淼淼每天停不下来的乱想。。Life、IT、ACG、Music……

这段时间里突然冒出来的想法～（不分先后，不分大小，不分种类，各种不分～）

API+JS=最简单的华丽

Google文档好强大只是还没熟练的用会

想去去看下wordcamp、还有中文网志年会、研究了半天，今年的都还没开，希望能在暑假开，这样就可以去围观了。好想见一下网上的这些大牛们~wordcamp像今年在上海。

也希望有武汉的twitter聚会。当然暑假能碰上最好。同时在豆瓣建立一个 武汉twitter同乐会的小组    http://www.douban.com/group/248289/   

张韶涵在开全国演唱会，要是能有好几会好想去围观。以前曾经一段时间的偶像，现在也很喜欢。怀念张韶涵带着倔强有着冲击力的歌声，现在的张韶涵，已经没有原来的那种感觉了。

现在想到暑假就想到旅游了，还有单反。还有有一点我暑假力争要去次北京 虽然以前去过，还有就是上海的看SB会。

我现在好想减短头发，但是减短了看起来又很SB，所以现在相当纠结，还有就是旅游的话短头发貌似会方便许多~

想买牛仔裤，其实我一直没穿过牛仔裤，一个是优衣库 和 美特斯邦威。暂定2条，第一次买牛仔裤，试试，太贵的牛仔裤还不想考虑，颜色一条深灰色，另一条考虑中，样式，一条直筒式，另一条考虑中。欢迎大家推荐啊~牌子，样式都可以，因为第一次弄牛仔裤，想在实店购买，免得网购的效果不好。

还有衣服，T恤在加一个吧，POLO衫，或者无聊时去折扣店里淘吧。还想弄几件好玩涂鸦的衣服，看见VC上驴子在搞涂鸦，禅叔也在搞一个可能吧的Tee，里面有句花啊很经Here is China，Here have http 404。

其实买衣服对宅男 来说很艰难的。

自己想搞一件Tee，上面印着 google,android,Facebook,youtube,wordpress,twitter,ubuntu,kenengba,fwg,Apple。bloger,……等被墙的网站，和优秀的互联网服务还有诸多好多开源项目。对了还有一件衣服想买，就是张韶涵 涵情脉脉后援会的衣服，收集下~

我打开电脑干什么？

（指一台能上网且能翻墙的PC）

以: QQ、Gtalk、Mixero（twitter桌面端）、chromium（Gmail、量子统计、GR、verycd、douban【豆瓣上的不是太多】）开始。

以：twitter、GR、…… web闲逛中 结束。

我每天手机干什么？

（指一部 智能手机在还有流量或者可以随时WIFI）

gravity（s60的twitter手机端）、UC桌面（墙内获取综合资讯的方便软件，可以代替每天的报子）、gmai、飞信、QQ（对于QQ我很无赖）、GR（很想但是流量太大了）

关于twitter：

准备用一篇单独的文章来写，静候下文吧。

关于GR：

这几天闲来折腾我的GR，加RSS源。哎，懒人没办法，都是顺藤摸瓜，找好多好多，然后在吧一个个看的不喜欢的删掉 。

找的源大部分就是IT类的，但是我又不想没天太技术类的还是要有部分生活上的东西，毕竟人是热血的情感动物。对了 还加了一个让人意外的源。丁香园医学社区，话说奶奶是学医的，小时候跟着奶奶一起也是接触了好多医学常识。好了不扯了，不然又回不来了。

其实现在后很多网站，本身就是聚合型的RSS阅读器，常用到的：cnBeta、玩聚。。CB几乎就是IT类新闻的大聚合。玩聚就是IT和 趣事的聚合。（曾经有段时间 自己 想建一个 ACGBeta的ACG聚合新闻站。当然最后流产了。。。)每天其实都在信息过载过去。在这回没添加RSS原是GR都是出于超载状态，还有推上永远刷不完的时间线，其实都可以把twitter的每个用户看做一个RSS新闻源，每天直播着自己的新闻。

