關於最近小丑 JK 跟館長之間的爭議

最近兩週各種地方都不太安寧,不只是任職的公司裡陸續出現一些奇怪狀況,在同個時間點,網路上某幾位紅人的紛爭也漸漸延燒到現實的幾個朋友身上。上週末後,某兩位網路紅人在現實驚動不少親友的 5/5 之約,在經過一些紛擾後看起來是不會高調了。但緊接著網路上又開啟了另一個小戰場,就是小丑 JK 和館長這邊也起了衝突。館長在公開忽必烈健身館的澄清聲明當天,大概是想一吐之前累積的怨氣,突然就對小丑 JK 開砲,主要是不滿小丑 JK 在他三重館事件期間拍了一片【揭密】館長怒槓股東幕後真相 ! ! 究竟誰是三重館的打工仔 ? !,覺得他在那個時機拍這種片很不夠意思,讓社會大眾產生他公司開得亂七八糟、不會經營公司的負面形象,所以館長這幾天接連好幾天直播酸他砲他。今天半夜小丑 JK 又上了一部 5/5下午6:00最終聲明 ! !,其中有一部份內容是在回應館長這幾天砲他的事。然後凌晨館長又開了個直播【館長直播完整版】05/04 早安各位我也要聽八卦,裡面解釋了他當時跟三重館簽了加盟合約,對方有承諾過給他股權後來卻不承認等情況。能把話講清楚是最好,但館長聊天室有一些奇怪的人在帶風向,導致館長在拒看小丑 JK 影片的情況下完全被聊天室的部分轉述影響,形成各種誤會,引導館長對不存在的事情再度開砲。

Read more關於最近小丑 JK 跟館長之間的爭議

關於 PTT 大規模盜帳號事件

最近 PTT 出現大量帳號被盜事件,而且大部分的人是無登入失敗紀錄就被盜走帳號,因此有人懷疑是站方資安問題,或者認為是站方有內鬼把使用者資料庫洩漏出去,甚至還有人懷疑是第三方的手機 app 有問題;站方也懷疑可能是使用者使用了不安全的通訊協定,因此關閉了 telnet 協定。其實這幾個特徵對於有經驗的人來說,一看就知道是憑證填充攻擊 (Credential Stuffing),在大陸稱為撞庫。通常遭受這種攻擊導致大量帳號被盜的網站會出現以下特徵:

  • 大多數被盜走的帳號沒有登入失敗紀錄,一次就被不明 IP 登成功並盜走帳號,有部分會有 1 ~ 2 次登入失敗紀錄。
  • 沒被盜走帳號的人,少部分會發現自己帳號被嘗試登入過 1 ~ 2 次,但因為密碼錯誤均失敗。
  • 使用者開始猜疑站方,覺得站方系統有漏洞、管理團隊或經營方有人手腳不乾淨。
  • 站方建議要提防釣魚網站、不要跟人共用帳號、不要使用無密碼的公開 wifi 登入網站、使用加密協定登入,但效果不彰。
  • 如果站方不顧道德瑕疵去 log 所有登入操作輸入的帳密,可觀察到駭客頻繁切換 IP 嘗試登入,每個帳號只會嘗試 1 ~ 2 次,且輸入的密碼看起來也不是常見的弱密碼 111111、abcd1234、asdfasdf、qweasdzxc 之類,而是一些還算安全且不太容易被破解的密碼。

其實前陣子元大證券帳號被盜去下港股的事件也是同一招,只是手法比較非典型,是利用外洩的戶政資料來做嘗試,因為券商系統的登入帳號大都是身份證字號。除此之外,國內那幾家知名網拍平台,也不時傳出有人被盜帳號去開詐騙賣場,結果帳號原持有人被叫去警局泡茶,這些都是一模一樣的手法。沒有概念的人,可以回頭去想想那些網拍平台被大規模盜帳號都是幾年前的事情了,就能知道這是多久之前就有的現象,只是這次終於延燒到 PTT 來而已。看站方的反應和處理方式,只能說站方的資訊人員真的安逸日子過太久了。

Read more關於 PTT 大規模盜帳號事件

近年常被問到如何學習 C++

2005 年的時候曾經在 BBS 的全國轉信板 Programming 板上分享過 C++ 書籍的閱讀歷程,不過隨著時間流逝,那篇文章已經消失,但當年恰巧截了圖下來:

