Frank’s New Ideas

最近，很多学校的网络部门都发布了提醒大家不要使用瑞星2008版的通知。对此，公网上也有相当多数的评论。见下：

• 哈工大：关于校园网用户谨慎使用瑞星2008防火墙软件的通知
• 四川大学：关于使用瑞星2008免费版的提示
• Google: 搜索“瑞星 2008 arp”
• …

可见，问题的确是存在的了。当然，在这件事上瑞星没有示弱，发布了声明。看上去两方面都有道理。那么，这个问题到底是怎么回事呢？

在瑞星官方网站的首页上找到了这样一句话：

防ARP欺骗功能：有效拦截ARP攻击，并提供详细丰富的管理功能，方便用户进行攻击源查询

然而点进去后，这项“重要的功能”却没有了，不知道这是为什么。

其实我觉得，造成这种现象的原因很简单，就是网络协议的缺陷。早期的网络协议设计时，因为联网计算机数量有限，基本上全凭大家自觉，而没有考虑到可能有人在其中捣鬼。随着网络使用的大众化，各种病毒爱好者也开始活跃。这里的 ARP 协议就是这样一种机制：

网络上的机器以某种特定方式进行“自我介绍”。机器甲说：“我是甲，我在这里！”于是大家就记下了甲的地址。然后乙又说，“我是乙，我在这里！”于是大家又记下了乙的地址。如果大家都这样轮流实事求是地说，网络上也就相安无事。

现在突然出来一个捣乱的丙，他明明不是甲，但却对大家说“我是甲，我在这里！”这台机器丙通常是中毒了，或者使用者是个黑客，先前已经把真正的甲搞掉了。于是大家就会认为丙是甲。

现在，如果甲运行了瑞星防火墙呢？那么机器甲发现，好啊，居然有人冒充我。于是开始向网络中疯狂地喊“我是甲！我是甲！我才是甲！……”显然在这种协议中，谁声音大，大家就听谁的。通过这样大声的广播，保护了甲处的网络的连通性。

那么，瑞星的这种设计到底有没有问题呢？

《新加坡旅游局推行的一系列方便中国公民造访新加坡的签证措施》中提到：

从2005年10月起，北京、上海、广州、深圳、杭州、南京、苏州、成都、昆明、厦门、大连、沈阳、天津、西安和福州15个中国城市的居民 (以护照签发地为准) 可以申请赴新加坡2年多次往返的签证。申请者递交相关材料，并通过新加坡使/领馆的批准后，1个工作日就可以拿到新加坡2年多次往返的签证，上午10时30分之前提交可在当日领取签证。（*注：若签证申请表格未填妥或材料不齐，其申请将会不予受理，或将影响签证受理时间）

对于上述城市的市民来说，不但1个工作日内可以办好，现在还支持网上办理。这样，新加坡的旅游签证可能是中国公民最容易获得的签证了（不需要签证的国家除外）。为了进行网上办理，需要做一些准备工作：

1. 准备一张数码证件照片，要求白底，将其处理成符合下述要求的模式。
2. 到新加坡政府入境处的“SAVE”系统中注册一个账号，密码到邮箱中取。
3. 填写表格，上传照片。这里有些问题：
   • 此系统只支持IE，尝试使用Firefox填写，失败。
   • IE浏览器在上传照片时通过ActiveX访问本地文件，需要设置允许。方法：IE的“工具”菜单->Internet选项->高级->安全->允许活动内容在我的电脑上的文件中运行（选中）。否则，用IE6+SP2填写过程中浏览器上方会出现“信息栏”，就不得不刷新页面，从而session失效。
   • 照片需符合规定的大小：400*514像素，JPG格式，文件小于60K。
   • 护照号、有效期等信息一定要double check。
   • 去新加坡旅游无固定地址，纸版申请直接写 HOTEL 即可。网上申请，直接填 HOTEL 无法通过。我尝试在Street, Building都填了 HOTEL，并在 Block 填0，Zip code 填 000000。实践证明是可行的。
   • 填写过程中，不能使用浏览器的前进、后退、刷新按钮。每个页面停留不得超过5分钟，否则否则session都会失效。
4. 使用信用卡交费，20新币，约合人民币102元多。
5. 打印出Form 14。由于IE的问题，可能需要设置一下页边距，否则输出后可能不止3张纸。
6. 在Form 14上粘贴一张照片，并签名。

