最新文章

在你同在裡

同在之路

0
過去充滿了驚奇與記憶,不見得都是好的回憶,但總會不由自主回想這一路來的點點滴滴,並回想主的同在,或許在最初就已經訂好他的計畫,讓我可以在他的指引下一步步來到寶座之前,這一條路開始於前一段婚姻,其實後來才知道幫我做婚姻媒合的劉老師也是基督徒,經過了很多次失敗,最後遇到我前妻時,終於成功,而他自己也自認是基督徒,不過他應該只算慕道友,不過也由於這一段經歷,有去了幾次長老教會,算是接觸基督信仰的前哨,當時其實有些排斥,也不太了解真正的基督信仰內涵,總覺得無法融入,無法與會眾同在。 一直到後來婚姻出現的危機,那時前妻的精神狀況有問題,但當時並沒有相關常識該如何處理,也有請教過劉老師,但總是沒有真正解決問題,當時也去過行天宮,問是不是有不好的東西在,但得到的答案不是,所以是純粹精神疾病嗎?但我沒有解答,一直到有一天,我突然想到,如果傳統信仰的神無法幫我解決問題,那耶穌呢?那時候我做了人生中的第一次禱告,如果耶穌為我解決了婚姻的問題,我就信你。 然而,後來的許多事情在神的引領之下我都沒發現其實是神的大能在我心中種下種子,一直到我站上了音控台以及敬拜團的舞台,我才知道這一切的引導與追尋是為了甚麼,我知道從某個時間點祂就與我同在了,願這個同在不斷延續直到我見了祢面,直達永生,阿門! 好歌推薦: https://www.youtube.com/watch?v=fsUVkm142O4  
Hacker

甚麼是駭客?他是破壞者嗎?

駭客(Hacker)這個名詞在原本的定義是指對於系統非常熟悉的電腦高手,是很正面的一個名詞,但後來有些駭客用了這些技術進行牟利等等行為,導致駭客這個名詞有點像是資訊安全的破壞者,其實這與現實有很大的差距。 駭客(Hacker)指的是很熟悉系統原理並且可以由系統中找出可能的漏洞的人,他們找出漏洞的目的並不是破壞而是要修補,因此駭客其實是系統資訊安全的維護者,他們不斷使用自己的專業能力找出系統的可能漏洞並且提供修補建議給系統廠商,這些廠商可能是賣商業軟體的廠商,也可能是Open Source的維護組織,尤其對於Open Source組織而言,這些駭客的貢獻是讓這些軟體系統更加穩定的重要功臣。 那資安破壞者算是駭客嗎?從定義上來看,他也算是一種駭客,但我們經常會給他們另一個名字,叫做Cracker,當然也有更多的各種名字被定義,但我看到比較常被使用的就是Cracker,或者直接叫他黑帽駭客。 黑帽?駭客戴帽子?其實這是一種常被使用的比喻方式,白帽是比較正統的一方,他的目的是要讓更好的目標達成,反之,黑帽就是要從事各種破壞目的,那有中間的嗎?我們一般稱之為灰帽,就是遊走在灰色地帶,他不對系統做出破壞,但可能用這些漏洞從事一些只對自己有利的事情。我們整理一下這三種駭客的差異 白帽駭客(Whitehat Hacker): 透過正規方法發現並起提供安全漏洞的解決方案 灰帽駭客(Greyhat Hacker): 透過灰色地帶的技術達成某些特定目的 黑帽駭客(Blackhat Hacker): 透過非法手段達到破壞之目的,一般稱之為Cracker(黑客),也就是資訊犯罪者 因此,駭客有分很多種,並不一定是不好的名詞代表,未來有機會再來做更多的說明。
TheSocialDilemmaLarge

