可可熊的窝

dropbox很早就听过了，只是一直没用，昨天要在QQ聊天记录里面找个东西，结果发现那天的聊天记录在公司的电脑上，才想起还是把这些东西都同步在云端比较方便。

不过根据天朝定律：好的互联网产品是不能在天朝生存。所以你得通过hosts(给个IP:174dot36.30.67)或者VPN等方式来使用dropbox。

dropbox免费用户有2G的免费空间，你可以通过以下几种方式增加自己的空间：

1. 邀请好友，每邀请一个好友增加250M的空间

https://www.dropbox.com/referrals

2. 完成任务，每个任务可增加128M的空间

https://www.dropbox.com/free

3. 教学任务，增加250M的空间

https://www.dropbox.com/gs

4. edu邮箱验证，加倍每个邀请增加的空间

https://www.dropbox.com/edu

以下是我的邀请地址，大家在这里注册，然后下载dropbox客户端，我就能增加500M的空间了，同时你的空间也会增加500M(如果验证了edu邮箱)
https://www.dropbox.com/referrals/NTY1NjIyOTc5?src=global0

免费用户通过以上方式最大可以获得18.88G的空间，一般来说足够用了，几乎可以把电脑中大多数的东西同步了。

－－－－－－－－－－－－－－－关于使用－－－－－－－－－－－－－－－－－－－－－－－－

这里有一篇介绍dropbox应用，可以参考一下：
http://www.williamlong.info/archives/2044.html

Linux系统下可以使用ln命令来把常用的文件夹，以及各种程序的配置文件都链接到dropbox的文件夹下面。

xiyoulinux.cn
过期日期 2010-05-17 10:52
kongove.cn
过期日期 2010-05-18 14:59

您好：
　　经查，相关域名目前已经进入高价赎回期，无法续费仅可申请赎回，目前英文国内域名赎回价格为500元/个。若您需要申请赎回，请在相关会员ID下充入足够的预付款后回复确认，详细说明需要申请赎回哪个域名。若届时相关域名尚未被删除，我们将会为您提交相关部门申请赎回。

按照域名管理的规定，域名过期15天内域名注册商是没有权利直接删除你的域名，然而易名不仅没在快到期的时候进行邮件通知，而且在到期后直接删除用户的域名，向用户索取高额的赎回价格（10倍于注册价格）。

实在想说什么了，这个国家从政府到企业没有有道德的，他们只会唯利是图。

最近上海出差，太久了，快一个月了。烦了

我Dang大概也就会做这种事了，从GFW到绿坝，巴不得让每个人装个摄象头，每天让我Dang了解我们这些“刁民”做了些什么。

绿坝是个什么东西，http://www.zzjinhui.com/ ，他们的官网有一句话：“金惠堵截黄图像及不良信息专家系统是目前国内唯一的智能识别黄色图像内容的互联网信息过滤产品，彻底解决了网络反黄的技术难题，填补了国内空白，技术独创性和领先性得到了国家四个部委的一致肯定和支持：”

真是大言不惭，“唯一”，“填补空白”竟然敢用这些词，我没去下载试用，有人已经做过很详细的分析了，请在下面的页面查看：

https://docs.google.com/View?id=afk7vnz54wt_12f8jzj9gw

从中我们可以发现绿坝的一些特点：典型流氓特征、盗用开源软件、侵犯知识产权，弱智密码保护，就这样一个软件，竟然可以那样宣传自己，也能获得“国家四个部委的一致肯定和支持”，我们也大概能知道这四部委都是些什么货色了。

我们放低点要放，就算你们弄出来这么个垃圾软件，你自己忽悠SB去，你也不能让纳税人掏出40000000钱去强制我们当SB吧？让所有计算机出厂前预置这么个垃圾，工信部的人真XX的有才。

这件事大概应该是这个样子，这个垃圾软件的厂商花钱找关系在工信部推销他们的垃圾，结果工信部的一群SB脑子一热，还以为能做点政绩给我Dang看，于是就做了这些让全国人民恶心的事。结果呢，在人民的唾沫中这群SB消失了。

有些兴趣的朋友可以看下关于绿坝的关键词过滤：https://docs.google.com/Doc?docid=dczkbptk_0ffc2hvc9绿坝–花季护航，到底是在做什么，真的是“花季护航”吗？

“有试验的小白鼠说，装了绿坝.花季护航以后在word中输入“老师教学生玩摸球游戏”，word会被强制关闭，我一看，“玩摸”果然是关键字，”

推荐阅读：
我们需要家长，但不需要大家长！【回应外交部的“你有孩子吧”】

先给大家看一个关于网银与USB-KEY的科普教程：

http://apex.ncksoft.com/archives/tag/usb-key

写得还不错，看完后你对目前网银的安全模式应该有个大概的了解。

目前公认最安全的网银模式就是使用2代U-KEY，就是在普通的USB-KEY的基础上增加一个确认按钮和LCD显示屏，这样可以极大的确保每一笔交易是经过你的确认。目前工行已经推出了二代U-KEY。