提交之后，等待几个小时，就收到邮件，通知签证被批准了。带着护照和打印、签名好的Form 14即可前往大使馆领取签证。

应该说，整个网上申请系统制作还是比较死板的。所有内容必须全部填对后才可提交，而不能保存局部填写的状态。填写过程不允许刷新、回退，一旦出错或超时，所有都需要从头再来，这一点也很不user-friendly。网上申请过程对人的耐心、技术、英文都有一定的挑战。

可惜分词貌似有点问题，查出李彦红有“两个老婆”——马东、马东敏。

居然有人认为Google的午餐天天都一样，这世界真是对Google真是充满了误解。那我只好再把7月19日的午餐列一下，由此证明Google的午餐并非每天一样的。有老员工说，菜单大约20天轮换一次。公司的 HR 说，透露午餐的食谱可不算是泄露公司内部机密哟。

为了留下证据，这两天吃饭时我特意带着相机。可惜暂时没有读卡器，只能日后再放出来了。如果你恰好在Google吃饭，并且看到一个拿着相机的人，那人很可能就是我了。

中餐：
* 【刀削面】(没挂牌子)
* 金针菇炝炒油菜(Wok fried bokchoy with mushroom)
* 红烧黄花鱼(Stewed yellow croaker with soy sauce)
* 香茅盐水鸭(Poached prawn in salt and herb water)
* 卤鸭翅(Braised goose wing with herb)
* 老醋花生(Peanut in vinegar sauce)
* 蔬菜炒米粉(Sauteed rice noodle with vegetables)
* 上汤皮蛋浸蔬菜(Spinach and preserved egg in soup)
* 韭菜合子(Chinese calzone with leek chive)
* 鱼香肝片(”Yu Xiang” slices of pig’s liver)
* 土豆烧牛腩(Braised beef with potato)

汤：
* 鲫鱼羊排堡(Lamb and sweet water fish “pot”)
* 番茄浓汤(Tomato puree soup)

西餐：
* 原汁烩蘑菇(Fricassee of mushrooms)
* 奶油茄泥伴松籽(Cream eggplant paste with pine nut)
* 咖喱炒饭(Curry rice)
* 意粉伴芝麻菜及银芽(Spaghetti with arugula, parmesan and bean sprouts)
* 油淋三文鱼(Steamed salmon with soy sauce)
* 泰式烧烤鸡(Thai B.B.Q. chicken)
* 新加坡肉骨茶(Singapore pork bakutek)

色拉：(调料同昨天，略)
* 华道夫色拉(Waldorf salad)
* 黑豆及金枪鱼香橙色拉(Bean salad with tuna and orange)

其他/点心：
* 萨拉米肠比萨(Salami pizza)
* 黄桃蛋糕(Peach polenta)
* 巧克力抓福蛋糕(Chocolate truffle cake)
* 纽约芝士(New York cheese)
(还有几种没有挂牌子，另有三种好吃的home-made曲奇饼。)

Google 午餐的食客有中国人，也有外国人，所以菜名都是双语标注的。从这些牌子上能学到不少菜名（比如“盒子”竟然是“calzone”），当然我相信也有存在不少翻译错误，会不会是 Google Translate 翻译出来的呢？

中餐：
* 豉油皇原壳鲍鱼(Stewed abalone in soy sauce)
* 中式牛肉卷(Chinese beef roll with mushroom and black pepper sauce)
* 韭菜炒海肠(Sauteed sea-intestines with leek chives)
* 香干炒芹菜(Wok fried celery with smoked tofu)
* 香辣鸡腿筋(Sauteed chicken muscle with spicy sauce)
* 玉米发糕(Corn soft cake)
* 罗汉素烩饭(Chinese risotto with mix vegetable)
* 蒜泥山茄条(Steamed eggplant with garlic dressing)
* 莴笋丝拌虾米(Shredded lettuce root and dry shrimp with herb oil)

西餐：
* 卷心菜炒饭伴番茄汁(Cabbage rice roll with tomato sauce)
* 渍洋葱炒西葫芦(Sauteed zucchini and red wine onion)
* 焗多宝鱼伴葱香番茄(Baked fish with tomato and onion)
* 奶油焗菜花及西兰花(Broccoli and cauliflower au gratin)
* 焗烤柿椒千层面(Baked three pepper lasagna)
* 焗牛肩峰伴洋葱汁(Roasted beef hump with onion sauce)
* 白酒烩鲜蛤(Poached clams in white wine)

色拉：
* 黄瓜色拉(Cucumber salad with ginger, coriander, mint)
* 小羊柳伴火箭菜色拉(Lamb and rocket salad with black olive dressing)

