BlogJava-翠湖月色-随笔分类-网站应用

实时BT种子搜索引擎-YouTorrent

matthew — Sat, 05 Jan 2008 13:55:00 GMT

"The world's first real-time torrent comparison search engine."
       -正如上面的口号,YouTorrent的最大特点是提供实时BT种子搜索,并以比较的形式列出各BT种子的日期.这样可以更加方便用户的选择,也弥补了BT在种子搜索方面不如Emule的状况.
      YouTorrent可以搜索到很多国外BT主力站点的种子文件.如,The Pirate Bay, IsoHunt, MyBittorrent, NewTorrents, SuprNova, Monova, Vuze, BitTorrent, LegitTorrents, SeedPeer 和 BTjunkie.
      面对Emule的下载速度问题,也许YouTorrent又让我们燃起对BT的信心.
      访问YouTorrent:http://www.youtorrent.com/

TorrentFreak公布的2007年度十大BT种子站点:

1. Mininova

世界上最受欢迎的BT站点.

Alexa rank: 46

2. IsoHunt

仅次于Mininova,在美国本土无法访问.

Alexa rank: 143

3. The Pirate Bay

号称要建立盗版国的瑞典海盗湾

Alexa rank: 147

4. Torrentz

它不直接提供.torrent文件,而是提供评论系统,私人书签等功能.

Alexa rank: 160

5. BTjunkie

今年增长最快的BT站点,但是也经常被ISP扫地出门.

Alexa rank: 445

6. TorrentSpy

06年的BT站点冠军,由于MPAA的原因在美国本土也无法访问.

Alexa rank: 461

7. TorrentPortal

今年最沉默奖

Alexa rank: 481

8. GamesTorrents

一个西班牙语的Torrent站点能挤入排行榜实为不易.

Alexa rank: 583

9. TorrentReactor

拥有4年悠久历史的BT站点.

Alexa rank: 604

10. BTmon

最年轻的BT站点

Alexa rank: 673

matthew 2008-01-05 21:55 发表评论

网站排名优化相关概念(转)

matthew — Sun, 16 Dec 2007 10:29:00 GMT

所谓网页排名优化，是指迎合搜索引擎的网站排名规则进行网站的规划，网页的设计，以确保网站能在搜索引擎上获得较好的排位，让更多的潜在客户能够很快地找到你，从而求得网络营销效果的最大化。一、关键词的使用　我们寻找关键词的目的就是为了要将它们用在网页中。看了前面有关搜索引擎工作原理（收录规则）以及网页排名规则的介绍，你也许还记得搜索引擎是如何对用户的查询作出反应的。它首先以输入的关键词为搜索条件，在其数据库中检索包含该关键词的网页，然后按照“匹配/位置/频次”原则返回网站排名搜索结果。　所以为了让你的网页出现在以事先确定的关键词为条件的搜索结果中，你就必须在网页中使用关键词。放置关键词的地方包括：标题、META标签、网页正文、ALT标签等等。但有一点要注意，不要过分重复某单个的关键词，而且也不能象在META关键词标签中那样简单地排列关键词，而是应该遵循必要的语法规则，形成自然流畅的语句，让访问者看起来觉得很舒服，同时还要顾及对顾客是否具有足够的吸引力。总之牢记一个原则：对访问者有吸引力和价值的内容，搜索引擎也不会熟视无睹。　二、网站主题规划　注意不要让你的网站主题过于分散。因为网站主题越集中，一般情况下网站所有者在这方面投入的精力会更多，因此所提供信息的质量也会越高。我们知道，搜索引擎一直致力于向用户提供高质量的信息搜索服务，搜索引擎优化可以加快网站推广速度,所以它会将那些提供有价值信息的网站排名提前，优先返回给用户。　如果网站内容覆盖范围很广，而且确实又需要保留众多的主题，这种情况下怎么办？还是同样的原则，只要你将网站信息分门别类进行合理的组织，自然就会形成一个个相对集中的主题，那么搜索引擎自然会给你一个靠前的网站排名。三、丰富网站内容与网站受欢迎程度　这两者是相辅相成的，有着丰富内容的网站通常也会受访问者的欢迎。请注意这里的内容丰富并不是指内容的繁杂，而是指内容的深度。　搜索引擎在排名网站时，不仅要看网页的信息相关程度，同时也会考虑网站的知名度如何，比如外部链接有多少?链接的网站内容跟本站相关程度如何,网页的点击率有多高等等。因此一个内容充实的网站肯定会排在内容贫乏的网站前面,网站的内容是非常重要的。

