先给大家看一个关于网银与USB-KEY的科普教程：

http://apex.ncksoft.com/archives/tag/usb-key

写得还不错，看完后你对目前网银的安全模式应该有个大概的了解。

目前公认最安全的网银模式就是使用2代U-KEY，就是在普通的USB-KEY的基础上增加一个确认按钮和LCD显示屏，这样可以极大的确保每一笔交易是经过你的确认。目前工行已经推出了二代U-KEY。

这里解释下二代KEY出现的背景，由于我们平时使用的电脑是“不可信环境”(在病毒、木马泛滥的年代，大部分人的电脑都可以被被木马随意操作)，所以我们不能相信自己的鼠标，比如我们点了下鼠标，做了一笔转帐交易，木马很可能帮你再点一次，这个时候就得在U-KEY上加一个确认按钮，防止木马偷偷做交易；我们也不能相信自己的眼睛，例如本来打算用1000块钱买个手机，结果木马把这个数字在发往U-KEY时改成了1W，而在屏幕上显示的仍然是1000，我们很无辜。这个时候你得在U-KEY上确认下我刚才是不是花了1000块去买那个手机。

U-KEY其实已经是一台完整的计算机了，根据冯·诺依曼原理，输入设备(LCD显示，按钮)、存储设备(16-32K)、运算器、控制器(智能卡CPU)，而且U-KEY还有自己的操作系统COS(Card Operating System)。由于平台的特殊性我们可以假定不会有木马进入这个U-KEY，因为所有针对U-KEY的操作都要通过COS对外提供的接口来完成，而且不同厂家的COS一般是不同的。这个时候U-KEY是一个“可信环境”，所以我们可以确保在按下“确认”按钮的时候U-KEY一定是对LCD上显示的交易进行了签名，签名算法可以确保该签名后的数据无法被修改。

最近公司在做U-KEY，不过不是传统意义上的USB-KEY，所以得和SSL,openssl，CSP，PKI，X509等这些安全、加密、证书相关的东西打交道。

SSL是用于网络安全传输的协议，在TCP之上，HTTP之下。以前对标题里面这几个有点分不清楚，今天花了点时间整理下概念。

SSL为(Secure Sockets Layer)的缩写，是网景公司为网络安全传输制定的一套标准，SSL1.0没有公开发布过，所以SSL1.0可以无视之。SSL2.0在1995年发布，不过因为有很多的安全漏洞，所以SSL3.0很快在1996年就出现了。不过主流的浏览器在很长的一段时间内都在支持SSL2.0,IE6默认是支持SSL2.0的(IE7中SSL2.0被禁用了)，Firefox2以后禁用了SSl2.0,Opera在8.5以后也禁用了SSL2.0。

IETF在1999年的时候以SSL3.0为基础，制定了TLS(Transport Layer Security) 1.0，RFC2246对TLS进行了详细的描述。TLS 1.0在框架上完全使用SSL3.0，只是在一些细节上有差异，比如采用的算法集，随机函数的产生，这里有一篇文章对TLS与SSL3.0区别进行了详细的描述。
由于TLS基本上是对SSL3.0的补充，因此在很多地方SSL3.0 TLS这两个名词被混合使用。

TLS也在更新，不过变化不大，RFC4346对TLS 1.1进行了详细描述。
TLS最新版本为1.2，相关的RFC为RFC5246。

目前国内网站使用的HTTPS其本上都是基于SSL3.0的。

以下是wireshark抓包一个SSL3.0的通信过程：

client ————->server [Client Hello]
server ————>client [Server Hello]
server ————>client [Certificate]
client ————->server [Client Key Exchange , Change Cipher Spec, Encrypted Handshake Message
server ------------->client [Change Cipher Spec, Encrypted Handshake Message
client -------------->server [Application Data]

首先确认apache支持mod_ssl， openssl也正确安装。

Fedora 8中apache关于ssl的配置文件在/etc/httpd/conf.d/ssl.conf文件中，使用SSLEngine on选项来开启HTTPS的支持，apache默认会使用一个自带的localhost 的证书来进行HTTPS连接。

接下来我们使用openssl生成自己的证书进行HTTPS连接：

mkdir /etc/httpd/conf.d/ssl.crt/
cd /etc/httpd/conf.d/ssl.crt
(1)
生成服务器的私钥：
openssl rsa -in server.key -out server.key

openssl req -new -key server.key -out server.csr
生成Certificate Signing Request（CSR）,生成的csr文件交给CA签名后形成服务端自己的证书.屏幕上将有提示,依照其指示一步一步输入要求的个人信息即可.

