2007年7月26日 星期四

員工摸魚統計數據

‧員工摸魚時間 縮短了
你是否在上班時間喝茶看報?美國今天發表的調查結果顯示,上班族承認每天8.5小時的上班時間,平均有1.7小時在摸魚。
這個數字或許令人驚訝,可是這已經比去年的平均1.86小時和前年的2.09小時大為改善。
薪資網站(Salary.com)連續第三年對兩千名網友進行「浪費時間調查」,25日公布結果。薪資網站主管柯爾曼說,員工浪費的時間減少,主要是因為經濟情況改善和商業環境步調加快,使員工忙著工作,不再滿腹怨言,偷閒時間也減少。
但是,曾在律師事務所當祕書的安翠雅說,人事和資訊部門封鎖電腦網路的即時傳訊功能和一些社交網站,減少員工受到的誘惑,對減少上班摸魚也有幫助。
安翠雅曾在不同公司,先後見過至少三名助理人員明明應該在上午8時30分開始工作,一到辦公室卻先花45分鐘好整以暇的喝咖啡吃早點,讓其他同事看在眼裡火冒三丈。
但是,她說,忙裡偷閒是許多工作周期的自然現象,例如,碰到律師出庭或去度假,助理人員就趁機整理檔案和處理其他事務,不過有些人會樂得無所事事。
調查結果發現,最主要的上班摸魚活動包括:上網(34.7%);與同事聊天(20.3%);做私事,例如上網付帳或計畫周末活動(17%)。
上班摸魚的主要理由包括:工作量太少(17.7%);上班時間太長,因此必須抓空檔料理私事(13.9%);待遇太低(11.8%);工作缺乏挑戰性(11.1%)。
20至29歲的年輕員工承認他們最會摸魚,平均每天浪費2.1小時。其次為30多歲的人,平均浪費1.9小時。40多歲的人最守規矩,每天平均浪費1.4小時。
但是,柯爾曼說,在下評斷之前,必須考慮每個人想法不同。職場老手可能花很多時間蒐集意見和建立共識,可是年輕員工可能認為那是浪費時間。因此,某些浪費的時間,可能不是真的浪費。
【2007/07/26 聯合晚報】

釣魚新法:DNS 偽造網址轉接

‧釣魚新法:DNS 偽造網址轉接

DNS forgery pharming attack information

http://www.net-security.org/secworld.php?id=5366

Posted on 24 July 2007.

Trusteer 在今日宣佈,其的 CTO 與安全研究者 Amit Klein 已經破解 BIND 的隨機亂數產生器,並示範一種新攻擊手法,可影響大多數網際網路使用者。在這種「"DNS Forgery Pharming(DNS 偽造網址轉接)」的攻擊中,行騙者可從遠端強迫使用者訪問詐騙網站而無須事先危及任何電腦或網路裝置。

About BIND's Random Number Generator

為了避免 DNS 做出假回應,行騙者在這類攻擊中會送出一個包含假造 IP 位址的 spoofed response 到 requesting computer,BIND 實作了一種標準的、基於隨機亂數的 DNS 安全機制。這種機制可避免行騙者藉由偽造的 DNS 回應將使用者導向錯誤網站。

How BIND Random Number Generator Can be Breached 然而,安全研究者與 Trusteer 的 CTO Amit Klein,在 BIND 的實作當中發現一個嚴重的瑕疵,那允許行騙者有效的從遠端「預測」所產生的亂數,而無須控制網站與使用者之間的路由器或 DNS。利用這種弱點,行騙者可從遠端偽造 DNS 回應,然後將使用者導向詐騙網站。這個詐騙網站可竊取使用者的登入證明或是利用網站篡改使用者的通訊。

"這是一種破壞性極大的攻擊," Klein 說,"透過瞄準特定 ISP 的 DNS,行騙者可以在所有 ISP 使用者存取真實網站時,輕易地將使用者導向詐騙網站。使用者無法避免這類攻擊。"

操弄 DNS 的攻擊又稱 Pharming(網址轉接,一種新形態的網路釣魚),到目前為止,一般都相信行騙者需要征服使用者的電腦或 DNS 本身才能發動這類攻擊。不過這項瑕疵,讓那些安全度很高的使用者電腦或 DNS 都有可能遭受 Pharming 攻擊。

