最新文章

戲劇聖經App Large

使用”戲劇聖經”輕鬆聽聖經

0
一直沒有好好把新約看完,最近想把新約讀過一遍,但新約的內容也不少,平常的空閒也不多,之前有聽過一個方式是用聽的,那該用甚麼軟體聽,目前看過最多人使用的聖經軟體就是Lifr.Church推出的聖經軟體,但這軟體的念法有點機械化,可以用來聽,但聽久了其實會有點枯燥,後來想到前一陣子有推出『戲劇聖經』App,他是由真人宣讀,並且有配上背景音效,實際聽起來其實是很有感覺的,就好像耶穌在對你講道,或者保羅在跟你宣達上帝的愛,因此很推薦使用戲劇聖經軟體來輕鬆聽聖經。 戲劇聖經的官網介紹可以參考 https://prs.ortv.org.tw/cadb/,團隊安排了不少基督徒藝人來錄音,加上背景音樂或配樂,會讓你很能聲歷其境,讓你除了聽經文以外,也更能進入當時的情景狀態,戲劇聖經可以透過App或者直接到網頁上聽聖經,線上戲劇聖經的網址是https://bible.prsi.org/zh-hant/Player,還可以自己調整字體大小,很適合聚會時查找聖經之用,如果想下載App,可以到以下網址下載 Apple App Store: https://apps.apple.com/us/app/%E6%88%B2%E5%8A%87%E8%81%96%E7%B6%93/id1553501418 Google Play: https://play.google.com/store/apps/details?id=com.futuresoft.public.reading.zh_hant 主要的App平台都有,聽到一個進度之後,App會紀錄上次聽的位置,所以可以繼續往下聽,但因為自己也會有查經的需求,因此也會配合上面提到的Life.Church聖經App查經,戲劇聖經App則固定停在最後聽的進度點。 到目前為止,不到一個月,已經聽到啟示錄,已經快聽完一遍聖經,我的作法就是開車上下班時就把戲劇聖經打開開始聽,每天其實也可以聽個至少10個章節,是個很推薦的聽聖經方式。
The Chosen

The Chosen影集

0
The Chosen翻譯成上帝所揀選的人,這是一部免費影集,由一位虔誠的基督徒導演拍攝的,導演Dallas Jenkins在明尼蘇達州的西北聖經文理學院主修聖經,對於聖經內容非常熟稔,他拍這部影集是透過公眾募資的方式籌集拍攝經費,所以他不用去迎合各種主流媒體,杜撰出一些不符合聖經教義的稗官野史,網路上的評價目前為止都是正向的,這部影集是想將耶穌的生平做個描述,讓大家更容易去了解耶穌的真實面貌,雖然導演有些手法是其他福音電影所沒用過的,但也讓觀眾可以更加瞭解到耶穌的平易近人。 The Chosen是由Angel Studio所拍攝的,官網在 https://watch.angelstudios.com/thechosen ,Facebook也有粉絲團,在 https://www.facebook.com/InsideTheChosen,觀看這部影集有兩種方式,一種是直接在官網上觀看,一種是下載App,在App上看,App也可以透過AirPlay或者ChromeCast方式分享到電視上,影集如前免所說的是完全免費的,他的經費都來自於公眾募資,想支持的人都可以線上支持,目前影集拍攝到第二季,第三季正在募資中,預計至少拍到第五季,強烈推薦給有興趣了解耶穌生平並體驗四福音書的全新呈現的人。

WordPress網站版型等於無痛建置網站?

