"Good artist copy, great artist steal." --- Picasso

要是看过电影Pirates of Silicon Valley，一定不会对上面这句Steve Jobs挂在嘴边的毕加索的原话感到陌生。

估计谁也不会想到谷歌如期推出拼音输入法后，竟惹来现在这么大的风波。一个以创新和不作恶为准则的伟大公司，要想在中国这片神奇的土地上生根发芽，难道真的必然会“桔生淮北为枳”？

如果这次是微软推出新版的拼音输入法，就是抄得更猛烈，估计也不会有什么大风波，微软从来就不说什么道德至上的话语，删起博客来，也是从容不迫。年初的时候，IBM卷入贿赂案，新闻小炒了一把，就偃旗息鼓了。可这次不同，这次的主角是以Don't Be Evil为道德准则的Google，李开复当初去武大的时候，我清清楚楚听他说了这句话的，我以为他真以此为信条了，不过现在看来并不是这样，至少他没有向他的实习生翻译这句话的中文含义。

我相信所有人都尊重以高道德标准行事的公司或人，如果不是这样，不会有那么多gfans，也不会有那么多人和我一样，愿意把搜索记录放心地交给google保存、相信gmail右边的信件内容相关广告都是机器处理的结果。可是google.cn出现后，谷歌出现后呢？我看见有人说，宁愿用某种穿透封锁的软件自由地访问google.com。

我很佩服livid，他坚持要把v2ex做成艺术，没有任何商业。我很痛恨中国缘，为了赚钱，无所不用其极。很多人都在谈论外国互联网公司在中国的水土不服，也有人开始评论说谷歌拼音开始，表明google已经知道怎样本土化，并表示“恭喜”了。在中国把互联网玩成功，一定要耍流氓，玩无耻吗？

有一天我也想加入的时候，我该怎么办？

标签： Internet, IT

现在谷歌拼音的新闻真是多得爆炸了，在google reader里看来看去，这几天的更新都是跟谷歌拼音有关的。那会儿搜狐推出搜狗输入法的时候，我是真的觉得佩服，因为那个想法实在是很独特，国内这样的好创意太少了。现在谷歌（某种意义上要和google区分开）终于在一堆猜测中，如期推出了输入法，我倒反而觉得没什么了，只是在想百度什么时候也会玩这个。

发现输入法是有门槛的。这个不是说开发输入法，而是说用户选择不同的输入法。问题主要在于像我这样的五笔用户，已经完全不可能去适应一款拼音输入法，包括在手机上打字也从来都是笔画输入，我想打五笔的人一般都是这样。从最开始接触电脑就是学五笔打字，打五笔打了这么多年，每次一到别人电脑上，发现只有拼音输入法，就会非常痛苦。因为打每个字的时候都得要切换思考，不得不去想应该按哪个键，敲什么样的声母，什么样的韵母。而且身为一个湖北人，方言的影响根深蒂固，从小的平舌卷舌不分、前后鼻音不分、l和n不分，打起拼音来更是痛苦，我还记得小学时查字典怎么也查不到“翁”字，因为当时我一直认为这个字应该读 “wong”。因此google在推出别的服务的时候，我都会第一时间尝试，可是这个拼音输入法，我完全不可能去下载下来一试，谷歌的这项产品对于我来说，一点作用也没有。同样的，如果谷歌推出五笔输入法，对于拼音用户来说，也是一点吸引力没有。只是搜狐和谷歌似乎都还没有准备做五笔输入法，大概现在五笔的用户数量已经无法和拼音输入法的相比了吧。

看到不少帖子说，谷歌拼音里输入英文单词时也会提示，这的确会为英文拼写提供帮助，其它的方面似乎还并没有特别超出搜狗拼音。我觉得谷歌拼音是很容易做得很出色的，这个产品要做好不会有特别的难度，因为难点并不在产品的开发上，而在创新性上面。这个创新性已经在搜狗输入法时被重重地发挥了一次，目前还似乎还没有什么特别超出的地方。但是gmail可以出色到让人叹为观止，很难说谷歌拼音就不会做出一些让人惊讶的特性。

