芳草苑

Author: 芳草苑主

  • cardholder authentication是吃素的

    我还没来英国的时候,就听说这里信用卡付款时不需要密码即可完成网上支付,当时我已经用中国的银行卡在中国的网上消费过几次,我觉得中国的银行卡的网上消费方案还是安全的,所以一对比英国的网上消费,我觉得很不可思议,在金融、网络技术领域都走在中国前面的英国,信用卡消费竟然不需要密码?!这个漏洞太大了,太可怕了。

    来英国久了以后,我也渐渐接受了这个事实:所有信用卡消费都不需密码,全凭几个security questions保证持卡人的安全(这大概也是英国人和西方国家很看重隐私的一个原因)。

    又过了一段时间,Master推出了MasterSecurity,Visa推出了VerifiedByVisa,很多payment service providers开始实施cardholder authentication,顾客在付款时回答完常规的security questions之后还要回答从authentication password里随机挑选的三个字母。如果所有的payment service providers都实施了cardholder authentication,付款不需密码的漏洞在我看来算是堵上了。

    最近,paymenet service providers的大哥大之一worldpay宣布实施cardholder authentication,我很高兴,可随即我发现worldpay实施cardholder authentication不够彻底——在顾客在付款时回答完常规的security questions之后,worldpay会给顾客一个选择,也就是说顾客可以option in or out cardholder authentication。这样还不是老方一贴?安全性增强在哪里?不过我猜测worldpay给顾客选择是过渡期的方案,让顾客熟悉之后,最终cardholder authentication全面实施,不会把选择权留给顾客的。

    今天,我又发现一件更离奇的事情,我收到了ebuyer一份“订单也被受理”的通知,事情的起因得从上周三我为公司订购一块usb wireless ethernet card说起。我先在ebuyer上选了一款,付款进行到最后一步碰到cardholder authentication,我使用的是公司信用卡,cardholder authentication security password不是我设的,我一看ebuyer的payment service provider要cardholder authentication,我只好终止了付款转而向boardbandbuyers买了一块usb wireless ethernet card。boardbandbuyers的payment service provider不需要cardholder authentication,所以订单一下子就通过了,第二天货也收到了。

    如果说worldpay还在过渡期,cardholder authentication可以被option out还情有可原,但ebuyer的cardholder authentication岂不更是形同虚设?明明没有完成全部付款过程,ebuyer仍可以借记cardholder,这个安全漏洞更大。

    作为商家,cardholder authentication的实施给顾客付款制造了一点障碍,似乎对商家不利(比如我的订单从ebuyer逃到了broadbandbuyers),但cardholder authentication的anti-fraud也是为了保护商家。我在这里倒不想进行cardholder authentication的利弊分析,只是觉得cardholder authentication作为一项安全屏障,一旦实施,就应该把它落实到实处。

  • sugarCRM竟没有partner在中国大陆

    sugarCRM是我蛮中意的一款开源软件,但我一直没能把sugarCRM应用到实际业务中。要想把sugarCRM应用起来,想起来很简单,操作起来有太多的细节要做。所以我想找个已被sugarCRM认可的partner公司,help me customise and extend sugarCRM。

    可是我在sugarCRM的网站上的亚洲区partner里看了一遍,连香港都有sugarCRM partner,这么大一个中国大陆,竟然没有一个sugarCRM partner!

  • Outlook Express不能正常发信

    同事的一台计算机发送带附件的邮件时,进行到100%以后,会出现一个错误,对话框中没有错误号,也没有错误描述,但确实有错误,那邮件滞留在outbox里,不肯移到sent items(但邮件能发送出去,对方能收到)。
    对这种莫名其妙的错误,我通常不会去找原因(windows的老年病,也不太可能找到原因),也不会去医治它(太费时间)。既然outlook express发不了邮件,换个软件发不就可以了?各种邮件软件都用一遍,如果全染病了,那只有整个windows重装一下。

    可是,我们另外有个contact management system叫Act,虽然act工作起来错误百出,但新系统还没调试完成,Act还得继续工作,而Act非得跟outlook express才能一起工作,这样就逼得我只有医好outlook express不能发送带附件邮件的毛病(如果不想重装windows的话)。

    因为实在不知道毛病在哪里,我只好乱试一通:

    1. delete outbox.dbx,outlook express启动时会自动重建一个outbox.dbx – 毛病依旧;
    2. 移动outlook express的存储目录到新地方,让outlook express重建所有.dbx文件,然后再导入所有收件箱和已发送邮件 – 毛病依旧;
    3. 创建一个全新的windows user account,把邮件从老帐号导入到新帐号 – 毛病依旧;
    4. 在注册表里更改MTU的dword(这是microsoft support库中一篇文章教的方法) – 毛病依旧;
    5. disable firewall – 毛病依旧。那台机子用的是norton internet security,norton给我的感觉是经常自做主张更改设置,比如,如果网页里含有norton认为是电话号码的地方,norton会在那里插一面国旗和一个电话的小图标;如果网页里有javascript function name里含有ad,如adjust() {},norton会删掉所有javascript代码,而且不给任何提示。因为我对norton印象不佳,所以这次不能怪我滥杀无辜。
    6. system restore to a previous date when outlook express was working properly – 毛病依旧;
    7. uninstall outlook express, then reinstall outlook express – Wow! Finally I solved the problem!