0
WordPress網站版型等於無痛建置網站?這是近期聽到不少人的疑問,甚至是不少人認定的事實,但是否套現成的版型就可以無痛建置網站,其實這裡面有幾個不太正確的思考點,以下一一說明。 WordPress是免費的,所以用它建網站應該要很便宜? WordPress確實是免費的,但它只是一個框架,並不是現成的東西,很多人以為裝好WordPress就完成我的網頁了,其實後續還有很多工作要做,要完成自己的網站是需要很多後續工作,包括網站規劃、網站設計、內容準備等等,不要以為是WordPress就覺得它應該是便宜的。 安裝WordPress很簡單嗎? 對於有足夠知識的人而言,確實很簡單,但對於第一次建置網站的人,是有很多東西需要學習的,包括 選擇網站提供商,不管是自己在GCP、AWS或Azure自己建置網站伺服器,還是去買Bluehost、A2 Hosting、CloudWays、GoDaddy等國外有名提供商,或者在台灣找遠振、戰國策這一類本地提供商,都需要一定的了解才能選擇正確的提供商,不然就會發生網站牛步等等問題 安裝WordPress很快,如果網站提供商有現成的安裝工具更快,但如果沒有,你就要學會如何建立MySQL資料庫,設定帳號密碼與權限 裝好就可以了嗎?你要規劃好自己的網站有幾種主要方式 第一個就是使用WordPress原生的版型,自己編輯頁面,透過WordPress編輯器把你想要的頁面建立好,這種方式可以呈現的效果很有限 選一個版型,買下來,用這個版型直接改裡面的文字與圖片,這是最快可以讓你的網站呈現一定專業度的方法 選好版型後,自己寫一些程式,下一些CSS語法,讓你的網站與他人與眾不同,但你要有比較多的HTML、CSS,甚至RWD的常識才有辦法做這些事情 所以安裝WordPress簡單嗎?其實算簡單,但後續的工作才是困難的地方 不使用WordPress框架的公司會比較專業? 這個問題見仁見智,我個人是覺得WordPress有個強大的支持體系,會隨時更新,所以安全性問題會比較少,而且彈性靈活,建置網站速度真的會比較快。 當然,有些傳統網頁公司開發的框架也可以快速發展出網站,但其實這種框架會比較受限於開發時的想像,彈性不一定比較高。 建置一套WordPress網站需要多少時間? 如果你不想買任何版型,想在原生版型上開發,或者你只想找到免費版型(也是有,但不多,大多好版型都是要錢的),自己去刻出自己要的網站,這樣需要多少時間?根據我的經驗,你可能需要花至少兩周的時間,至少80個小時去做,而且不會太漂亮,也不一定會有好的RWD體驗。 那,如果你買了版型就會比較快嗎? 如果你沒有像要製作一個與眾不同的版型,那就只有學習使用版型編輯器(每個版型的編輯器都不太一樣,但目前我看到的主流是WPBakery,蠻方便用的),然後上稿,要學會WPBakery,如果有一定的網頁知識,大概兩到三天,但版型會有一些設定要做,學版型的設定就是每一套要獨立學,最後,上稿則要花時間去準備資料,這部分也很花時間,上稿又是另一個花時間的地方,但一般來說RWD是現成的,只要你不要破壞它的結構就不會有大問題,以這樣的基礎,可能需要的時間是 安裝WordPress+版型: 2小時 學會版型的使用方法:6小時 準備文稿:16小時 (如果網站不複雜的話) 將資料上稿並根據上稿狀況修正準備的資料,例如圖片解析度要配合版型:40小時 如果沒有任何意外,大概需要64個小時。 如果你選的版型又想要在上面客製化的話,你除了上述時間與技能,還要會幾個主要技術:PHP+CSS+Bootstrap等等,然後根據客製化幅度,可能會需要50小時到500小時不等 因此,一套有專屬風格的WordPress網站,使用現成版型之下,至少也需要100個小時左右的時間,如果你對版型與工具都很熟悉,至少也要60小時,大約八個人天,一般來說有這樣能力的人,是需要一定的成本的。 有推薦的版型嗎? 其實不同的目的可能有不同的版型適合,並沒辦法用一個版型做所有的事情,當然也不是不可能,但就是會有些侷限,目前看到比較好的版型是Avada,另外內建WPBakery的版型也不錯,如果你覺得買版型很花錢,也可以參考加入一些版型吃到飽的會員,例如Envato Elements,不過上面並不是你要的都有,所以有時候還是要花錢在別的地方買。 甚麼是編輯器? WordPress有一個預設的陽春編輯器,5.0之後增加了一個區塊式的編輯器,叫Gutenberg,但很多人表示既有的Classic Editor比較好用,甚至有外掛是用來把Gutenberg關掉的,但這個就看個人喜好。 其他的編輯器我用過的有Avada,這個編輯器是附加在Avada版型中的,所以要買Avada才會有這個編輯器, WPBakery是我目前看過最多版型使用的編輯器,也有很多外掛是用來增加WPBakery能力的,但WPBakery原始的功能就很多了,可以用來放Google地圖、放FAQ以及各種常用元件,應該可以讓你設計出大部分的效果。 Elementor是比較新的編輯器,但也有不少版型是用Elementor,有需要也可以考慮使用。 為什麼還需要會CSS? 因為版型與編輯器會有很多限制,可能辦不到你要的呈現效果,這時候就需要用CSS語法來做微調,甚至有需要時還得寫一些JavaScript來達成目的。 WordPress是唯一選擇嗎? WordPress使一種CMS,也就是內容管理系統,CMS有八成以上是WordPress,剩下兩成,比較流行的是Joomla和Drupal,他們比WordPress設計更加嚴謹,但資源相對少,彈性卻比較大,但要會寫點Code。 結論 WordPress網站版型等於無痛建置網站?其中其實隱含了許多妳看不到的工作與成本,一個網站做下來,其實是要花費很多時間規劃與執行,並不代表版型就是現成的東西,他只是一個框架,只是讓你的網站可以在一個比較好的出發點自行發展,並不是現成的東西。   這篇文章 WordPress網站版型等於無痛建置網站? 最早出現於 文藝沙發堂。 文章來源: AmzSofa
Web Development