(2)
对客户端也使用同样的方式：
openssl genrsa -out client.key 1024
openssl req -new -key client.key -out client.csr

(3)
生成CA中心的私钥：
openssl genrsa -out ca.key 1024
生成X509格式的CA证书：
openssl req -new -x509 -keyout ca.key -out ca.crt

(4)
用生成的CA的证书为刚才生成的server.csr,client.csr文件签名:
mkdir ../../CA
mkdir ../../CA/newcerts
touch ../../CA/serial
cat “01″ > ../../CA/serial
touch ../../CA/index.txt
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key
openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key

(5)
生成浏览器使用的PFX格式的证书：
openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
把ca.crt安装到信任的机构，client.pfx安装或安装到个人证书位置

(6)
编辑ssl.conf配置文件，修改证书相关的地方：
SSLCertificateFile /etc/httpd/conf.d/ssl.crt/server.crt
SSLCertificateKeyFile /etc/httpd/conf.d/ssl.crt/server.key
SSLCACertificateFile /etc/httpd/conf.d/ssl.crt/ca.crt

前几天在Python中文件邮件列表里看到讨论使用Python实现迅雷，后来又在Ubuntu论坛看到一个贴子，实现了获取迅雷服务器上的侯选资源（不是开源的）。突然就对这个迅雷协议很感兴趣，在别人分析的基础上用Python写了个小工具，与Ubuntu论坛上那个作用是一样的，获取迅雷服务器上的侯选资源。

迅雷有多个资源服务器，有的资源服务器返回完全一样，有的返回某些一样，这样可以指定多个服务器，获取更多的资源，同时也可以防止某个服务器不能正常响应。

用webpy写了个演示面面：

http://cocobear.info/demo/pythunder/?url=http://3.duote.com/xunleidt.exe

不知道开源了会不会产生麻烦？

———————————解释下标题——————————
前几天拿U盘做产量的时候没把代码备份出来，所以原本已经写好了今天又写了一遍，幸好代码很短:-)

先说下练字吧，只有一天没有写，去同学那里玩了，没回来，坚持的还算不错，可惜没觉得有什么进步，有时候觉得就根本没效果，所以好几天写的不认真，似乎应该端正下态度了。试着去临贴，不描红了，老爸说钢笔字重要的是字的结构、总局，没必要像写毛笔字一样描红好长时间。29/30

7点起床，几乎每个周末都没能按时起来，是不是因该把周末排除啊？很郁闷:-( 8/30

12点前睡觉，基本都做到了，没什么说的，想睡太迟也不行，不年轻了，呵呵。 28/30

睡前阅读，坚持的不好，只有21天，而且好多时候没看几分钟就睡着了，这个月看完了《明朝的那些事儿》。手机上看书真不爽，不过像这类书去买又有点浪费了:-) 21/30

这个月继续巩固吧。

最近有同学反映PyFetion不能在GAE上使用，我看了下别人给出的错误，问题不出在PyFetion上，无论是TCP方式还是HTTP方式，使用本机测试都可以正常工作。
应该是移动的飞信服务器屏蔽了GAE的出口IP地址（某同学反应GAE的urlopen使用的是同一IP）。

原因大概是广大GAE的爱好者众多，玩PyFetion的又比较多，所以移动不爽了，就封掉你。

问题出来了，原因也大概知道了，那怎么解决方案呢，下面就给出几个吧:

1. 强烈要求GAE增加代理支持。
2. 打电话给10086，然后说你的飞信上不出了，然后给客服MM说你的IP是:[GAE_IP(哪位知道这个IP来补充一下)]。
3. 脱离GAE，使用自己的服务器。
4. 继续使用GAE，使用另一服务器做为跳板。

解释一下，GAE不能直接访问飞信服务器了，可以在另一个地方，比如cocobear.info/PyFetion.py?phone=13838381438&pwd=383838&msg=^_^
做这样的一个的接口，然后使用GAE去访问这个服务器。

Update(09.4.27):
据gohsy同学反映，GAE上不能使用是因为服务器返回了405错误，而别的fetion实现会忽略405错误，继续进行，而PyFetion遇到这个错误会产生异常。记得以前调PyFetion的时候也遇到过405错误，应该是发送的数据格式不对而造成的，所以我猜想这里是因为网络环境影响造成的数据不完整，从而使得飞信服务器返回405错误。因为在GAE上PyFetion还是可以偶尔发送成功的，所以出错的原因应该不是程序本身。

为了在GAE上能更好的使用，我修改了一下PyFetion，增加了遇到405错误时重试功能，默认重试5次，这样会使得发送的成功率提高很多，但是由于405的出现，重试多次会影响到发送的速度，这一点是无法避免的。更新请到google code查看:http://code.google.com/p/pytool/source/detail?r=30

其实根本的原因我想还是GAE上用PyFetion的人过多造成的:-)

