[快報] Xuite 留言版噴了

今日筆者休刊出外遊玩一天，剛回到家裡。
本來很累了，不打算打開專欄來寫的。

於是只打算打開 Xuitejoke@xuite 看看有沒有人留言給我
誰知道開了超久，於是筆者就去聊 irc 放著等他開....

等了好久終於開了，結果打開竟然不是 gbook.xuite 的畫面
是噴了的畫面。

此畫面難得一見啊，於是放上來給各位看看。

[快報] 留言版可以快速留言攻擊!?

幾分鐘之前，筆者在 xuite 的另外一個帳號的留言版被疑似留言機器人攻擊 :)

[快報] Q&A 又悄悄的回來了?

筆者剛剛起床以後才發現，3月~6月份Q&A又悄悄回來了。
果然筆者的頭腦還是太駑頓，搞不太懂 Xuite 特意讓 Q&A 消失一個禮拜的用意。

本站相關文章： 國王的網誌搜尋功能 (2)

[HS] 請容許我說一聲"趕羚羊"

筆者真的生氣了，非常的生氣，氣到發抖。
因為筆者剛剛再次打開信箱，發現是4封spam，不是1封，是4封

而且該死的 7月 Q&A 不允許修改留言和刪除留言，幹!
是不是去 xuite 客服問一下問題我就活該要被 spam 炸啊，媽的。

[HS] 好迅速的 Spam 機器人

尤記筆者才在 [HS]Spam Safe !? 一文中提到在 Q&A 暴露 mail 被 spam 的危險性。
話音剛落，筆者就收到了 spam mail -_- (怒)

本來筆者是不應該開啟該封 spam mail的，這樣以後將遭受到 spam 的繼續掃射
但是為了服務讀者，筆者只好忍痛犧牲了 <泣>

很明顯接到 spam 的原因是因為筆者在 Q&A 善意留下了 mail ，而 xuite 又不小心(或者是故意)讓它曝了光。（您可以點選該圖，看看該 mail 從何而來）

筆者是在 7/22 留下 e-mail，於7/28收到 spam



此系列僅提供安全資訊，請勿以身試法，本站將不負任何法律責任

[快報] Xuite 試圖刪除引用!?

筆者在架設這個網誌後，接收到眾多朋友的迴響。
其中有幾位朋友提到，何不在 xuite 也架設一個 xuitejoke 的網誌作為 host 呢？

因為筆者不太會用 blogger 的引用功能，於是在架設分站的時候
分站的文章是有去做引用文章內提及post的功能的
其中當然也有引用到 Xuite BLOG 台長 的文章

由於 blog 文章並不是像 BBS 文章一樣會留下痕跡的。
但是筆者又沒那種閒功夫每天盯著文章看
於是就寫了一支小小的程式來 monitor 所關注的頁面

就在幾分鐘前筆者連回工作站，突然發現了一件不尋常的事情
7月份 Q&A 的 size 變小了!? 這裡是筆者壓的網頁備份檔



這是怎麼可能的事!?文章只會越變越大的不是嗎?
於是筆者對文章做出了比對。



少了一則引用通告!!



難道站方在對於刪除我的引用通告做暖身嗎?
let us keep an eye on this post!!

甜蜜的搜尋服務 (1)

搜尋功能在現今資訊爆炸的今日是非常重要的，光靠靜態的書籤或訂閱功能來索引重要資料
是遠遠不夠的。這就是為何全球重大企業（微軟、Google、Yahoo）都在拼命的維護自己地盤並企圖搶食別人的市場

使用者上傳自己的網誌和相片到網站上，並不是當丟廢棄物一樣把資料丟了從此就讓他永無重見天日的一天；而是希望試圖在將來的某一天，從這些保存完好的資料中，挖掘出當日儲藏的珍貴資訊

因此當每個使用者註冊了一個帳號開啟服務後，一定會試用網站上的搜尋功能，測試是否靈敏，再決定是不是要將資料從此長存在此。

在寫作完「 國王的"網誌搜尋功能"」系列文章之時，筆者幾乎是翻閱了所有 xuite 的每月 Q&A 。在這過程當中，發現 Xuite 的搜尋功能被抱怨的很厲害。筆者很好奇，除了該系列被抱怨的個人網誌搜尋功能之外，其他服務的搜尋功能精準度到底是如何呢？


於是才有了這篇文章的誕生

以下，讓我們來看看 Xuite 多麼「重視」它們的搜尋功能吧!?