WordPress網站版型等於無痛建置網站?

WordPress網站版型等於無痛建置網站?這是近期聽到不少人的疑問,甚至是不少人認定的事實,但是否套現成的版型就可以無痛建置網站,其實這裡面有幾個不太正確的思考點,以下一一說明。 WordPress是免費的,所以用它建網站應該要很便宜? WordPress確實是免費的,但它只是一個框架,並不是現成的東西,很多人以為裝好WordPress就完成我的網頁了,其實後續還有很多工作要做,要完成自己的網站是需要很多後續工作,包括網站規劃、網站設計、內容準備等等,不要以為是WordPress就覺得它應該是便宜的。 安裝WordPress很簡單嗎? 對於有足夠知識的人而言,確實很簡單,但對於第一次建置網站的人,是有很多東西需要學習的,包括 選擇網站提供商,不管是自己在GCP、AWS或Azure自己建置網站伺服器,還是去買Bluehost、A2 Hosting、CloudWays、GoDaddy等國外有名提供商,或者在台灣找遠振、戰國策這一類本地提供商,都需要一定的了解才能選擇正確的提供商,不然就會發生網站牛步等等問題 安裝WordPress很快,如果網站提供商有現成的安裝工具更快,但如果沒有,你就要學會如何建立MySQL資料庫,設定帳號密碼與權限 裝好就可以了嗎?你要規劃好自己的網站有幾種主要方式 第一個就是使用WordPress原生的版型,自己編輯頁面,透過WordPress編輯器把你想要的頁面建立好,這種方式可以呈現的效果很有限 選一個版型,買下來,用這個版型直接改裡面的文字與圖片,這是最快可以讓你的網站呈現一定專業度的方法 選好版型後,自己寫一些程式,下一些CSS語法,讓你的網站與他人與眾不同,但你要有比較多的HTML、CSS,甚至RWD的常識才有辦法做這些事情 所以安裝WordPress簡單嗎?其實算簡單,但後續的工作才是困難的地方 不使用WordPress框架的公司會比較專業? 這個問題見仁見智,我個人是覺得WordPress有個強大的支持體系,會隨時更新,所以安全性問題會比較少,而且彈性靈活,建置網站速度真的會比較快。 當然,有些傳統網頁公司開發的框架也可以快速發展出網站,但其實這種框架會比較受限於開發時的想像,彈性不一定比較高。 建置一套WordPress網站需要多少時間? 如果你不想買任何版型,想在原生版型上開發,或者你只想找到免費版型(也是有,但不多,大多好版型都是要錢的),自己去刻出自己要的網站,這樣需要多少時間?根據我的經驗,你可能需要花至少兩周的時間,至少80個小時去做,而且不會太漂亮,也不一定會有好的RWD體驗。 那,如果你買了版型就會比較快嗎? 如果你沒有像要製作一個與眾不同的版型,那就只有學習使用版型編輯器(每個版型的編輯器都不太一樣,但目前我看到的主流是WPBakery,蠻方便用的),然後上稿,要學會WPBakery,如果有一定的網頁知識,大概兩到三天,但版型會有一些設定要做,學版型的設定就是每一套要獨立學,最後,上稿則要花時間去準備資料,這部分也很花時間,上稿又是另一個花時間的地方,但一般來說RWD是現成的,只要你不要破壞它的結構就不會有大問題,以這樣的基礎,可能需要的時間是 安裝WordPress+版型: 2小時 學會版型的使用方法:6小時 準備文稿:16小時 (如果網站不複雜的話) 將資料上稿並根據上稿狀況修正準備的資料,例如圖片解析度要配合版型:40小時 如果沒有任何意外,大概需要64個小時。 