雖然之前有談過架構圖,但是這次看了 Patrick Brady (Google) 的簡報,也把簡報中關於 HAL 的部分也截錄出來。
原架構圖
若想要深入了解 Android 開發平台,建議參考:
雖然之前有談過架構圖,但是這次看了 Patrick Brady (Google) 的簡報,也把簡報中關於 HAL 的部分也截錄出來。
原架構圖
若想要深入了解 Android 開發平台,建議參考:
需要注意的是,Android Software Development Kit (Android SDK) 的授權並不是 Open Source,當你在下載前會有一份授權聲明。當然 Android SDK 著作權屬於 Google Inc. 目前確定支援 Windows/Mac OS/Linux(Ubuntu) 平台。
目前 Android SDK 是 1.1 r1 版,必要及選擇性的工具:
至於 Android SDK 本身的授權條款在此,截取出重要的條目:
前篇文章「自由軟體授權探討: Google Android」已探討大面向的授權議題。目前手邊有一個案例,廠商詢問 Android 中所附的 Droid 字型是否可以拿來使用。
我的答案是: Google 說 Yes。
Droid 字型的授權
隨 Android 釋出的 Droid 字型採用 Apache 2.0 授權。
你可以由在 Android 官方網站下載 Android SDK,解壓縮完畢後,到 tools/lib/fonts/default 目錄下,其中的 fonts.xml 文件就是 Droid 字型的授權聲明,截取如下:
Copyright (C) 2008 The Android Open Source Project
Licensed under the Apache License, Version 2.0 (the “License”);
you may not use this file except in compliance with the License.
You may obtain a copy of the License athttp://www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an “AS IS” BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
因此,目前確定的是隨 Android 釋出的 Droid 字型是 Apache 2.0 授權,使用上僅需依照此條款即可。另外需要注意的是,不是隨處的 Droid 字型都是 Apache 2.0 授權,只有隨 Android 釋出的才確定是此授權。
補充
Android 的官方網站有些變動,目前主要的三個是:
中國通過刑法修正案,納入駭客行為的懲處法案。
刑法修正案(七)草案中增加條款規定,侵入國家事務、國防建設、尖端科學技術領域以外的其他計算機信息系統,獲取計算機信息系統中存儲、處理或者傳輸的數 據,或者對計算機信息系統實施非法控制,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處 罰金。
這次修改也沒有放過為他人實施「黑客」犯罪提供程序、工具的人。草案規定,「提供專門用於侵入、非法控制計算機信息系統的程序、工具,或者明知他人實施侵入、非法控制計算機信息系統違法犯罪行為而為其提供程序、工具,情節嚴重的,依照前款的規定處罰。」
今天終於釋出 Wow! USB 系列 0.80 版。做了一些錯誤修正,以及功能的強化。
簡介
Wow! USB Protector 是一個自動偵測隨身碟是否含有惡意程式的免費軟體。目前可以偵測常見的隨身碟病毒,此類病毒因近期流行而尚未被防毒軟體偵測出來,是一款輔助防毒軟體的小程式。
Wow! USB VirusKiller 與 Wow! USB Protector 不同的是,當 VirusKiller 偵測出病毒時會自動刪除它,適合給電腦初學的新手使用。而對於可疑的程式時也會提出警訊視窗。
需要注意的是,Wow! USB Protector 與 Wow! USB VirusKiller 不能同時安裝。若同時安裝會以後安裝者為主要防護主體。
0.80 新特色
支援平台
Windows 2000/XP/2003/Vista 以上的 32bit/64bit 作業系統。
安裝
Wow! USB Protector。
Wow! USB VirusKiller。
下載後直接安裝即可。若您是一般使用者,請選擇 .exe 檔,若是需要大量佈署則可選擇 .msi 檔。
移除
若是使用 .exe 安裝者( .msi 移除方式於下方補充)。Windows 2000/XP 的使用者請按照下圖的步驟來移除。
Windows Vista 的使用者請按照下圖的孫驟來移除,需要「以系統管理員身份執行」才可完全移除。
選擇 .msi 安裝的使用者,直接從「新增/移除程式」列表中移除即可。
管理手冊
安裝成功後,可以在畫面右下角看到 Wow! USB 系列的圖示。
在圖示上按滑鼠右鍵,會彈出功能表。
手動掃描:一般而言,當電腦偵測到新的 USB 設備時才會啟動掃描,若需要手動掃描可直接執行。
管理介面:有豐富的功能選擇,執行後的畫面如下。
首先可以看到目前病毒庫的版本,以及開機時是否啟動的功能。白名單是自行設定的安全清單,當 Wow! USB 系列偵測錯誤時,您可以用白名單的方式來略過正常檔案。
右邊是自動更新的設定,可以設定更新間隔,而代理伺服器的設定,可讓你指定連外的機器。下面的掃毒顯示方式,可以設定當判斷無毒時,是否要彈出視窗告知使用者。最後的新版本通知設定,則是當有新版本時,會通知使用者。
學習手冊
當電腦發現新的 USB 設備時,會彈出視窗。
若掃描後沒有發現惡意程式,則會彈出視窗,使用者此時可以安全的使用。
反之,若發現有可疑程式時,則此時 Wow! USB Protector 與 Wow! USB VirusKiller 的行為會有所不同。Protector 會彈出警告視窗,
若你使用的是 Wow! USB VirusKiller,則發現病毒時它會自動幫你刪除。
0.80 版更強化了偵測方式,當您開啟這個功能時(FAQ 有如何啟用的教學),能抓出更多的可疑程式。
最後,Wow! USB 系列也有提供英文版本,一些圖示如下:
FAQ
1. Wow! USB Protector 與 Wow! USB VirusKiller 有什麼不同
Wow! USB Protector (以下簡稱 Protector) 在發現可疑的惡意程式時,會顯示出處理視窗,您可以依照你的需求選擇,其中有 “刪除” 與 “不理會” 等選項。
Wow! USB VirusKiller (以下簡稱 VirusKiller) 在發現可疑的惡意程式時,會將程式的檔名變更。例如,若可疑的惡意程式名為 “malware.exe”,則 VirusKiller 會在該程式的相同目錄下變更為 “malware.exe.suspicious”,此時這個可疑的惡意程式基本上已經沒有危害。這個更名動作也會用視窗顯示提醒。此時,您可以進入隨身 碟或磁槽中,將該檔案手動移除,若您不確定的話,可以通知了解的人協助處理。
因此,若您稍微了解電腦病毒,建議使用 Protector;而一般使用者建議使用 VirusKiller。
2. Wow! USB 隨身碟防毒僅保護功能,無法解決已中毒的電腦
Wow! USB 隨身碟防毒僅提供電腦防止隨身碟式的惡意程式感染,若您的電腦已經中毒則請您使用其它防毒軟體來解決。這也意謂著,Wow! USB 隨身碟防毒可以與任何防毒軟體配合,而不衝突。
3. 關於 Vista 作業系統上,出現 “執行失敗” 或 “權限不足” 的錯誤
這是因為系統權限不足。請用右鍵選擇 “以系統管理員身分執行” 來執行 Wow! USB Protector / Wow! USB VirusKiller,就可以正常操作 “開機時啟動” 等功能。
若想讓程序一直以管理員身份運行。請用右鍵點擊程式,於選單中選擇「屬性」,點「快捷方式」標籤,再點「高級」按鈕,在設置對話框中勾選「用管理員身份運行」,確定後關閉對話框。以後執行此程式時,即可一直以管理員身份運行程序了。
4. 進階掃毒策略與立即危險性掃毒策略
進階掃毒策略是 0.72a 之後預設的功能,於 0.80 版強化。除了可以掃出立即危險外,也可以掃出潛在危險。從原本只檢查 autorun.inf 的策略中,新增掃描隱藏的可疑程式,並會與病毒庫比對。往後不再受限是否存在 autorun.inf。缺點是速度視隨身碟檔案的多寡決定,檔案愈多掃描愈久。
若想要變更成 “進階掃毒策略”,則請手動更改 Wow! USB 安裝目錄下(預設為 C:\Program Files\WowUSBProtector) 的 config.txt 文字檔,將 ScanType=fast 改為 ScanType=advanced (注意 fast/advanced 都是小寫字母),最後重新啟動 Wow! 隨身碟防毒即可。
5. 增加額外自行建立的病毒庫
檔案格式僅支援純文字檔。如使用 WowUSBProtector 則於 C:\Program Files\WowUSBProtector\config.txt,將 AdditionDB= 改成想要的路徑,如 AdditionDB=C:\我的病毒庫\myvirus.txt。格式可參考 C:\Program Files\WowUSBProtector\virusDB.txt。
6. 什麼是大量佈署版
大量佈署版是供給 Windows 環境下,大量安裝多台電腦的版本。例如,電腦教室或公司環境。
必要條件是,環境內至少有一台 AD (Active Directory) 主機,此主機有權限分派大量佈署版給各下游電腦,以加快並簡化安全過程。由於 AD 佈署時,不支援 .exe 檔,所以佈署時請選擇 .msi 的大量佈署版。
佈署的操作方式,請於網路上查詢。
7. 關於 Vista 作業系統上,如何讓 Wow! USB Protector / Wow! USB VirusKiller 每次開機皆可自動執行
因為 Vista 作業系統有不同於 XP 的權限管理功能。因此,請用右鍵選擇 “以系統管理員身分執行” 來執行 Wow! USB Protector / Wow! USB VirusKiller,然後於右下角的 Wow! USB 小圖示上按滑鼠右鍵,執行”管理介面”,再點選”開機時啟動”即可,如此以後開機皆會自動執行 Wow! USB 保護功能。
8. 如何手動更新病毒碼
將最新的 Wow! 病毒碼下載至本機,解壓縮後,覆蓋舊的病毒碼(預設位址在 C:\Program Files\WowUSBProtector 下)。
如此即可完成,不用重新開機或重新啟動 Wow! USB。
9. 出現「Fatal Error」的錯誤視窗
「Fatal Error」的視窗問題對不特定電腦會隨機出現。這個問題不是 Wow! USB 隨身碟防碟能夠解決的問題;因為 Wow! USB 採用 pyinstaller 程式製作成 Windows 作業系統的執行檔,而 pyinstaller 會在不特定主機上出現「Fatal Error」的錯誤視窗,目前 pyinstaller 也沒有完善的解決方法,所以 Wow! USB 隨身碟防毒也沒有辦法根治這個問題。目前 Wow! USB 隨身碟防毒能過做的,只有另找別套製成 Windows 作業系統執行檔的程式,可是目前沒有好的替代品 (py2exe 也一樣有一些問題)。
10. 為何我把病毒放到隨身碟中,Wow!USB依舊掃不到
因為 Wow!USB 是用機制去掃描,不會去判斷隨身碟中的所有檔案。目前的版本(0.8)中,僅會針對隨身碟設備中的 autorun.inf 檔的內容去掃描,因此是掃出立即有危險的病毒,即此刻若雙擊隨身碟磁區會有中毒的可能。所以,若隨身碟中不存在 autorun.inf 檔案,即判斷為"非立即危險性",則會略過。
當然,很多情形下,病毒的確存在隨身碟中,大多具有隱藏特性與奇怪的檔名。因此,這些檔若沒有立即的危險(伴隨autorun.inf啟動),則一般人為上是不會點選到隱藏檔,或是奇怪的檔名。
未來,在一個版本中,會支援全掃描的功能,如此即可滿足您的需求。
致謝
感謝支持與批評 Wow! USB 隨身碟防毒系列的朋友,在 0.6版後此軟體的共同開發者為 PRODIGALEX(ptt.cc) 與我本人。非常感謝與歡迎 PRODIGALEX與 Weithenn 加入,使本軟體增色不少。
若您對於本軟體的無私奉獻覺得滿意,您可以向全世界各公益團體捐出你的心意,作者在此感謝大家的付出與愛心。
庖丁為文惠君解牛,…
文惠君曰:「譆!善哉!技蓋至此乎?」
庖丁釋刀對曰:「臣之所好者道也,進乎技矣。…
語出,莊子養生主篇,庖丁解牛
於第二次世界大戰後的懺悔文。
THEY FIRST CAME for the Communists,
起初他們(德國納粹黨)帶走共產黨員,
And I didn’t speak up because I wasn’t a Communist.