The Social Dilemma 社群媒體困境

The Social Dilemma是Netflix近期的一部原創紀錄片,他找了幾位Google/FB/IG等等企業的前員工講述社群軟體造成的一些負面影響,這裡面確實不無道哩,但總是一面之詞,不一定全面性,而且這些人在最後也提到了,這並不代表社群軟體的未來就是地獄,而是由使用者與開發者共同決定他的走向,在社群軟體中的種種設計是否符合道德考量等等,都是很值得我們深深思考的。 這些年來社群軟體帶來的影響是非常強烈的,我們不再需要與人溝通就可以在網路上取得各種不同的資訊,但在一些商業考量之下,其實你要思考的是,你得到的資訊是否是正確的,網路上的假資訊傳遞速度遠高於正確資訊,而且有許多人經常會以為你得到的假資訊是真實世界的現實,但這其實是AI設計邏輯造成的,當初AI的設計並不是源自於惡的意念,反而是善的意念是最主要的,但在整個商業操作下,你經常會發現自己不管在Google還是臉書上都可以輕易得到符合自己觀點的資訊,也就是讓你活在特定的同溫層之中,這是如何造成的? 主要問題在於你看到的許多資訊是廣告商想要提供給你的,這些廣告商會指定目標客群,例如年齡、喜好等等條件,因此你經常會發現,在Google和臉書的廣告大都就是你想要的資訊,並且吸引你點進去看,甚至進行採購,這就是廣告市場無意之間造成的特殊現象,在這樣的現象下,客戶就是商品,而購買者就是廣告商。 然而當你搜尋同一個關鍵字,你得到得結果並不一定與別人相同,而是背後的AI引擎透過一些個人資訊判斷如何顯示最接近你想要的答案,但這並不會太明顯地出現在您的搜尋結果,而是一步一步漸漸地發生,因為當你得到的資訊和別人差異太大,很容易在言談之中被發現,但如果Google的一頁搜尋結果有一到兩則結果被廣告取代了,那你可能不會有太大的感覺。 這時候,我們應該要發現一個事情,就是你的各種習慣等等參數為何會被Google和臉書知道了?這代表它們有在蒐集我們的個資嗎?這個答案其實非常明顯,是的,它們隨時隨地在收集我們的個資,而且我們在不知不覺之下也在他們的個資宣告中同意他們收集個資,但收集個資是好還是壞,其實個把兩面刃。 我們提供了部分個資其實讓我們的生活產生了許多便利,我們可以在這些基本資訊的基礎下更精確地找到我們想要的資料,但Google與臉書收集的個資範圍有多大,這就有賴這些社群媒體公司的內部管理機制來制衡,我們並無法有太多介入。 那,未來呢?我們的個資是否真的不值錢,其實這也是政府要去思考的問題,是否可以在個資法的進一步考量下讓更多的個資免於濫用,這個要逐漸形成一個全體共識,如果這個全體共識不存在,社群媒體公司就只會在他們自己的商業考量下做出一個平衡點。 影片的結論是,雖然社群軟體對於現代生活造成極大的影響,但不代表他只會走向不好的地方,如上面說的,要走向天堂或地獄是由使用者與服務提供商共同制衡以得到一個好的結果,因此也不用太過悲觀,但他們有一些建議我覺得也可以提供給大家。 試著有更多時間放下手機,去跟人真實溝通,去跟真正的世界進行交流 在手機上將一些不重要的資訊通知關閉,因為我們經常會被手機上許多無關緊要的資訊吸引注意力,讓我們放下手邊真正重要的事情去把手機拿起來看,也常常發現這個訊息大部分都是無關緊要的 常常省思你拿到的資訊是否是正確的,要有效率地過濾假消息,讓自己走出同溫層,紀錄片中有個小建議是要去訂閱一些跟你不同理念的人的頻道,這樣你才會在這些頻道中知道跟你不在同一個同溫層的人在想甚麼 不要讓系統幫你挑選建議資訊,要自己選擇資訊,例如Youtube的建議影片不一定是你應該去看的,應該是多看看非建議的影片,也許建議的影片只是廣告商希望你看的垃圾資訊 總之,過濾資訊是很重要的一件事情,不要被不正確的資訊影響了自己的世界觀,影片中有個比較極端的例子,就是有一位NBA球星公開說地球是平的,但當他接收到一些比較正統的資訊時才發現地球是圓的,因為他在Youtube上看到了許多影片在說,地球是平的,這些影片都是Youtube推薦給他的。 是的,隨時多點思考,試著自己選擇! 想看這部影片可以到參考他的官網: https://www.thesocialdilemma.com/
Complaint

在軟體工程領域,遵照辦理代表甚麼?

