Flash爆發0天高危漏洞 請立即更新FlashPlayer

幾天前Google稱有數百位Gmail用戶帳號遭到入侵
雖然Google說這並不是因為Gmail的漏洞所導致
但一些人依然認為是Gmail漏洞問題
到了今天問題已經明朗了



問題的源頭正是Adobe Flash所導致！
受影響的版本有OS X, Linux, Windows, Solaris上的Flash 10.3.181.16及舊版
Android平台上的Flash 10.3.185.22及舊版


它攻擊的方式是由一封釣魚郵件開始
信件的內容利用誘拐的方式
欺騙使用者點擊了一個連結
而這個連接會開啟一個Flash檔
使用Flash的Redirect對Gmail進行偽造的跨站請求
並且在這個過程中轉介到攻擊者本身的信箱當中
該樣本目前已經被提取，由於使用DoSWF方式加密
目前還無法解密，但攻擊手法已經確定

建議Google或其他同質性服務的公司
應該修改認證程序，在轉介新的授權信箱時
要求使用者動手重新再輸入一次密碼
如此這類自動授權的問題將可被有效斷絕

目前Adobe已經釋出了更新版
還有Chrome內建Flash的更新版
強烈建議馬上進行更新
以免遭到攻擊 (繼續閱讀...)

一個沒有隱私憂慮的Google Chrome

大家都知道Google Chrome瀏覽器雖然快速好用
但大部分人不知道的是它的Google Omnibox有不小的隱私爭議
當用戶將Chrome做為預設瀏覽器時，在網址列輸入的內容
也不需要敲Enter，所有內容全部都會回傳給Google
而且每一個Chrome用戶都會有一個圖特的身份證號碼
Google會統計每個用戶的使用情況，收集你的一些資料
例如IP還還有你瀏覽過一些什麼樣的網站，或用Google搜尋了些什麼
在某方面來看，Google透過Chrome收取用戶資訊，以壯大自家的搜尋引擎
看到這邊，可能有人內心開始發問了，那我可以不要嗎？




Chrome收集用戶資訊有些人或許不在乎，但有些人可能會覺得隱私被侵犯了
好在Google Chrome是個使用BSD授權許可的開源軟體
開源的好處就是任何人如果使用上不滿意都可以自行fork源代碼
所以現在有一個完美的解決方案，那就是SRWare Iron
SRWare Iron是Google Chromium開源計畫的一個實現
它使用了Google Chromium的源代碼，去除掉了那些會侵犯隱私的代碼
改用SRWare Iron後與Chrome相比SRWare Iron少了：

1.如果發生crash，將不會傳送任何相關資訊給Google

2.安裝時不會像Chrome一樣安裝身份證

3.網址列輸入的訊息不會回報Google，同時也失去自動揪錯與快速提示功能

4.不會安裝無用的元件在背景時時刻刻檢查有沒有新版出現

除此之外使用上與Chrome沒有任何差別，其實SRWare Iron推出有一段時間了
我一直注意它的發展，之所以現在才推薦，是因為現在有內建正體中文，在之前只有英文版
其它的不同請參閱Srware官方網站的詳細說明！ (繼續閱讀...)

我的Google Chrome讓我拼了個世界第一的噓名XD

這是有別於我自己常用的一個JavaScript Benchmark
跟其他的BenchMark不同的是，這個網站提供成績登陸
所以有一群人把自己瀏覽器的成績登陸了上去！

這個測試網站有英文原版
但是我現在一時找不到那個英文原版的網址，所以就先將就點
因為開啟的速度真的很慢很慢，有的時候還會失去回應．．

進行測試可以按每個項目的按扭，或者是最下面的開始所有測試
按下後差不多兩三秒的時間就完成測試了！
比大部分的JavaScript Benchmark都還要來快！



在今天之前我都使用官方版Google Chrome來進行測速
但是怎麼測都是在28ms左右，無法更進一步提高成績
今天我發現了基於Chrome源代碼的另一個測試版本
這個版本叫做Chromium，每天更新，相當於Chrome的Nightly build版
相較於Chrome，Chromium有更好的穩定性以及更優秀的資源管理
也有不必安裝就能夠直接使用的免安裝版！
只是比較麻煩的是Chromium無法像FireFox Nightly build版一樣可以自動更新