当然了，不管是哪一家，要是还多关注一下五笔用户就最好了。或者google去把极点五笔给买了，这个输入法可已经伴我好多年了。

标签： IT

在家上网，有多安全，是否考虑过呢？别以为装个卡巴斯基就搞定一切了，还装了天网？有杀毒软件和防火墙就很安全吗？

很久以前看过一篇文章，讲网络钓鱼攻击的手法，其中讲了一种专门构造的网址，比如：

http://www.sina.com.cn@1032291688

可以点来看看，看看是带你到了新浪，还是搜狐。不过我在ie7里试验这个链接已经不行了，估计是ie7改进安全性时，已经默认防范了这类URL。在Firefox 2.0里还是可以访问，不过会提示你是不是要访问“1032291688”，但我想一般人也不明白这是什么意思。

这种URL欺骗，可能是钓鱼攻击会用到的最简单的的手法。其实上面那串数字是我把sohu的ip地址转成了10进制的写法，而上面那个链接，前面用新浪的域名做伪装，而实际上带你去的是后面那串十进制数字所代表的网站。当然还可以把域名构造得长一点，一般人只看到前面有个www.sina.com.cn的话，估计后面一长串很容易就不看了。这里用的新浪和搜狐做了例子，但如果实际是针对某个网上银行来做这样的伪造呢？你看着链接是工行的地址，结果带你去另一个伪装得跟工行一模一样的假网站，等你把卡号和密码都输入后，假网站一边保存下来你的信息，一边把信息发送到正确的地方，把你转到真正的工行网站。一次完整的钓鱼攻击成功。

好在现在浏览器的安全性问题得到了很大的重视，上面的问题想测试也都没那么容易了，但还可以来看看其它的一些攻击手段。

比如Pharming。我们上网的时候，在浏览器里输入网站，其实是需要DNS服务器把网址解析成IP地址，然后再进行连接的，如果这个ip地址解析错了呢？Pharming攻击干的就是这个事情。比如sohu.com的一个正确的IP是61.135.133.104，但现在有人攻击了DNS服务器，把这条记录改成了另外一个假地址的IP，你就会完全不知情地浏览那个错误的网站了。同样，可以做一个假的银行网站，把你带过去。

另外一种方式是修改你本机的host文件。Windows下面，hosts文件通常是在

C:\WINDOWS\system32\drivers\etc\

如果在里面增加一条

61.135.133.104 www.sina.com.cn

则在浏览器里访问新浪的首页就会转去搜狐了。这方法lxy就曾经用来对付过他老爸，为的是防止他爸访问他的blog。潜伏在你机器里的病毒或者木马，想改改这样的记录似乎不是什么难事。不知道目前有没有恶意软件或者流氓软件做这个。

还有一种情况是攻击路由器，如果路由器里的DNS设置被恶意修改，则整个局域网的域名解析都会按这个错误的地址去访问DNS，因此路由器的安全同样值得重视，特别是在使用无线路由器的话。不过那个opendns.com的出现，倒是可以用来解决这种攻击。

在局域网内也有一种比较危险的欺骗方法，就是ARP欺骗。

在局域网内实际上是通过网卡的物理地址（MAC地址）进行通信的，所以在访问网关（比如IP为192.168.1.1）时，实际要先通过ARP协议将IP转换成MAC地址。当某台机器在局域网内发送一个ARP广播时，网关就会返回相应的MAC地址，这时动态绑定IP与MAC地址的目标主机就会更新自己的ARP转换表。不过ARP协议的一个漏洞，就是主动发送ARP响应，目标主机也会更新，除非已经设置了静态绑定。某种用来限制局域网里其它用户上网速度的工具，就是利用这个方法，向要控制的主机发一个假的ARP响应，让对方的主机把自己的MAC地址作为网关的MAC地址，这样目标主机就会把包全部发到自己这来，然后对这些包进行过滤，就可以达到限制对方上网的目的。当然，既然目标主机所有的包都在自己机器上走了一遍，如果对这些包进行嗅探，要截获各种未加密的用户名、密码、聊天信息、邮件正文等等信息，也不成什么问题。

可以点击“开始”--“运行”--“cmd”回车--输入命令“arp -a”回车，看看你的网关的mac地址解析得对不对吧，搞不好已经有人在限制你的说。

最后顺便说说，其实在国内想搞钓鱼攻击，比较好的办法可能是去攻击hao123。因为很多初级网民都习惯把hao123做首页，而对里面的链接是否正确毫不关心，或者根本不会考虑这个问题。而那上面邮箱、证券、银行、论坛的各种链接，一应俱全，要是能去改个一两个，那就不知道可以钓到多少鱼了。

标签： IT