分类： 归档

半年过去了，onedrive依旧被DNS污染着，据说这两天GMail也彻底挂了……

上次我说过解决DNS污染，可以选择OPENDNS软件，或者VPN，但奇怪的是，这两个访问OneDrive都不稳定，干脆修改本地hosts文件，手动指定服务器地址：

134.170.108.26 http://onedrive.live.com
134.170.108.152 http://skyapi.onedrive.live.com

——————————————–

看来，我们终将还是要告别2014年，因为今天已经是2014年的倒数第二天了。

今年初，我给自己安排了3项任务，参加两个考试，换一份工作。截至到今天，这三项任务算是按计划完成了，因为今天下午刚得到第二个考试的成绩单（软考），尼玛，终于过了！

软考：

这个考试一年有两次，每次三个科目，必须全部及格才可，与其说是难度高，不如说是根本搞不大懂如何确保通过，上半年那次挂了，具体：20140715-软考再次失利

这是我的软考成绩单，三门都要超过45分

第二次考试的地点比第一次档次高了些

考试当天还下着雨，但是出勤人数倒是不少

这次考场内有食堂，吃饭很方便，伙食也不错，选择余地挺大的。难道第一次没过是因为我中午吃的拉面？

GCT：

这是在职研究生的入学考试，一张试卷，考四门内容，语文、数学、英语和逻辑。

具体可以看下百科：http://baike.baidu.com/link?url=zPw04QVlFp4wrN51FdirgZpkidgSez_T0dLD7AaFyawYJBKcQm21_6LYic1V57Wg8AGlq7AWeBz1C9YXTer___

这个考试，总分400，每科100分，175道题目，时间180分钟。我算了下，全做完没希望，但拿到200分以上还是很容易的，这个秘诀就是放弃其中一门，认真做三门，放弃的那门的答案你就直接掷色子吧。按照这个策略，我直接把数学放弃，因为理论概念太多，那剩下的三门要如何复习？我的答案是基本不必复习！自己去看下真题就清楚了，其次，GCT考试的最终分数线一般低于200分。

你看，数学掷色子的成绩都有32分，总分居然位于全国考生中的93%，属于第一梯队，太难以置信了，可见这个考试很简单

再看我报考学校内的名次，400多人中，我居然能到第五名……

GCT的考试，位于上海交大内，考生非常多非常多

只考上午场，3个小时

这个考场也是坐的满满当当

————————————————

这就是2014年，我的考试计划，2015年有个新的计划，希望能够顺利实施，当然，我会努力的！

你好，2015

年关将至，很多朋友都要赶车回家，路上贼手众多，大家要注意安全。而如果一旦丢失手机和身份证，那么一定要关注自己支付宝账户的安全了。

今天这篇日志，是作为最基础的网络账户安全性科普。我估计很多人对于支付宝的安全性认识度都不足，因此，在年前的最后一个周末写了这篇短文，主要是探讨支付宝账户安全性的，我会告诉大家，目前支付宝账户目前存在的不安全设计，以及如何避免。

支付宝的基本安全机制

默认情况下，大家的支付宝至少有两重安全保障，那就是登录密码和支付密码，且两者肯定是不同的。

这俩密码有没可能被盗呢？

当然！，而且是通过“正规途径”盗取—找回密码

密码找回

支付宝提供了非常“便捷”的密码找回方式。

登陆密码：通过手机短信找回密码

支付密码：手机短信+身份证号码找回

以上两者的新密码都会通过短信发送给客户！

说到这里，也就点开了今天讨论的核心：我认为，支付宝对于手机的信任度过高了，造成了目前严重的安全风险！

登陆密码找回途径

支付密码找回途径

情景重现

现在，我们完整的来看一下攻击场景。

假如你的手机和钱包被盗了，然后……

1.他们尝试用手机号码登陆支付宝

2.他们点击密码找回，选择短信接收

3.重新登陆支付宝

4.登陆后，执行找回支付密码，输入身份证号码，选择短信接收新密码

5.支付密码已到手，账户余额全部消费掉

6.余额宝账户也全部消费

7.如果钱包内还有银行卡，那么全部开通快捷支付

8.每张银行卡在快捷支付额度内，全额消费

9.盗取结束

是不是吓出一身冷汗？？你帐户里有余额吗？余额宝有钱吗？快捷支付开通了吗？？

你的手机和钱包看紧了吗？？

开通快捷支付，只需要拿到卡片基本信息即可

问题症结与解决

我们发现，问题都是出在手机上，一个手机到手，很多功能迎刃而解！

那么我们如何强化账户安全呢？很简单，从手机和支付宝两侧入手，往下看！

强化手机安全

• 启用sim卡的pin码，解决sim卡安全性。每次重启手机后，在接入网络之前，都必须输入pin密码，否则此sim无法联网，也就是无法接收短信，即便更换手机也没用！最重要的一点！
• 启用手机锁屏密码，解决手机安全性。如果手机被盗后，不重启手机，则pin码无法施展功效，依旧可以正常收发短信
• 关闭短信预览。否则会使锁屏密码功能失效，因为在锁屏界面也能看到短信内容
• 看紧你的手机，别丢了！