我沒有說話,因為我不是共產黨員;THEN THEY CAME for the Jews,
接著他們帶走猶太人,
And I didn’t speak up because I wasn’t a Jew.
我沒有說話,因為我不是猶太人;THEN THEY CAME for the trade unionists,
後來他們帶走工會成員,
And I didn’t speak up because I wasn’t a trade unionist.
我還是不說話,因為我不是工會成員;THEN THEY CAME for the Catholics,
此後他們帶走天主教徒,
And I didn’t speak up because I was a Protestant.
我仍然沒有說話,因為我不是天主教徒;THEN THEY CAME for me,
最後,他們來帶走我,
And by that time no one was left to speak up.
我想反抗,但已經沒有人能為我說話了。
自由軟體授權一直都有爭議上的問題。源頭出於廠商很想利用自由軟體營利,也很想在種種限制中找到適合自己的營利方式。這篇文章旨要探討 Google Android 與 GPL2 的曖昧關係。
GPL 的概念
我們要先知道的是,什麼是 GPL2。簡單說,當你的產品伴隨著含有 GPL2 的程式一起出售時 (光碟片、網路、嵌入式等種種型式),則所有的程式也都要開放源碼,這意謂著你自己開發的程式也要開放源碼。
這出現了什麼問題?不管你撰寫的是驅動程式或應用程式都要開放源碼,但往往這是台灣廠商想要保留的商業機密。有很多廠商指出,一旦把源碼開放,他們 的技術就很容易被競爭廠商追上。(需要補充的是,即使應用程式是使用介面的方式隔開 GPL2/3,但只要一起打包出售,理應就要開放源碼,除非分散下載。)
Google Android
上一段有說,只要是一起打包出售(隨手機一起出貨),不管程式是屬什麼層級,理應就要開放源碼,那麼為何廠商還是愛用 Google Android 來開發他們的產品?難道他們不怕開放源碼而失去競爭力?
事實是,廠商用 Google Android 開發的產品,不一定要開放源碼,即使是一起打包出售。
為什麼?因為我發現 Google Android 中,不管是作業系統(Linux kernel)、開發工具、函式庫(Library)、應用程式框架(Application Framework)或應用程式(Application),只有 Linux kernel 是屬於 GPL2,其它的都是較無感染性的 Apache、BSD 或 Google 自己的工具。(架構圖參照)
我們可以從 What is Android 看出一些訊息。整理如下:
因此,唯一可以訴訟 Google Android 或採用 Google Android 廠商未遵守自由軟體遊戲規則走的只有 Linux kernel。但 Linux kernel 團體本身未必會要求非要這些廠商公開源碼,而且目前在法律上也不太能夠要求(因為著作權人不明),再加上 Linux kernel 團體不會強烈要求一起打包的應用程式一定要開放源碼(但若是驅動程式則另當別論)。
也就是說,若產品中,只有 Linux kernel 是 GPL 授權,則不開放源碼的風險是最低的,而這也是 Google Android 目前採用的方式。
台灣硬體廠商採用 Google Android 模式的危險性
台灣硬碟廠商沒有辦法像 Google 有著這麼多的資金與能力去達到 Google Android 這般較完美的解決方案。因為台灣廠商很多是需要開發驅動程式 (Linux kernel 比較要求驅動程式要開放源碼),或者是用 GCC/Glib 等 GPL 程式/函式庫開發應用程式 (應用程式與 Glib 一起打包,不管是不是動態連結都要開放源碼,除非像 Google 般使用 BSD-style 的 C Library),所以在規避議題上很難達到。
台灣廠商需自創屬於自己的商業模式
很多案例會依實際情形有所不同,須視個案來解決。最後的重點是,廠商若要採用自由軟體,請以誠實為上,否則就不要使用自由軟體來作為營利。
題外話
想要下載完整的 Google Android 需要龐大的硬體空間,因為 Android 的專案包含很多項目。下載方式請參考 Using Repo and Git 及 Google Android: Get source。
如果你只看風險,那你什麼都做不了。
數位手機集團的創辦人歐布萊恩(Denis OBrien)
來源是這篇新聞,Why European software patents are legally invalid。
Article 52,
“Patentable inventions
(1) European patents shall be granted for any inventions, in all fields of technology, provided that they are new, involve an inventive step and are susceptible of industrial application.
(2) The following in particular shall not be regarded as inventions within the meaning of paragraph 1:
(a) discoveries, scientific theories and mathematical methods;
(b) aesthetic creations;
(c) schemes, rules and methods for performing mental acts, playing games or doing business, and programs for computers;
(d) presentations of information.
(3) Paragraph 2 shall exclude the patentability of the subject-matter or activities referred to therein only to the extent to which a European patent application or European patent relates to such subject-matter or activities as such.”
可以注意 (2) 中 (c) 的結尾,有包括 “programs for computers”。
來源是這篇新聞,Why European software patents are legally invalid。
Article 52,
“Patentable inventions
(1) European patents shall be granted for any inventions, in all fields of technology, provided that they are new, involve an inventive step and are susceptible of industrial application.
(2) The following in particular shall not be regarded as inventions within the meaning of paragraph 1:
(a) discoveries, scientific theories and mathematical methods;
(b) aesthetic creations;
(c) schemes, rules and methods for performing mental acts, playing games or doing business, and programs for computers;
(d) presentations of information.
(3) Paragraph 2 shall exclude the patentability of the subject-matter or activities referred to therein only to the extent to which a European patent application or European patent relates to such subject-matter or activities as such.”
