Month: August 2014

我有顆 Seagate 的 st2000dm001 (2TB) 硬碟裡面放了我歷年自己錄的一些 MotoGP 片段。 這個硬碟從昨天開始被我的 Synology DS1513+ 判斷為壞掉的硬碟。 這個硬碟的資料說重要也沒那麼重要,但如果掉了還是會心痛,所以還是花了兩天下班時間來救… 具體行為就是 DSM 會偵測到,然後重開機修復,修復完畢沒多久,又偵測為 crash ,於是又重開機修復… 硬碟本身跑了 15,000 小時左右,沒有壞軌,不過 DSM 系統顯示 Disk Reconnection Count 爆增。 今天我把這顆硬碟拔出來透過 USB 接到我的 Debian 機器上面試著讀出來, 發現就算我在 DSM 沒作 RAID ,他其實還是會默默幫你作 RAID ,估計這個行為是為了以後在 DSM …

Synology 硬碟災難復原 (如何掛載硬碟) Read More »

最近發現我之前寫的 站長工具 被大量色情訊息入侵,明明我有用圖片驗證,為什麼還是檔不住機器人呢? 後來發現有幾個地方在當初沒考慮到。這邊就不贅述一般圖片驗證的流程,只講幾個容易漏掉的細節。 第一個可能漏洞:如果不載入圖片,就不會產生驗證碼的話,這是非常危險的,對方很可能只要直接戳就會過。 解決方法:後端不能只檢查 「驗證碼」 是否等於 「真正的驗證碼」,必須加驗「驗證碼」不能為空或是 0 。(因為如果用 PHP 的話,要小心被型別轉換 var_dump(0 == null) 答案是 true 所以要用 === 驗證) 第二個可能漏洞:當成功輸入一次驗證碼,只要不載入圖片,就可以一直 replay 解決方法:驗過驗證碼之後,立即銷毀驗證碼。 增加強度的方法: 第一、驗證碼不靠載入圖片的時候產生,而是由頁面產生。 第二、驗證碼錯誤之後,阻擋若干秒,禁止輸入。