matthew 2007-12-16 18:29 发表评论

推荐:音乐搜索引擎- Songza

matthew — Tue, 27 Nov 2007 02:39:00 GMT

Songza是一个支持中文音乐搜索的国外搜索引擎。通过音乐名称或者歌手姓名，来查找你想要听的歌曲。并

提供一个在线播放器，只需要点击选中的歌曲就可以添加到拨放列表。同时，可以通过youtube网站播放，也可以

很方便的把歌曲内嵌到你的博客或主页中播放。当然也可以通过它给的链接地址下载。还可以对你喜欢的歌曲进

行投票，同时网站首页会显示得票最高的歌曲排行榜。从而，你可以知道其他人在听什么歌，喜欢听什么歌曲。

由于我的网络和机器都很慢，所以不知道Songza的正常访问速度杂样。也许，由于国外网站的原因，会影响

其播放质量。

不妨一试：www.songza.com

matthew 2007-11-27 10:39 发表评论

RSA非对称加密的一些非常规应用-转

matthew — Sun, 25 Nov 2007 01:29:00 GMT

前些时候，大概7月份看了些SSL协议的东西，对前人非常的佩服。把非对称加密的安全性和对称加密的快速性结合起来使用，保留了各自的长处。整个数据传输过程中，通过非对称加密在不安全的区域安全的传输了用于对称加密的密钥，实在是创造性的思维。

前天晚上洗澡的时候，突然有了几个新的想法，加上以前的一点发现，就有了这篇文章和几行代码。现在觉得非对称加密还真的很有意思啊，洗澡也很有意思，难怪阿基米德洗澡能够发现浮力定理。我们不够强大，可能是因为洗澡不够吧。

一. RSA替换HTTPS保证安全传输敏感数据

目前大多数的web应用在注册或者登录的时候，或者其他任何涉及到用户帐户，密码，以及信用卡号等等敏感数据传输的时候，一般都毫不犹豫的采用了 HTTPS加密传输的方式来进行。比如Gmail，Yahoo Mail，Live Mail等国际性的邮箱，都是用了这种方式。确实，使用HTTPS是一种比较安全的方法，但是这样做从成本角度来说，并不是最优的。

使用1024位密钥的HTTPS传输，在相同硬件配置的情况下，性能基本上要损失掉30%左右。大量的CPU时间花费到了对数据的加密解密以及证书认证，传输，SSL握手等方面。对于千万用户级别的应用这些损失是难以忽略掉的，因此大公司一般都会购买SSL硬件加密卡，使用硬件进行加密解密。

鉴于RSA等非对称加密算法的public key是可以公开的，因此可以使用这种方式来传输数据，在某些场合取代昂贵的HTTPS传输。比如在邮箱的登录入口，用户点击提交按钮的时候，在本地使用 JS代码将用户名和密码进行RSA加密。虽然public key明文存在于JS代码中，客户端可见，但是仅仅具备public key是无法推算出private key的，因此无法对加密后的数据进行捕获分析，加密后的数据可以安全的通过互联网传输。

前些时间对国内国外的一些大型网站登录入口做了些分析，发现只有tencent的邮箱是使用的这种方式。他们用JS做了一个类，提供RSA加密算法的各种方法，在邮箱登录表单提交的时候调用加密。JS类的地址为http://mail.qq.com/zh_CN/htmledition2/js/safeauth.js，有兴趣的可以自己去研究。使用这种方式之后，服务端的计算量大大减少，只需要在用户提交的时候进行一次解密操作就可以了。而且这个解密，可以使用C语言做成模块，给前端展现语言调用，提高效率。如果有更高的安全性考虑，可以做一些改进，比如在客户端提交表单之前，在发送数据里面加入完整性检验等等，自由发挥即可。

二. 独立的水印系统

现在的论坛或者blog，都需要使用水印来防范强行破解密码的攻击方式，和防范发帖机器人的破坏。但是很多水印和应用系统结合在一起，不方便扩充和给第三方提供服务。这几天想到可以使用RSA加密来实现一套独立的水印算法，并且可以方便的提供给任意的第三方安全使用。

主要思路是这样的，首先生成一对公钥和私钥。将公钥发布给需要使用水印服务的第三方，私钥保存在水印生成方。在使用方随机生成一个字符串，随后使用水印方提供的public key，使用RSA算法进行加密，将加密后的字符串发送给生成水印方。生成方使用private key对这个字符串进行解密，画出图形，将数据传输给水印使用方。虽然加密后的字符串在水印使用方的HTML源代码中明文可见，但是同上所说的，没有 private key是无法解密的。对于安全性的一些加强，可以考虑同时在使用方与生成方之间共享一个用于对称加密的字符串。先对随机生成的水印数字进行对称加密，然后再RSA非对称加密，这样可以在万一丢失private key的情况下，仍然不容易马上被攻破。