可以注意 (2) 中 (c) 的結尾,有包括 “programs for computers”。
起因
新聞可見 “美國:2007年,Jacobsen vs Katzer” 的訴訟案。
簡單說,Bob Jacobsen 寫了一個 Artistic License 的 JMRI(Java Modell Railroad Interface)軟體,但 Matt Katzer 與其公司 KAMIND 將此軟體納入在自家產品中,卻沒有遵照 Artistic License 的協議開放源碼。
因此 2006年 Bob Jacobsen 就向舊金山聯邦地區法院控訴違反著作權,並申請禁制令,要求法院禁止該產品繼續散佈。
結果法院(一審法院)駁回了 Bob Jacobsen 的禁制令,認為 Artistic License 比較具有契約的特性,而不是著作權授權條款。理由是,
法院認為Artistic條款的內容並不屬於美國法上「授權範圍(the scope of the license)」的概念,而包含有「授權範圍」內容是判定一份條款為著作權授權的重要依據。Artistic條款第1條規定任何人均可以無限制地使用、 重製與散布程式,但必須保留原著作權標示,法院認為這樣的內容並不是對於著作權「授權範圍」的規定,所以Artistic條款並非授權條款,而比較像是一 般的契約條款。
也就是說,Artistic License 中有非排他性(nonexclusive)的聲明,這在法院上認定是一種放棄著作權的意思。
違反契約與侵犯著作權的差異
上述判決結果的重點,取決於法院視自由軟體授權為 “違反契約” 還是 “侵犯著作權” 的行為,所以釐清兩者於美國的法治架構下的差異是很重要的。
在美國法架構下,一份條款被判定為授權或是契約,在救濟手段上有著相當大的差異。被判定為授權條款的話,表示授權人可以據 此向法院申請禁制令,禁止他人停止侵害權利的行為,例如停止販賣侵權相關產品,而且美國法下一般認為禁制令是著作權遭受侵害時的合理救濟手段,申請並不困 難,再加上申請程序簡易快速,不似法院訴訟曠日費時,所以效果宏大。若被判定為契約條款,違反契約的救濟手段一般是金錢上的損害賠償(damages), 並非禁制令,契約的一方無法申請簡易快速的禁制令。因此 Artistic 條款未被判定為授權條款,對於該透過條款授權的程式來說,未來若是想在美國法管轄區域執行條款內容的話,因為無法順利申請禁制令,所以勢必要耗費較多的時 間才行。
禁制令的正規英文是 “preliminary injunction”。說明,
小知識:臨時禁令
指對明顯侵害知識產權的行為,權利人或利害關係人在對侵權行為進行訴訟前,可以向法院申請先行制止侵權行為,而只要該申請滿足一定的條件,那麼法院 就可以在沒有對侵權糾紛進行實質審理的情況下,發佈禁令,制止行為人的行為。這種訴前禁令措施,是各國根據TRIPS第50條的規定而建立起來的、對知識 產權進行額外保護的制度。
簡單說, Bob Jacobsen 為了快速、省錢且能夠禁止對方繼續散佈產品,唯有選擇 “侵犯著作權” 來訴訟,否則若落於 “違反契約” 則只是一般的金錢上的賠償,如此便不是自由軟體授權散佈所樂見的結果。
雖然如此,但法院上仍然承認 “自由軟體為法律保障的範圍下”,問題只是落在契約層級,而非著作權層級。
美國著作權法與台灣著作權法的不同
美國的著作權是不考慮姓名權 (right to attribution) 的,只專注在作者的經濟利益問題上。因此為何 2007 舊金山聯邦地區法院(一審法院)認定只是契約的原因,在於作者在 Artistic License 中有明白顯示可自由使用軟體本身的程式,而這屬於非排他性(nonexclusive)的設定,所以範圍落在契約而非著作權上。
但是其它國家的著作權法 (如台灣、中國) 都有 “姓名權 (right to attribution)”,所以是可以落在著作權範圍上。但這只能要求利益賠償以及於產品上的姓名標示,而仍然沒有辦法要求產品開放源碼。
2008年的大逆轉
Bob Jacobsen 不服氣,繼續向美國上訴法院申訴,終於在 2008年於上訴法院上訴成功。這使得未來不管是其它的自由軟體授權條款(如GPL, Apache等)、Wikipedia 或 Creative Commons 都有立足的法律依據。
相關新聞:
逆轉原因
雖然美國著作權法只保護作著的經濟利益,但是認定開放源碼的作者也不是沒有利益的追求,這也反應在自由軟體授權上的種種限制中,希望能夠在後續開發 中獲得利益。並且在 Artistic License 中已有清楚明白的指出,”如果誰希望我以其他方式授權,請直接與我聯繫”。因此,可以視為「著作權條款」,而非只是「契約」。
結論
這場自由軟體大勝利中,有一個至關重要的重點。就是在授權條款上,有明白聲明自己有不放棄利益的權利,例 “如果誰希望我以其他方式授權,請直接與我聯繫” 之類的加註,否則目前看來在法律上仍然會有一些爭議。
很多人會對這些名詞感到困惑,尤其是初學資訊安全的人。本篇文章我會嘗試將這些名詞做些解釋。
Bug
Bug (臭蟲),指軟體設計或執行發生的錯誤,簡單來說就是非程式設計師設想的結果。
Flaw
如果 Bug 是特權使用者才會發生的錯誤,則可稱為 Flaw,如 Linux 上的 root 或Windows 上的 administrator。
Vulnerability
Vulnerability (弱點或漏洞),表示這個 Bug 或 Flaw 能夠被利用 (Exploit) 而造成系統的危害,如權限提升或入侵時,即稱為 Vulnerability。
Threat
Threat (威脅) 是指那些有可能或有能力利用 Vulnerability 來進行危害的人,例如撰寫病毒者或不滿的員工。
Risk
Risk (風險) 是所有 Threat 與 Vulnerability 交織的一連串危害的可能結果。 Risk = 危害嚴重性 x 發生可能性。
Exposure
Exposure (揭露),指 Vulnerability 有多久沒有修補。
AAA 是資訊安全常考慮的面向。
Authentication
不負責任的中文可翻譯成:認證。
從單一個體進入到另一個體時的認證流程。
Authorization
不負責任的中文可翻譯成:授權。
進入到個體的使用者所擁有的權力,如讀、寫等。
Accounting
不負責任的中文可翻譯成:清冊帳戶。
個體權力的範圍介定,如網路流量使用量上的限制。
參考
Plan is nothing, planning is everything.
「完成的計畫沒有用,規劃的過程才是最重要的。」
曾擔任歐盟最高統帥的美國總統艾森豪
在某邪惡的頻道上,看某黑人的抱怨有感。
很多人遠端設定防火牆,即使沒學好怎麼設定,也總是要為自己留後路,但事實證明很多人還是”很相信自己”。「糟!遠端設定防火牆,網路連不上了,請問大大應該怎麼辦?」。
其實,安全留後路的方式有很多種,最簡單的一種就是,”在一段時間後,恢復原本的設定”。
FreeBSD 上 ipfw 很簡單,可以直接執行 /usr/share/examples/ipfw/change_rules.sh,然後設定想要測試的規則,如果不對的話,會在 30秒後開始恢復原本的設定。
若用 pf 也很簡單,可以修改 /usr/share/examples/ipfw/change_rules.sh 以符合 pf,或是直接先寫好新的規則,再使用
pfctl -f newrules ; sleep 30 ; pfctl -f oldrules
假使原本的 pf rules 就是沒有的話,則改為
pfctl -f newrules ; sleep 30 ; pfctl -d
如此,即使設定錯誤,30秒後還是會恢復成原本的設定。
若是使用 iptables 的 Linux 朋友,則可用,
iptables-restore <>
今天在某邪惡的頻道上得知的新聞。
中國政府在 2008年 9月 18日時宣布「IT安全性產品的強制認證制度」。明年 2009年 5月時開始要求國外進口的數位家電核心產品都被要求開放源碼。這些產品包括,IC卡、數位印表機或薄形電視等,不管是直接從國外進口或是從中國生產都有這 項要求,若不符合規定則會被禁止銷售。
在中國方面的說法是,這是為了解決軟體設計的缺陷,以防止電腦病毒或入侵等不當行為發生。
Update 2009-10-08,中國方面的新聞
中国将把信息安全产品列为安全认证制度的适用对象。其中,Felica等配备的IC芯片用OS及数据库等也被列为认证对象,为取得认证估计还有可能被要求公开源代码。部分外国企业担心这将导致知识产权受侵犯及信息泄露等。
该认证制度被称作保证产品安全的“强制性认证制度”(CCC中国强制性认证),如果所涉及产品未通过认证,就不能在中国国内销售。原CCC制度 2002年开始实行,此前只对电器及电子产品进行物理安全认证。而中国政府于2008年1月发布了将包括软件在内的信息安全产品列入认证目录的公告。新认 证制度具体涉及到防火墙,LAN卡,交换集线器,VPN,路由器,智能卡与IC芯片用OS,数据备份与还原用软件、OS,数据库系统,防垃圾邮件产品,非 法访问探测系统,网络监控系统、操作历史记录及log收集分析工具,文件篡改检测系统等13种产品,将于2009年5月开始实施。
著作權人所採取禁止或限制他人擅自進入著作之防盜拷措施,未經合法授權不得予以破解、破壞或以其他方法規避之。破解、破壞或規避防盜拷措施之設備、器材、零件、技術或資訊,未經合-法授權不得製造、輸入、提供公眾使用或為公眾提供服務。
前二項規定,於下列情形不適用之:
一、為維護國家安全者。
二、中央或地方機關所為者。
三、檔案保存機構、教育機構或供公眾使用之圖書館,為評估是否取得資料所為者。
四、為保護未成年人者。
五、為保護個人資料者。
六、為電腦或網路進行安全測試者。
七、為進行加密研究者。
八、為進行還原工程者。
九、其他經主管機關所定情形。
前項各款之內容,由主管機關定之,並定期檢討。
跟我一樣看到重點了嗎?
