CLURIES

今天又搞到一个VPS(大笑)。 在搭建必要的环境的时候突然想起自己博客所在的VPS所用Nginx和PHP版本都比较老了，正好前不久PHP又爆出一个很严重的”Hash冲突拒绝服务攻击的”漏洞，于是想升级到最新的版本。 PHP的升级要稍微麻烦一些，首先要找到配置目前的 PHP 的 ./configure的参数，根据PHP官方文档的方法，这个参数可以用下面方式获取： http://www.php.net/manual/zh/faq.build.php#faq.build.upgrade 要么在你当前的 PHP 的安装目录查看 config.nice 文件，如果没有，只要运行此脚本： phpinfo(); 在输出的顶端显示了用来配置此 PHP 的 ./configure参数。 不过个人觉得这个方法获取到的 configure参数是不完整的，不过还好我当初保存了 configure的参数，就为了方便以后升级。 PHP configure后直接make 和 make install后就可以完成升级，配置文件因为以前配置了，所以也不用去管，不过一些扩展如eAccelerator需要重新编译。 扩展的重新编译非常简单，直接切换到以前make的目录，也不用执行phpize了，直接make和make install就完成升级。配置文件和PHP一样，不用理会，直接使用以前的。 Nginx的升级比php简单很多，要确定当前运行的Nginx的 configure参数，运行下面的命令就可以得到。感谢twitter上的@vnline和@JavasBoy告诉我这个方法。 nginx -V 使用得到的configure参数配置新版本的代码，然后编译，就可以安装了。不过重新安装之前，需要关闭正在运行中的Nginx。 这样，Nginx和PHP的版本就升级完成了。

CSDN这个网站，我忘记我是什么时候注册的了。只是知道当时注册的时候，我还是个菜鸟中的菜鸟，当时会注册CSDN的账号是因为那个时候我曾经问过一个前辈：您平时都上什么技术社区呢？得到的回答是CSDN，于是我就乐呼呼的去注册了。 第一个账号的用户名和密码现在早已经忘记。当时注册进去后还是兴奋了一下的，觉得好象找到了组织一样，看到社区里面的帖子里面的讨论的问题，很想进去参与一句，但是奈何当时技术实在是菜，所以貌似我那第一个账号一直没发出过自己的声音。 后来也不知道是怎么回事，就不上CSDN了，我好像都忘记了中国还有这号网站一样。 在CSDN上注册第二个账号的原因是找某个代码（或者某本书吧）找到CSDN的下载频道去了，于是后面的大家估计都清楚了：为了能下载东西不得不又注册了个账号。 之后，这个账号就一直用于有的时候下载资源用。要说的是，我很讨厌CSDN设置的下载要扣积分这套系统，觉得完全是给查找资源的人设置障碍的，有的资源的分设置得老高老高的，下载下来的东西却是一坨屎。而且一直觉得CSDN资源的质量都很差，如果能在其他地方找到类似的，我基本不会选择CSDN上的。 再后来，积累多了，基本下载这些资源也少很多了，所以又一次忘记了CSDN。 之前2天前，爆出CSDN用户资料外泄，而且CSDN还把用户密码明文存储之后，突然间Twiiter上很多CSDN的tweets了。昨天晚上耐不住寂寞就下载了这个文件，打开搜索自己后来的那个用户名，果然存在，密码也是对的，email也能对上，于是当时我就想找快板砖干掉CSDN的开发人员。 不过已经爆出来了，只有赶快修改部分密码相同的服务和网站。一番折腾后，常用的服务和网站密码都修改完毕，于是开始google这件事情的缘由，看到robbin同学是这么说的： CSDN网站早期使用过明文密码，使用明文是因为和一个第三方chat程序整合验证带来的，后来的程序员始终未对此进行处理。一直到2009年4月当时的程序员修改了密码保存方式，改成了加密密码。 但部分老的明文密码未被清理，2010年8月底，对帐号数据库全部明文密码进行了清理。2011年元旦我们升级改造了CSDN帐号管理功能，使用了强加密算法，解决了CSDN帐号的各种安全性问题。 看到这个解释，我觉得相当可笑，为了和一个chat程序整合就明文保存用户密码，知道这有多危险么？这么看来CSDN是认为用户资料没有哪个神马狗屁Chat程序重要了？而且你说： 2011年元旦我们升级改造了CSDN帐号管理功能，使用了强加密算法，解决了CSDN帐号的各种安全性问题。 既然你是早期采用明文存储的，为嘛这么多年了都没改掉，还把用户资料这么导出又不安全存放。然后这份用户资料泄漏是年初就泄漏的，为嘛现在才改造？非要出了问题才改造？你说改造需要时间，可是这时间也太久了点吧。然后“使用了强加密算法”,请问是可逆的还是不可逆的呢？ 然后CSDN作为一个主要用户群体为开发者的网站，居然没有加密用户的密码，这相当的讽刺。我记得在我还是一个超级菜鸟的时候，我就知道用户密码必须要单向加密后存储。 在写这篇博文的时候：看到CSDN上发表了一篇公告：【公告】致CSDN会员的公开道歉信，这篇狗屁的公告中就说神马执意歉意什么的。狗屁，道歉有个毛用！而且公告尾部居然还加粗了以下内容： 备注说明：我们针对泄露出来的600多万帐号进行了全部扫描，统计出2011年CSDN新注册的500多万用户中，泄露出的ID有几千个。这些ID的E-mail地址绝大部分是错误的，有些密码也是错误的（少数密码吻合的我们已经重置了密码），可以确认这部分2011年的数据非本站泄露，而是黑客从其他社会工程库凑出来的数据。特此提醒2010年9月后CSDN新注册或改过密码的用户不必担心。 你们还很自豪？真是没一点悔意。 twitter上看到一条tweet,具体怎么说的忘记了，大概是这么说的： 如果CSDN泄漏用户资料这件事情在美国或者其他国家，用户早就把它告上法庭了。 我没去过国外，也没什么国外的朋友，不知道这句话的真假。但是国人真的好欺负？ 最后呢，今天又看到有报道说：人人、开心的资料也部分被泄漏了。新浪的用户系统（包括新浪微薄）密码采用的可逆算法加密的。。。。这些消息真是一个比一个重磅。 诅咒以CSDN为代表的这些网站早日关门大吉。 –EOF