如果你選的版型又想要在上面客製化的話,你除了上述時間與技能,還要會幾個主要技術:PHP+CSS+Bootstrap等等,然後根據客製化幅度,可能會需要50小時到500小時不等 因此,一套有專屬風格的WordPress網站,使用現成版型之下,至少也需要100個小時左右的時間,如果你對版型與工具都很熟悉,至少也要60小時,大約八個人天,一般來說有這樣能力的人,是需要一定的成本的。 有推薦的版型嗎? 其實不同的目的可能有不同的版型適合,並沒辦法用一個版型做所有的事情,當然也不是不可能,但就是會有些侷限,目前看到比較好的版型是Avada,另外內建WPBakery的版型也不錯,如果你覺得買版型很花錢,也可以參考加入一些版型吃到飽的會員,例如Envato Elements,不過上面並不是你要的都有,所以有時候還是要花錢在別的地方買。 甚麼是編輯器? WordPress有一個預設的陽春編輯器,5.0之後增加了一個區塊式的編輯器,叫Gutenberg,但很多人表示既有的Classic Editor比較好用,甚至有外掛是用來把Gutenberg關掉的,但這個就看個人喜好。 其他的編輯器我用過的有Avada,這個編輯器是附加在Avada版型中的,所以要買Avada才會有這個編輯器, WPBakery是我目前看過最多版型使用的編輯器,也有很多外掛是用來增加WPBakery能力的,但WPBakery原始的功能就很多了,可以用來放Google地圖、放FAQ以及各種常用元件,應該可以讓你設計出大部分的效果。 Elementor是比較新的編輯器,但也有不少版型是用Elementor,有需要也可以考慮使用。 為什麼還需要會CSS? 因為版型與編輯器會有很多限制,可能辦不到你要的呈現效果,這時候就需要用CSS語法來做微調,甚至有需要時還得寫一些JavaScript來達成目的。 WordPress是唯一選擇嗎? WordPress使一種CMS,也就是內容管理系統,CMS有八成以上是WordPress,剩下兩成,我有遇過也比較流行的是Joomla和Drupal,他們比WordPress設計更加嚴謹,但資源相對少,彈性卻比較大,但要會寫點Code。 網路上有沒有甚麼資訊可以更方便了解相關資訊? 我很喜歡的一個網站是『網站帶路姬』,很多同性質的網站都會以銷售網站為主軸,但這個網站確是以分享『知識』為主要目的,當然它也有自己的課程等等服務,但還是很不吝嗇地分享許多真的很有用的資訊。我不認識站主,沒有幫她做廣告,只是純粹想分享給大家參考。 結論 WordPress網站版型等於無痛建置網站?其中其實隱含了許多妳看不到的工作與成本,一個網站做下來,其實是要花費很多時間規劃與執行,並不代表版型就是現成的東西,他只是一個框架,只是讓你的網站可以在一個比較好的出發點自行發展,並不是現成的東西。 還有問題嗎?可以透過頁面最下方的跟隨我們各種社群媒體方式聯絡到我。 本文章同時發表於 https://hcm86.blogspot.com/2021/02/wordpress.html 本文章同時發表於 文藝沙發堂 文章同時自動發布到 https://www.facebook.com/hcm640125
Data Security