调料：
* 凯撒汁(Ceasar dressing)
* 千岛汁(Thousand island dressing)
* 意大利黑醋汁(Italy balsamic)
* 橄榄油(Olive oil)

点心：
* 柠檬塔(Lemon tart)
* 夏日穆斯(Summer mousse)

其他：
* 美味寿司(Sushi)
* 墨西哥脆玉米饼伴各式酱料(Mexico Taco with your choice of condiment)

另外还有水果。

这个暑假，我在 Google 中国作夏季实习生。今年的谷歌中国的暑期实习省人数比去年的多一些，而且实习地点又分为北京、上海两地。报到后才知道，原来我是这批实习生里面年龄最小的之一。

从报到的第一天开始，我们就被安排参加种种培训，以便适应 Google 内部的风格。当然作为一名 Google fan，这些培训还是很容易理解的。在 Google 的大楼内，食品、饮料、办公用品都是免费的，于是我用一周时间基本把所有种类的饮料尝了个遍，最后发现还是“农夫山泉”最好喝！在大楼里，处处需要使用钥匙卡(badge)来开门，甚至是去洗手间，这可害苦了我们这些无证人员。好在第二天上班的下午就得到了制作崭新的钥匙卡，效率还是蛮高的，弄的老员工直羡慕——有的人用了三个月才得到钥匙卡，更多人是等了一周。

我的工作站是一台 Dell 台式机，显示器宽屏，超大，并排显示两个完整的网页都没有问题，很快地我就找到了几种有创意的应用。不过我在正式员工的办公室见到了更有创意的应用，他们把两个或更多的这样的大显示器竖起来、并排放，可以获得更广阔的视野。

拿到钥匙卡后，赶紧去拜了康神。康神又引荐我去见了另一位师兄，也就是我的 mentor 的同组同事。晚上他请带我去吃饭，顺便介绍了 Google 的很多“内幕”。由于我的 mentor 在美国出差，下周回来才能见到，我于是和她通过越洋电话联系，人非常 nice。Google 是个非常注重知识产权的公司，也非常注重信息安全。所以我们出了 Google 的大楼，就不能够访问内部的邮箱——这样，回家后和周末，就不用再想着公司的事情了。而对于正式员工，他们有笔记本，可以通过 VPN 连回公司，照样需要处理公司业务。可见我们的工作要轻松的多，对我们的要求也比正式员工低不少。

关于 Google 的餐厅，以后再写。

一般的机器只有管理员才能设定时间。Ubuntu 的机器有 sudo 权限的用户可以使用 sudo 来获得管理员权限。

如果机器时间不对，可以通过 sudo ntpdate 来校准。

sudo 本身有一个时间戳，一段时间内不必再次输入密码。如果这个时间戳的时间是未来的时间，那么会 sudo 会认为有诈，从而拒绝执行 sudo 的命令。

问题就来了：如果一个机器时间快了很多，通过设置时间的命令往回调后，sudo 就用不了了。只能 (1)重启，或者 (2)让其他管理员用户修改时间戳，或者 (3)等到时间戳过期之后再使用。

Ubuntu 默认是把系统时间当作 UTC 基准的，这一点与 Windows 不同。如果要重装一遍系统，经常遇到时间不是快 8 个小时就是慢 8 个小时的现象。如果碰上快8个小时的情况，在系统中重设时间后，将有8个小时左右不能再用 sudo。

这真是一个棘手的问题。如果是服务器，重启一次是很麻烦的。

（美国太平洋夏令时间）5月17日是赛门铁克公司最沉重的日子。当 Symantec/Norton Anti-Virus 的用户将自己的杀毒软件更新到这一天的病毒定义以后，会把 %SystemRoot%\system32\netapi32.dll 和 %SystemRoot%\system32\lsasrv.dll 两个系统文件认为是“backdoor.haxdoor”木马程序，并把他们“隔离”起来。如果用户重启电脑，将发现系统无法正常启动，出现蓝屏，安全模式也无法进入。对此问题，目前尚无有效的解决方法，如果是系统分区是FAT32格式的，可以考虑从其他系统拷贝正确的系统文件进行修复；如果系统分区是 NTFS 的，可以考虑运行 Linux + ntfs3g 程序将这两个文件写回去。

如果你恰好使用的是 Symantec/Norton Anti-Virus，并且已于今天更新病毒定义的客户端，那么，请注意，千万不要重新启动电脑……关掉 Anti-Virus 服务，到系统目录中查看 netapi32.dll 和 lsasrc.dll 文件是否存在，如果存在且修改日期不是今天，说明你比较幸运，文件没有被隔离。否则的话……看看隔离区里面有没有这两个文件，如果有，把它们恢复，并且禁用 Anti-Virus——祝你好运！