Xuite 目前主要提供的服務有 photo , blog , guestbook(beta) , webhd 以及 mail

其中只有 photo 和 blog 具全域搜尋功能! (這是當然的嘛!誰不希望自己的相簿和網誌被別人找到呢?)，那麼我們就先來聊這兩個服務吧!

-----

相簿的搜尋提供了三種搜尋模式：相簿、帳號、暱稱



.....結果慘不忍睹

1.將搜尋字串丟進去「相簿」，若是沒有完全相符的字，就會以奇怪的片段擷取當中部分的字去找，於是出來的結果完全不是你想要的東西 ~_~

2.以「暱稱」去找的話，如果筆者的暱稱是"甜蜜笑話"，搜尋 "甜蜜笑"可以找到，"蜜笑話"會完全找不到。

3. 這是最好笑且完全沒有存在的必要的一個功能!! 怎麼說呢?
以「帳號」的方式，如果你搜尋 xuitejoke 的話，它會將你導到 http://photo.xuite.net/xuitejoke；如果你搜尋 xuitej 的話，則會導向 http://photo.xuite.net/xuitej，再跟你說帳號不存在 .....-_-

問題是很多人的帳號都是英文名字加數字(生日)啊，要是你朋友要找你的相簿，卻又忘記你的生日的話....那用這個功能一百年都找不到啊!! -_-


更不用說相簿和日誌用的都是舊的 index，什麼時候更新一次鬼才知道。
( 絕不豪洨，超多人抱怨它的帳號開很久了，但是朋友都搜不到)

-----

再來，網誌部分：提供日誌、文章。


咦，那上面的暱稱和帳號服務為什麼不提供呢 ? XD
難道我搜尋一個人的暱稱就必須先連到相簿搜尋再連過來日誌這邊嗎?

接下來檢驗日誌和文章

........如果相簿的搜尋結果可以叫做慘不忍睹，那網誌筆者真的不知道要怎麼形容，該叫「這是什麼鬼」嗎?完全牛頭不對馬嘴 ...囧 (有興趣的話各位看官可以丟您以前寫在網誌的隨便一句話找看看)


寫到這裡，筆者已經有點沒力氣....囧到沒力氣了

[HS] mail 不 hacker safe 的真相!?

就在本站披露 [HS] Hacker Safe is also a JOKE!? 幾分鐘之後
筆者就收到了一位長輩的密報

徵得台灣廣告信傳奇 Blog 站長的同意之後
本站披露此連結： 來自 xuite.net 的廣告信

看來 xuite 被寫出專用的發信機器人 或是 後門被破台了 ?

此系列僅提供安全資訊，請勿以身試法，本站將不負任何法律責任

[HS] Hacker Safe is also a JOKE!?

筆者是在撰寫 [HS] Xuite is Hacker Safe!? 之時才注意到有Hacker Safe這一個標章的。本來是只有 photo.xuite 有掛在左下角 (見右圖)。後來連 webdhd 也掛上去了，這才引起筆者的注意。




身為好奇寶寶的筆者當然想看看究竟是怎麼回事?
於是就點了下去。


photo.xuite.net 的標章是連到這裡：https://www.scanalert.com/RatingVerify?ref=photo.xuite.net&lang=TW


看到這裡，手賤的筆者不禁也試了 ...blog、webhd、mail 是否都符合 hacker safe
可惜獨立想另外收錢的 mail 沒有 ~"~ ....(難道 e-mail的內容就不重要嗎?生氣!!)
於是筆者只收到了以下三張圖



