難防的漏洞

近日有Whatspp群組對話內容流出,當中更牽涉前保安局局長,掀起大眾關注「資訊科技保安」的議題。

「資訊科技保安」的概念說起來高深艱澀,當中不乏複雜用於加密的數學公式、確保登入者身份的認證方式等等。可惜,最常見的「保安漏洞」,往往不在資訊科技本身。

城市內有數間大宅一夜間接連被偷竊,有些甚至號稱保安十分完善。而且小偷手法相當純熟,這些大宅毫無破門痕跡。當人們大惑不解之際,涉案犯人終於落網。原來方法極為顯淺,小偷抓住了一個人們的心理「漏洞」:「人們提防沒帶鑰匙,通常會在信箱或是地毯下放一條後備鑰匙。」

去年,世上五個最常被使用的密碼分別是 「123456」 、「password」 、「12345」 、「12345678」和「qwerty」。駭客按著這排名表試著登入一萬個帳戶,總會有數個收穫。但不少系統基於保安原因,會強逼使用者設定較為複雜難記的密碼組合(例如: e3$!9Hmd2#&n4 )。由於超越記憶所及,不少人都會現實中在電腦附近放一條「後備鑰匙」。至於放在哪裡?不妨在辦公室走一圈,看看有多少收穫。

人類進化的,可能只有工具。

自從流動裝置普及以來,「埋身」的保安攻擊更趨容易。以往總要登上辦公室或者家裡才能登入對方的電腦,現在目標卻近在眼前。最強的「攻擊」根本不用使用「惡意軟件」或「木馬程式」,而是掌握心理漏洞。

是次建制派Whatsapp群組對話流出不幸事件,牽涉的「漏洞」更為低階,實際上與使用甚麼通訊軟件毫無關係。簡單來說,就是一群人在銀行提款機前,犯上不以手稍稍遮擋便直接輸入提款卡密碼的低階錯誤。

事後,不少議員紛紛轉用Telegram,應是見其加密功能較Whatsapp佳。然而Telegram 群組其實亦未有「秘密群組」功能,如若「人類總是要犯相同的錯誤」的話,或許號稱最為安全的Telegram也幫不上忙了。

終歸到底,日防夜防,難防的始終是:站在身後的人、Screen Cap,以及群組內的「隊友」。

comments powered by Disqus

Parse Cloud Code does not support setTimeout

I am using Parse cloud code to write a little crawl function. However the API has a 1 request/second limit. So I have to delay after each API request.

The problem is Parse Cloud Code does not support setTimtout (They claim that this will keep many long-live threads alive)

Solution:
Using promise

var delayUntil;
var delayPromise;

var _delay = function () {
   if (Date.now() >= delayUntil) {
      delayPromise.resolve();
      return;
   } else {
      process.nextTick(_delay);
   }
 }

var delay = function(delayTime) {
  delayUntil = Date.now() + delayTime;
  delayPromise = new Parse.Promise();
  _delay();
  return delayPromise;
  };

How to use :

var delayFoo = function(){foo()};
delay(1000).then(delayFoo);
comments powered by Disqus
comments powered by Disqus
comments powered by Disqus

創業不容易 守業更艱難

在Startup 裡待了兩年了,有試過做外包,也有試過做新產品,近來的新挑戰是接手一個已有相當用戶量的產品。

說到「創業難」,大家都會同意。
一件新產品如何在黃金時間內爆上去、如何吸引新用家、如何留住使用者、如何繼續發展產品,都讓人頭痛不已。
單單是如何宣傳給potential user ,告知他們你的產品已經上線,也就很考工夫。

你會面對兩種可能-

typical curve

  1. 一下子爆了上去每天有數千個新用戶,然後第三四天慢慢下跌至數百,然後數十... 這個典型的Graph 相信有經驗的朋友也熟悉無比。

  2. 一片死寂。 這可能是因為你所用的「宣傳」,沒你想像中的有效; 又或者殘酷的現實是: 你的產品其實沒有市場價值。


好了,如果新產品能慢慢發展下來,就證明有用家青睞你的產品。而開始的宣傳也做得不錯,能夠滲透到potential market。

然而,在這個時候,你會發現「You are not alone」,你的產品其實並不孤單。
不孤單得來,處境還很險要。如果你甚麼都不做,又會再遇上那條向下墜的曲線,最終歸零。

守業,就等同你老爸把家族的十間連鎖店,一手交與你經營。
作為接手者,如何保住家業、如何保住顏面面對列祖列宗,成為主要的壓力來源。
(當然用二世祖心態應付就完全沒有包伏哈哈哈)

總括來說,接起燙手煎堆(其實是美味的)首要就是:

  1. 搞清楚產品在做甚麼
  2. 之後要走向一個怎樣的方向(如果很work 的話是可以照走舊路的啊)

所以,最近就是在爬文件、看metrice、整理A/B Test。

至於,之後的方向,還是要抓一抓頭慢慢想一下。
希望下一篇時已經想到,能夠在此再分享一下吧! (誠心期望不會是中伏經驗分享._.)

comments powered by Disqus