关于QQ：

用QQ实属无赖之举，里面联系的最多的就是老同学，一些朋友。一些无法割舍的关系。QQ的其他业务也几乎没使用，至于QQ邮箱嘛，哈哈用来注册垃圾网站的好东西。

关于VC：

动漫、美剧、电影、综艺、纪录片、电子书、教程、杂志、全靠他了。虽然有些东西下了可能只是收藏，可能自己也不会看，看是还是会下载自己的硬盘里。里面的视频时我除了twitter外为数不多的娱乐方式了。可爱的驴子~

关于douban:

豆瓣是使用的一个较少的web服务了，其中豆瓣音乐算是最多了（虽然有xiami但是还是觉得豆瓣音乐用着顺手，当然虾米也不错，其实很久以前用酷狗最多，但是酷狗没落了），自己不是文艺青年，其实大言不惭的自爆自己在这活着的19年里唯一从头看完的一本小说就是《鲁滨孙漂流记》掩面~~自己都不好意思说了。

还有更多未完待续……

关于信息量的控制：

在web2.0的网络世界里信息的来源渠道太多，信息的刷新速度太快。只要你愿意获取信息，几乎没都是超载。同时自己也深知twitter上随便RT的害处，自己也在回避。 使用非官方的RT。

最后：

身边的确还有很多人没有使用到Web2.0的技术，甚至停留在相当原始的互联网时代，更不要提优秀的web2.0的互联网服务了（翻墙后的优秀服务就更不要说了~）。也许需要你去推荐（Ps：但是我试了，推荐好多但都啥用~哎）

心情很糟糕！

空间商尽然擅自修改主机设置，导致我博客的二级页面全部失效No input file specified.。虽然在在客服帮助下网站可以正常访问，但是因文章的链接结构以改变，所以在搜索引擎上的页面缓存，页面地址，反响链接，RP，等一切全部报销掉，甚至网站可能被搜索引擎惩罚。

作为空间商，还号称完美支持WordPress。这种行为完全不顾及用户的后果，以及用户的心理感受。的行为是可耻的。该骂的话我也骂了，就不在博客上污染大家的眼睛了

同时更加坚定了我明年一定要把网站搬出去的想法 。

更新：

在今天，查看Google的搜索结果。发现新文章链接结果结构的页面也已经生成。在看看 统计，没有一个来至搜索引擎的IP。确实我心好凉，博客在搜索引擎上的一切全部已经不存在。等于是几乎重头开始。我很佩服我昨天是怎么心平气和的和客服讲话。真是心里很不舒服。

我今天还是忍不住必须把空间商名字暴出来，这不是我的报复，只是我想告诉其他准备使用它虚拟主机的人，，他们的主机商事怎么样的，还原一个真像。

主机商: 华夏名网 （sudu.cn），成都飞数科技公司旗下。

客服态度不错，但是问题并未解决，原链接页面依旧无法使用，请将你们网站上将完美支持WordPress去掉，你们没有资格说，不要说你们是中国第一大Linux PHP主机商，难道中国第一大的Linux PHP主机商解决不了服务器对WordPress的支持问题吗。主机商行为，的确很难让客户接受。也完全没有顾及用户感受。

第二次更新（2010-5-23）：

在昨天逛CB时，看到一篇文章《发现nginx 0day漏洞，上传图片可入侵100万服务器》

又想到：

服务器正式用的nginx 。而目前nginx 官方并未拿出解决方案，而华夏名网便用了临时性安全的措施禁用了path info。导致了WP异常，我是这样认为的。有关漏洞详细见：http://m-saku.net/2010_05_1059.html