續上一篇在 Microsoft PowerPoint 的測試,在 Linux 中的 Open Office 的測試結果是功能沒有辦法一樣。
首先,是雙螢幕的設定,在 xorg.conf 中的 Screen 區段中,加上 Virtual 的設定,例如:
Section “Screen”
Identifier “Default Screen”
Monitor “Configured Monitor”
Device “Configured Video Device”
SubSection “Display”
Virtual 3200 1200
EndSubSection
EndSection
然後重新啟動 Xwindow 或是重開機。接著用 xrandr 來測試,在我的環境是:
xrandr –output VGA –right-of LVDS
可是,這個功能並不完全,因為 Ubuntu 的最上方的系統列會跑到 VGA(投影幕),而不是在本機螢幕,我試了很多設定都無法。
接下來,試 Open Office 的簡報,
工具列的「Slide Show」→「Slide Show Setting…」→最底下的「Multiple monitors」設定成正確的螢幕
如此已經完成了,但是在簡報過程中的換頁並不會同步,也就是說在投影幕上換頁時,你也要把游標移回本機的螢幕上換頁,如此來來回回。
這已經是 2006年年底的舊聞了,剛好今天有機會來回顧一下。
Microsoft Public License (Ms-PL) 與 Microsoft Reciprocal License (Ms-RL) 是 Microsoft (微軟) 通過 OSI (自由軟體組織) 的自由軟體授權條款。不管如何,這意謂著 Microsoft 已踏出自由軟體的第一步。
Ms-PL 比較類似 new-BSD 授權條款 (或稱 BSD 三條條款),但是多加上了 Patent Grant (專利授權的聲明),表示作者同意後續使用者可以在不違反條款的條件下使用作者的專利。而且,利用此授權再散佈出去的程式 (不管用多少),都要附上完整的原始授權條款,也就是作者名稱與 Ms-PL 條款聲明本身。
而 Ms-RL 則比較像 GPL (更像 Mozilla Public License),要求散佈必須要附上源碼,不管散佈型式是源碼還是編譯過後的程式,而且一樣要附上完整的原始授權條款,即 Ms-RL。在 Ms-RL 中也有專利授權聲明,這個與 GPL3 較類似。另外,若某些檔案(files)是你的著作,沒有任何 Ms-RL 的程式,則你可以用你所想要的授權方式釋出。
這真是自由軟體界(Open Source)的一大好消息。Artistic License 是 perl (一種電腦程式語言) 使用的授權條款,前些日子美國聯邦巡迴法院(Federal Circuit)認定其合法且具強制力。
所以等同於宣稱類似的自由授權條款(license)都具有強制力,如 GPL 或 CC(Creative Commons) 現在也都有很強的立足點。但這也意謂著 EULA 也應該具有契約強制力,未來勢必在使用任何軟體時,都需要注意條款。
原始新聞連結:Engadget.com
Watch your thoughts; they become words.
Watch your words; they become actions.
Watch your actions; they become habits.
Watch your habits; they become character.
Watch your character; it becomes your destiny.
Lao-Tze
You can do anything, but not everything.
David Allen
你能做任何事,但不是所有事都(值得/適合/能夠)做
有時候你以為天要塌下來了,其實是因為你站歪了!
作者不名
I’ve present a topic about “Firefox extension spyware” in HIT 2008 conference (Hacks in Taiwan 2008 Conference). The session I showed how dangerous the firefox extension is.
I don’t know why the type of attacking is not fast-spreading yet. Few people know extensions are not just about XUL + javascript, it can connect C++/Java etc. via XPCONNECT; this tell us what C++/Java can do the extension can do also.
I’ve present many attacking tricks, such as phishing, Intranet scanning/attacking, history spying, cookie stealing, download & run remote app/file etc. And finally, online remote control is easy too.
Do you think intranet is always safty? or any firefox extension is safty? No, please don’t.
My suggest is, don’t trust any firefox extension, especially the download/install site is you don’t know.
今年台灣駭客年會(HIT 2008)我有幸被自己的偶像徵求上台的機會。在議場中,我展現了 Firefox extension spyware 可以實現的攻擊手法。
自己心中一直有個疑惑,為何 firefox extension spyware 沒有快速擴散。我想,隨著 firefox 愈來愈多人使用後,這個現象應該會慢慢浮現。
其中,很多人認為 firefox extension 只是 XUL + javascript 的手法,其實不然,extension 可以經由 xpconnect 呼叫 C++ 或 Java 等外部程式,因此它不在受限於 javascript,而且 C++ 或 Java 能做的理論上它都能做到。
在現場,我實際展示釣魚網頁、內網掃描與攻擊、瀏覽紀錄竊取、cookie竊取以及遠端下載/執行惡意程式等手法。並且在最後,為了讓大家認知直接的危險性,我展示 Gmail 的竊取,甚至是遠端控制受害的使用者,只要我下達指令,中標者就會照著我的指令執行。
希望藉此能夠喚醒大家對於 firefox extension 並一定安全的認知。
其它相關字詞:Malicious, Firefox add-on, Firefox malware, Steal password
資訊安全的衡量不是平均值,而是最低絕對值。也就是說,哪一個環節做得最差,企業所有安全度的值就是等於它。
資料來源:EMBA雜誌2008年7月號
Schneier 寫了一篇值得參考的「How to Sell Security」文章,以行為經濟學的 Prospect Theory(前景理論/預期理論) 來解釋,「安全」應該要怎麼賣。
Prospect Theory 的結論有三:
Schneier 也指出了「安全的本質」就是「消極的保障」(Security is fundamentally a negative sell)。
因此,人們對於「買了這個產品後,你就可以專注在你原本的行銷策略上」(指無後顧之憂),不如「買了這個產品後,你就不會因入侵而損失營收 15%」來得強烈。也就是說,安全應該要強調「損失面」,此時顧客會比較強烈,也會採取風險偏好策略,而願意投資更多的金額在安全性上。
Source: InformationWeek
If you’re a good hacker, everyone knows your name
If you’re a great hacker, no one knows who you are
Source: Hackers Wisdom
Source: Five basic mistakes of security policy
1. Not having a policy
2. Not updating the policy
3. Not tracking compliance with the policy
4. Having a “tech only” policy
5. Having a large, unwieldy policy
Security is a process, not a product
簡單說 Availability 看的是 Time Lost ( Uptime / Total time );而 Reliability 是看時間內 failures 的次數。
來源 1
聯合國1996年《電子貿易示範法》的第9條明確肯定數據電文的證據價值;美國在其司法程序中也肯定E-mail的複印材料可作為證據加以接受。1998 年華盛頓前檢察長就以E-mail為直接證據對侵權者提起刑事訴訟;面對網絡世界的混亂,德國於1997年8月1日開始實施《為信息與電信服務確定基本規 範的聯邦法》(又稱《多媒體法》),在該法中就對電子證據做出了規定。
來源 2
1999年3月15日通過的《中華人民共和國合同法》第11條規定:「書面形式是指合同書、信件、數據電文(包括電報、電 傳、傳真、電子數據和電子郵件)等有形地表現所載內容的形式。」這就是說在民事訴訟中,E-mail可以作為證明合同關係成立與否的一種有效證據。而我國 《刑事訴訟法》中,法定證據種類有物證、書證、證人證言、被害人陳述、犯罪嫌疑人被告人供述和辯解、鑑定結論、勘驗筆錄和視聽資料等七種電子郵件尚未被納 入法定的證據形式當中。
回應人 gentlewolf:
請各位讀者注意,本篇是大陸作品,所以所引用的都是大陸的法律規定,與台灣不盡相同。例如,大陸的”合同 “,在台灣稱為”契約”;大陸有”合同法”,台灣對於契約的規範,原則是規定在民法;刑事訴訟法所承認的證據方法,有被告的陳述,人證,鑑定,勘驗四種, 也有人加上”書證”及”物證”兩種。
來源 1
從當前國際發展情況看,聯邦德國在1997年通過了世界上第一部全面規範Internet的法律棗“多媒體法”(德文簡稱 IUKDG),其中即有對電子郵件的規範。美國在發生了大量的電子郵件侵權糾紛後,聯邦政府也正在積極推進制裁所謂“垃圾郵件”的立法活動。其各州政府開 始對電子郵件侵權糾紛進行審判,如1997年11月德克薩斯州的TRAVIS郡審理的flowers.com E-mail侵權案中,電子郵件既作為直接證據被法庭確認,並據此判決賠償。更有甚者,在1998年華盛頓州檢察長亦以同樣的事由和證據,對電子郵件侵權 者提起了刑事起訴。
另外美國「電子搜尋」法令也於 2006年 1月 1日生效,使的電子郵件的內容就如同紙本一樣重要,同樣具有法效性。若企業面臨訴訟,一般規定有 30天的時間可以準備,以回答任何電子資料記錄方面的問題。若企業沒有迅速回應,則可能處罪鍰。
參考:
中華人民共和國計算機軟件保護條例,第十七條
第十七条 为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。
此條例中沒有說明何謂學習和研究,但以中共「計算機軟件保護條例」評析(doc)一文中所述,
第十七條係為「學習和研究」之合理使用,不過,其範圍似又過於狹隘。舊條例第二十二條原規定:「因課堂教學、科學研究、國家機關執行公務等非商業性目的的 需要對軟體進行少量的複製,可以不經軟體著作權人或者其合法受讓者的同意,不向其支付報酬。」其使得國家機關得不經授權使用軟件,造成著作權人極大損失, 新條例乃完全取消。惟又因未作適當的配合修正,卻也對課堂教學與科學研究造成不便,蓋新條例第十七條僅規定「爲了學習和研究軟件內含的設計思想和原理,通 過安裝、顯示、傳輸或者存儲軟件等方式使用軟件的,可以不經軟件著作權人許可,不向其支付報酬。」則其範圍僅限於專業方面的「學習和研究軟件內含的設計思 想和原理」,使得一般普通課堂學習而重製軟件者被排除在外,實屬不便。
表示現今的第十七條已經修正以前的條例許多,而「为了学习和研究软件内含的设计思想和原理」應該是只限定專業方面的學習與研究,不包含課堂學習。只是不確定若個人以學習和研究軟體的內含設計為藉口,是否就不違反著作權法?
anyone who thinks that the customer is always right never worked in tech support.