常常我們在軟體標案的答標上,經常會包含一份點對點(Point to Point response, PxP)的答覆,它代表在RFP(Request for Proposal)上每一條需求的符合度說明,客戶當然希望每一條都是FC(Fully Comply),也就是『遵照辦理』,但事實上我們常常會因為這個字導致無窮盡的開發拖延,因為我們與客戶對於同一句話的認定通常會差上十萬八千里。 點對點答覆有幾種回答方式 FC = Fully Comply = 遵照辦理 : 這代表這一條文字不管客戶如何解釋我都要無條件達成,這是很沉重的答覆,等同於客戶可以自行解釋這一條條文,廠商一般很不願意這樣落,但客戶經常會說你不這樣承諾,你就無法參與這個標案,當然,也有不少廠商為了搶案子,會先通通答應,以後再說,這樣的狀況經常導致雙輸 PC = Partial Comply = Fully Comply with Comment: 這代表我符合,但我有但書,不管是正面表列還是負面表列,我要宣告某些特定狀態下我無法符合要求,這是比較符合雙方利益的寫法,但客戶比較不喜歡這種被限制住的回覆方式,通常會要求你將限制縮小或者改成FC NC = Not Comply: 代表這一點我做不到,客戶最不喜歡這個,但在軟體工程角度,如果你不行,一定要說你不行,不然影響的層面會非常大,也經常導致專案無法正常驗收 雖然上面這幾種方式都可以用來進行點對點答覆,但最常被要求的就是全部都要答覆"遵照辦理",但這對於整個專案的執行與驗收經常造成很高的障礙,但甚麼是正確答案,還是需要因時因地制宜,儘量以PC方式來回應,可以的話儘量正面表列,將自己可以達成的功能寫清楚,尤其是大型的客製化專案,以上給大家參考。
OWASP Top 10

弱點掃描、滲透掃描與原始碼掃描有何不同?

一般客戶要求做掃描大多只會要求黑箱與白箱掃描兩種,所謂黑箱指的是不看Source Code,由外部試圖找到弱點,白箱則是直接掃描Source Code(原始碼),那甚麼是弱點掃描和滲透測試?那是最常被使用來偵測系統安全的黑箱掃描方法,以下也會一一介紹。 白箱掃描(原始碼掃描) 白箱會找到Source Code的安全問題,如果你賣的是軟體產品,一般都不會提供產品部份的Source Code,但如果是產品上有做客製化,一般的慣例還是要提供客製化部分的Source Code,這就是一般白箱會有的範圍,掃描的工具上,大家常會聽到的Micro Focus Fortify以及IBM Security AppScan這兩個是最常被使用的商業軟體,雖然功能強大,但價格也非常驚人,一套幾乎都是七位數台幣起跳,因此也有免費且功能不輸給這些軟體的免費方案,最常被使用的大概就是SonarQube,雖然說是免費方案,SonarQube一點也不輸商業軟體,而且免費方案(Community Version)其實僅支援部分程式語言,某些語言還是要買授權才能使用,但免費的PHP/Java/C#幾乎就可以用來處理大部分的白箱掃描了。 弱點掃描 黑箱掃描的話就如前面說的有分成弱點掃描和滲透測試,弱點掃描主要是透過自動工具偵測作業系統與軟體系統的明顯弱點,這些弱點比較容易被發掘,指要注意一些安全相關的電子報或網站就可以很快得知一些有名軟體的弱點,而這些弱點都會在最短時間內被修正,弱點掃描軟體也不少,包括上面提到的Fortify和AppScan其實都有弱點掃描工具,純弱點掃描比較常被用的商業軟體是Nexpose,Nexpose算是比較親民的價格,但也是要六位數台幣,因此免費軟體當然也要介紹一下,我所知道的有ZAP, OpenVAS, Nessus等等,這些都是免費但很好用的免費軟體,其實功能並不會差商業軟體太多。 OWASP Top 10 這時候我們就要提到OWASP Top 10了,這是OWASP組織每幾年就會公布的全球前十大弱點清單,裡面包含黑箱與白箱弱點,但以黑箱為主,這些清單都是弱點掃描的主要標的,OWASP Top 10目前最新的是2017年版。 滲透測試 那滲透測試呢?他與弱點掃描一樣是由外部這個黑盒子去找出問題,但他用的不是工具,而是找到專業的駭客(Hacker)來嘗試攻破你的系統,透過其經驗可以找到許多自動軟體找不到弱點,甚至透過駭客手法破壞你的軟體系統,因此滲透測試可以找到的弱點比弱點掃描找到得更多,當然滲透測試也有所謂自動商業軟體(Fortify,AppScan,Rapid7都還是有商業版本的滲透測試,成效也是看實際狀況),但真正的問題大都還是由人來找出。 以上給大家參考比較。

當敬拜讚美

0
信仰生活中,熱情是保持信心的絕佳途徑,當你失去熱情,信仰的信心很容易崩壞毀滅,在自己的信仰之初,覺得敬拜禱告都是很無聊的事情,總覺得只是為了做而做,經過過去這幾年的追尋,我發現每個人進入同在的方式都不一樣,我的方式是透過歌曲敬拜,進到聖靈的領域,讓我可以更加快樂地在歌聲中與耶穌同在,與耶穌同工,從參與教會的影控、音控到參與敬拜合聲,越來越多的恩膏在身上滋養茁壯,感覺就像是找到了一把前往天國的鑰匙,一道一道門開啟,雖然還有許多要增進的地方,但我心歡喜,我靈快樂,直到深處。 分享一首好聽的歌,他讓我在信心中愉悅並且充滿信心地呼叫主耶穌 https://www.youtube.com/watch?v=dK2rSkmWEzA
線上金流