为了在GAE上调PyFetion，在gohsy同学的帮助下，搭建了GAE环境，感觉还不错，做应用挺方便的，不错的东东。

花了差不多两周的时间读完了Lua Programming in Lua (first edition) ，没找到pdf格式的，一直在官网在线看的，不是很舒服。看的似乎有点慢，里面的英文很简单，讲的内容难点也不多，也没有太多的代码去动手实践，似乎是受别人打击了:-)（看到人家博客里写道：“花两天的时间过了一遍PIL”）。

Lua作为一个脚本语言在很多地方与Python有相似之处，不过小巧了很多，数据类型、表达式、语句等都很精简，但是这并不影响Lua成为一个流行的脚本语言，灵活的table成就了Lua的强大，table可以演化出list,dict，更强大的是table可以实现OO，Lua并没有在语言级提供OO的实现，不过Lua的作者在PIL中展示了使用table完全可以实现近乎完美的OO编程，我觉得这是对整天鼓吹OO思想的人一个极大讽刺，OO其实没什么，C语言中使用结构体，函数指针也可以有模有样的进行OO编程。

Lua中也有很多函数式编程语言的影子，所以很多人把Lua和Scheme归为了近亲，不过俺不了解Scheme，对函数式编程也是一知半解，只能凑个热闹。

Lua之所以在游戏中使用比较广泛，是因为它可以很好的和C/C++结合在一起，可以很方便的互操作，通过使用Stack的方式。还有一个很重要的原因，Lua提供的是搭积木的原料，而不是搭好的建筑，所以你可以很灵活的用自己的方式去写程序。比如你可以用table实现一个完整的OO系统，然后在OO上面写程序(这里有一点很重要，基于table实现OO是很轻量的，而不是语言级的OO)；你也可以用metatable来实现Python中很强大的filter,map,reduce。

Lua中的table有点类似道家学说里面的”道”,”道生一，一生二，二生三，三生万物”，而table就是Lua中的“道”。

还得提一点Lua是完全用ANSI C编写的。

cocobear@0-0 /home/cocobear/Codes/lua-5.1.4/src $ wc *.c *.h -l | tail -1
17002 total

月中开始写字，每天都能坚持写半个小时以上，不过有那么一两天写的不太认真，进步倒是看不起来，不过已经可以很自觉的去练字了，算是个进步，希望可以到7月的时候能有些进步，09年底能写得像个样子吧。15/15

晚上12点前睡觉只有一天没做到，记得是看《色戒》，可惜这电影也不怎么样。14/15

早上7点起床两个周末都没那么早起来，还有一天是因为前一天晚上看《色戒》了，没按时起来。10/15

下个月继续努力吧。

如果函数最后一句是return g(...)这样的形式，Lua将会把这句解释为goto g(x)，因为这里除了对g函数调用，再没有别的事做，也不需要保存堆栈里调用函数的信息。因此上面即使调用很多次也没有出现堆栈溢出的问题，把上面的代码转换为Python:

很快出就现了堆栈溢出的问题，在这里表现为达到了递归调用的最大限制。Python自身没有实现尾部调用优化，不过也可以通过实现一个decorator办法来实现:

代码来自http://code.activestate.com/recipes/474088/

在这段代码里tail_call_optimized是一个decorator，在执行factorial函数前，这个decorator先执行，tail_call_optimized中通过sys._getframe()这个方法会返回一个frame对象，包含了堆栈顶部的信息，当发现当前调用是一个递归调用:

则抛出一个异常，下面的代码则截获异常，继续执行，这样就避免了堆栈的使用，很巧妙的一种方式。

在python-dev的邮件列表里，有人曾经做过一个Python的尾调用优化的补丁，不过Guido拒绝了这个补丁:

I'm not interested in adding this to the official Python release.

One reason is that if an exception happens in such a tail-recursive
call, the stack trace will be confusing.

Another reason is that I don't think it's a good idea to try to
encourage a Scheme-ish "solve everything with recursion" programming
style in Python.

But feel free to maintain this as an independent modification, a la
Stackless -- I'm sure there are people who would like to try this
out.

--Guido van Rossum (home page: http://www.python.org/~guido/)

Lua:

Lua同Python类似，也可以嵌套定义函数，不过Lua嵌套函数可以访问上层闭包函数的局部变量，而在这个内嵌函数中这些变量不是全局变量，也不是局部变量，而是一种upvalue，与C语言中的static修饰的变量类似，所以在这里可以利用这个特性完成这个计数器。

Python:

今天看Lua的时候觉得Python也应该有比较简单的办法写个计数器，找到一篇文章介绍这个小技巧，其中有一句话：

However, if named parameters are given mutable default values, the parameters can act as persistent memories of previous invocations. Lists, specifically, are handy mutable objects that can conveniently even hold multiple values.

Lua作为一个嵌入式（嵌入到其它语言中）的脚本语言，在很多地方与Python类似，这几天在看Programming in Lua 。