C++ 書籍閱讀歷程

或許有些老人曾經看過這東西,但隨著 C++11 的問世、侯捷淡出了繁體中文譯者圈、Scott Meyers 淡出 C++ 出版界,這些書大部分都已經過時且中譯版幾乎全部絕版,上面這張圖在 2022 年的今天也不再適用了。但我就是在這樣的學習環境裡長大的,所以我也無法在 2022 年提供一套新的 C++ 學習方式,畢竟當年的兩本磚頭聖經本 C++ 程式語言 (The C++ Programming Language) 以及 C++ Primer 即便換成了當今最新版本 The C++ Programming Language 4/e (中譯本) 及 C++ Primer 5/e (中譯本),也已經是接近過時的狀態,硬啃完這兩本對 C++ 的基礎知識也已經不完備了。坦白說,在 2011 年之後我也不知道該如何教一個新手如何學習 C++。所以很不好意思,我也幫不上忙,這只是一篇廢文。不過當年既然發了文,道義上我也得在這裡做一些說明。

Read more近年常被問到如何學習 C++

升級了 WordPress 版本順便換掉了佈景主題

很久沒有升級 WordPress 了,就從原本 4.9 的 branch 切換到 5.9 來。原本已經有其它的 blog 已經在 5.2,所以對於這個新的區塊編輯器還不算太陌生,不過就得和使用多年的佈景主題 Atahualpa 道別了。部分外掛程式也尋找替代品,特別是商業版本的外掛程式需要設法修好或棄用,這也是不得不為之的汰換,長時間停留在舊版本也不知道會不會有安全問題。

Read more升級了 WordPress 版本順便換掉了佈景主題

館長其人

知道館長這個爭議性人物已經是 2015 年的事情了,當時在 PTT 上一堆人突然在刷館長可以守住街亭嗎之類的各種鬧板標題,在那之後平時在家忙東西的時候就會把他直播開來當廣播電台聽。2018 年下旬曾經因為換新工作交女友娶老婆沒聽了一大段時間,到 2020 年夏天他中槍了我又回去開始當廣播電台聽下去,雖然這時他使用的直播平台已經換了好幾個跑去 Youtube 了。在同一時間 PTT 也出現了一位 b17 先生沒事就在翻他舊帳跟他作對,一堆人私下找他爆料,於是有更多東西被攤在網路上檢視。而 PTT 還有某幾處新聞下面的留言總是清一色在黑他,但又有一些地方像平行世界一樣在捧他,兩邊族群的資訊其實都不對等,所以 2018 這次回去聽他直播有點像是在訓練獨立思考能力了。

Read more館長其人

元大跟統一證券帳戶複委託被盜下港股事件

最近兩天在 PTT 股板上看到的事情,新聞也開始陸續報出來了:
元大證港股複委託昨出現異常 公司:會確保客戶權益
投資人帳戶被駭自動買港股?元大證券回應了
網友被下單買港股?元大改以人工接單確保客戶權益
股票下單系統疑遭駭!元大證海外複委託改人工接單 統一證公告提醒換密碼
元大證「行動精靈」關閉複委託電子下單 三竹資訊喊冤:沒有做憑證
券商下單系統爆「撞庫攻擊」 三竹聲明「與之無關」正協助補強交易安全
我本身只交易國內外期貨不交易股票,所以不是受害人之一。不過看起來似乎證券商、證交所和媒體打算把風向洗成是「撞庫」,這就讓我覺得不太合理了。

Read more元大跟統一證券帳戶複委託被盜下港股事件

在 FreeBSD 利用 I2P 架設 deep web site

I2P 也是一個老東西,不過這東西一直都沒有成熟過,到目前還屬於未完全開發的狀態,檯面上的社群也小得可憐。
它比較少被人們注意,是因為它幾乎不被用來當作跳板,因為不像 Tor 一樣有一大堆 exit nodes,它主打的就是 I2P 網路內部的服務。
I2P 網路內部提供的服務非常多樣性,mail、IRC、instant messaging 等服務都有,甚至可以用 BitTorrent 和 ed2k 等方式進行 file sharing。
但是這網路的缺點就是慢,加上使用的人少,導致貢獻頻寬的人少,讓這網路可說是慢上加慢,但隱密性確實是強過 Tor 的。

Read more在 FreeBSD 利用 I2P 架設 deep web site

在 FreeBSD 利用 Tor 架設 deep web site

Tor 這玩意已經是老東西了,有些人只是把它當成跳板用,有些人會拿來瀏覽 .onion 虛擬網域下的 deep web sites,當然也有人拿來架 deep web sites。
長年來人們對 deep web 都會有一些不切實際的傳說,譬如下面這幾張圖:
deep-web deep-web-247933 150279_original
這些圖片和傳說雖然有些是真的,但大部分都可以把它當成 joke 看待,不用對它們太認真。
特別是第三張圖,你還會看到各種惡搞變形版,我只能說對它認真你就輸了。
所以拜託不要再跑來問我什麼 Marianas Web 在哪,這些都是 bullshit,去問你地理老師還比較實在。
至於用冰山來形容海面下有多少東西這種描述方式,我只能說以種類的數量來說的確如此,但以純粹的檔案容量來講這簡直胡扯。

Read more在 FreeBSD 利用 Tor 架設 deep web site