換成Chromium後，才測了兩次，成績就與排名在第一位的老兄並列第一！
這個感覺還真是不錯，滿足了埋藏已久的以為不再出現的虛榮心XD．．



只是Chromium快是快，但是實際在用的時候卻爾偶會發生凍結．．
往往是一個分頁出了問題，然後其它分頁也不動了，凍住的這段時間
其它的分頁無法拖拉．．跟Google所大似強調的Process per Tab有點差距．．
因為在我看來還是有可能造成其它分頁也跟著崩潰．．．
不過因為是Nightly build版的關係，穩定性上雖然某些Chrome會崩潰的網站
Chromium雖然不會崩潰但是一些怪問題也不少，例如會造成I/O持續
除此之外Chrome除了比Chromium慢一點，耗了多一點資源，偶爾崩潰一下
使用上卻還是比較順手一些，畢竟瀏覽器平穩的用才是最重要的！ (繼續閱讀...)

Google Chrome爆出逆向Windows API的事情

剛剛看到的一則趣聞，內容是說Google的Chrome瀏覽器
它的源代碼被人發現有逆向Windows API的嫌疑！

該位程式人員名字叫做Scott
Scott花了不少的時間研究Chrome源代碼，以及Chrome的授權協議
他發現Chrome在安全功能上用了一些不在MPL授權範圍內的功能！
這個功能實現了Chrome的SandBox功能，由Scott的文章裡可以看出
Chrome的SandBox很有可能就是基於Windows的DEP（資料執行防止）
這個DEP主要是用來防止Buffer Overflow（緩衝溢位）

雖然這是Windows早就內建的功能，但是在IE7的時候MS沒有讓IE7加入這個保護
他們的理由是由於plug早已規範好了，如果冒然加上，可能會造成plug相容性的問題！
不過在最近推出的IE8中，預設就已經擁有了DEP的功能，可以用來阻止Buffer Overflow的行為

種種跡象看起來Chrome好像真的透過逆向工程使用了MS隱藏起來的API
其實這類事情好像也不是第一次發生了！

幾個月之前在FireFox 3還沒有正式推出的時候，我在Mozilla Develop Team blog上
上到了一個程式人員寫了一篇關於Apple隱藏了關鍵MAC OS API
導致FireFox在MAC OS上效能很差勁！
這個程式人員說他剛開始的時候感到很懊惱
因為MAC版的FireFox無法像在Linux或者是Windows平台上一樣擁有極高的性能
後來在持續的改進與摸索下，他發現了MAC OS隱藏的API，認為Apple是故意的！

只是原本我想把這件事給寫在自己的blog上，但是回頭去找該篇blog時卻再也找不到了．．
不知道是程式人員發現自己說了不該說的話？還是被Apple施壓？
一直到現在還是個謎．．不過我個人是傾向於應該是被Apple施壓．．
因為這還瞞像Apple會做的事情XD．． (繼續閱讀...)

用Google Earth追蹤及查詢人造衛星

前幾天發現了一個有趣的東西！
美國戰略司令部發佈了一個關於他們所追蹤的一份人造衛星名單
不久後由Analytical Graphics整理，發佈了給Google Earth的KMZ檔
KMZ檔內容涵蓋了13000個單位，除了正在運作中的衛星還有一些衛星墜毀後的地點
下面就來欣賞一下這個有趣的觀測！

打開KMZ後我們就可以發現地球的周圍，多出了好多衛星
原來有我們的上方，遙遠的太空中，還挺熱鬧的原來衛星的數量這麼多啊！

這我們可以隨意點選一顆衛星，然後看看它的資料，資料包括國別，公轉里程，還有離地面最近的距離等，可供我們查詢！



左邊的位置列，我們可以從已經歸類好的資料夾查詢
這張圖示查詢已經墜毀的衛星！



除了查詢墜毀的衛星外，當然查詢作用中的衛星是一定也有的



這個說實在沒什麼實用性質，最多就是無聊的時候玩一玩而已
只是Google Earth靠著這些KMZ，不但可以做景點路線規劃，現在也可以掌握這些人造衛星的動向
實在是越來越有意思了！ (繼續閱讀...)