大家都 hackersafe耶!!
...........咦，那 [HS] 這系列難道是寫好玩的嗎?
而且明明 Hacker Safe 認證標章的網頁就寫了以下這段話：

通過HACKER SAFE認證的網站不會有任何遠端偵測足以發現的已知系統弱點. 美國政府贊助之電腦安全中心(CERT/CC®)研究顯示: 沒有遠端偵測足以發現之已知系統弱點的網站足以防禦99.9%以上的駭客攻擊行為

這是怎麼一回事呢?
筆者也想瞭解事情的真相，於是點了掛在標章下的連結： 我想了解本標章
映入眼簾的幾個大字是：HiNet HACKERSAFE 網站弱點偵測與信賴標章服務



cool ....筆者不知道標章還可以因為自己公司代理就可以發給自己的 （尤其還是驗證商業安全的認證）。這不就像是像自己簽發自己網站的安全加密認證一樣的可笑嗎? XD

對了，經過 Hinet 簽發這個標章要多少錢呢?
老實說，筆者不太清楚，不過你可以參考一下網站上的價格。

此系列僅提供安全資訊，請勿以身試法，本站將不負任何法律責任

[HS] "回應" Attack

很抱歉，這次筆者忘了拍圖...
因為想起來的時候，真相已經被砍掉了。

在 [HS]Spam Safe !?中筆者曾經提供一張圖，是有關於"回應"的發表畫面

看起來很正常，沒什麼大問題啊!?

錯了，問題大的很。


從畫面中可以看到 Xuite 完全沒有任何檢核機器人機制
只要你通過 login 了，便可以任意的留言
which means .... *grin*

此系列僅提供安全資訊，請勿以身試法，本站將不負任何法律責任

[HS]Spam Safe !?

在前幾篇的寫作過程中，筆者也使用了 xuite 的 回應去反應問題
結果一留言下去才知道不對勁。
哪裡不對勁呢?

請看以下這張圖 ....
看不出來哪裡不對勁吧?





沒錯，這張圖正常的很。跟一般 BSP 提供的回應功能或是自架的 Blog 系統(如 Wordpress)一樣
那到底有什麼不一樣呢?看看下一張圖吧




看出來了吧!! mail 大剌剌的秀出來
也許你會問這有什麼不妥呢?

當然有!大大的不妥!

在 spam (垃圾信)充斥的今天，許多人開始不把自己 mail 直接 post 或留在網站上，而是改採一種迂迴的張貼方式（如 xuite.joke AT gmail.com 或是利用 mail 貼紙 ），以免被透過搜尋引擎或自行爬網的方式遭到 spam bot 收集到 e-mail address)。其他 BSP 當然也考慮到了這種風險，如果你在 blog 上留了 e-mail，將只有 blog 擁有者看得到而已。

很驚訝 Xuite 竟然暴露了這種基本漏洞


----
另外為什麼會採取這張回應圖做示範呢?除了它是另外一個 joke 之外
此篇回應是 2005/12月撰寫，迄今 2006/7 月底，完全沒做過改進...
以 google bot 約半年會收入 index 的速度，已經有非常非常多人的 e-mail adress 暴露在網路上了XD

就算你留的信箱是 xuite.net 好了...
對照 3600元的 VIP (1) 中的存檔圖(下圖)，看起來真是諷刺啊....
垃圾信是 Xuite 本身的疏忽造成的，我竟然要付錢去彌補....
what a amazing blog!!



此系列僅提供安全資訊，請勿以身試法，本站將不負任何法律責任

國王的網誌搜尋功能 (5)

經過密切的連續觀察。07月 -日誌使用問題的發表處 台長在 2006-07-25 16:55 做出了回應。
但是對我提出的問題，完全視而不見。經過比對....


發現 7/20~7/24 的問題就被這樣一段話就帶過了耶



真是 nice 喔

what a nice attitude!!