Recommendations

Trusteer 建議那些維護 BIND 9 DNS 的 ISPs 與企業,在 caching configuration 當中加入由 ISC 所釋出的最新 patch。現有桌面安全解決方案無法對抗這類型攻擊,因為 DNS forgery pharming 並不會影響到使用者的電腦或 DNS,而是 DNS 當中的「快取」資料。彼此認證的解決方案,
例如 Trusteer 的 Rapport,可以強固地對目的網站認證,並避免存取未經認證的網站。

硬碟組織宣佈新磁區長度標準

‧硬碟組織宣佈新磁區長度標準
Hard Disk Drive Organization Announces a New Sector Length Standard

http://www.geekzone.co.nz/content.asp?contentid=6076

IDEMA(International Disk Drive, Equipment, and Materials Association)宣佈一個產業委員會聚集起來,為未來生產的硬碟確認一個新的且更長的磁區標準。這個委員會建議將具有 30 年歷史的 512 bytes磁區改成 4096 bytes。

Ed Grochowski 博士,IDEMA US 的執行主管表示,採用 4K-bytes 的磁區長度,可以讓未來硬碟的資料密度更容易增加,而且將會增加使用者儲存資料的能力,並且減少美 gigabyte 的成本。

"要為新的硬碟增加面積密度,需要更強健的錯誤糾正碼(ECC),而這個可以更有效的應用於 4096 bytes 的磁區," Martin Hassner 博士解釋道,他是 Hitachi GST 以及 IDEMA 的委員會成員。"今日,硬碟基本上已經成為所有電腦以及消費性應用的主要儲存裝置,而且需要更多的容量以符合使用者儲存的需求。"

IDEMA Long Data Block 委員會由代表主要硬碟製造商的成員所組成,也包括電子與軟體公司。微軟也參與該委員會,並且預計在 Windows Vista 當中採用 4K-byte 的磁區容量。

這個委員會預計首款產品將會在今年稍後,或是 2007 年推出,並且要求電腦產業確認這項新的標準,並且為其到來預作準備。對於現存 512-byte 的產品向後相容性,不管是硬體或是軟體,將會被定義,以便照顧到過渡時期。它已經預計在未來,所有的硬碟最終都將 format 成 4K-byte。

在隨身碟上執行程式

‧在隨身碟上執行程式
Flash Drives Make Any Computer 'Personal'

隨著快閃裝置,例如隨身碟,的容量愈來愈大,價格愈來愈便宜,他不只可以裝載數位資料,廠商也對這個玩意兒增加更多的功能,以軟體來說,有很多軟體現在可以直接從隨身碟上執行,以硬體來說,透過額外的晶片,就可以為隨身碟進行加密保護,而未來更可以將整個使用者環境安裝在隨身碟上。

電腦先驅 Bill Joy 在近來的研討會上為所謂的個人電腦重新下了定義: "Your personal computer should be something that's always on your person." (你的個人電腦,應該是某件在你個人身上的東西。)

Jay Elliot 則是發明了 Migo(http://www.migosoftware.com/)這套軟體可以讓可攜式的裝置如 USB 隨身碟或是 iPod 變成行動電腦,當插入主機,輸入密碼之後,你就可以利用這個主機的資源來收發 e-mail 或是撰寫文件。

另外,有兩家公司 SanDisk Corp. 以及 M-Systems Inc., 共同成立了 U3 LLC 這家公司,共同推廣可以在隨身碟上執行並且儲存資料的技術標準。現在出現在市面上的 U3 隨身碟都具有Firefox 網路瀏覽器以及即時通軟體。甚至連 Skype 也在其中,這代表你可以在其他沒有安裝 Skype 的電腦上使用網路電話。下一步,你大概不會想要把自己的軟體灌在別人的電腦上了。

至於能否在隨身碟上執行微軟的軟體,如 Office 或 Excel 等,你就不用擔心了,微軟現在正在跟USB 製造廠商討論可能的授權問提。

SanDisk 也利用 USB 隨身碟進行版權管理,它們推出了 Cruzer Freedom這種裝置,只要學生把它插入電腦,就可以線上下載閱讀教材,因為每個裝置都有唯一的號碼,老師可以將這些講義與作業設定成只有這一班的學生可以讀到。而 Eastside Prep 的 Mark Bach 也在進行類似的文件與地方歷史教材的散佈活動,在未來他甚至會在其中加入影音。他說:"It becomes very, very malleable, and very creative on the part of the teacher, because the teacher can go beyond textbooks."