Google Chrome的幽默崩潰圖片

這是今天跟朋友一起試用Chrome時發現的有趣崩潰圖片
Google還漫幽默的，從Gmail的"萬歲一封烙澀郵件都有"倒現在的Chrome
極盡所能的表現出幽默風趣的一面，讓人再遭遇這些問題時還能夠會心一笑！




以上圖片由tomato提供！



Chrome目前在某些系統上確實非常不穩定，不過畢竟是測試版
我們就讓Google慢慢進步吧！ (繼續閱讀...)

Google Chrome網頁瀏覽器正式推出！

萬眾矚目等待多時，Google終於在幾個小時前釋出了Chrome Beta版瀏覽器！
Chrome是一個開源並基於WebCore引擎的網頁瀏覽器
WebCore同時也是Apple Safari的排版引擎
這是一個優秀的開源網頁排版引擎，是目前唯一能夠通過ACID3的測試
並且還同時擁有極高JS性能的網頁瀏覽器！FireFox 3雖然JS性能極佳
但Acid3表現卻遠不如WebCore引擎的瀏覽器！這是一個比較遺憾的地方．．
想瞭解關於更多關於Google Chrome關於的介紹，Google網站上有更詳細的說明

初始畫面有點類似Opera的"快速撥號"，用戶可以在這個地方自定不同的網頁通路


瀏覽的速度確實很快，可以明顯的感受到JS宣染性能快過FireFox 3！


跟FireFox一樣網址列也擁有搜尋功能，差別為FireFox會直接把你帶到欲瀏覽網站
Chrome則是會把搜尋結果透過自家Google搜尋網站開啟，由用戶本身決定開啟哪個Link！


Acid3測試結果


簡單的測試一下JavaScript性能，表現簡直一鳴驚人！
測試結果為1172ms，表現稍優於同樣使用WebCore引擎的Midori
JavaScript性能也幾乎是FireFox 3的一倍！


習慣了快速宣染能力的瀏覽器，真的就很難在回頭去用慢速的瀏覽器了
不過Chrome目前由於還在測試中，設定上相當簡陋，也有一些潛在穩定或功能問題
在朋友的簡體中文系統裡還一直崩潰，到成熟還有一段不短的時間
目前與FireFox 3相比，除了WebCore本身一貫優良血統外，幾乎不是FireFox的對手！
只能盼望將來Chrome能夠擁有龐大的addons，足以跟Mozilla相抗衡的addons
到時自己才會考慮是否該轉換跑道Google陣營，畢竟FireFox的精隨就是那些addons啊！

除此之外，剛剛短時間的試用Chrome，發現它在宣染某些JavaScript時會有些問題
這些有問題的JavaScript完全失去功能，但在FireFox 3或是Opera下卻完全正常
看來Google還需要一段時間才可以完善Chrome！ (繼續閱讀...)

Google Earth 4.3開始 SSE2成了最低執行要求

一直以來都有使用Google Earth的習慣
前些天出了新的beta 4.3加入了光影照射,讓整個地球變的非常漂亮
在Windows上的Google Earth運作相當良好,至少我很喜歡beta 4.3用起來的感覺
可是自己另一台使用ArchLinux的PC卻怎麼樣也無法使用..

一開始以為自己的安裝方式不對,反覆的移除安裝,安裝移除Google Earth
可是都無法啟動Google Earth 4.3,但是只要裝回Google Earth 4.2
就又馬上可以使用了,非常奇怪的問題,上了官方網頁也什麼也找不到
就這樣納悶了幾天,後來在昨天終於讓我發現了不能使用Google Earth 4.3的原因

Hi Folks,

After taking a peek and looking at some of the issues in this thread:

http://groups.google.com/group/earth-linux/browse_thread/thread/b2a5e...

I thought you guys deserved an update. The long and short of it is
that Google Earth 4.3 only works in Linux on machines with processors
that support SSE2. This means a P4, A64, or greater is now required. I
too was sad to see my little Athlon XP-M machine unable to run 4.3
with all of it's beautiful sunlight and atmosphere effects.

However, I'd like to let you know that we're aware of this and we're
looking into getting 4.2 available for you folks!

Thanks for your patience,
ERR

是的..從Google Earth 4.3開始Linux版的硬體需求需要CPU支援SSE2多媒體指令集

我的ArchLinux用的剛好是Athlon XP只支援到SSE而沒有SSE2...殘唸...

(繼續閱讀...)