自己也测试了下，东京的机房比较近，速度确实还不错，Linode的服务确实也不错，推荐下

迁移、购买好像都没啥说的，网上也有比较多的教程。我在购买的时候还担心支付问题，没想到国内的信用卡也可以直接支付；今天上去看code，发现他们有保存信用卡卡号、有效期等信息，看不出有没有存CVV，有点玄乎；已经发邮件过去询问了

BTW, 我的 Linode referral code: c4c36f1a2d3b525013a28fca90433f1c47ae0739

如果你也准备购买，不妨用一下我的 referral code :) dir

国内开源web程序安全风险 top10

更多数据参考漏洞分布/漏洞趋势分析

也来个top10，仅供参考，漏洞

在围脖上问了问，大牛们都推荐我用FreeNAS，玩了一下午，还确实不错，SMB，ATF，WEB……都支持了，已经完全满足我的需要了，smb就主要是做文件共享，ATF主要是给我的mbp做TimeMachine备份，还有些开发环境什么的，更重要的还支持BT，各位看官都懂的 @amxku

发现FreeNAS 8.0.1的web管理平台是基于Django开发的，建议用7.x版本

http://www.syoi.net/node/381
http://www.raychou.com/chou/posts/355.htm
http://www.raychou.com/chou/posts/356.htm

• 手势还是不错的
• Misson Control确实是一个不错的东东
• Address Book的更新一般了，中文排序有问题
• iCal的界面不怎么好，感觉没上一个版本好
• 与Scrollbar相反的滚动，确实需要适应，需要点时间
• Mail的升级很不错，很给力

Apple这次Lion的这个升级，有惊喜，有遗憾，界面的变化不怎么好，感觉不太像apple的风格

不推荐安装升级GM版，在等等吧，号称没几天就要发布正式版本了

BTW：有朋友公司在找ios，android开发人才，offer很不错，有意向的朋友可以联系，在上海

一年了，从想法到实现，再到后面……一年的时间里经历了很多，有失败后失落，有成功的喜悦……

祝好

BTW：有朋友公司在找数据挖掘的人才，offer很不错，有意向的朋友可以联系，在上海

http://samy.pl/evercookie/
这其实就是一个给客户端打上永久标记

Specifically, when creating a new cookie, it uses the following storage mechanisms when available:
     - Standard HTTP Cookies
     - Local Shared Objects (Flash Cookies)
     - Silverlight Isolated Storage
     - Storing cookies in RGB values of auto-generated, force-cached
        PNGs using HTML5 Canvas tag to read pixels (cookies) back out
     - Storing cookies in Web History
     - Storing cookies in HTTP ETags
     - Storing cookies in Web cache
     - window.name caching
     - Internet Explorer userData storage
     - HTML5 Session Storage
     - HTML5 Local Storage
     - HTML5 Global Storage
     - HTML5 Database Storage via SQLite
 
    TODO: adding support for:
     - Caching in HTTP Authentication
     - Using Java to produce a unique key based off of NIC info

• 输入法；我用的QIM，用着还蛮不错，不过是商业软件，暂不提供下载，呵呵

• 编辑器
  • vim-cocoa
  • Coda
• 浏览器
  • FireFox，没啥好说的
• IM
  • Adium
  • Skype
• PHP开发环境；XAMPP
• 行程管理；iCal，直接用google的日历，手机上也能很好的同步了
• 系统管理
  
  • AppCleaner，程序卸载工具
  • OnyX，系统清理、优化
  • mfTuneKit
  • AppFresh；软件升级
• 影音、图形处理
  • 豆瓣电台
  • iTunes
  • MPlayer
  • 小芊(nLyrics)-Itunes歌词显示
  • Picasa
  • Snagit；强大的截图软件
• 解压缩；betterzip
• 翻墙相关
  
  • Shimo
  • Proxifier
• FTP工具；Transmit
• 日常办公
  • 邮件；系统自带的，加上WideMail
  • Microsoft Office 2011
• 其他
  • Growl；牛x的信息提示
  • Reeder；rss，google reader

后面这更新吧，先写这些吧

• 第一集：《想做你的Code》
• 第二集：《让爱延长》
• 第三集：《幸福也需要敏捷》
• 第四集：《为爱Debug》
• 第五集：《让爱编译通过》
• ……

深深的情愫，淡淡的烦恼，他们是幸福的。

公司现在有很多这种情况存在，因为应用太繁杂，前期在测试时发现了很多这样的问题。其实之前很少关注FilterJS方面的东西，对于这一块的安全问题，仅仅是在owasp的一次会议上看到过对淘宝的攻击演示。

google到了一些相关的资料，学习学习。

OWASP ESAPI for Javascript
Javascript 的输入输出，以及二次渲染问题
owasp-esapi-js
Bypassing OWASP ESAPI XSS Protection inside Javascript

