刪除磁碟資料的工具

今天幫家人送電腦硬碟去修,不過我怕有人順手幫忙做檔案備份,所以先拿刪除工具把硬碟的資料抹乾淨。在網路上找了一下,相關的免費工具大概有:

  1. Eraser,軟體正如其名,拿來刪檔案用的。
  2. DBAN,可以製作開機光碟或是 usb floppy 來開機刪除。
  3. Windows 使用者可以用微軟內附的 cipher 刪除檔案

我個人喜歡 DBAN,因為對整個磁碟資料清光比較方便。不知道怎麼取捨的人,這裡有個比較表可以參考。

[Update 2008/03/04]: 想到之前強者 Rick 曾經寫過一篇類似的,而且也有仔細介紹過 cipher 的速度。大家可以參考一下。難怪我的 delicious 裡面會有 cipher 的連結啊,想必是當初看 Rick 的 blog 看來的 XD

HTML Purifier – 另類的 PHP input validation

對 web programming 的人來說,XSS 很早以前就不是新聞,而且不管是為了 XSS、SQL injection 或是其他理由,任何 user input 都不應該被信任,在使用以前就應該先被 validate 或是 filter 過。

但是問題來了,一般的 filter 都很好解,有許多現成的工具,甚至大不了就用駝鳥法把 html 的特殊字元 escape 掉。但是對於需要依賴使用者輸入 html 的東西怎麼辦?最明顯的例子就是 blog site。Blog 站台總不能不讓使用者輸入 HTML 吧?甚至插插圖、秀秀跑馬燈、放個 YouTube video 之類的,應該也都是稀鬆平常的事情。但是要達到這種效果,該怎麼做呢?

比較明顯的有幾個解法:

  1. 鴕鳥法,XSS 管他去死。(別懷疑,真的有人這樣子) 網站安全度不重要,先讓使用者爽再說。
  2. 使用不同 domain 來避免 XSS 問題。例如 Blogger 的操作是在 blogger.com,但是 blog 是出現在 blogspot.com。
  3. 使用自己的 html 過濾器,重新濾一次使用者輸入的 html。安全又可以不用換 domain,缺點就是使用者一定會有些想用的 tag 被濾掉而感覺到不便。

對於像是 GYM 規模的公司來說,一定會有自己的 html input filter 工具。可是對於外界的 user 來講就不那麼方便了。現成 open source 領域中,大部分的 filter 大多未經考驗,或是功能太弱。

不過情況似乎有了些改變。現在 Edward Yang 寫了一套 HTML purifier,使用 LGPL license 釋出。看起來彈性空間很大,filter 的效果也很好。有興趣的可以看 HTML purifier 對目前常見的 XSS 過濾效果,或是它的 docs 了解一些 tune 的方式。唯一的缺點是 – 目前只有 PHP 版,而且想當然耳,要 parse 清楚這麼複雜的 HTML 當然程式碼又大又肥 …。不過即使如此,這大概還是 Open Source 界堪用最好的 HTML filter 了吧。

看完 HTML Purifier,我的感想跟 Joseph Halter 一樣….

You save my day by allowing me not to write another damned HTML parser.

Yahoo 帳號的登入機制改變?

早起的鳥兒有蟲吃。

今天難得早起,看到 Techcrunch 有一篇新聞在講 My Yahoo! 改版。想說上去玩玩看到底有什麼特別的,做的跟其他的 customized homepage 到底有什麼差別。點了 http://my.yahoo.com 選 Sign In,如同往常的蹦出登入畫面,沒想到看到的是這個:

yahoo login

有沒有注意到登入那塊地方?下面有個「Keep me signed in for two weeks unless I sign out」。
看到的時候心想,哇靠,總算有個像樣的登入機制出來了啊… 對 user 來說,這應該比改版十個產品還有感覺吧?這年頭,有多少人願意只為了開一個 RSS Reader、看一下信件就要重新登入一次?不斷的重複登入只會把 user drive 到競爭對手那裡去吧…?當然有的人是本來就比較 paranoid 沒錯,但不是 majority 的人都這樣嘛…

這個改變真是值得鼓鼓掌。雖然來的有點晚,還是該給 Y! 一點掌聲。啊,我好像看 login 畫面看的太爽,完全忘記 My Yahoo! 更新的事情了。如果你想玩玩看新版,可以從這個連結進去。

Update: 看起來 TW 這邊還沒有 merge 這功能過來…