“Hacker Safe”是ScanAlert公司（已被McAfee收购）为电子商务网站提供的一种安全认证，声称“经Hacker Safe认证的网站足以预防99%以上的骇客犯罪”。但事实似乎并没有如此乐观。

一家专门从事“跨站脚本攻击”（cross-site scripting vulnerabilities）跟踪的网站 XSSed.com就发布了一个62个存在跨站脚本攻击的网站名单，这些网站全部获得了hacker safe的认证。

“跨站脚本攻击”是一项对客户威胁非常大的网站安全漏洞，指的是骇客在网站的某些网页中插入html代码或者客户端脚本，当客户浏览这些网页时，这些代码会自动运行，把客户的网页cookies自动发送给骇客。因此，对于电子商务网站来说，跨站脚本攻击是一种很大的威胁，因为它会窃取客户的银行帐号、信用卡密码等重要信息。

一些博客也报道了经过hacker safe认证的网站存在跨站脚本攻击的问题，请看这里和这里（这两个链接国内需代理）。

ScanAlert公司对这些报道并没有给出正面回应，而只是强调跨站脚本攻击不在hacker safe的认证范围内，而且这种攻击对电子商务网站的服务器不构成威胁，威胁主要是对客户的。

Many ‘Hacker Safe’ Web Sites Found Vulnerable

(via InformationWeek) More than 60 Web sites certified to be “Hacker Safe” by McAfee’s ScanAlert service have been vulnerable to cross-site scripting (XSS) attacks over the past year, including the ScanAlert Web site itself. While the XSS hole in the ScanAlert site and others have been addressed, some apparently have not been, leaving visitors potentially vulnerable to client-side attacks.

Joseph Pierini, director of enterprise services for the ScanAlert “Hacker Safe” program, maintains that XSS vulnerabilities can’t be used to hack a server.Read more.

Tags: 安全,Security by sawyer
No Comments »

引用原文是Blogger们经常要做的事情，但是同时引用图片和文字是一件麻烦事，而且有可能有版权问题。Kwout是这样一个网络工具，用它可以截取任意想引用的网页部分，并且提供了引用部分的Html代码，可以很方便的粘帖到自己的博客上。

首先要安装一个Kwout插件，直接把它拖到标签栏就好了，需要引用哪一页，点击kwout标签，就会出现一个操作界面。比如我想引用世界自然基金会的一个报道，点击下图看大图。

用鼠标直接框出想要引用的部分，旁边会显示出长宽度和像素大小。点击cut out就把这幅图截下来了。接下来你会看到很多选项，要不要边框，要不要更换背景色（这个功能还极不完备，没有色块选择），是发送到网页还是Flikr或者Tumblr。最下面是Html代码。好了，看看效果吧。

WWF - WWF Welcomes Japan’s Announcement Not to Hunt Humpback Whales via kwout

Kwout: cut it and quote it!

Kwout is a cool web app that make quotation easy. Just pull the bookmarklet onto the tab bar. When you want to quote a paragraph of a page, click the “kwout”, then you can easily select an area and cut it. You can post it to your website,flikr,tumblr. The html code is on the bottom of the page.

Tags: 网络应用,webapp by sawyer
No Comments »

线上的幻灯片、电子相册的制作工具已经很多了，但是我还是想说一下Viewbook，用它做这些事情感觉非常快速、敏捷。

简单的注册后，你拥有了一个Viewbook的次级域名。开始吧，首先给自己的相册或者幻灯片起个名字，然后上传图片，可以批量添加。每张图片都可以重新命名和描述。照片上传完毕后，可以个性化设置是否需要显示缩略图以及缩略图的位置，选择相册或者幻灯片的背景颜色等等。预览觉得满意后，保存就完成了。

分享是Viewbook的一大特色，你可以选择是否使用公开的链接，如果不用的话就选择私人的URL。Viewbook提供了作品的Html代码，你可以把它方便的嵌入到博客当中。它还为这个作品提供了Rss Feed，如果你觉得它需要经常改变的话，可以把feed告诉给朋友，让他们可以随时了解到更新情况。下面是我做的一个简单的相册。


Viewbook: an easy way to creat a professional looking presentation

Although there are alreay dozens of way to creat presentation or photo album online, Viewbook is still worth of talking. It allows you creat presentations at a sub-domain name.

It’s easy to use and easy to share. Just make a title and uploads pics, customized the details like backgroud color, whether or not dispaly thumnails,etc. Preview then save it, the album or presentation is done.

Viewbook provides the album’s html code, so you can embed it easily in your blog. A permalink and Rss feed url are provided too, you can tell your friend via email.

Tags: 社群网站web 2.0 by sawyer
No Comments »