为了验证我的这个思路，今天写了一小段验证代码，发现还是比较好用的。我主要是把Pear里面的RSA类扒出来了，稍微改了一点点，然后做了一套测试系统。简单的代码如下，详细的见附件。

代码:

/*

Global.php  通用函数，调用RSA类提供加密解密功能。

云舒， 2007年10月1日

*/
function encrypt( $plain_text )
{
    $public_key = 'YTozOntpOjA7czozMjoiS1vW5NNLH39farB+HPE/U0A1fs1I7ja81GJxGrrjsYEiO2k6MTtzOjM6IgEAASI7aToyO3M6NjoicHVibGljIjt9';

    $key = Crypt_RSA_Key::fromString($public_key);
    check_error($key);
    $rsa_obj = new Crypt_RSA;
    check_error($rsa_obj);

    $enc_text = $rsa_obj->encrypt($plain_text, $key);
    check_error($rsa_obj);

    return $enc_text;
}

function decrypt( $enc_text )
{
    $private_key = "YTozOntpOjA7czozMjoiS1vW5NNLH39farB+HPE/U0A1fs1I7ja81GJxGrrjsYEiO2k6MTtzOjMyOiIButTavL72eeXVEa8E5WkAJthoHqmHIyo3HblsSJG0aiI7aToyO3M6NzoicHJpdmF0ZSI7fQ==";

    $key = Crypt_RSA_Key::fromString($private_key);
    check_error($key);
    $rsa_obj = new Crypt_RSA;
    check_error($rsa_obj);
    $rsa_obj->setParams(array('dec_key' => $key));
    check_error($rsa_obj);

    $number = $rsa_obj->decrypt($enc_text);

    return $number;
}

代码:

/*

水印需求方，随机生成字符串，然后加密发送给水印生成方

云舒， 2007年10月1日

*/
require_once 'Global.php';

$chars = 'abcdefghijklmnopqrstuvwxyz0123456789';
$str_a = $chars;
$str_b = $chars;
$str_c = $chars;
$str_d = $chars;

$str = $str_a.$str_b.$str_c.$str_d;
$enc_data = encrypt( $str );

echo 'test';

代码:

/*

水印提供方，获取需求方传递过来的参数，解密，画出图形

云舒， 2007年10月1日

*/
require_once 'Global.php';

header('Content-type: image/gif');
if( isset( $_GET["number"] ) )
{
    $enc_number = rawurldecode( $_GET["number"] );
}
else
{
    exit;
}

$de_number = decrypt( $enc_number );
$chars = preg_split( '//', $de_number );

$im = imagecreate(75,30);

$bg = imagecolorallocate($im, 255, 255, 255);//背景
$font_color = imagecolorallocate($im, 0, 0, 0);//字

imagestring($im, mt_rand(5,9), mt_rand(0,5), mt_rand(0,5), $chars[1], $font_color);
imagestring($im, mt_rand(5,9), mt_rand(15,25), mt_rand(0,5), $chars[2],  $font_color);
imagestring($im, mt_rand(5,9), mt_rand(30,40), mt_rand(0,5), $chars[3],  $font_color);
imagestring($im, mt_rand(5,9), mt_rand(45,50), mt_rand(0,5), $chars[4],  $font_color);

// 随机点
for ($i=1; $i<=10; $i++)
{
    imagestring($im,mt_rand(0,5),mt_rand(-5,63),mt_rand(-5,23),".",imageColorAllocate($im,mt_rand(0,255),mt_rand(0,255),mt_rand(0,255)));
}

imagegif($im);
imagedestroy ($im);

三. 防御伪造域的垃圾邮件

垃圾邮件现在也是网络上很头疼的一个问题，使用非对称算法的签名功能，可以对伪造域的垃圾邮件进行鉴别，需要邮件接收方服务器的支持。理论不多说了，直接举例。假设我是mail.icylife.net域，我给mail.ph4nt0m.org发邮件。但是有人自己架设了mail服务器，伪装成webmaster@icylife.net给webmaster@ph4nt0m.org发邮件，试图取得他的信任，这种问题如何处理？好办，使用非对称加密的签名验证功能。

首先，我在http://mail.icylife.net/publickey.txt存放我的公钥文件，私钥自己保存好。然后对邮件服务器进行一些改进，对于本域发出去的所有邮件，包括邮件正文和接受者一起做一个签名，把签名附在邮件中一起发出去。而mail.ph4nt0m.org域中的邮件服务器在接收邮件时，从http://mail.icylife.net/publickey.txt取得我的公钥，对签名进行验证，如果签名不对，马上提示用户遭受源域名伪造攻击。对于攻击者来说，他没有我的私钥，是不可能伪造出同样的签名的。

