會中問到出貨單套印的方法，而老爹建議是匯出CSV檔，再透過Execl來套印出貨單，但是仍需要使用者手動來操作，而小弟認為利用FPDF來用PHP程式自動產生PDF的檔案並可以完全不需要匯出匯入的操作，即可達到套印出貨單，才是比較好的解決方法，但是缺點是必須自行撰寫程式來符合出貨單的格式。
這次參加TWE-Commerce聚會更看到比父母更年長的使用者，非常佩服他們，除了主動學習電腦操作和這套軟體外，還學習撰寫程式，這是晚輩非常敬佩的，想當初，曾主動要求父母學習電腦上網及回覆Email，但他們都嫌太麻煩且意願低落，而這位嚴老闆還是水草養殖的發明家(如右下圖)，雖然已有相當規模的基本產品且年過半百，卻仍想開發高品質產品及開拓特殊客群，這讓晚輩非常感動，這便是台灣人的精神。
2005-10-2 補充 域名之友網聚將介紹創意與網路商店經營座談會，於2005-10-21在誠品台北敦南店舉行，有興趣網友可以報名參加。