ftofficer|张聪的blog

上周末同学来南京考试，顺便就在南京玩了两天，照了一些照片，今天打算打包传过去。结果如何通过我的64Kb(b哦，不是B)上传带宽的ADSL传这么个70M的东西还真让我头疼了一阵子。

先是尝试QQ的传送文件，但是因为她在教育网，我在公网，速度慢的一塌糊涂，估计需要2小时+才可以传过去。自然我是没有耐心等的。然后尝试使用邮件，发现GMail支持27MB的邮件大小，换算起来应该是20M不到一点的附件大小（考虑base64编码带来的开销是4/3），所以把照片分卷打包，然后尝试用GMail的在线邮件撰写，插入附件，点击发送，然后浏览器不出所料地超时了。既然Web不行，那么就走SMTP协议吧。偏偏要通过GMail的邮件服务器的话需要让这些字节绕半个地球，还必须要走SSL加密的链路，安全是安全，但是慢啊，而且加密这种东西，完全就是CPU密集的操作，结果就是导致邮件一发送就占用100% CPU。这样也就算了，大不了我放一边让它传去。结果进度条缓慢推进到80%左右(40分钟+之后)，弹出对话框“无法连接服务器，服务器超时”。当时晕掉。

怎么办呢？找一个近一点的SMTP服务器吧。VPN到公司？说不定还不如GMail。这时候想起来当时在学校的时候还有校友信箱。南京和合肥也不算远，而且校友信箱的SMTP也是电信出口，禁用掉SSL应该会快一点。

但是这个服务器只支持10000000字节的邮件大小，换算一下就是7M不到的附件，最后只能打成6M的分卷包，发了11封邮件。估计同学也会郁闷死。

折腾半天还终于算是把它们发出去了。等下回头看看有没有退信通知。:)

回头想想，如果SMTP有断点续传多好。至少这样我前面的40分钟+的时间就不至于浪费了。按理说这种东西应该有人想到过了，搜索了一下果然有一个SMTP扩展是做这个事情的：

RFC 1845 SMTP Service Extension for Checkpoint/Restart

不过看了看状态，还是Experimental（实验）。说是实验性质的，那就是没几个MTA实现了的。事实上也是，搜索了一下，似乎不是“没几个”，而是看起来根本没有。

记忆当中还有一个RFC是关于邮件切分的，一时找不到了。回头再找找。

但是关键还是：有多少人实现了呢？至少我看到GMail的邮件服务器没有实现之。

sigh…为什么SMTP就没有断点续传。

http://www.news.com/8301-10784_3-9789901-7.html

Google is beefing up its outsourced e-mail offering aimed at
corporations and universities, adding security features that large
companies demand.

Three weeks after closing its acquisition of Postini, Google has
integrated the company’s security and government regulation services
into Google Apps Premier Edition. That suite includes hosted e-mail,
calendar, instant messaging, Docs & Spreadsheets and Web page
creation software.

Google的hosted application suite的确是一个非常有意思的创意。而现在其中加上了Anti-Spam和Anti-Virus的自定义，是不是看起来Google应该成为比Microsoft更大的一个安全行业的竞争对手了呢？

又一起Gmail的XSS问题。

http://www.news.com/Gmail-cookie-vulnerability-exposes-users-privacy/2100-1002_3-6210353.html?part=rss&tag=2547-1_3-0-20&subj=news

Petko Petkov of "ethical hacking" group GNUCitizen has developed a proof-of-concept program to steal contacts and incoming e-mails from Google Gmail users.

"This can be used to forward all your incoming e-mail," Pure Hacking security researcher Chris Gatford said. "It’s just a proof of concept at the moment, but what they’re demonstrating is the potential to use this vulnerability for malicious purposes."

According to Gatford, attackers could compromise a Gmail account–using a cross-site scripting vulnerability–if the victim is logged in and clicks on a malicious link. From that moment, the attacker can take over the session cookies for Gmail and subsequently forward all the account’s messages to a POP account.

[…]
"People do use private accounts to store work information," IBRS security analyst James Turner said.

[…]
"When you have organizations like Google spending countless man-hours
reducing security vulnerabilities…you can imagine how bad the actual
situation is for other organizations," Gatford said.

通过XSS注入到当前的Web应用程序当中，然后执行程序，窃取Cookie，进而窃取隐私。非常简单的经典的攻击方式。但是在Web的世界里，Cookie就是一切隐私，也是唯一的隐私。这是一个很大的问题。

这种问题很像传统安全问题里面的权限提升，本质是使用某种诸如手段让自己的代码可以运行在其他人的安全上下文当中。在Web世界里，这个问题更加严重：毕竟在桌面系统上面伪造安全令牌时非常复杂的，但是在浏览器尚上，一旦获取到Cookie，伪造会变得非常容易。

进而考虑一下，传统的安全问题当中，恶意代码提升权限的目的是为了能够做更多的事情，例如对用户计算机的完全的特权访问。在Web安全当中，这个问题有些类似，通过XSS的方式，代码可以以“当前用户”的身份做更多的事情，例如，去感染更多的用户。

随着Web应用程序越来越流行，这种安全问题最终会变得很严重：试想一下，有一天，你的计算机（如果还可以称为计算机的话）上面不需要有硬盘，不需要太多的内存，你需要的只是一个固化在ROM里面的浏览器——Web终端，通过高速的电缆或无线信号连接到互联网。你真正的数据都存储在网络上面的数据中心当中——在那里有无法计数的海量存储设备；你通过访问互联网上无处不在的Web应用程序来访问和处理这些数据。我可以用在线RSS阅读器读取网络上各种各样的blog文章；可以通过在线的视频点播或者电视系统观看电视节目；甚至你可以将自己的照片、视频、文档统统保存在互联网上，以便可以在各处查阅。

这时候的互联网就是一个操作系统，但是，你所有的隐私，都基于一些Cookie——存储在浏览器当中的一些短小的字符串。Cookie，就是你的一切隐私。

这是个很大的问题。