在這裡還可以看到 T-shirt 的設計。
A false sense of security is worse than a true sense of insecurity.
by Steve Gibson
® Registered (Trade mark) 註冊商標。
™ Trade Mark 沒有註冊的商標,不得以商標法主張權力(除非馳名),但仍具宣示效果,發生爭議時可遵循公交法解決。
℗ 錄音著作,同©用法。但影音著作要標示 ℗ & ©。
℠ 服務標章,同™用法。
© Copyright,著作權。目前在多數國家無須登記,創作完成時即享有著作權法保障。通常後面會標示年份與著作權人。目前台灣、中國與香港法律所設的保護期為著作權人逝世後 50年,美國與歐洲則為 70年。在美國的著作權人若為公司的話,則為 95年。
以萬國著作權條約而言,著作權的形式為,在著作物上標示 ©,後接第一次發行年份與著作者姓名,就能主張保護。例如 ©2008 Yi-Feng Tzeng。(© 與後接的年份,有人說不可有空白,但無論如何基本上都會受到保護)
以下為 Copyright 不為人知的操作手段。
著作權 © Copyright 可利用衍生作品來延長保障。以米老鼠為例,迪士尼公司不斷推出新的米老鼠,例如早期用動畫,後來衍生出舞台劇與電影等媒體,那麼即使米老鼠的著作權人在逝 世後的 70年後,仍然保有其著作的侵權保障。因為其衍生著作(舞台劇或電影等)可以繼續延長 70年。
因此最早期的米老鼠創作雖已確定列入公共財(即超過著作權法保障的期限),但因為期間有過多的衍生創作,在使用前必須確定衍生創作是列入公共財的部分。但即使如此仍然還有疑慮,迪士尼公司仍然可以利用相似性來申張著作權,所以還是有哀告的可能性。
對於米老鼠侵權一事,台灣已有判例。
因此,若著作權人以衍生著作以及相似性來持續申張自己的權利,相信無論過了多久,其創作是否為公共財仍有疑慮。
幾年前在寫 tutorial 時,都用 Windows 上的小畫家或 Ulead PhotoImpact,後來改用免費的 Paint.net。近年改到 Linux 下時,知道有 Inkscape 的工具,但都不太會用,學了一下,總算有點眉目了。
基本操作
選取圖片可以用視窗拖拉的方式。
在左欄工具列的第一個是「選取工具」,在物件上有兩種不同的操作模式:改變大小與旋轉。
改變大小模式:
旋轉模式:
裁剪
Inkscape 的裁剪方式比較特別。需要先建立一個框框,然後用這個框框當作裁剪的範圍。
(1) 框框工具;(2) 選擇大小;(3) 在左下角點兩下以改變顏色或樣式;(4) 選擇顏色樣式或模糊化。
然後選擇「不填滿」,以及「填外框」,外框的顏色不限定。如下圖:
最後記得全選(包含底圖與框框),並在功能列上選擇 Object → Clip → Set 即可。結果如下:
模糊化
找了官方教學都沒有教如何將圖片的某部分模糊化,雖然 Inkscape 有提供 Gaussian Blur 的功能。於是我目前是用方框的模糊方式來取代。
(1) 選擇框框工具;(2) 選擇區域,內心填實,無框線;(3) 調整 Blur(模糊) 程度。
箭頭
箭頭的畫法,(1) 先畫線(直線畫法:滑鼠點一下當起點,拉到定點後再點一下即終點);(2) 叫出 “fill & stroke” 對話框(Ctrl+Alt+F);(3) 在 stoke style 頁籤中可以選擇箭頭樣式。
Marcus Ranum 是一位資深的資訊安全專家。在 Information security 三月份的雜誌上刊登了一篇文章,其中提到顧客使用商用軟體與自由軟體都會面臨產品生命的風險。
他提到:(非直譯)
為了找出符合公司需求的產品以向老闆交待,你做了很多的研究與比較。在購買前,你花了很多小時來評估與測試,估且不提為了證實他的好用,還花了好幾天了解其中錯綜複雜的關係,以設定並微調(tuning)。
好不容易弄好後,過不久你就收到一封 e-mail,指出你買的產品/供應商被併購了,但是未來提供更全面的企業解決方案。
你也許會很高興。但這意謂著之前購買的產品(1)被附加了很多無意義的功能(你公司並不需要),要不就是(2)你原本需要的產品停止開發、維護與服務(好慘),不然就是(3)未來只提供維護服務,但這也表示這產品在不久的將來會被淘汰。
歡迎感受整合(consolidation)的另一面。這個世界證明了「大並不是最好」,也證明「資本主義的存在只是為了商人的利益,並不是顧客的 權利」。在資訊安全產業中,只有大約 25%的產品可以超過 5,6 年,這還是排除了一些重大生存威脅的因素(不知道是什麼,作者沒舉例)。
…
現實就是,IT產業的存在只為了自己而不是顧客。…
…
那麼什麼對顧客最好?我的建議是自己開發產品,或者整合 Open Source 技術來開發。記住:自由軟體最大的爭論是「誰將會繼續維護?」,其實這個問題跟商業產品的爭論差不多,「這個產品明天還會繼續存在嗎?」
另外,在 Amazon 的讀者回應裡看到 TaoSecurity.com 部落格主 Richard Bejtlich 的好文中,也對 Open Source 有一些看法。
如果商業軟體停止開發,那麼就是顧客的不幸。但如果是自由軟體停止開發,未必是顧客的不幸。原因是,自由軟體還有至少三種選擇:(1)期待某人會繼續開發;(2)自己接下來開發;(3)雇用某人來開發。
Reality is that which, when you stop believing in it, doesn’t go away.
by Philip K. Dick
現實就是,當你不再相信它的時候,它仍依在。
武俠小說「大唐雙龍傳」裡的天刀宋缺的一句名言:
天有天理,物有物性。理法非是不存在,只是當你能把理法駕馭時,就像解牛的庖丁,牛非是不在,只是他已晉入目無全牛的境界。得牛后忘牛,得法后忘法。所以 用刀最重刀意。但若有意,只落於有跡;若是無意,則為散失。最緊要是在有意無意之間,這意境你明白就是明白,不明白就是不明白。
然而,以自由為名的資本主義,真的能帶來全人類的自由嗎?答案顯然未必。德國社會學者伊里亞斯(Norbert Elias)就指出:「自由競爭」會衍伸出兩個副作用力–「清除競爭」(elimination contest)和「壟斷功能」(monopoly function),它們互為因果的運作,終將使極少數人擁有「自由」,而多數人淪入「不自由」的境地。
美學的經濟 p31
(人者恆大,看人臉色)
Asking a question might let you look like a fool for five minutes, not asking a question might make you a fool for your life.
German saying
從譯言看了三篇關於 Blogger 需要注意的事項,也可以了解美國的法律。
以下列出部份內容,有興趣的可以看上列連結的全篇文章。
1. 如果你寫文章有收受商業公司的費用,必須註明雙方關係
联邦贸易委员会(FTC)发布了一个司法建议,规定那些以“口碑营销”方式推广产品、开拓市场的公司必须披露与“口述者”的合作关系。这个司法建议显然适 用于blogging,据此,bloggers在为产品写使用报告和作宣传时必须注明他们得到了来自产品公司的报酬,即使他们所宣传的是事实,也得如此。
2. 站外連結需說明或分開
如果文章的連結不是連別人的網站(如 www.google.com.tw),而是連到裡面的某內容 (如 www.google.com/articles/blahblah) 則有侵犯版權的疑慮。
在你的文章與連結間必須作有效的說明,或是切隔開來。
3. 有版權的圖片最好用縮圖(Thumbnail)
美國各洲有不同的解讀,可以看 wikipedia 上的說明。基本上,在各個像度上(長或寬),以 80~ 200 像素左右。
4. 你不一定有權刪掉讀者的回應(comments)
除非你在網站有聲明,只要讀者在網站上有所回應,你將擁有該內容的保留或刪除的許可權,不必按照讀者的要求而增刪。否則,讀者將擁有增刪的權利。
5. 開放回應,意謂著也對要回應內容有所監督
如果讀者因在你的部落格上張貼違法的內容,你就有可能因此惹上官司。最保險的作法是,對讀者聲明,你擁有將讀者資料提供給有關當局的權利。
「最危險的策略莫過於分兩步躍過深淵。」
The most dangerous strategy is to jump a chasm in two leaps.
- by Benjamin Disraeli (1804 - 1881)
「如果你不能偶爾幼稚一下,長大成人沒有什麼意義。」
There’s no point in being grown up if you can’t be childish sometimes.
- by Doctor Who
「如果兩個人對所有事情皆有相同的看法,你可以確定只有其中一個在思考。」
If two men agree on everything, you may be sure that one of them is doing the thinking.