做到如上几步后，恭喜你，目前支付宝的安全性就已经被大幅提升！

强化支付宝安全

• 关闭手机号码登陆功能！
• 关闭所有快捷支付，以后也不要启用！尽量只关联一张银行卡
• 购买支付盾。这才是硬件级解决方案。数字证书、宝令之类的都不如这个强劲，但，有个漏洞，看下一条……
• 请关闭全部无线支付功能。支付宝的手机客户端是不受支付盾限制的！因此购买了支付盾，就应该关闭“无线功能”，这样手机端就无法进行支付或转账操作，再次启用此功能需要支付盾插入后操作

终极大法：使用支付盾+关闭无线支付

安全与效率

我们会发现，强化支付宝的安全性后，会使我们平时的操作变得繁琐。开机要密码，解锁屏幕也要密码，支付必须要插入支付盾，手机购物就从此88了。

但请大家记住，安全与效率永远是对立的。

你只能两者取其一，这个没有绝对的平衡。对于在支付宝上面有大量资金流动的，应该要牺牲效率换最高安全。即便没有大量资金的用户，也至少要强化各自的手机安全！

附录—手机选择

上个章节介绍了强化手机安全的办法，但都是防范手机被盗后的情况，如果手机没丢，有安全隐患吗？

有！特别要提及的是安卓操作系统的用户，由于系统的开放性，任何一款app都可以读取你的短信，虽然安装时有提示，但是有多少人会注意这些呢？

如下建议给出

• 不要优先考虑使用android手机！如果非要使用，建议只选择谷歌亲儿子，nexus系列手机。并且不要root，不要刷第三方固件，只使用原厂系统，不熟悉的软件一个都不要装，只从谷歌商店下载程序；
• 如果选择iphone，请不要越狱，确保系统安全性；
• 如果选择wp系统，目前暂时安全，因为尚不能越狱，安全性级别可与功能机匹敌！
• 可以选择一台nokia功能机，专门用于接收验证类短信

提前给大家拜年，祝大家马年吉祥，好运！

.

这是2015年的第一篇日志，再不写，就要错过1月份了。

本来计划先写TP-link刷OpenWrt的路由器固件，提供免费wifi热点（类似公共热点的做法，例如i-shanghai）的文章，但我觉得还是先写这篇吧，毕竟也算新年新气象？

———————————–

首先，我真的不是标题党，2015年1月开始，我这个日志站点，开始启用CDN加速服务和SSL加密链接！

我的主机一直在美国，而目前的这个供应商其实我很不满意，因为速度很不稳定，本来计划下个月把它换掉，但从目前升级CDN的效果来看，应该还行，那就暂且放放。

各位先来评论下你们的访问速度吧！

其次可以尝试访问SSL加密链接：https://www.gis0302.com/

——————————

什么是CDN

这东西就是把网站上的资源，例如图片，JS文件，CSS等静态文件，缓存至多台位于世界各地的服务器上，便于就近获取资源，加速访问，是现代大型网站的必修课程。

具体可以见百科：

http://baike.baidu.com/link?url=JtmOvguaIQ5Iy2pGT0jbrT_1vpHA5lA1YBmWXAyVwt_hu-UJ3IYnCcwWSEBGROhwwEUitse0kusGCwSHAvtQUK

注意：CDN并不会将你网站的动态输出的内容进行缓存（例如从数据库获取的数据）

1月31日补充：你可以自定义缓存规则，将全站都缓存，包括动态内容。具体见cloudflare说明

花了多少钱？

有人会问了，CDN和SSL花了多少钱升级？事实上是0元！真的是免费！

既然用了人家的服务，就做个广告吧，其实这个网站很著名：cloudflare

https://www.cloudflare.com

他们提供免费的CDN加速服务，当然，也有收费的高端版本。你只要简单注册后即可使用，它有一步步的向导，其实主要就是修改域名的地址指向。

加速效果如何？

目前从我自身测试来看，效果满足我的要求了

什么是SSL

这个是将你与网站之间的通信进行了加密，当然了，我这种网站无所谓的，既然是cloudflare免费送的，那就一起用吧。

注意：这个加密指的是你跟CDN服务器之间的加密，CDN服务器和我的主机之间并未加密，否则需要我的主机上也部署证书。

————————该看图了———————-

这是cloudflare的分析页面，我们发现谷歌的爬虫最给力！

加速后，国外服务器的访问速度很不错，基本在几十毫秒内

看看国内，差一个小数点，但总体还行

页面加载后，查看原始信息，发现页面确实是来自cloudflare的nginx静态缓存服务器

The End

———————————