資訊安全概論

所有資安指的是資訊安全,這是網路發達後產生的術語,泛指所有與資訊安全的各種領域議題,但到底甚麼是資安,整合了一些網路上的資訊可以歸納出以下的主要特性 三大基本原則 機密性 (Confidentiality): 資料必須保持機密,不被他人取得,這邊指的是一些常用的加解密技術,由SSL到RSA等等技術都在此範疇內 完整性 (Integrity): 傳輸過程中,資料竄改可以快速被發現發現,例如CHECKSUM機制 可用性 (Availability): 代表在前兩個原則下可以正常使用 其他特性 不可否認性: 透過數位簽章技術確保不可否認性 權限管控: 所有資料都會進行權限控管 資安技術主要包括 防火牆 加解密/編解碼 資料驗證與不可取代性 資料備份 網路攻擊預防 災難復原 每個人對於資訊安全的定義範圍不太一樣,但他的重點就是要確保在網路上的資料可以被安全保護,每個領域都會是一篇介紹專文,後續會持續針對每一個領域做中簡單的介紹。
在你同在裡

同在之路

0
過去充滿了驚奇與記憶,不見得都是好的回憶,但總會不由自主回想這一路來的點點滴滴,並回想主的同在,或許在最初就已經訂好他的計畫,讓我可以在他的指引下一步步來到寶座之前,這一條路開始於前一段婚姻,其實後來才知道幫我做婚姻媒合的劉老師也是基督徒,經過了很多次失敗,最後遇到我前妻時,終於成功,而他自己也自認是基督徒,不過他應該只算慕道友,不過也由於這一段經歷,有去了幾次長老教會,算是接觸基督信仰的前哨,當時其實有些排斥,也不太了解真正的基督信仰內涵,總覺得無法融入,無法與會眾同在。 一直到後來婚姻出現的危機,那時前妻的精神狀況有問題,但當時並沒有相關常識該如何處理,也有請教過劉老師,但總是沒有真正解決問題,當時也去過行天宮,問是不是有不好的東西在,但得到的答案不是,所以是純粹精神疾病嗎?但我沒有解答,一直到有一天,我突然想到,如果傳統信仰的神無法幫我解決問題,那耶穌呢?那時候我做了人生中的第一次禱告,如果耶穌為我解決了婚姻的問題,我就信你。 然而,後來的許多事情在神的引領之下我都沒發現其實是神的大能在我心中種下種子,一直到我站上了音控台以及敬拜團的舞台,我才知道這一切的引導與追尋是為了甚麼,我知道從某個時間點祂就與我同在了,願這個同在不斷延續直到我見了祢面,直達永生,阿門! 好歌推薦: https://www.youtube.com/watch?v=fsUVkm142O4  
Hacker

甚麼是駭客?他是破壞者嗎?

駭客(Hacker)這個名詞在原本的定義是指對於系統非常熟悉的電腦高手,是很正面的一個名詞,但後來有些駭客用了這些技術進行牟利等等行為,導致駭客這個名詞有點像是資訊安全的破壞者,其實這與現實有很大的差距。 駭客(Hacker)指的是很熟悉系統原理並且可以由系統中找出可能的漏洞的人,他們找出漏洞的目的並不是破壞而是要修補,因此駭客其實是系統資訊安全的維護者,他們不斷使用自己的專業能力找出系統的可能漏洞並且提供修補建議給系統廠商,這些廠商可能是賣商業軟體的廠商,也可能是Open Source的維護組織,尤其對於Open Source組織而言,這些駭客的貢獻是讓這些軟體系統更加穩定的重要功臣。 那資安破壞者算是駭客嗎?從定義上來看,他也算是一種駭客,但我們經常會給他們另一個名字,叫做Cracker,當然也有更多的各種名字被定義,但我看到比較常被使用的就是Cracker,或者直接叫他黑帽駭客。 黑帽?駭客戴帽子?其實這是一種常被使用的比喻方式,白帽是比較正統的一方,他的目的是要讓更好的目標達成,反之,黑帽就是要從事各種破壞目的,那有中間的嗎?我們一般稱之為灰帽,就是遊走在灰色地帶,他不對系統做出破壞,但可能用這些漏洞從事一些只對自己有利的事情。我們整理一下這三種駭客的差異 白帽駭客(Whitehat Hacker): 透過正規方法發現並起提供安全漏洞的解決方案 灰帽駭客(Greyhat Hacker): 透過灰色地帶的技術達成某些特定目的 黑帽駭客(Blackhat Hacker): 透過非法手段達到破壞之目的,一般稱之為Cracker(黑客),也就是資訊犯罪者 因此,駭客有分很多種,並不一定是不好的名詞代表,未來有機會再來做更多的說明。
TheSocialDilemmaLarge