台灣常見金流比較 – 1.藍新與綠界比較

台灣比較常見的金流大概就是所謂的紅、藍、綠三大廠商,也就是藍新、紅陽與綠界,這三家各有擅長,但近年各家金流如雨後春筍出現,包括歐付寶、萬事達等等,甚至Apple Pay, Line Pay, Google Pay, Samsung Pay都成為獨立的金流平台,這麼多平台中,我比較常碰到的就是藍新和綠界,以下我將藍新與綠界做個比較,給大家參考,有時間再來比較其他廠商 不過另外有找到一篇比較也蠻詳細的,可以給大家參考,點我
Webex介面

Webex視訊會議系統

因應疫情的視訊會議需求,各種視訊系統如雨後春筍般出現,Zoom當然是目前的企業首選,但同樣深耕視訊多年的Cisco也推出了自己的方案,名為Webex,Cisco過去都是做實體的H.323視訊設備,現在他把視訊功能軟體化,推出了Webex,而且網路有一說是,Zoom的老闆其實是中國人,Webex是比較跟中國無關的,而且Zoom的創辦人過去也是Cisco的高階技術主管,可說是技術同出一源。 那Webex怎麼用,其實跟Zoom幾乎一模一樣,免費版上限只能40分鐘會議,可以分享畫面等等,幾乎就是兩個一樣的方案,那註冊呢,當你打開 www.webex.com,你會看到一堆英文,是的,首頁沒有自動判斷語系,但點選"Start For Free"後倒是有自動判斷語系 請在輸入電子郵件的地方輸入您的Mail,然後按註冊 這邊要輸入您的姓與名,按下繼續後就會出現註冊完成並收到一封信件 上圖的"建立密碼"按鈕會導引你到WebEx改密碼,不過密碼規則還蠻嚴格的,自己設定好密碼 設定好之後就會看到你的專屬會議ID 按下開始會議就會引導你開啟一個會議,並問你是否要安裝Windows版本的Webex,安裝好Webex後會看到Webex的主畫面 如果是由網頁直接發動會議,這畫面也會自動變成會議模式,跟Zoom不一樣的地方是,他會先讓你預覽 確定沒問題後,按下開始會議才會正式開始會議 其他人透過剛剛你拿到的會議ID加入後就可以一同會議 與Zoom一樣,可以由主持人結束會議或者自行離開會議 Webex跟Zoom幾乎是同一個功能介面,會用Zoom的話,應該也對Webex不陌生。 幾個比較流行的視訊方案比較請參考下圖
ZoomMainMenu