现在正在与售后交流，还未得到答复。

而有关nginx漏洞的文章: http://m-saku.net/2010_05_1059.html 。

第三次更新（2010-5-24）

客服已答复，是因为nginx安全问题，应用的应急措施~nginx 官方出补丁后将还原原来设置。

这次事件就告一段落了。以后要有变更还会继续更新。

这是一个蛋疼的的域名，http://sb.com.sb 。

我不知道这域名要用来干什么，想要将其出售。所以如果你需要的话请与我联系 。

我的联系方式：

个人博客：http://M-saku.net

Gtalk/Email：hm00com@gmail.com

QQ: 404193742

这是2008~2009的比较好的作品了，大部分是花花草草（因为花花草草最好照了，哈哈）。每天上学也没什么机会可以照相的，这事为数不多的作品了。

欢迎围观，多多交流~~ 要是有武汉的摄友来做个朋友吧。。

不要认为是单反，也不要认为是其他很好相机。2005年入手的佳能A620，老相机也能出不错的PP的。后期润色了一下。

原文链接 : http://www.upx8.com/article.asp?id=641

漏洞介绍：

nginx是一款高性能的web服务器，使用非常广泛，其不仅经常被用作反向代理，也可以非常好的支持PHP的运行。80sec发现其中存在一个较为严重的安全问题，默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析，这将导致严重的安全问题，使得恶意的攻击者可能攻陷支持php的nginx服务器。

漏洞分析：

nginx默认以cgi的方式支持php的运行，譬如在配置文件当中可以以

location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
}

的方式支持对php的解析，location对请求进行选择的时候会使用URI环境变量进行选择，其中传递到后端Fastcgi的关键变量SCRIPT_FILENAME由nginx生成的$fastcgi_script_name决定，而通过分析可以看到$fastcgi_script_name是直接由URI环境变量控制的，这里就是产生问题的点。而为了较好的支持PATH_INFO的提取，在PHP的配置选项里存在cgi.fix_pathinfo选项，其目的是为了从SCRIPT_FILENAME里取出真正的脚本名。
那么假设存在一个http://www.80sec.com/80sec.jpg，我们以如下的方式去访问

http://www.80sec.com/80sec.jpg/80sec.php

将会得到一个URI

/80sec.jpg/80sec.php

经过location指令，该请求将会交给后端的fastcgi处理，nginx为其设置环境变量SCRIPT_FILENAME，内容为

/scripts/80sec.jpg/80sec.php

而在其他的webserver如lighttpd当中，我们发现其中的SCRIPT_FILENAME被正确的设置为

/scripts/80sec.jpg

所以不存在此问题。
后端的fastcgi在接受到该选项时，会根据fix_pathinfo配置决定是否对SCRIPT_FILENAME进行额外的处理，一般情况下如果不对fix_pathinfo进行设置将影响使用PATH_INFO进行路由选择的应用，所以该选项一般配置开启。Php通过该选项之后将查找其中真正的脚本文件名字，查找的方式也是查看文件是否存在，这个时候将分离出SCRIPT_FILENAME和PATH_INFO分别为

/scripts/80sec.jpg和80sec.php

最后，以/scripts/80sec.jpg作为此次请求需要执行的脚本，攻击者就可以实现让nginx以php来解析任何类型的文件了。

POC： 访问一个nginx来支持php的站点，在一个任何资源的文件如robots.txt后面加上/80sec.php，这个时候你可以看到如下的区别：

访问http://www.80sec.com/robots.txt

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:05:30 GMT
Content-Type: text/plain
Content-Length: 18
Last-Modified: Thu, 20 May 2010 06:26:34 GMT
Connection: keep-alive
Keep-Alive: timeout=20
Accept-Ranges: bytes
访问访问http://www.80sec.com/robots.txt/80sec.php

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:06:49 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Keep-Alive: timeout=20
X-Powered-By: PHP/5.2.6

其中的Content-Type的变化说明了后端负责解析的变化，该站点就可能存在漏洞。

漏洞厂商：

http://www.nginx.org

解决方案：

我们已经尝试联系官方，但是此前你可以通过以下的方式来减少损失

关闭cgi.fix_pathinfo为0

或者

if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}

原文链接 : http://www.upx8.com/article.asp?id=641

本博客出了现了一个意外。

打开任何二级页面。都会提示No input file specified.

这个问题来的莫名奇妙，博主也无重下手。

但是博主正在努力解决，当然如果你知道如何解决这个问题，可以告诉我。

我的 Email: hm00com@gmail.com 先谢谢你了~