The Social Dilemma 社群媒體困境

The Social Dilemma是Netflix近期的一部原創紀錄片,他找了幾位Google/FB/IG等等企業的前員工講述社群軟體造成的一些負面影響,這裡面確實不無道哩,但總是一面之詞,不一定全面性,而且這些人在最後也提到了,這並不代表社群軟體的未來就是地獄,而是由使用者與開發者共同決定他的走向,在社群軟體中的種種設計是否符合道德考量等等,都是很值得我們深深思考的。 這些年來社群軟體帶來的影響是非常強烈的,我們不再需要與人溝通就可以在網路上取得各種不同的資訊,但在一些商業考量之下,其實你要思考的是,你得到的資訊是否是正確的,網路上的假資訊傳遞速度遠高於正確資訊,而且有許多人經常會以為你得到的假資訊是真實世界的現實,但這其實是AI設計邏輯造成的,當初AI的設計並不是源自於惡的意念,反而是善的意念是最主要的,但在整個商業操作下,你經常會發現自己不管在Google還是臉書上都可以輕易得到符合自己觀點的資訊,也就是讓你活在特定的同溫層之中,這是如何造成的? 主要問題在於你看到的許多資訊是廣告商想要提供給你的,這些廣告商會指定目標客群,例如年齡、喜好等等條件,因此你經常會發現,在Google和臉書的廣告大都就是你想要的資訊,並且吸引你點進去看,甚至進行採購,這就是廣告市場無意之間造成的特殊現象,在這樣的現象下,客戶就是商品,而購買者就是廣告商。 然而當你搜尋同一個關鍵字,你得到得結果並不一定與別人相同,而是背後的AI引擎透過一些個人資訊判斷如何顯示最接近你想要的答案,但這並不會太明顯地出現在您的搜尋結果,而是一步一步漸漸地發生,因為當你得到的資訊和別人差異太大,很容易在言談之中被發現,但如果Google的一頁搜尋結果有一到兩則結果被廣告取代了,那你可能不會有太大的感覺。 這時候,我們應該要發現一個事情,就是你的各種習慣等等參數為何會被Google和臉書知道了?這代表它們有在蒐集我們的個資嗎?這個答案其實非常明顯,是的,它們隨時隨地在收集我們的個資,而且我們在不知不覺之下也在他們的個資宣告中同意他們收集個資,但收集個資是好還是壞,其實個把兩面刃。 我們提供了部分個資其實讓我們的生活產生了許多便利,我們可以在這些基本資訊的基礎下更精確地找到我們想要的資料,但Google與臉書收集的個資範圍有多大,這就有賴這些社群媒體公司的內部管理機制來制衡,我們並無法有太多介入。 那,未來呢?我們的個資是否真的不值錢,其實這也是政府要去思考的問題,是否可以在個資法的進一步考量下讓更多的個資免於濫用,這個要逐漸形成一個全體共識,如果這個全體共識不存在,社群媒體公司就只會在他們自己的商業考量下做出一個平衡點。 影片的結論是,雖然社群軟體對於現代生活造成極大的影響,但不代表他只會走向不好的地方,如上面說的,要走向天堂或地獄是由使用者與服務提供商共同制衡以得到一個好的結果,因此也不用太過悲觀,但他們有一些建議我覺得也可以提供給大家。 試著有更多時間放下手機,去跟人真實溝通,去跟真正的世界進行交流 在手機上將一些不重要的資訊通知關閉,因為我們經常會被手機上許多無關緊要的資訊吸引注意力,讓我們放下手邊真正重要的事情去把手機拿起來看,也常常發現這個訊息大部分都是無關緊要的 常常省思你拿到的資訊是否是正確的,要有效率地過濾假消息,讓自己走出同溫層,紀錄片中有個小建議是要去訂閱一些跟你不同理念的人的頻道,這樣你才會在這些頻道中知道跟你不在同一個同溫層的人在想甚麼 不要讓系統幫你挑選建議資訊,要自己選擇資訊,例如Youtube的建議影片不一定是你應該去看的,應該是多看看非建議的影片,也許建議的影片只是廣告商希望你看的垃圾資訊 總之,過濾資訊是很重要的一件事情,不要被不正確的資訊影響了自己的世界觀,影片中有個比較極端的例子,就是有一位NBA球星公開說地球是平的,但當他接收到一些比較正統的資訊時才發現地球是圓的,因為他在Youtube上看到了許多影片在說,地球是平的,這些影片都是Youtube推薦給他的。 是的,隨時多點思考,試著自己選擇! 想看這部影片可以到參考他的官網: https://www.thesocialdilemma.com/
Complaint

在軟體工程領域,遵照辦理代表甚麼?