- by Lyndon B. Johnson (1908 - 1973)
「政治應當是世界第二古老的職業,我能理解它與第一古老的職業非常相似。」
(最古老的職業是賣淫)
Politics is supposed to be the second oldest profession. I have come to realize that it bears a very close resemblance to the first.
by Ronald Reagan (1911 - 2004)
從 Seth Godin’s Blog 的一篇「The last interaction」有所感。
很多人都說「第一印象」超級重要。的確,第一印象幾乎決定了你面試的結果、推銷的產品。但若有了差勁的「最後互動」,不告知的離職、產品的欺騙,那麼有再好的第一印象也付之流水。
2007 年 5月 25日夜晚,德國通過 hacking law 202(c),當時只有左派黨(Left Party)投下反對票[來源1]。這個事件將會是去年度資安最重大的新聞,也是對白帽駭客最嚴重的打擊。此條款已於 2007年 8月 10日開始生效[來源2]。
這項條款申明,只要違反 202a 或 202b 所描述的 “有人提供、販賣、獲得、交付或散佈,及其它可取得” 駭客工具(by providing access to, selling, acquiring, leaving at the disposition of someone, distributing or otherwise making accessible) 管道者,皆違反此條款,得以罰金或拘役。[來源2]
這意謂著,現在很多電腦資訊安全的工具,在德國境內都不再合法,如 NMAP、Metasploit、 密碼破解器(password cracker)、密碼恢復工具(password recovery)或網路效能壓力測試工具等。NMAP 與 Metasploit 都是著名的資訊安全檢查工具,目前也常見於 Linux distributions 中散佈。因此這些被認定為駭客的工具不得在公開場合中展示,也不得包含於各大 Linux distributions 中散佈。
更嚴重的是,任何人不再能夠自由的在公眾場合中自由的討論,包含研討會。當你發表任何資訊,你就必須對此資訊負被人拿去犯罪之責。換句話說,你因為幫助某人犯罪而吃上官司。[來源2]
這是否也表示,如果你是業務員,因為你的顧客買了你販賣的 Windows XP 來進行入侵行為,你也是共犯?![來源2]。這就好像是販賣棒球棒的店員,因顧客買去攻擊別人也是共犯?![來源3]
德國這項法案最近也影響英國法院決議是否也通過此項條款。[來源4][來源5]
因為條款並沒有對駭客工具(hacking tools)說的很明確,使得何謂駭客工具尚沒有明顯的界線。但不論如何,白帽駭客們仍然開始把自行開發的資安工具地下化,不再公開讓人取得,這將使得資 訊安全鑑識愈來愈困難,因為你幾乎沒有任何工具可以公開使用。當然,這項政策對於原本地下化的黑客組織沒有什麼影響。
當正義一方的工具不再有效抑制黑暗時,資安工作者將會紛紛離開這場註定敗戰的戰役。
[來源1] Heise Security: Germany passes Anti-Hacking laws
[來源2] DarkReading: Hacking Germany’s New Computer Crime Law
[來源3] Darknet: New German Hacking Law 202(c) - Sites Close & Possible Backfire
[來源4] The register:UK gov sets rules for hacker tool ban
[來源5] Darknet: UK Government Set to Make ‘Hacking Tools’ Illegal
我真的太孤陋寡聞了,沒有聽過這個早在 1985 年提出的概念。
其中,van Eck 是一個人名,是最早提出這個概念的專家。而 phreak 則是資訊安全的專有名詞,原本是 phone(電話) 與 freak(怪客) 的合併詞,指的是利用電話媒介來操作的不法手段,現在則不限 phone 上,基本上只要是跟傳播工具有關的不法手段都可稱 phreak。
van Eck phreaking 指的是,利用傳播工具(電磁波、幅射、電話等)原理來盜取資料或畫面的手段。van Eck 宣稱,螢幕的原理是利用高頻率的電子訊號來造成影像,如現今的電視機或電腦螢幕都是,因此只要能夠接受到這些訊號,那麼就可以擷取並複製一模一樣的畫面, 甚至是干擾畫面使螢幕上呈現你所想要達到的效果。
舉例來說,假如你正在使用電腦,有人可以利用此技術造出一個收發器,在有效距離內接受電腦螢幕發出的電子訊號,就可以盜取你螢幕上的畫面,知道你上什麼網站,輸入什麼帳號等。甚至,他也可以干擾螢幕畫面,使你的畫面呈現他想要呈現的結果。
目前不僅 CRT 會受到影響,連 LCD 也在 2004年被證實了。
我們可以有什麼對策應付?在我們的螢幕上使用降低訊號的設備,使接受距離達到最小。或是在螢幕送出電子訊號時就加入一些干擾,使別人無法接受,但是自己螢幕上要能解除這個干擾也是一項挑戰。
至今類似的攻擊行為較難普及,原因出於擷取工具(無論是硬體或是軟體)較難建置,仍需要一些專有知識。
最後來看一樣利用此技術的短片:How to Spy Using Van Eck Phreaking。
其它,
第三智慧 p13
商業潮流和波一樣,有某種程度的可預期性,但是單一事件及個別顧客的行為,乃屬「原子」層次的問題,是無法預測的粒子。
「波-粒子二元性」(wave-particle duality)是屬量子物理學領域。
能下定義或以文字記述下來並不能稱為瞭解,反而是將已知的事物未知化後,嘗試挑戰其真實性,才能對其更深入瞭解。
設計中的設計 pII
The short movie is great and funny :D,
Here has a great talk about security. Talker is Bruce Schneier, I hope everybody can read it repeatedly, because it’ll make some changes on you.
Security vs. Complexity
Complexity is the worst enemy of security; as systems become more complex, they get less secure. It’s not the addition of wireless per se; it’s the complexity that wireless — and everything else — adds.
About security,
Security is a trade-off, just like anything else. And it’s not true that we always disproportionately value other things before security. Look at our terrorism policies; when we’re scared, we value security disproportionately before all other things. Looking at security through the lens of economics (as I did here) is the only way to understand how these motivations work and what level of security is optimal for society. Not that I’m discouraging you from picking up your digital pitchforks. People have an incredibly complex relationship with security — read my essay on the psychology of security, and this one on why people are so bad at judging risks — and the more information they have, the better.
Haha, yes, yes,
the complexity of passwords an average person is willing to remember is less than the complexity of passwords necessary to be secure against a password-guessing attack.
Cool, security vs. shared minds,
I run an open wireless network at home. There’s no password, and there’s no encryption. Honestly, I think it’s just polite. Why should I care if someone on the block steals wireless access from me? When my wireless router broke last month, I used a neighbor’s access until I replaced it.
找不到原始出處。
我們發現正運行的複雜系統總是由以前運行的簡單系統演化而來……任何胡亂湊合設計出來的複雜系統都不可能正常運轉,也不可能被修補好。我們必須由運行中的簡單系統開始。
Our lives begin to end the day we become silent about things that matter.
by Dr. Martin Luther King, Jr.
當我們對事情都保持沉默時,我們的生命也走到了盡頭。
網路也有人翻譯為:當我們對重要的事情緘默以對時,往後的生命已經失去價值。
根據呆伯特法則,全世界有5%的人是白癡,5%的人什麼都買,所以產品最低銷售率應該是10%。
你的產品低於 10% 嗎?(笑~)
摘出 “Improve Your Writing with these Editing Tips” 這篇關於加強寫作的技巧。
作者認為沒有所謂好的寫作,只有好的寫作審視 (there is no good writing, only good re-writing)。
因此,他提出幾種很好的技巧。
1. Read out loud (大聲唸出來)
2. Read in reverse (倒著閱讀)
3. Sleep on it (寫完先暫擱)
作者認為至少放一個晚上。這可以讓你的頭腦比較清醒,不會困在舊的思續中打轉。
4. Cut, don’t add (減少不增加)
5. Justify yourself (驗證)
對於每一個論點、句子、問題,甚至笑話都要加以驗證它們是否適合放在此篇文章中。
6. Establish cognizance of pretentious language usages and eliminate such material (用簡單易懂的文字)
不要像科學家或教授般口吻寫文章,寫得太艱深難懂,或者是太花俏。
7. Throw out and get rid of unnecessary redundancies you don’t need (刪掉多餘的字)
例如有這樣的句子,就刪掉吧。
“say it, say it again, and then say what you said”
8. Kill unsightly adverbs (刪掉沒用的副詞)
例如,
“He ran quickly”
如果 “quickly” 在這裡不重要,或者不是你的重點,就刪掉吧。
9. Passive sentences are to be avoided (避免被動語句)
要特別注意 “to be”, “is”, “was”, “are”, “am” 等句子。
例如 “Mistakes were made”,沒有任何責備。改用 “I made a mistake”,則表示你正在談論負責任一事。
根據「袁萌」Blog 的文章中,說了很多開源角度看待微軟 EULA (End User License Agreement) 的觀點。論點很有道理,但又有多少使用者會仔細看 EULA 呢?
摘錄一些重點,
「EULA」是一種具有法律效力的協議(合約),用以規範(協調)微軟公司與微軟公司相應軟件產品的最終用戶之間的法律關係。簡單說來,你(指軟件產品用 戶)如果同意「EULA」條款的內容,那麼,你就有安裝軟件、拷貝軟件和其他使用該軟件(比如運行軟件)的相關權利;否則,也就是說,你如果不同意 「EULA」條款的內容,你就沒有上述相關權利。
不知道 DISCLAIMER (免責聲明)與這個是不是皆有法定效益?如果 DICLAIMER 沒有的話,那麼眾多開發者應該會轉而使用 EULA 。
「EULA」的要點是:微軟的軟件產品不是賣的,而只是許可使用;軟件的所有權完全由微軟保留;軟件的用戶只是「租用」而 已,因此,用戶必須遵守微軟的使用規矩。微軟有權檢查和自動處置任何涉及微軟的偽造(假冒)軟件與盜版軟件。在「EULA」條款中,微軟處於主動地位,用 戶處於被動地位。
Speechwriting coach Joan Detz 指出「只要三個重點就好」,不要多也不要少。
少於三個顯得太單薄、不夠穩固,超過四個又很難令人抓住重點。而且重點是,
當你坐著思考、努力理出這三個重點時,你就能夠愈了解你的主題,也更能夠達成這個目標。
Psychologist William Glasser quote,
Here is the quote for the sake of posterity.