赛门铁克（诺顿）的杀毒软件一直以大而无用著称，占用系统资源多，而防杀病毒效果平平。而他们的 Internet 防火墙也会给用户带来诸多不便，例如一些 web 站点无法登录，VPN 无法连接，很是烦人。Lenovo ThinkPad 随机附赠的诸多软件中，我第一个删除的就是它。

无独有偶，瑞星杀毒软件也曾有过一些问题，不知道现在是否已经解决。很多用户在从瑞星的旧版本升级到某个时期发布的 2007 新版本后，会发现系统无法正常启动，蓝屏报错，原因就是这个版本的瑞星杀毒软件的某个系统驱动程序没写对。我曾经手过两起因为瑞星 2007 造成的“事故”，好在安全模式还能进入，把瑞星彻底删除后一切正常。有人说安装瑞星出品的“卡卡助手”后，升级“瑞星杀毒软件”可能导致“卡卡助手”损坏，进而导致系统无法启动。“卡卡助手”是瑞星推出的一个反流氓软件，连某些古老版本的顽固的“3721”插件都能清除，可见“卡卡助手”也是在系统内核中挂了钩子，而且比“3721”挂的还要深层次。一个应用程序的文件损坏居然会导致整个系统崩溃。

杀毒软件本来是保护系统安全的，然而一个是国际知名、另一个是国内领先的杀毒软件居然也会沦为系统的首要威胁，实在是个讽刺。更讽刺的是，这两个事件都是因为升级病毒库或主程序引起的，可以通过网络传播，又对系统造成危害，基本符合“计算机病毒”的定义。其实，如果说上面两个是杀毒软件造成的问题，那么微软的引以为豪的“AutoUpdate”出现系统长时间CPU占用100%的问题，就不那么好解决了。

近几天，水木上又开始声讨招商银行的专业版网上银行了，事实上，这种声讨的声音一直就没断过。这个招行“专业”版网银，做起事来的确够专业——不但只认可Windows（招行网银普通版只认IE），还会在输入密码时挂键盘钩子，在运行时禁止远程登录。最近招行又推出了一项“新功能”：检测虚拟机，如果检测到你正在虚拟机中使用招行专业版网银客户端，那么客户端会报错。如果你是一位Linux或Mac OS的用户，那么很遗憾，你可能再也不能通过VMWare或Parallels等工具安装一个Windows，从而使用招行专业版网银了。招行客服对自己这些“狗拿耗子”的做法的解释是：安全。

正式因为这些原因，我一直没敢使用招商银行的专业版，至多在普通版上查查每期信用卡帐单。招商银行作为国内银行业界很多领域（如网上银行）的开创者，网点少，用户多，资金量大，受到人们的诟病也比较多。曾有自由软件支持者billxu发表《致招商银行的公开信》，指出了招行技术路线上的失误，并说明他们的做法并不一定能带来安全，却给少部分用户造成严重的麻烦。但至今，招行不但没有作出任何向正确方向的改善，反而在错误的道路上越走越远。其实，这种Windows-only，IE-only的现象在国内网上银行中并不少见。比如，中国工商银行的网银使用IE专用的ActiveX插件认证密码，专业版使用“U盾”，抛开安全性的问题不谈，其驱动程序只有Windows版本的。中国建设银行、招商银行、浦发银行、兴业银行的网上银行也使用专用的ActiveX插件输入密码。北京银行曾一直是支持非IE浏览器的，可惜今年早些时候的某次升级后，我再也无法使用Firefox操作北京银行的网银了。兴业银行最亏，本来用的是Java Applet这个跨平台的组件写的网银客户端，却因为网页某处的不兼容JavaScript代码问题，导致非IE浏览器无法输入密码，同样成了IE-only。也有一些例外，淘宝网就允许非IE用户直接登录，也不需要什么ActiveX；但对IE用户，则要求必须安装ActiveX插件。我不太清楚淘宝网的技术人员是怎么考虑的，这不是表明ActiveX对安全性的提高来讲纯属鸡肋么。

