LazyID LazyIdea, LazyStyle

刚才在校内看到一贴子，讲的都是同桌时代，看的我“老泪纵横”
忍不住就想谢谢以前的回忆：

小学
我会把手插到她得裤兜取暖， 会拿小刀再桌子上刻上“记号”声明这个是分界线不能超过，
她会买零食两个人一起吃， 记得有次歌唱比赛男生要穿一套校服， 女生要穿裙子，
刚好我的裤子不知道丢哪去了， 她会把她的裤子借给我穿，
说错话了，惹她哭了， 她会用手拧我， 我睡觉她会替我把风， 老师提问她会给我传答案
老师问她，我会给她传假答案。。
每次放学都要问一下，今天留的什么作业， 每次下课都会问下一节什么课
忘记带课本，会2个人用一本， 遇到2个人都没带， 我们会发动关系超别人借
借到一本就2个人一起用～
小学做了3年多同桌， 5年纪又分到一个班，
中学在我隔壁班， 因为我们是同一个老实教的所以有时候检查作业，
我会取找她的作业借用一下， 中学毕业的时候， 她找我照片， 我没给（其实不是不想给）
然后慢慢的就没有联系了， 不知道她现在在哪个城市，也不知道过的怎么样！

高中的时候唯一的女同桌是高2那年，
大眼睛， 高鼻梁， 瓜子脸， 长头发扎个马尾
我老说她张的好看，然后她就是一直笑， 我说你怎么没点反映啊，
然后我就教她别人说你漂亮， 你要回应说谢谢。
记得我上课老喜欢看她， 她的刘海很长，喜欢拌在耳朵后面，然后我总吹她的刘海， 把刘海给吹到前面去
有次我实在忍不住，“你能让我摸摸你的鼻子么？”， 因为她的鼻子实在是太好看了，
记不清出她说什么，总之是答应了，然后我拿食指轻轻的摸了几下
她：“怎么样？”， 我：“。。。。好挺”！
那年jay出了叶惠美，她让我唱东风坡给她听， 我总给她唱以父之名， 她说我唱歌很好听
平时学校集合什么的， 我们看到对方就老是笑
最后我高2读了不到2个月就走了， 后来听说她在高2呆了一段时间就转学了。
其实我。。。时不时的会挺想她!

很悲剧的o型

一
看完了肖申克的救赎.地铁上没有看完,回到家接着看了2个小时.
监狱的生活描写和越狱里边很像,不知道是美国监狱都这样,还是电影之间的copy,总之,看起来既视感严重.
那些被称为经典的电影总是让人想太多.
二
十年,二十年,三十年,四十年.
时间是个微妙的东西,说长也长,说短也短.
我们对时间的感知是通过不同的经历来决定的,在同一个地方上了一年的学,和上四年的学往往回想起来都是差不多的.
当然,可以感到时间的流逝,那是因为我们每天都接收了不同的细节.
细节正是这个世界不同于游戏的地方.
一个游戏,无论设计得如何精巧,当你在一个点上,考究一个细节时,你会发现它是如此的粗糙.
就像看起来如此可爱动人的nene同学,在你从下方仰视时,会发现建模只做到大腿部分;而CS里边的墙,凑近了看都是马赛克.
但是现实世界不是这样的,它饱含细节,有完全自由的分支路线.随着你的选择互动.
近乎完美的一个游戏.唯一的缺点是,它不能存档.
三
按游戏分类来讲,现实世界是一个没有主线的MMORPG,而没有主线的游戏通常对新玩家来说是一种折磨.
于是会有好心人来告诉你,你应该读书,小学中学大学;然后需要找一份工作,上班下班加班.
运气好的话你会有一份爱情,运气不好的话你会有一份婚姻.
接下来就是买房买车结婚生小孩退休生病然后离开这个世界.
很好的一份攻略.从父辈和父辈的父辈一代代的流传下来,直到传到你的手上.
它充满了智慧,是一条捷径,
幸运的是或者不幸的是,你从不会去想起活着是为什么.
四
生命的意义是一个哲学范畴的话题.现在已经没有多少人去想它了.
因为它虽然很重要,却远不属于很紧急的事情.或者说,正是由于它太重要,所以我们才无限期的推迟去弄明白它,我们想为此留出足够长的时间.
于是一年又一年,我渐渐忘掉了这个问题.那些日子,我觉得自己像一头快乐的猪,傻傻的窝在着没心没肺的幸福里.
然而某个朋友的突然辞世令我很崩溃.失去一个亲密的朋友自然异常痛苦,但更痛苦的是这是我第一次看着自己的同龄人离开这个世界.
那种心痛痛得让人觉得某些东西坏掉了.
做一件事情,不在乎它的难度有多大,也不在乎它要花多少时间,但是最重要的是它的意义.
最让人害怕的事,当你耗尽毕生精力,完成了一项工作的时候,你发现它其实没有任何意义.
让你的玛丽只剩下五秒钟跳向旗帜的时候,收集金币就没有任何意义了.
而我正发现,也许,我剩下的时间并不像想象的多了.
知道自己还剩多少秒是一种痛苦,知道自己还剩多少秒也是一种解脱.
而我们却要在这个不知道还剩下多少秒的世界活着.追逐着那些并不是我们自己想要的东西.
上帝果然不擅长用户体验.
五
还记得小学老师教我们写应用文时,有种文体叫金字塔文体.从第一句开始,文章本身就是完整的.而每添加一句,内容就更加丰满.如果突然写到某句,再也没有下一句了,依然是一篇清晰可读的文章.
我想人生最好能过成这个样子,从一个好的开始走向一个好的结局.一切简简单单平平凡凡安安静静.
我的人生原本就是这样的.它简单,顺滑,如同一个简洁又时尚的玻璃杯.
然而有一天我弄坏了原本好好的生活.两周前我为了给手机换外壳搞坏了它的摄像头.我买得起第二个手机,但是我却买不回过去的生活.
不过好在我已经习惯了这现实世界的不完美.
我依然没有明白人生的意义,但是我非常明白明天上班的意义.如果我在三十分钟内上床,就很难在早上七点半醒来.
六
无论如何,我们都得继续生活.
生活就像一盒巧克力,你永远不知道下一颗有没有质量问题