We Learn…
10%…of What We Read
20%…of What We Hear
30%…of What We See
50%…of What We See and Hear
70%…of What We Discuss With Others
80%…of What We Experience Personally
95%…of What We Teach Others
–William Glasser
今天我的 xubuntu 7.04 掛掉了。
在插入 USB硬碟時,發現系統的 VirtualBox 程序不正常,雖然沒有造成嚴重的 loading,但是程序卡住。雖然其它程序不受影響,但是在我正常重開機後,發現我的 Xfce 桌面發生問題了。
這時只剩下桌面上的 icon,上與下的 panel 都不見了。看樣子應該是 xfce4-panel 發生錯誤。用 terminal 叫出 xfce4-panel 後,panel 是出現了,但是有些 panel items 出問題。
此時只好重灌部分的 xfce4 套件。
1. 執行 Terminal
按下 Alt + F2 ,可以叫出執行列,然後輸入 /usr/bin/xfce4-terminal。
2. 執行 xfce4-panel
先執行 xfce4-panel 看是否能夠修復。
3. 重安裝部分 xfce4 套件
如果上述方法還不能解決,可以重新安全部分 xfce4 套件。
但在執行前建議先備份 $HOME/.local 與 $HOME/.config 兩個目錄。
sudo apt-get –reinstall install xubuntu-default-settings xfdesktop4 xfce4-panel
我目前的情形是這一步就可以解決我的問題。
4. 用 Synaptic 修復
如果第三步還不能解決,就只好用 Synaptic。Search 出關於 xfce4 的套件,然後都重裝。或是找出 Broken 的套件重裝。
5. 修試後發現會重復跑很多程序
我的情形是會跑很多 nm-applet 程序,可是我檢查後應該是只跑一個。於是猜測是 sessions 的原因。
最後砍掉所有的 sessions 就恢復了。也就是 $HOME/.cache/sessions 與 $HOME/.gconfd/* 的兩個目錄。
XFce4 的預設快捷鍵位置在 /usr/share/themes/Default/xfwm4/keythemerc
順便整理自己常用的快捷鍵列表。
讀書是追求學問的一種方法,而如何讀書本身也是一門學問。我曾經想像過,教授們是如何讀一本書呢?讀完後,如何確定自己有了解了呢?
今天看了 “Advice for Students: How to Read Like a Scholar” 一文,發現其實還是有基本的方法可追尋。
首先,引用了一句,
Most the time in school what you need to do is very simple:
Sit down with the book, a pen and paper, and perhaps a computer… And from that point, you read. That’s it. You go through and read the book, you underline important points and passages, pay special attention to introductions and conclusions, be sure to note special terminology, names and dates and that’s it. Maybe afterward take notes on the text.
There is a time for technology and clever tricks. There is also a time for elbow grease.
其實很簡單,
如何才算了解一本書?你可以在讀完後,試著反問自己以下問題:
How does the author say what they’re trying to say? (作者如何表達他們想說的?)
What evidence do they use? What style of argument are they making? How are they positioning themselves? You’d be surprised how many people read an essay about, say, infanticide (the killing of newborn children) and assume the author is advocating this practice instead of simply describing it. These readers totally misread the author’s position.
Why is the author’s point important? (為什麼作者的觀點很重要?)
What contribution does the work make to the author’s discipline, to our understanding of society or the world? What problems are they trying to solve?
Do you agree or disagree with the author? Why? (你同不同意作者的論點?為什麼?)
it is essential that you read critically, with an eye towards inconsistencies in an author’s argument or evidence. Are there other explanations for the data they present? Is the author’s interpretation colored by his or her religion, professional background, political orientation, or social position? Note: far too many students seem to think that criticizing style is a good substitute for critiquing substance. It’s not. A lot of academic writing is stilted, difficult (sometimes deliberately so), or just plain bad; this does not mean that the ideas are not good.
How does this work connect with other works? (這件作品與其它作品有什麼關聯?)
What’s new about it (or, if it’s an older work, what was new when it was published)? What disciplinary debates is the author engaging? How does this work build on, or refute, earlier works by other authors? How does it fit with the author’s other work? What other work is the one you’re reading like?
What is the social context of the work? (這件作品的社會脈絡是什麼?)
Always consider the historical moment in which a work was created. What kind of person wrote it, and for what kind of audience? What historical events shaped the author’s perceptions and ideas? How was their world different from yours, and how was it similar?
至於閱讀的技巧,
The tragedy of life is not what men suffer, but rather what they miss.
人生的悲劇不是所受的罪,而是錯過的機會。
出自 T.Carlyle(卡萊爾)
“If you can not measure it, you can not improve it.”
“To measure is to know.”
by Lord Kelvin
這是 Smashing Magazine 介紹 Simplicity 一系列文章中的其中一篇。我摘要的第二篇,「Simplicity Is Highly Overrated」。
Summarize
作者在這篇文章中的重點是,簡潔(simplicity)在被高估了。
他參訪了南韓的百貨公司與當地市場,發現很多產品都非常複雜,而且單價也很高。經過與陪同者的對話中,啟發了他的一些想法。
1. One-button operation, of course, but with all of their favorite features.
誰都想要簡單一個鍵按下去,就可以完成所有他們想要做的事。但問題是,一個鍵如何滿足這麼多種功能?
2. Answer: Because the people want the features. Because simplicity is a myth
whose time has past, if it ever existed.
作者得到的解答是,由於人們想要很多功能,簡潔的神話已成過去式,甚至懷疑(市場上)簡潔(的產品)是否曾經出現過。
3. Features win over simplicity
因此,結論就是,功能性永遠勝於簡潔。
批評與回應
當然,作者這邊文章受到很多人的批評。於是作者反問了,
“Are you one of those people who wants to give up control, who thinks less is better?” asked this usability expert. “Don’t you want to be in control?”
於是作者更明白的指出,
The answer is the latter: people are not willing to pay for a system that looks simpler because it looks less capable.
I am simply pointing out a fact of life: purchasers, on the whole, prefer more powerful devices to less powerful ones. They equate the apparent simplicity of the controls with lack of power: complexity with power.
心得
作者的中心思想是,功能面與簡潔面勢必為陰陽兩面,兩者無法兼顧。
我倒是不認為如此。我們在生活上可以看到很多產品,以簡潔面勝出。例如 Nokia。也有例子指出功能面強的產品依然挫敗,如 Sony。Sony 的功能一直都走在前端,但為何在2000年左右市值下滑?因為複雜,而且功能強大到一般使用者用不到。
作者也指出了,那些認為少即是多(less is more)的人,你們想要放棄控制(你的設備)嗎?
這就要談到人性了。有時我們不想放棄控制,但有時我們寧可放棄控制,因為滿足即可。畢竟腦科學已經證實,腦喜歡 簡單的事物勝於複雜的事物。例如,手機對我而言,我只需要通話與簡訊就好,不需要照像、遊戲或網路等功能。就算我的手機有很多功能,我也並不想全部了解 (控制),因為基本功能已經滿足我了,像我目前這支手機,有佈景主題、遊戲與照像等,我到現在沒有想要去控制的慾望。
所以我認為,功能面絕對不是對立於簡潔面。因此對於作者認為,顧客偏好功能性多的產品而言,這是作者陷入對立兩面的邏輯裡。我反問的問題是,「我承認有些顧客喜愛功能性強的產品,即使他們沒有用到;但是還是有一群顧客選擇滿足他們的最適產品,如基本功能就好與價格便宜。」
UNIX is simple. It just takes a genius to understand its simplicity.
- Dennis Ritchie, UNIX co-creator
Most modern calendars mar the sweet simplicity of our lives by reminding us that each day that passes is the anniversary of some perfectly uninteresting event.
- Oscar Wilde
Out of clutter, find simplicity.
From discord, find harmony.
另一種說法
Three Rules of Work: Out of clutter find simplicity; From discord find harmony; In the middle of difficulty lies opportunity.
- Albert Einstein
I have deep faith that the principle of the universe will be beautiful and simple.
- Albert Einstein
這是 Smashing Magazine 介紹 Simplicity 一系列文章中的其中一篇。我摘要的第一篇,「Keep it simple, stupid!」。
Key points
Definition of Simplicity
害怕被別人唬的一愣一愣的?還是害怕自己胡扯時被點破?
今天看到很有趣的文章,教人怎麼去判斷對方是否胡說,”How to detect bullshit“。
為什麼大家愛胡說?
作者簡單指出了,胡說大致上有兩種:善意(white lies)與惡意(serious lies)。而善意的是文明進展不可或缺的工具,但是惡意的則會破壞人們之間的信任關係。所以我們該如何點破別人的惡意謊言呢?
點破它之一:你怎麼知道的?
點破的第一個工具,就是問:「你怎麼知道的?」(How do you know what you know?)
作者舉出三個情境:
當對方說:「這個專案將會花費5個星期」。你可以問,「你怎麼知道的?」「有可能發生預期外的什麼問題?」「你敢對這個承諾賭注一萬美金嗎?十萬美金呢?」
或當對方說:「我們的設計是前所未有的」。你可以問,「真的嗎?」「哪方面前所未有?」「除了設計師和投資人外,還有誰同意這個說法?」
或當對方說:「研究顯示說謊者的褲子能防火」。你可以問,「哪個研究?」「誰去做這個研究?」「你真的有詳讀這份研究,還是只是在剪報上看到的?」「有其它的研究支持這個論點嗎?」
點破它之二:相反的意見是什麼?