原文地址:http://www.icylife.net/yunshu/show.php?id=471

matthew 2007-11-25 09:29 发表评论

QQ网站登录的RSA加密传输缺陷分析-转

matthew — Sat, 24 Nov 2007 17:18:00 GMT

QQ网站登录处没有使用https进行加密，而是采用了RSA非对称加密来保护传输过程中的密码以及敏感信息的安全性。 QQ是在javascript中实现整个过程的。这个想法非常新颖，但是也是存在严重缺陷的。如果被黑客利用，则可能被捕获明文密码。
分析报告如下：

Author: axis
Date: 2007-11-23
Team: http://www.ph4nt0m.org (http://pstgroup.blogspot.com)
Corp: Alibaba B2B Corp / Infomation Security

这个想法非常新颖，详细可以参考云舒写过的《RSA非对称加密的一些非常规应用》，地址为http://www.icylife.net/yunshu/show.php?id=471

这个原理简单描述为下：
1. 在server端生成一对RSA密钥，包括public key 和 private key
2. public key传输给客户端浏览器，客户端浏览器用public key加密敏感数据，比如密码；加密后的密文传回给server，然后server用 private key解密。
3. 注意private key只保存在server端，而public key则分发给所有人。由于 private key只有server知道，所以密文即使被截获了，也无法解开。

这个解决方案其实还是非常好的，至少他防住了大部分的攻击，但是为什么说它是无法替代https，是有缺陷的呢？

因为这个方案无法防止中间人攻击（man-in-the-middle）。

攻击过程如下：
1. 攻击者通过MIM（比如arp欺骗等）劫持server与客户端浏览器之间的http包
2. 攻击者生成一对伪造的RSA密钥： fake public key/fake private key
3. 攻击者将js文件中的public key替换为fake public key，并传输给客户端浏览器
4. 客户端浏览器用 fake public key加密敏感数据，比如密码，并将加密后的数据传输给攻击者
5. 攻击者用fake private key解密，获得明文密码等
6. 攻击者用server的public key加密明文数据，并传送给server

整个过程中不会出现任何提示，而用户的明文数据则被窃取了！

而luoluo则提出来一个更邪恶的想法（顺便在这里祝luoluo今天生日快乐！），他提出可以直接将加密的介质修改。

比如，如果是用js在做加密，则修改js，如果是用flash或java applert做加密，则替换flash或applet，直接去掉这种加密机制，捕获明文密码。

那么为什么说https是不可替代的呢？因为当实施中间人攻击的时候，浏览器会提示证书已改变（具体参考云舒的关于https安全性的文章），这种机制是内建在浏览器里的，攻击者无力改变它。所以这种报警是非常有意义的。

而如果像QQ一样使用js进行RSA加密传输，实施中间人攻击的时候，是不会有任何提示的，一切都会在用户不知情的情况下发生。

这种情况和以前windows的RDP中间人攻击情况一样: 当使用3389端口的rdp协议登录时候，证书改变的时候没有任何提示。

而相对设计比较安全的ssh协议，ssl协议等，则都会针对证书改变做出提示，防止中间人攻击。

所以，QQ的这个方案只能保护传输过程中一般的sniffer攻击，但是考虑到当今网络环境下，大部分的sniffer都是基于arp欺骗的，所以这种保护机制其实是非常脆弱的。它只能对抗目前已知的arp sniffer软件，而对专门开发的替换关键字的软件，则无法有效防御。一旦这种专门针对QQ网站登录的sniffer软件被开发出来并且提供下载，灾难就不远了。

不过这个方案还是有积极意义的，除去不能抵抗中间人攻击的缺陷外，其他方面都比较完美，特别是成本低廉。如果与https结合使用来防止中间人攻击的话，整个方案就更完美了。

之前曾与朋友戏言QQ是否会因为我这一篇文章而多花费几百万的经费去购买https证书和https硬件加速服务器，现在让我们拭目以待，看看QQ是否是真正的用户至上。

matthew 2007-11-25 01:18 发表评论

BlogJava-翠湖月色-随笔分类-网站应用

实时BT种子搜索引擎-YouTorrent

2. IsoHunt

3. The Pirate Bay

4. Torrentz

5. BTjunkie

6. TorrentSpy

7. TorrentPortal

8. GamesTorrents

9. TorrentReactor

10. BTmon

推荐一个我在使用的免费网络存储服务(网盘)

网站排名优化相关概念(转)

推荐:音乐搜索引擎- Songza

RSA非对称加密的一些非常规应用-转

QQ网站登录的RSA加密传输缺陷分析-转