[HS]到甜蜜套房玩「填字遊戲」

嗨！我是第一次在這邊寫！

這個時代還有人在用 Brute-Force 嗎？ 除了 Hash Collision 之外應該是沒有，
為什麼要稱這類手法為「填字遊戲」？ 因為乃是利用所謂「邏輯」上的觀念，
去比對輸入的「資料」是否符合要求， 這時候就可以利用它們來做點手腳啦！

什麼程度才能稱為「真實的滲透」呢？ 什麼條件下才會有「嚴重的損害」呢？

待我大略道來：

Q：什麼是 「3 秒 Cracker」？
A：自從該類攻擊被大量利用以來，開始有許多網站的動態腳本，都忽略於其撰寫的判斷函數，存在很多狀態可以讓條件成立，於是乎「3 秒 Cracker」氾濫，一堆主機隨之成為「公眾財」。

Q：這對我造成什麼實質危害？
A：呵！嚴重說來危害可大了！小至：「個人隱私」被曝光。大至：「個人資料」被盜用。

Q：難道工程師不知道出問題？
A：筆者猜想市面上有許多掛者「XX設計師」，大多是是來自民間電腦業者補習班的培訓，寫程式自然按照課本範例去增加、修改啦！

Q：據說「甜蜜套房」不是外包給「XX堂」嗎？
A：話說「聖人也會犯錯」，連台灣著名的「程式XX俱樂部」也會忽略一些弱點了，又何況是諸多外包廠商之一的「XX堂」？

Q：話說這個遊戲如何開始？
A：重點來了！根據「刑法第36章」，筆者不方便在這邊公布實際手法。
如果要取得「入房憑證」的人士，就麻煩請自行操作谷歌搜尋引擎。

此系列僅提供安全資訊，請勿以身試法，本站將不負任何法律責任

在這裡附上圖片一張：

[HS] Xuite is Hacker Safe!?

筆者日前在上 xuitephoto台長 的 blog 上看文章的時候
無意間看到一篇公告：Xuite相簿通過HACKER SAFE認證!!
筆者一時好奇就點進去看 Hacker Safe 到底是什麼東西



不看還好，一看嘴巴裡的烏龍茶差點噴出來...

因為據一些正派經營的朋友表示，Xuite photo 跟某 "有名大站" 一樣，到處具有 XSS security issue。只是"有名大站"超多人用，Xuite 沒有人要用....(阿...不小心講出來了)。所以就沒有人報導這一點。

只不過筆者還不知道，"把網站設計的超難使用"也可以申請 "Hacker Safe"標章，不愧是一個厲害的防禦兵法，值得 ( ._.)_ψ_

---
另外，本站將不定期推出 Xuite Security 文章，此系列文章會加入「HS」前綴，以方便閱讀

此系列僅提供安全資訊，請勿以身試法，本站將不負任何法律責任

超酷的POP3收費理由!?

續 3600 元的 VIP (2) 一文，其實筆者一直很納悶。
在這個滿街都是大容量 mail且具 pop3/smtp 功能的時代

Xuite 到底有什麼優勢能吸引人付費使用它的 pop3/smtp?
經過筆者不眠不休的翻閱 xuite 各服務台長的開發日誌，終於在形同隱藏關卡的 xuitevip 日誌中找到收費理由。

以下文字摘自 Xuite收費服務說明 ：

----

2.因應信箱POP3/SMTP收發信的需求：

Xuite個人化入口除了提供會員免費的平台外，在公司的立場也希望帶來網路的流量，若開放POP3會影響會員上網收發信的意願，降低網路流量所以必需以收費的方式來刺激網友上網收發信件，對某些確實需要自動收發信的會員才提供收費服務。

----

..........真是令人無言啊，一個令人意想不到超酷的好理由

一定要收信我幹嘛不註冊 Gmail 呢

另外這篇公告還打錯字，是"必須" not "必需" XD

多胞胎的真相

在號稱打造 myown Blog 的今日
各家 BSP (Blog Serive Provider) 都將自訂 CSS 設為基本配備

既然可以自訂 CSS ，那就意味著可以自由改變 Blog 的陳設位置，擁有與眾不同的面貌

但是Xuite 的多胞胎 (每個使用者 Blog都長的一模一樣，只是膚色不同) 一直讓我百思不解
它不是也推出自訂 CSS 嗎？為什麼還是多胞胎呢？

就在剛剛，我終於找到了真相


使用 Xuite，與眾相同!!