那么，国外的情况也是如此吗？我在曾经写过的《体验香港的银行服务》中介绍过香港汇丰和恒生银行的网银服务。在Firefox中使用Three、Peoples等电话公司的网上缴费服务也很正常。这些服务全部是跨平台的，不论你用IE还是Firefox还是Safari，不论用Windows还是Linux还是Mac OS，全部可以正常使用。为什么香港银行和公司的觉悟那么高？我在一个港大入学时发的小册子里找到了答案——原来在香港，发布一个不跨平台的网页是违法的。香港有个“机会平等委员会”，保障妇女、残疾人等的合法权益。而互联网上的网页，也和其他公共设施一样，被要求适合残疾人使用——例如视障人士，他们可以通过屏幕阅读软件了解网页信息，但这样的网页必须符合一定的要求。在一个真正重视“少数人”的社会，人们才会意识到网页标准的问题。

现在，一些外资银行已经获准在国内经营人民币存贷款业务了，距离全面开放也只是时间问题。这对国内银行业显然是个冲击——因为外资银行的目标客户群一般都是高端客户。值得讽刺的是：能够使用招商银行专业版网上银行的客户，应该是招行的优质客户；能够在关注“浏览器平台兼容性”问题的招行专业版网银客户，从他们的工作性质可以推想，更应该是优质客户中的优质客户。这部分客户从招行投靠外资银行，具体损失有多少，恐怕只有招行自己清楚吧。

我在2007年2月2日从牛津大学出版社的网站上订购了一包数学手册，结果4月23日才收到。对方一共邮寄了3次，前两次却因为他们搞错了我的地址，导致我收不到。最后一次是4月11日从英国寄出的，12天收到。收到后发现是以两个包裹邮寄的，而且居然连挂号都不是。

详细情况记录如下，可后人参考。以下我说的日期均为北京时间，对方所说的日期是英国时间。

2月2日前：德国的一师兄发现Oxford University Press在搞新年促销活动，很多书的价格降至原来的1/4。而其中一本工具书只卖7英镑多一点，非常超值。这本名叫Oxford User’s Guide to Mathematics的书据称起源于上世纪50年代苏联的一本数学手册，60年代德国人翻译成德语，到90年代一共修订了18次，成了德国人手中标准的数学手册。90年代以后Max Plank数学所对它进行增补，只保留了框架结构，全部重写了一遍。2003年由Oxford University Press组织翻译成英文，号称是英语世界最好的面向科研与工程的数学手册。经过调查发现，OUP的网站面向全世界售书，每订单邮寄费用不论多少，只收9英镑。故组织了15个人团购此书。

2月2日：下单，通过信用卡付款。

2月3日：订单确认，信用卡上获退款0.08英镑，说是处理订单的系统多收取了的零头。确认信中说寄到中国至多需要28天。

2月14日：发信询问邮寄状态，对方于2月15日回复说：包裹于2月5日寄出，至多14天到达（Please allow up to a maximum of 14 days for delivery）。

3月2日：尚未收到包裹，再次询问，对方即日回复要求我确认地址，我把地址发给对方。

3月5日：OUP回复“… it should be there by now, is there any way you can check with the local postal authority and see if the are holding anything or if there has been a delay in customs?”

3月11日：我回复说无法查询，因为中国邮政也不提供此类进口包裹的查询。海关也无法查询。

3月12日：OUP回复“It appears your parcel is lost in transit. I can send you a new parcel, but to do this I will need to refund your credit card for the original lost order, and then re-charge it for the new order. Please confirm it is acceptable for me to do this.”

3月14日：打电话联络OUP确认，对方说尽快补寄，还是14天能够收到。

4月5日：仍未收到，打电话询问，对方说帮助我调查，并很快告知我问题所在。

4月10日：OUP回复“It states building 450 instead of building 40. Unfortunately, this is why you are not receiving your order. I can confirm that I will amend your address details and I will resend your parcel today. Once again, please accept my apologies for the difficulties you’ve had in obtaining your parcel.” 也就是说，他们把我的地址搞错了，这是导致我寄了两次都收不到的真正原因。

同日，打电话过去，商讨有关事宜。我问，都这么长时间收不到书了，你们能不能用DHL之类的快递寄下一次？对方说算一下，一会儿给我回电话。回电话时，对方说DHL邮寄费用要130英镑，但是普通邮政包裹只要9英镑，而且只要14天就能到达。你是否愿意自己出这份钱？看来他们宁可丢书也不愿意出邮资，逻辑很有意思。我要求将邮寄地址改为学校。

4月23日下午：收到书，包裹上写着是于4月11日寄出的，确实在14天内到达。

整个过程，对方服务态度总体还是不错的。不过这英国人的办事态度够官僚，效率也够可以的。

我搞不明白的一点是，为什么网上下的订单，我填写的地址，居然邮寄的时候会搞错？他们难道是手工输入地址吗？这种工作流程确实需要改进。