http://ftqq.com/2010/03/16/life-is-only-life/

漏洞介绍：nginx是一款高性能的web服务器，使用非常广泛，其不仅经常被用作反向代理，也可以非常好的支持PHP的运行。80sec发现其中存在一个较为严重的安全问题，默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析，这将导致严重的安全问题，使得恶意的攻击者可能攻陷支持php的nginx服务器。

漏洞分析：nginx默认以cgi的方式支持php的运行，譬如在配置文件当中可以以

location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
}

的方式支持对php的解析，location对请求进行选择的时候会使用URI环境变量进行选择，其中传递到后端Fastcgi的关键变量 SCRIPT_FILENAME由nginx生成的$fastcgi_script_name决定，而通过分析可以看到$fastcgi_script_name是直接由URI环境变量控制的，这里就是产生问题的点。而为了较好的支持PATH_INFO的提取，在PHP 的配置选项里存在cgi.fix_pathinfo选项，其目的是为了从SCRIPT_FILENAME里取出真正的脚本名。
那么假设存在一个http://www.80sec.com/80sec.jpg，我们以如下的方式去访问

http://www.80sec.com/80sec.jpg/80sec.php

将会得到一个URI

/80sec.jpg/80sec.php

经过location指令，该请求将会交给后端的fastcgi处理，nginx为其设置环境变量SCRIPT_FILENAME，内容为

/scripts/80sec.jpg/80sec.php

而在其他的webserver如lighttpd当中，我们发现其中的SCRIPT_FILENAME被正确的设置为

/scripts/80sec.jpg

所以不存在此问题。
后端的fastcgi在接受到该选项时，会根据fix_pathinfo配置决定是否对SCRIPT_FILENAME进行额外的处理，一般情况下如果不对fix_pathinfo进行设置将影响使用PATH_INFO进行路由选择的应用，所以该选项一般配置开启。Php通过该选项之后将查找其中真正的脚本文件名字，查找的方式也是查看文件是否存在，这个时候将分离出SCRIPT_FILENAME和PATH_INFO分别为

/scripts/80sec.jpg和80sec.php

最后，以/scripts/80sec.jpg作为此次请求需要执行的脚本，攻击者就可以实现让nginx以php来解析任何类型的文件了。

POC： 访问一个nginx来支持php的站点，在一个任何资源的文件如robots.txt后面加上/80sec.php，这个时候你可以看到如下的区别：

访问http://www.80sec.com/robots.txt

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:05:30 GMT
Content-Type: text/plain
Content-Length: 18
Last-Modified: Thu, 20 May 2010 06:26:34 GMT
Connection: keep-alive
Keep-Alive: timeout=20
Accept-Ranges: bytes

访问访问http://www.80sec.com/robots.txt/80sec.php

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:06:49 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Keep-Alive: timeout=20
X-Powered-By: PHP/5.2.6

其中的Content-Type的变化说明了后端负责解析的变化，该站点就可能存在漏洞。

漏洞厂商：http://www.nginx.org

解决方案：

我们已经尝试联系官方，但是此前你可以通过以下的方式来减少损失

关闭cgi.fix_pathinfo为0

或者

if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}

http://www.80sec.com/nginx-securit.html

有夫之妇～～

呃…… 又张草了…

不过貌似长草已经是常事了..

“咔咔….”

前段时间买了个 macbook 的 型号是 207

用了些日子，简单谈下感触。。。

首先，很漂亮很白 有图有真相

然后我告别了亲耐的editplus， 改用了 coda，怎么说呢，

这是我见过的很强大的一款 ide了。

不仅集成了 ssh 以及ftp 而且里面的搜索功能让我觉得汗颜， 并且自带了 php的帮助手册。。

也许它不是最强大，也许不是最牛x的。 总是我觉的它。。。。。。。。。。很好！！

然后是环境问题。wampserver 也抛弃了。

mac 上的 mamp 摸了2天 就觉得里面建立虚拟主机瞒方便

不用去修改 配置文件。 直接界面化了。。呃。。。 别的优点还没看出来。 留着慢慢发掘

最后说一下im 我很怀疑之前mac的用户 是怎么忍受qq的。。 卧槽。。

本来打算改用msn的， 可发现我msn 上的好友。。。。算了。。

PS: 其实我觉得很大部分人对mac的感觉还是基于win的变脸王之类的工具 模拟出来的那个

可是当你真正去感受 去用一款产品的时候， 你会发现win的用户体验设计根本不能和mac相比。

突然发展之前被win荼毒的太深了，已经在享受被强奸的过程了。。。

不过现在我不打算一直被“弄”下去了.

“咔咔….”

记得去年因为工作上关系写了一个抓豆瓣数据的脚本

今年因为XXX的原因得去百度上抓点下来. 本来想找以前的改改, 可死活找不到

没办法重写一个 貌似百度的最简单~

为了以后方便随时随地直接拿来用这会给传上来

download