真酷，快來申請一個 Xuite Blog 吧

Xuite一點都不難用

上個禮拜收到一封信，我所有在Hinet的信箱通通中獎了
以下是信的全文，紅色放大的是我自己的標記，與Hinet無關。
感謝台灣廣告信尋奇與Google帶給我的靈感

主旨：一路ADSL 一個白金Xuite 讓親友與您同享尊榮
日期：2006/7/11 上午 10:52

親愛的HiNet用戶，您好：

歡迎你成為HiNet用戶讓我們有機會為您服務，HiNet用戶除了擁有用戶專屬的產品服務之外，還具有成為HiNet白金卡會員之資格，享受HiNet會員的免費服務，如Xuite網路免費服務、各加值頻道的免費服務等。

HiNet白金卡會員可擁有Xuite服務500MB的網路空間，包括五大基本服務：

1. 個人化入口(MyXuite)

2. 信箱

3. 硬碟

4. 相簿

5. 網誌(Blog)

你可以依網路使用需求自行調整各服務項目空間大小，在MyXuite設定個人資訊收集內容，用Xuite信箱收發信件、以Xuite硬碟儲存檔案不須帶隨身碟、把照片放在Xuite網路相簿上與朋友分享、把心情記錄在Xuite網路日誌上佈置自己網路的小窩，還可以設定背景音樂，有很多很多的夢想都可以在Xuite上實現。Xuite一點都不難用，若有問題，到各服務站長日誌上就可以找到解答。

為加強服務HiNet客戶，我們更開放用戶一個HN號碼可以申請一個會員帳號，若你申請多路ADSL，你可以以一個HN號碼自己申請一個會員帳號外，把多餘的HN帳號分享給你的親朋好友或家人，他們可以使用你其他的HN號碼申請HiNet白金卡會員，與您同享白金卡的尊榮服務。千萬別錯過HiNet為你個人提供貼心的網路免費服務，趕快來加入HiNet白金卡會員。

祝 美夢成真 Xuite為你圓夢

My Xuite , So sweet！

HiNet會員中心敬上

備註：

1. 相關網址：xuite.net

2. HN號碼為HiNet網路服務之客戶代碼，你可以查閱您的ADSL用戶卡，或來電(0800-080-412) 洽詢。

國王的網誌搜尋功能 (4)

最新快報

Xuite 官方在幾分鐘前更新了網誌，讓我們拭目以待吧!

神奇的分段式index

1. 9月開台，10月初關閉搜尋功能....
2. 1月僅開放全域 blog 搜尋，且因為資料量過大 ( 真是生意興隆!?)，只匯入1月前的 index
3. 3月才宣布匯入 2006年1月後的index，目前使用的是幾月的 index尚未知
4. 3月底預定上線的個人搜尋功能只聞樓響，不見人影

Xuite 的經營邏輯果然不是普通人能夠理解的
令我汗顏不已啊...

《 開放測試 》搜尋功能

國王的網誌搜尋功能 (3)

剛剛亂翻看到這一篇文章 Xuite Blog 滿意度問卷調查結果
不小心就笑了出來

3600 元的 VIP (2)

嫌貴可以不要買啊!? ..... 又沒人拿槍逼著買

ㄟ，不過....Xuite 當初成立就是要打倒有名小站吧
VIP 訂這麼貴誰會買啊，囧

...............什麼?你說不貴喔 ?
那再看看下面這個 joke 吧

.............蛤，我以為現在 pop3/smtp 都是不用錢的耶? @_@"
有 2G 空間，過濾垃圾信又超強的 gmail
相比之下一年 300塊的 Xuite mail 收信服務.......