常常我們在軟體標案的答標上,經常會包含一份點對點(Point to Point response, PxP)的答覆,它代表在RFP(Request for Proposal)上每一條需求的符合度說明,客戶當然希望每一條都是FC(Fully Comply),也就是『遵照辦理』,但事實上我們常常會因為這個字導致無窮盡的開發拖延,因為我們與客戶對於同一句話的認定通常會差上十萬八千里。 點對點答覆有幾種回答方式 FC = Fully Comply = 遵照辦理 : 這代表這一條文字不管客戶如何解釋我都要無條件達成,這是很沉重的答覆,等同於客戶可以自行解釋這一條條文,廠商一般很不願意這樣落,但客戶經常會說你不這樣承諾,你就無法參與這個標案,當然,也有不少廠商為了搶案子,會先通通答應,以後再說,這樣的狀況經常導致雙輸 PC = Partial Comply = Fully Comply with Comment: 這代表我符合,但我有但書,不管是正面表列還是負面表列,我要宣告某些特定狀態下我無法符合要求,這是比較符合雙方利益的寫法,但客戶比較不喜歡這種被限制住的回覆方式,通常會要求你將限制縮小或者改成FC NC = Not Comply: 代表這一點我做不到,客戶最不喜歡這個,但在軟體工程角度,如果你不行,一定要說你不行,不然影響的層面會非常大,也經常導致專案無法正常驗收 雖然上面這幾種方式都可以用來進行點對點答覆,但最常被要求的就是全部都要答覆"遵照辦理",但這對於整個專案的執行與驗收經常造成很高的障礙,但甚麼是正確答案,還是需要因時因地制宜,儘量以PC方式來回應,可以的話儘量正面表列,將自己可以達成的功能寫清楚,尤其是大型的客製化專案,以上給大家參考。
OWASP Top 10

弱點掃描、滲透掃描與原始碼掃描有何不同?

一般客戶要求做掃描大多只會要求黑箱與白箱掃描兩種,所謂黑箱指的是不看Source Code,由外部試圖找到弱點,白箱則是直接掃描Source Code(原始碼),那甚麼是弱點掃描和滲透測試?那是最常被使用來偵測系統安全的黑箱掃描方法,以下也會一一介紹。 白箱掃描(原始碼掃描) 白箱會找到Source Code的安全問題,如果你賣的是軟體產品,一般都不會提供產品部份的Source Code,但如果是產品上有做客製化,一般的慣例還是要提供客製化部分的Source Code,這就是一般白箱會有的範圍,掃描的工具上,大家常會聽到的Micro Focus Fortify以及IBM Security AppScan這兩個是最常被使用的商業軟體,雖然功能強大,但價格也非常驚人,一套幾乎都是七位數台幣起跳,因此也有免費且功能不輸給這些軟體的免費方案,最常被使用的大概就是SonarQube,雖然說是免費方案,SonarQube一點也不輸商業軟體,而且免費方案(Community Version)其實僅支援部分程式語言,某些語言還是要買授權才能使用,但免費的PHP/Java/C#幾乎就可以用來處理大部分的白箱掃描了。 弱點掃描 黑箱掃描的話就如前面說的有分成弱點掃描和滲透測試,弱點掃描主要是透過自動工具偵測作業系統與軟體系統的明顯弱點,這些弱點比較容易被發掘,指要注意一些安全相關的電子報或網站就可以很快得知一些有名軟體的弱點,而這些弱點都會在最短時間內被修正,弱點掃描軟體也不少,包括上面提到的Fortify和AppScan其實都有弱點掃描工具,純弱點掃描比較常被用的商業軟體是Nexpose,Nexpose算是比較親民的價格,但也是要六位數台幣,因此免費軟體當然也要介紹一下,我所知道的有ZAP, OpenVAS, Nessus等等,這些都是免費但很好用的免費軟體,其實功能並不會差商業軟體太多。 OWASP Top 10 這時候我們就要提到OWASP Top 10了,這是OWASP組織每幾年就會公布的全球前十大弱點清單,裡面包含黑箱與白箱弱點,但以黑箱為主,這些清單都是弱點掃描的主要標的,OWASP Top 10目前最新的是2017年版。 滲透測試 那滲透測試呢?他與弱點掃描一樣是由外部這個黑盒子去找出問題,但他用的不是工具,而是找到專業的駭客(Hacker)來嘗試攻破你的系統,透過其經驗可以找到許多自動軟體找不到弱點,甚至透過駭客手法破壞你的軟體系統,因此滲透測試可以找到的弱點比弱點掃描找到得更多,當然滲透測試也有所謂自動商業軟體(Fortify,AppScan,Rapid7都還是有商業版本的滲透測試,成效也是看實際狀況),但真正的問題大都還是由人來找出。 以上給大家參考比較。