这里解释下二代KEY出现的背景，由于我们平时使用的电脑是“不可信环境”(在病毒、木马泛滥的年代，大部分人的电脑都可以被被木马随意操作)，所以我们不能相信自己的鼠标，比如我们点了下鼠标，做了一笔转帐交易，木马很可能帮你再点一次，这个时候就得在U-KEY上加一个确认按钮，防止木马偷偷做交易；我们也不能相信自己的眼睛，例如本来打算用1000块钱买个手机，结果木马把这个数字在发往U-KEY时改成了1W，而在屏幕上显示的仍然是1000，我们很无辜。这个时候你得在U-KEY上确认下我刚才是不是花了1000块去买那个手机。

U-KEY其实已经是一台完整的计算机了，根据冯·诺依曼原理，输入设备(LCD显示，按钮)、存储设备(16-32K)、运算器、控制器(智能卡CPU)，而且U-KEY还有自己的操作系统COS(Card Operating System)。由于平台的特殊性我们可以假定不会有木马进入这个U-KEY，因为所有针对U-KEY的操作都要通过COS对外提供的接口来完成，而且不同厂家的COS一般是不同的。这个时候U-KEY是一个“可信环境”，所以我们可以确保在按下“确认”按钮的时候U-KEY一定是对LCD上显示的交易进行了签名，签名算法可以确保该签名后的数据无法被修改。

最近公司在做U-KEY，不过不是传统意义上的USB-KEY，所以得和SSL,openssl，CSP，PKI，X509等这些安全、加密、证书相关的东西打交道。

SSL是用于网络安全传输的协议，在TCP之上，HTTP之下。以前对标题里面这几个有点分不清楚，今天花了点时间整理下概念。

SSL为(Secure Sockets Layer)的缩写，是网景公司为网络安全传输制定的一套标准，SSL1.0没有公开发布过，所以SSL1.0可以无视之。SSL2.0在1995年发布，不过因为有很多的安全漏洞，所以SSL3.0很快在1996年就出现了。不过主流的浏览器在很长的一段时间内都在支持SSL2.0,IE6默认是支持SSL2.0的(IE7中SSL2.0被禁用了)，Firefox2以后禁用了SSl2.0,Opera在8.5以后也禁用了SSL2.0。

IETF在1999年的时候以SSL3.0为基础，制定了TLS(Transport Layer Security) 1.0，RFC2246对TLS进行了详细的描述。TLS 1.0在框架上完全使用SSL3.0，只是在一些细节上有差异，比如采用的算法集，随机函数的产生，这里有一篇文章对TLS与SSL3.0区别进行了详细的描述。
由于TLS基本上是对SSL3.0的补充，因此在很多地方SSL3.0 TLS这两个名词被混合使用。

TLS也在更新，不过变化不大，RFC4346对TLS 1.1进行了详细描述。
TLS最新版本为1.2，相关的RFC为RFC5246。

目前国内网站使用的HTTPS其本上都是基于SSL3.0的。

以下是wireshark抓包一个SSL3.0的通信过程：

client ————->server [Client Hello]
server ————>client [Server Hello]
server ————>client [Certificate]
client ————->server [Client Key Exchange , Change Cipher Spec, Encrypted Handshake Message
server ------------->client [Change Cipher Spec, Encrypted Handshake Message
client -------------->server [Application Data]

首先确认apache支持mod_ssl， openssl也正确安装。

Fedora 8中apache关于ssl的配置文件在/etc/httpd/conf.d/ssl.conf文件中，使用SSLEngine on选项来开启HTTPS的支持，apache默认会使用一个自带的localhost 的证书来进行HTTPS连接。

接下来我们使用openssl生成自己的证书进行HTTPS连接：

mkdir /etc/httpd/conf.d/ssl.crt/
cd /etc/httpd/conf.d/ssl.crt
(1)
生成服务器的私钥：
openssl rsa -in server.key -out server.key

openssl req -new -key server.key -out server.csr
生成Certificate Signing Request（CSR）,生成的csr文件交给CA签名后形成服务端自己的证书.屏幕上将有提示,依照其指示一步一步输入要求的个人信息即可.

(2)
对客户端也使用同样的方式：
openssl genrsa -out client.key 1024
openssl req -new -key client.key -out client.csr

(3)
生成CA中心的私钥：
openssl genrsa -out ca.key 1024
生成X509格式的CA证书：
openssl req -new -x509 -keyout ca.key -out ca.crt

(4)
用生成的CA的证书为刚才生成的server.csr,client.csr文件签名:
mkdir ../../CA
mkdir ../../CA/newcerts
touch ../../CA/serial
cat “01″ > ../../CA/serial
touch ../../CA/index.txt
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key
openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key

(5)
生成浏览器使用的PFX格式的证书：
openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
把ca.crt安装到信任的机构，client.pfx安装或安装到个人证书位置

(6)
编辑ssl.conf配置文件，修改证书相关的地方：
SSLCertificateFile /etc/httpd/conf.d/ssl.crt/server.crt
SSLCertificateKeyFile /etc/httpd/conf.d/ssl.crt/server.key
SSLCACertificateFile /etc/httpd/conf.d/ssl.crt/ca.crt