你可以問:「除了你之外,誰還對這個議題有看法?」「什麼是你最重視的地方,並且你將如何把它強調出來?」「對這些相反的意見,你將如何做?」
心得
有時候,一語道破總是比反覆在無聊的議題上討論來得直接。當然,有些人並不是故意要說謊,有時候他們提出這個想法只是沒有想到那麼周延,這篇文章提供的方法也能夠幫助這些人想想不同的面向。
一般人會認為”適者生存”(survival for fittest)是達爾文說的,但其實不是。
“適者生存”一詞是由別人對達爾文巨作所簡化的詞,但是達爾文並不喜歡這個詞。這也是我以前所認為的。
但是,在看完「國家地理精選 瘋狂實驗室(Mad labs) 第1集」之後,就改變了想法。影片中,達爾文專家亞伯特(Albert)教授說:「起初達爾文也不喜歡”適者生存”的說法。最後終於接受。因為簡單明瞭。」
所以,基於Albert教授說言,達爾文後來同意了這個說法,雖然沒辦法表達完整的概念。而我呢,則是相信Albert教授所言。
從網路上看到,Google 創新的九條原則,搜尋了一下,發現來源大約是從這裡摘的。
我看到的九條原則是,
我對其中的第 7 條特別有感覺。之前看過一句話,大約是這樣,
創意不是沒有限制,往往在限制下才發揮出創意
感冒時,其實都不太了解要給醫生什麼資訊,幾乎都是等著醫生問才答。但是,為了自身著想,能夠找醫生足夠的資訊是對自己的保障。
最近從大村衛生所主任╱黃建成的一文,「我是怎麼治療感冒的」,中看到很多對感冒的見解。因此把看醫生時的重點摘出來。
基本上,感冒看醫生前,應該要先了解:
另外,從文中發現,原來只有那些鼻子症狀的藥才會有讓人覺得嗜睡、無力的副作用。
張曉風:「只因為年輕」
生命是一樁太好的東西,好到你無論選擇什麼方式渡過,都像是一種浪費
我們不可能不屬於這世界
語出德國劇作家 Christian Dietrich Grabbe 的歌劇
這句話不知道是誰說的,已經查不出原始來源了。
願意留下來跟你爭吵的人,才是真正愛你的人。
I love these words,
This issue is far too complex. Simply put, complexity is the bastion of flaws.
Orginally from “Do We Need a Security Industry” at ha.ckers.
“Dim Bulb”, Orginally from megancohen@flickr by
你有沒有想過省電燈泡真的有省到錢嗎?
一般人買省電燈泡的理由是:省錢。但是真的會省錢嗎?很多人保有懷疑的態度。而合理的懷疑是,省電燈泡的單價貴,雖然真的有省電,但是在壽命期間所省的電是否足以彌補多出的單價?
結論
一般而言,買省電燈泡真的比較省錢。
公式
當一般燈泡的使用時數大於或等於省電燈泡的使用時數時,
瓦數差 x 每度電費 / 1000 - {省電燈泡的價格 x (一般燈泡的使用時數 / 省電燈泡的使用時數) - 一般燈泡的價格}
反之,一般燈泡的使用時數小於省電燈泡的使用時數時,基本上就不用算公式了,買省電燈泡就對了。
上述公式,若計算的結果為正數,則省電燈泡較划算,反之則是一般燈泡。
其它
在台灣,每度的電費可以在台灣電力公司找到。
而何為一度電,可以在台灣電力公司的這個頁面中找到。截取如下:
什麼叫一度電?
消耗電力W(瓦)× H(小時)= WH(瓦時)
1000瓦時 = 1 KWH = 1 度電
例如:20瓦燈泡使用50小時 = 1000瓦時 = 1度電
1100瓦冷氣機使用5小時 = 5500瓦時 = 5.5度電
最後,如果你是保護環境主義者,上述公式就沒有用了,因為根據這裡的說明,用電會造成地球的暖化。所以若考量到地球與環境,選擇省電燈泡絕對是第一優先。
[1] Discovery『流言終結者 第69集』的數據,節目實際測試一般家用的省電燈泡與一般燈泡的耗電,一個小時後,一般燈泡耗 90w/h,而省電燈泡耗 10w/h,差了 9 倍。雖然節目沒有說明是那家廠牌的燈泡,但他聲稱是一般家庭使用的,所以若不是特殊規格,這個 9 倍差的數據是可以拿來作參考的。就不一定要拿燈泡說明的瓦數來計算。
“Who says we need our logo on every slide?”
said by Presentation Zen.
Here are some tips about presentation when you using “BRAND”,
Hey, are them so surprising to you? Though, I am.
- If you are presenting for an organization try removing logos (and other clutter) from all except the first and last slide.
- If you want people to learn something and remember you, then make a good, honest presentation.
- The logo won’t help make a sell or make a point, but the clutter it brings does add unnecessary noise and makes the presentation visuals look like a commercial. And people hate commercials or being sold to.
Do today what others won’t, so you can do tomorrow what others can’t.
當你的愛車不小心受到些許碰撞,而產生了凹痕。覺得送回保養廠耗時又費錢時,你可以考慮用輕鬆又便宜的方法。
方法一:乾冰
買乾冰回來,放在凹痕的中心處,等個幾分鐘後拿起來。觀察復原情形,如果還不滿意,就多做幾次。
來看影片教學吧
方法二:吹風機與液態二氧化碳
先用吹風機將凹痕處吹熱,然後用液態二氧化碳噴上去。接著就等個幾分鐘吧。
來看影片教學吧
Advice is seldom welcome, and those who need it the most, like it the least.
Lord Chesterfield
忠言很少受到歡迎,越需要的人總是越不喜歡它
A little drowsing cat is an image of a perfect beatitude
by Jules Champfleury
神啊!許我一個勝率較高的手氣吧!
從 Mental Floss 網站看到了一篇關於 World RPS Society 的管理處長,Graham Walker,傳授勝率較高的「剪刀、石頭、布」的玩法。
「剪刀、石頭、布」的英文是「Rock-Paper-Scissors」,縮寫成「RPS」,接下來我將以「RPS」代替「剪刀、石頭、布」。
我把重要的規則篩選出來,然後用我的想法詮釋。(注意喔,我不是翻譯,只是用我的思考敘述)
規則一:一般人喜歡出石頭
一般人指的是非職業猜拳選手。這是因為人的直覺會認為石頭代表著力量、氣勢,所以人們傾向出石頭。
所以呢,和一般人玩猜拳,而且在不刻意思索的情形下,出「布」吧,勝的機率比較大。
規則二:對於 RPS 高手,第一次出「剪刀」吧
從規則一得知,高手認為一般人會出石頭,所以傾向會出「布」。因為反其道而行,面對這些高手時,出「剪刀」吧。
規則三:一般人連續兩次出一樣的拳時
這招只能對付一般人。
通常人只會連續出一樣的兩次,第三次會換。所以說,如果對方連出兩次「石頭」,他下次出「剪刀」或「布」的機率遠大於「石頭」。此時呢,你就出「剪刀」,勝率很大喔。
規則四:透露出你將出的拳
如果可以的話,預先說出你將出的拳,也會增加你的勝率。例如你說你將要出「石頭」,對方通常不會相信你,所以直覺不會出「布」,此時出「剪刀」或「石頭」的機率比較大。因此,你照著原本的戰略出「石頭」的勝率較大。
規則五:當所有規則都不管用時,出「布」吧
根據統計的結果,出「剪刀」的機率最低。所以出「布」的勝率較大。
結論
其實規則對我來說有點難記。因此,我最後歸納一下,
第 1 點,主要是參考「規則四」。而且建議最好透露你要出「布」。因為根據「規則一」與「規則五」來說,對方會出「石頭」的機率會更大,所以照著「規則四」依指出「布」的勝率就很大。
第 2 點,主要是參考「規則一」與「規則五」。而且不管第 1 點符不符合,即可不可以先透露預出的拳,都可以連出兩次「布」。連出兩次是為了要湊出「規則三」。若能玩到第三次時,表示「規則三」已經符合條件,接下來就進行第 3 點,出讓對方贏的拳。
因此根據這 3 點,我們可以歸納出拳法的順序:布、布、石頭、剪刀、(布、石頭、剪刀)x無限次。
有趣吧,讓我們一起痛宰對手吧。
『高效時間』,p117
哈大大學心理學教授丹尼爾.吉伯特強調,資訊過剩損害了大腦在分析、做決定時表現出來的能力。
『高效時間』一書中,在「是否過於高估了一人多工的效益」,提出了一些觀點。
- 麥克吉爾大學教授亨利.敏茲柏格在 1973年發表的著作『管理工作的本質』(Harper & Row) 裡說明,管理者從事的任務行動當中,確實有一半都只需要 9分鐘或更短的時間就能完成,只有十分之一的工作任務會需要花上超過 1小時的時間。該著作支持的論點之一是,在不景氣的時期,多工的需求只會愈來愈強烈;當公司整合及減少職缺時,管理者也隨之減少,工作量卻不減反增。
- 密西根大學心理學教授大衛.梅爾說:「在很多情況下那是不可能的,不可避免的是,大腦有其限度。」
- 很多公司都過於低估多工所需的時間成本。堆積如山的事實在在顯示,排得擁擠不堪的行事曆,迫使大量的工作任務必須來回切換,這會導致減損、而非增 加生產力。梅爾和他同事在研究中指出,當人開始從事新的工作任務時,大腦會經歷一段暖身期。梅爾解釋,「你必須讓你的注意力集中,你也必須記得有哪些事 件。」
- 但是即使只分心 30秒,也足以讓你脫軌,之後你的腦子需要再花時間重新暖身。
- 該研究顯示,依照你被迫使從一個任務轉至另一個的頻率有多高,相關的時間成本就會隨著頻率增加,且一天可能會多達 2至 4小時。