媽媽說要節儉

------

阿，說到一年三百塊，想起了令人敬佩的 dreamhost 空間
今年初特價，一年只要 USD$9.24 ，好像折合台幣也是 300 塊吧

送 1 個域名、20G 空間、每月1000G流量，還可以架一大堆有的沒的，塞一大堆有的沒的 (爆XD)
有自己的 mail system、一鍵安裝 WordPress(Blog system)、Gallery (Album Ssytem) 等等

就算沒特價，一年的價錢 USD$ 49.95 ，折合台幣 1600元
還是比 Xuite 便宜許多
米國人還是比較慷慨啊 (思)

3600 元的 VIP (1)

經過使用者的千呼萬喚，Xuite 終於推出 VIP 專案

廣告詞上寫著
"由你決定如何擴充空間、沒有廣告、POP3/SMTP收發信、信箱別名、預約寄信、個人網址...6G 大空間讓你任意調整Xuite的信箱、硬碟、網誌和相簿空間，充分展現自我、快樂分享"

哇，6G 耶 ...比"有名大站"的 VIP 還多 1G 耶

咦，但是怎麼沒標價錢，也沒說在哪裡訂啊....
翻遍了原始碼都沒看到，囧


只有這個可以點，只好按下去

咦，在4月1日 ~5月 31日 HiNet 週年慶期間購買者，
一律6折優惠。

現在 7 月多快8月了，那是打幾折啊?
搞什麼鬼，給這個連結等於沒給啊 -_-....

但是更可怕的不是這個，是定價 3600元
這還是打六折以後的價錢，沒打折的話 6000元，可以買6個"有名大站" VIP

ㄟ害ㄟ害，金恐怖。
what an amazing price!

世界奇景的年鑑式Q&A

這是在寫 國王的網誌搜尋功能 (1)、 國王的網誌搜尋功能 (2)中的眾多發現中的其中一個發現


你有看過哪一間 BSP 的客服處是採用年鑑式的Q&A？而且沒有搜尋功能的嗎？

what an amazing blog!

國王的網誌搜尋功能 (2)

發現了這個驚人事實的我，第一個念頭就是"應該趕快告訴 xuite 這件事吧?"
於是我很好心的上了 07月 -日誌使用問題的發表處 發表了這篇文章



請它們趕快把搜尋引擎上線，以免淪為大家的笑柄。

但是隔天(2006/7/23)下午 1:00 我打開 blog台長 的日誌 囧



blog 唯一客服處隱藏中，這到底是什麼情形啊 ~"~
是在商討什麼秘密的對策嗎?



不死心的我，一邊聊 irc 一邊每個小時 reload 一次
下午 4:00 多，客服處終於開了...

不過見到的卻是這種情形





........... 3月 ~ 6月的 Q&A 被砍掉了

關了幾個小時的客服處，竟然做出的回應是砍證據。
真是太令人生氣了 ....


但偉大的 firefox 與 google desktop search 紀錄了 "歡聚歡笑的每一刻"
感謝它們的貢獻吧!

國王的網誌搜尋功能 (1)

用過 Xuite 的 Blog 都知道，它的個人網誌內搜尋功能已經壞了很久了
到底壞了多久呢，老實說我不知道...囧

直到幾天前參加一個 conference，因緣際會下誘發了捅它的念頭
加上某嗜好是"吞布丁、壓地磚、拐騙羅莉"的長輩叫我不要客氣，開一個 xuite-joke 的 blog 用力寫 XD

(7/24 update 長輩請我馬賽克暱稱，但是為了感念他對本 blog 的促生，改用嗜好替稱)

於是才有這一篇文章甚至是這個 blog 的誕生

----
壞了很久到底是多久呢？鄉民常說沒圖沒真相。指控它是國王的搜尋功能總也要有證據吧:p

哪裡才找得到證據呢？
...我想到了 blog台長 日誌裡的 《Blog公告》日誌使用問題的發表處 ( another joke)

太閒的我，就真的一篇一篇找了每月 Q&A ，編成一篇放在這裡
才發現一件驚人的事情 ...

原來!!網誌搜尋功能從來沒有寫出來過...XD

what an amazing blog!

第一篇

用力 test