防疫期間的視訊選擇

近期防疫期間很多公司或組織都開始使用視訊進行溝通,但要怎麼做視訊溝通呢?目前最流行的方式應該就是Line了,在Line群組中可以開啟群組視訊,但PC版和手機的位置不太一樣,PC版是在右下方 手機版是在右上方,按下通話就會出現語音通話與視訊通話的選擇,甚至可以開直播(Live) 但Line有個很大的缺點,就是只能做視訊,無法分享畫面,開會時經常會需要分享畫面,這時候,第一個想到的方案就是skype,但skype有個缺點就是,他有點古老了,很多人都有帳號,但早就不記得密碼,要另外註冊很麻煩,所以我就不太推薦了,這邊也不贅述。 那除了skype以外還有甚麼方案?近期最流行的就非Zoom莫屬了,Zoom可以開始視訊通話,也可以分享畫面進行簡報、展示等等功能,但Zoom視訊在免費版只能40分鐘,40分鐘後就要重新開啟,如果要做商業用途,就可以考慮購買無時間限制的版本,價格可以參考官網連結 https://zoomnow.net/zntw_zoom_pay_desc.php,這邊就會看到一個月的價格如果同時視訊人數不到25人,那不用500元就可以達成了,如果要更多人同時視訊就需要更高的價格,這個就自己考量了 免費版只能10方通話,如果你只是要加入會議,可以不用註冊,如果要開一個有40分鐘限制的會議就要註冊帳號,Zoom工具可以在官網下載,開啟後畫面如下 按下"新會議"就會啟動一個視訊會議,畫面中的控制方式說明如下 如果要共享螢幕,就可以按下"共享螢幕",然後選擇要共享整個桌面或者部分桌面,如果是付費版使用者開啟的會議還可以選擇共用某一支程式的畫面 邀請可以透過Mail發出類似以下訊息,使用者可以透過連結方便參加會議 加入 Zoom 會議 https://us04web.zoom.us/j/152243022?pwd=c0JxYXhUYmE2OG9UUE1sc0doVEQxdz09 會議 ID:152 243 022 密碼:131677 行動電話一鍵撥號 ,,152243022# 美利堅合眾國 付費電話 依所在位置撥打 美利堅合眾國 付費電話 會議 ID:152 243 022 尋找您的當地電話號碼:https://us04web.zoom.us/u/fcWIAXukMc 會議ID每次都會變,除非你付費才能有固定的會議ID。 如果只是要參加會議,可以在主選單選擇"加入會議",這時候可以手動輸入Zoom ID加入中間的格子是用來指定自己的名字的地方,如果你沒有安裝Zoom的程式,也可以透過邀請人給你的連結,直接在網頁上使用Zoom 所以,Zoom是最佳選擇? 最近還有看到一個解決方案叫RingCentral,他的視訊會議完全免費,而且介面跟Zoom幾乎一樣,到網路查了一下,據說RingCentral就是找Zoom OEM一個版本給自己,他是否會一直免費我頁不確定,但目前他真的是免費的,RingCentral跟Zoom一樣,支援手機App/Windows/網頁等等主流平台,他的網址為 https://www.ringcentral.com/online-meetings/overview.html ,大家可以自行前往參考。 RingCentral的Windows程式畫面跟Zoom有點類似 按加入會議就可以透過會議ID加入會議 但RingCentral的Windows程式登入一直無法成功,很奇怪,後來發現有個方法可以讓你成功開啟視訊會議,就是透過官網右上方的Login,登入時請選擇RingCentral App 登入後就可以用畫面中的攝影機圖是啟用視訊 這時候系統就會引導你開啟RingCentral的Windows程式啟動一個新會議 那該選哪一個,下表做個比較,如何選擇由您自己決定 比較表 補充:Line視訊通話時有個小缺點,如果你是用電腦開啟視訊,這時候你的手機將無法接電話、無法用Line打其他電話 補充;開啟視訊的人儘量網路好一點,因為他通常需要扮演MCU的角色,將所有封包都送到這台電腦或手機合成,是不是我介紹的每一個都有這問題,後續再專文研究  

WordPress比較不安全?

0
WordPress幾乎可以說是最方便快速建立網站的框架工具,但會有一個說法是WordPress的安全性漏洞比較多,這樣的說法是否合適與公平?這邊並沒有一個標準答案,但以下有幾個看法給各位參考WordPress確實有比較多為人所知的漏洞,但WordPress團隊會很快地修補完成,並且釋放給所有WordPress使用者,如果WordPress的修補無法解決你的漏洞那就是外掛或者您自己設計的程式有問題自己寫的框架確實比較不容易找到漏洞,但只要被發現漏洞,可能得要花非常多的時間去修正,也許是幾周甚至幾個月WordPress的漏洞為什麼多?這跟Windows的漏洞為什麼多是一樣的,主要因為他是市場主流,所以漏洞比較會被發現,客觀上,並不代表它的安全性比較差,而是因為用的人多,所以漏洞會被重視,Linux每天也是有非常多的漏洞,但因為使用Linux的人很少,所以漏洞並不會被放在檯面上,並不代表沒有漏洞許多資訊安全問題可以由外在的防火牆解決,因此不一定所有的漏洞都會被攻擊,有時候也是要靠外在的防火牆機制來防護WordPress是個免費的框架,但有個很大的團隊隨時在修正其中的問題,不過也因為他的彈性很大,WordPress的外掛非常多,這些外掛並無法由WordPress團隊來保證他的安全性,因此這是一塊潛在的問題區,也確實要冒比較大的風險,因此慎選外掛就成為一個非常重要的過程,還好WordPress標準外掛有各種統計資訊給你參考,例如評分機制,或許可以讓你有更有信心的選擇基礎結論就是,是否選擇一個框架來當作快速而方便的基礎要由各個內外在環境來評估,與他是否免費其實並無太大關係,隨著Open Source的盛行,許多Open Source軟體的安全性並不比商業軟體來得差,如我有任何問題,也歡迎與我們聯繫討論,謝謝! 這篇文章 WordPress比較不安全? 最早出現於 文藝沙發堂。 文章來源: AmzSofa