记录下，感叹关注面之窄啊。最近老是感觉时间不够用，怎么回事啊

在twitter上问了一些朋友，大部分人都是这种情况。是不是blog以后要被围脖给取代了呢，不得而知。现在各大互联网公司都在做自己的围脖，基本上都比较类似，域名都是t.***。还是比较期待腾讯的，主要是他的域名（t.qq.com）够短、短地址（url.cn）够牛。sina是有名人做招牌，不知道腾讯又会走什么路线。各家都是各家的看法，不尽相同、褒贬不一。在twitter上看到，有很多人在调侃腾讯的用户有多少人知道URL是啥呢？地址找不见了，要瞻仰原文的到twitter上去搜索下吧。

最近VPS、VPN行业异常火爆，做这一块生意的朋友应该会不错，呵呵。这和我们的国情密不可分，前几天又听说.cn的米如果不提交个人信息的话就会直接被hold了。也怪不得godaddy在这个时间点支持alipay支付了，果然比我们这些民工看得远很多很多。说起这个翻墙，还有人专门为翻墙写了很多小诗（hELLoELL）比较有才，牛得一塌糊涂。你要相信twitter的用户群里什么人都有，要是他们能做到用户的群分化，那还真是不得了。

knownsec不愧是亚洲Success secrets of 20 top，牛X的IC总的scanv.com最近上线了，确实是不错。用黑锅的话说是，扫扫更健康。支持扫扫更健康。最近出来了很多有价值的paper，看都看不过来了，又要忙考试的事情，还没来得及细看，等月底吧，先好好考试。值得一说的是ben总在聊的安全团队。

纯属扯淡，先好好看书，好好考试。@amxku luoq.net

--EOF--

明天回老家过年去了，今年就只能上@twitter上聊了，来年再见

感谢朋友们这一年的关心和帮助，谢谢了

上周见到多年神交的蛋总(@x140dan)。蛋总这次来上海算是比较曲折。想走都走不了，火车走吧，没票；飞机吧，飞了一半又飞回上海了，比较杯具。

身边的朋友中上推的人多起来了，不过推上的新闻什么的还算是不错。前几天做了个t.sebug.net的反向代理，主要是为了SEO什么的，今天无意中一测试，这个地址竟然可以做api地址，直接上了。比较爽。速度也还不错，也比较稳定。没有自己api的朋友，可以用t.sebug.net这个做为api地址。@amxku

最近和朋友们吃饭的机会比较多，因此爱上了酸梅汤，一发不可收拾。。。。

The SDL Quick Security References will help you better understand and address common attacks that may be affecting your software, Web sites, and users.

Overview

With the SDL Quick Security References (QSR), the Security Development Lifecycle (SDL) team introduces a series of basic guidance papers designed to address common vulnerabilities from the perspective of multiple business roles - business decision maker, architect, developer, and tester/QA. These papers will help you address a critical business problem now while moving you toward SDL adoption in the future.

PS：有些地方写得还不错，可以参考参考
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=79042476-951f-48d0-8ebb-89f26cf8979d

这鸟blog也没什么流量，也没多少人关注。不过转眼间，这个鸟blog也写了好几年了，哈哈，现在也就是发发唠叨什么的，所以说换域名也就无所谓了。这个域名现在还在国内，希望不要被直接干掉哦，我看到现在有很多网站就算已经备案了也有被干掉的。默默的祈祷吧。新域名luoq.net。

昨天在卓越上买了本JQuery的书，今天上午就到了。现在这速度还不错哦。在公司翻了翻，还不错，不过我也没有什么资格评论它的好坏，自己也是入门级。

继续我的唠叨。

年底了事情比较多，碌碌无为的忙碌。@amxku luoq.net

--EOF--

http://news.softpedia.com/news/Microsoft-Confirms-0-Day-IIS-Security-Vulnerability-130650.shtml

Microsoft Confirms 0-Day IIS Security Vulnerability IIS 6.0 Security Best Practices can help mitigate the threat.So far, the issue in question affects version 6 of IIS on a fully patched Windows Server 2003 R2 SP2; however, additional IIS releases might also be impacted.

再看看这个：

Microsoft rebuts IIS vulnerability claims
http://news.cnet.com/8301-1009_3-10422871-83.html

Microsoft has denied claims of a new vulnerability in Internet Information Services (IIS) 6, putting the blame instead on poorly configured Web servers.

真他奶奶的丫丫，就这两文章，把我们公司的同事给忽悠的一愣一愣的，谁让这鸟文章是E文写的呢！

有点丫丫的感觉。

一气之下都转到了国外，转移的过程算是比较顺利，因为代理商是认识的朋友，这样就比较容易的拿到了EPP码，不过在Approval的阶段是不怎么顺利，一等再等终于是通过了。终于是OPEN了，哈哈。

还在墙内的朋友们也赶紧行动吧。网上有很多具体过程的教程，就不啰嗦了。