    谢天谢地,如果刚才最后一招不灵,第8招只有重装windows了。

  • 无纺布真的环保吗?

    在跟不同的无纺布袋供应商接触了一个礼拜,我差不多也算半个无纺布专家了。我们从纸袋、塑料袋转向无纺布袋,无非冲着它的环保概念(这年头要是不给自己的产品套上点环保概念,产品还真不好卖)。可是,学习了一个礼拜,我开始思考,无纺布真的环保吗?

    无纺布经久耐用,可多次使用,从这点上说绝对环保。但是无纺布在生产过程中消耗大量的能量,有些还含有危害环境的添加剂,无纺布在生产过程中对环境的透支很难能在日后的使用过程中补偿回来, 从这点上说一点也不环保。无纺布能否降解,还得看它是什么原料做的、采用什么工艺。而目前大部分无纺布的原料是PP,而PP是完全不可降解的,从这点上说它跟以前的塑料袋没有区别,谈不上环保。

    有人谈到SBPP无纺布可以降解,但我查了半天没查出SBPP是什么意思,也不知道SBPP是生物可降解,还是光降解。如果是光降解,其实只是分解成细粒,无法被微生物吸收,严格地说根本不能算降解,也就是不环保。

    如果给无纺布对环保的贡献以5分制打分的话,以目前各种原材料制成无纺布的比例看,90%以上的无纺布是PP和PE,我只能给无纺布打2分,不及格。我非常希望看到真正可降解的无纺布在总销量中的比重有所提高,但从市场学角度,我们不能太超前,市场有需要,我们就供给。说难听一点,无纺布环保不环保,真得那么重要吗?

  • 无纺布袋厂抢过独木桥

    search for non woven fabric bag in google uk

    在google.co.uk搜索无纺布袋厂的截图

    vs.

    search for non woven fabric bag in google cn

    在google.cn搜索无纺布袋厂的截图

    像我这样-身处国外,交替着使用多国google的人不在少数吧。我在寻找中国无纺布袋厂的过程中,发现adwords广告业主们都没有很好地把握在英语搜索引擎上的中文关键字搜索结果页面上的广告,推而广之,外地搜索引擎上本地语言的广告是被大家忽视了。

    很可惜吧?!

  • Thunderbird确实好

    我是一个很懒的人,thunderbird出名已经很久了,我仍然stick to outlook or outlook express。本来也是,不就收发一下邮件嘛,用哪个软件有很大区别吗?今天由于其他方面的原因,我不得不下载thunderbird用了一下,当然它没有惊天动地打动我的地方,但它的utf8已经走到microsoft前面了,outlook/express在英文windows下总是处理不好中文主题或发件人(outlook处理不好中文发件人,而outlook express处理不好中文主题)。别看平时我也能忍受着阅读??????布满问号的邮件,但既然看到thunderbird做得这么好,那我决定更多地支持一下开源产品啦。

  • wordpress title不见了

    昨天在公司的blog上做搜索引擎优化,做到后来既然把blog homepage的title弄没了,一时没找到原因。

    今天在这个自己的blog上只想要添加一个analytics,我用的是google analytics for wordpress plugin 2.0,当我把track帐号输入以后,发现title又一次消失了。title的消失是不是由这个plugin引起的?这有待进一步试验。可现在头痛的问题是:无论我删除了track account,还是deactivate plugin,title还是不回来。难道我错怪google analytics for wordpress plugin?