而 Realm Systems Inc. 則是推出 mobile personal servers 可以讓在外奔波的員工,隨時將外面的電腦變成自己的 "個人電腦"。

當然,所有具備可攜式儲存能力的裝置,例如:手機、MP3 Player 或是外接式硬碟都可以辦到。看來 PC 將會逐漸淡入背景之中。

IBM 的研究人員 Chandra Narayanaswami 則擘畫出一個美好的願景:

當你 check in 每家旅館的房間後,除時鐘、吹風機、DVD Player 之外,這些在以前會帶來驚喜,不過現在已經如同傢具一般成為標準配備了,還會發現一台便宜的 PC 等著訪客插入可攜式裝置,並且將其變成如影隨形一般的 "個人電腦"

微軟獲得 FAT 檔案系統專利認可

‧微軟獲得 FAT 檔案系統專利認可
Microsoft's file system patent upheld

http://news.com.com/2100-1012_3-6025447.html

微軟有二項關於視窗檔案儲存系統的專利,經過聯邦專利審查員審查之後,決定公佈為合法有效。

這項決定,在週二由軟體巨人宣佈,有效的終結二年來關於這兩件懸而未決的專利權爭議,並且結果是相反的。在這之前 USPTO 曾經拒絕微軟的要求。微軟的一位代表表示:在他們最新的動作下,於上周提出申請,審查員決定這家公司的 File Allocation Table (FAT) 檔案系統,事實上是 "新穎且非平凡無奇" 的,這也是他們獲得專利權的原因。現在當局正在處理專利再審證明(patent re-examination certificate),這也代表最後定案的訊號。

FAT 是經常拿來被儲存檔案的方式之一,原來是由 DOS 作業系統所研發。不過現在亦被用於微軟的視窗系統以及其他可插拔的快閃記憶卡,常用於數位相機以及其他裝置中。一些與 Linux 及 Unix 相關的產品也使用此系統與 Windows 交換檔案。

USPTO 因為一個鮮為人知的公眾利益團體 Public Patent Foundation 於 2004 年 4 月的要求,決定重新審查涉及此檔案系統的二件專利。這個組織宣稱,這些是 "前人的成果"(prior art),可以證明微軟並非第一家研發出此格式的公司。

還有其他聲音指出,微軟可能會嘗試從其他販售或是支援 Linux 並使用此技術的公司謀得利益,並且很可能會擺出威嚇的姿態不利於自由軟體社群。在自由軟體基金會的 General Public License 下,Linux 如果包含專利相關的技術,且需要授權付費將無法進行散佈。

微軟指出,如果在過去,他將會要求授權才能使用此檔案格式。在 2003 年 12 月,他說他曾與快閃記憶體供應商 Lexar Media 達成此類交易。

USPTO 的最後決議跟隨著幾項不具約束力的決議,這些不利於微軟。在 2004 年 9 月首次宣佈駁回這些專利後,審查員在一年之後也抱持著相同的決定。

自始至終,微軟均有自信這些專利將會被認可。微軟事業發展經理 David Kaefer 在週二的聲明中表示,該公司對於專利局最後的決議感到相當滿意。這結果強調了這些專利的正當性,但是允許其他第三方團體要求重新審查亦是相當重要的。

Public Patent Foundation 的總裁 Dan Ravicher 表示他的組織並不同意專利局的決定,並提出許多批評。

"微軟贏得一場辯論,不過那裡只有一方人馬被允許發言,在專利重審的進度列中,反對爭辯的公眾由微軟組成" 他這麼告訴 CNET News.com。"我們仍認為這些專利是不合法的,並認為需要給公眾一個相同時間的程序去表達立場,其結果(你會)發現(與我們的)看法相同。"

※ 相關網站:

* FAT File System Technology License
http://www.microsoft.com/mscorp/ip/tech/fat.asp

* Microsoft FAT patent rejected | The Register
http://www.theregister.co.uk/2004/09/30/microsoft_fat_patent_rejected/