  • wordpress在不同域名间的迁移

    忙乎了一天终于把这个blog从另外一个域名、另外一个服务器迁移过来了。迁移的过程是比较痛苦的,因为我一开始把迁移想得太简单了。这怪我想当然,前几天wordpress版本升级给我的印象太方便了,只要把文件一股脑上传就可以,因此我以为迁移也只要把文件一股脑拷贝、数据一股脑导出再导入就可以啦。

    我一股脑做好迁移以后,敲入新网址,满怀信心期待出现的页面没出现,确切地说是一片空白(我原以为最糟的情况也就是出现带有一些broken links的页面再作调整)。费了好久才查出是memory_limit值太低,这时我已经把wordpress那几个table的数据 delete/import了好几个来回了。

    虽然这次迁移费了点时间,但总算有了经验:不要相信那些所谓wordpress data migration插件,甚至连wordpress内置的export/import也不好用(export/import仅适用于给数据做备份和恢复)。wordpress(2.3.1版)内置的export/import至少有以下缺点:

    1. 不能自动转换域名
    2. 不能自动转换document root
    3. 不能导入option
    4. import采用web upload,自然文件大小受到upload_max_filesize限制。
    5. import后个别category出现了两次(原因不明)
    6. manage uploads丢失了thumbnails的链接

    我认为最好的办法是,把原数据库里的数据导出成sql格式,用文本编辑器在这个sql文件里做两次查找和替换,新老域名和新旧document root各做一次(文本格式就是好啊,给人一种看得见摸得着的感觉,踏实)。然后在新数据库导入这个sql文件就可以。只要网站的directory structure保持不变,我相信这就是wordpress blog迁移要做的全部工作。

  • 发现一个wordpress不够体贴的地方

    熟悉以后才知道它/他/她的缺点,这就是为什么离婚总是发生在结婚后。

    我在了解wordpress的过程遇到这么点小麻烦:custom permalink structure为/%post_id%/%postname%/(其实seo并非非得这么设置,但这个设置是我们价值£750每月的引擎优化专家推荐的,姑且采用)。

    我事先知道这个blog所在的服务器目前没加载mod_rewrite,因为这不是我的独立服务器,所以我并不能想加载什么模块就可以加载的。但我暂时不想为了贪图mod_rewrite就把blog转移到另一个服务器,至少在这个blog正式上市之前不想。保持一个主服务器在美国,一个大副服务器在德国,以后再弄一个二副服务器在英国当地,或者把大副二副换一换,这是我理想中的格局,不把鸡蛋放一个篮子里嘛。

    但我有个毛病,明知不可为而为之,就是想看看什么后果。结果我知道了:后果很严重。一旦修改了permalink,wordpress就自动生成一个.htaccess,不管服务器是否支持,也不管blog是否真的需要这个.htaccess。由于服务器没有加载mod_rewrite,所以发生500 server error。于是我删掉了.htaccess,然后在后台想把permalink改回Default,wordpress不够体贴的地方就暴露出来了:只要一提交permalink的值,不管这个新值是什么,wordpress就自动生成.htaccess,这样我的服务器马上就500,php肯定就中止执行了,数据库就无法更新了。这个鸡先生蛋、还是蛋先生鸡的问题,我最后是直接操纵数据库才解决的(wordpress的数据库结构还是挺清晰的,我没看什么资料,凭着直觉找到wp_options table,再找到permalink_structure,删掉option_value就可以了)。

    说了一个wordpress的缺点,作为补偿,我再说一个我感觉到的体贴,总是在细致之处。当初安装wordpress,ftp原码以后,installation要求把wp-config-smaple.php改名为wp-config.php,虽然改名不算麻烦,我还嘀咕它为什么不直接替我做了这件事。最近一次升级才让我理解它的良苦用心——升级时只要一股脑ftp所有文件,不用担心设置文件的备份恢复等等。我以前一直都不太愿意升级,就是怕备份恢复这些琐事,所以wordpress新版本出了很久了,可能新版本的新版本都已经出了n多个了,我才折腾了一下。有了这次无痛升级的过程,我以后一定会升级得很勤快的。

    题外话:wordpress的permalink基于url rewrite,要求服务器服务器是apache+mod_rewrite,适用性小。要是谁能开发一个plugin,基于404错误捕获做permalink,一定会在广大小空间业主群里有市场。不过我不会想着去做这件事,从基于url rewrite到基于404,技术上是种倒退。要向前看,不是向钱看。

  • 向google学习

    Google不但在技术上领先,在marketing方面也是专家。现在g级容量的邮箱已经不稀罕了,google肯定比我更清楚这一点,但google的方案实在是高明——它不在容量上跟其它服务商攀比(就算给你5g的容量又怎么样?你还是会问万一我的邮箱存满了怎么办?如果你还是想着以防万一(其实哪有那么多万一),那你一开始肯定想找一个容量(在当时)最大的服务商。Google肯定不想落入与hotmail,yahoo的容量攀比之风,但google也不想落后,于是搞出一招容量扩增计划:而且每分每秒都在扩增。这招挺有意思,我粗略关心了一下邮箱增长速度,还挺快——每天扩增25m,如果新增的空间都被往来的邮件填满、往来内容都是文本的话,你一天24小时不吃不睡看右肩也看不完这些邮件,所以根本不用担心容量以后会不够用。

    至少在可以预见的将来是不用担心的。