目前日期文章:201111 (9)

瀏覽方式: 標題列表 簡短摘要
閱畢日期:坦白說,我忘了正確的日子,就前幾天吧...

這是第二次看了,第一次是拿大陸某網站上的網頁版,放到手機上看,看的很痛苦,因為不能紀錄閱讀的進度,接著看時,沒辦法回到之前中斷的地方繼續看。這次是下載好讀網站上的epub電子書來看。

故事的主角是涼宮春日跟阿虛,春日她希望能和外星人、超能力者、未來人作伴,然後當這些人真的在她周圍時,她卻不知道他們就在身邊,也不知道自己可能是潛藏的創世主,然後這5個人發生了許多冒險。這集主要是交代故事的開始,收尾在涼宮春日覺得好無聊,無聊到想改變這個世界,就把阿虛帶到夢境閉鎖空間裡。就在即將毀滅世界的時嘔,阿虛在外星人、未來人跟超能力者的提示下,跟春日說明了他不希望世界結束,然後吻了春日,突然就回到現實,世界再次運行,一如往常。

動畫的順序和書裡不太一樣,這部份可以參考維基百科,那邊寫的超仔細的。

話說,被同學翻到我在紙上預寫的這篇時,她居然看成春宮,還戳了我一下... 囧...

More about 涼宮春日的憂鬱
文章標籤

elleryq 發表在 痞客邦 PIXNET 留言(0) 人氣()

閱畢日期:2011/11/24

基本原則:
1.觀察:要放慢速度,注意觀察和傾聽孩子並確定用詞背後意義。
2.讓孩子發洩情緒,讓他自己接納事實,也就是理解。平時要教導如何表達自己的情緒,如何溝通
3.然後提出變通或者是安撫。

要自省,要仔細去聽跟孩子相處的聲音。
避免直接教導孩子,可以先觀察,再詢問是否需要幫助,或者是告知說,有困難可以找我。像教畫圖也是如此,可以告訴他說要先觀察,而不是直接畫給他看。

孩子有許多的敏感期,也就是所謂的黃金學習期,在這個時候去幫助他們學習,會比較快。

說話敏感期的時候,孩子會自己做實驗,像是故意說效果強的話,這個時候應該反應冷淡的說明,而不是反應很大。
秩序敏感期影響:
1.行為的順序,一個環節都不能錯
2.路線固定
3.行為的人,必定要某人進行
4.東西要歸位正確
此時的特徵會表現的固執,執拗
嫉妒的敏感期:孩子會偏愛特定的某個人,然後不喜歡其他孩子靠近他。
其他還有完美敏感期、佔有敏感期、邏輯思維敏感期(愛問為什麼)、審美敏感期、數學敏感期(可以趁機教他們使用貨幣)、身份確認敏感期等等,敏感期可能同時發生。
在孩子面前說話要注意,不能亂逗孩子,因為孩子還不懂。
到四~五歲的時候,才比較會轉換到可以分享的層面,要先分享才會接著有贈送或交換。
不是在集體環境就可以自然學會人際關係,真正的關係是在跟某個人產生連接的過程中發生的。兒童首先是透過食物,再來是分享、交換、贈送玩具,去交朋友。之後才會知道朋友的基礎是相同的愛好和興趣,或是能相互了解。因物或因人。真正的朋友是建立在志趣相投、彼此關愛、相互了解和相互傾聽的基礎上。
介入孩子紛爭時,要先傾聽對方,讓他們自己說出糾紛,並找出關係中存在的問題並解決。

二項式教具?中學(a+b)^3的展開式做成直覺型態的教具。而且還有三項式的。(可以參考 http://www.youtube.com/playlist?list=PL1D455B52F29AC160)
走線:讓孩子沿著線走。

印度大師:「頭腦和頭腦的溝通是語言,心靈與心靈的溝通是感受,靈魂與靈魂的溝通是沈默。」
自我和自私的分差,自我指的是一個人可以按照自己的意願、情感、心理和意志的需要,行使自己的計劃,支配自己的行為。
自私是在利益上發生衝突時,選擇了損害他人的利益,而滿足自己的利益。

這本書不錯,是大陸那邊作蒙特梭利教育的人寫的,書裡沒什麼理論,主要都是描述各種年齡孩子的故事,你可以看到孩子會經歷哪些時期,老師又是怎麼處理的。
所以我家大公子小時候並不是我們以為的固執,而是剛好在秩序、執拗的敏感期。
看這本書有點晚了,應該早兩年看才對。
孩子的身體是他自己的。以前有犯過這個錯誤,就強迫他穿衣服,可是他不願意,就大哭。後來是都告訴他外面變冷了,然後帶他跟外套出去感覺,再問他要不要穿,告訴他說不穿會容易感冒。身體是他的,自己不舒服要自己去體會。

對付小孩的最好方法就是要先觀察、給他們時間,然後提供變通、或是其他的解決方法。

More about 掌握孩子的學習黃金期
文章標籤

elleryq 發表在 痞客邦 PIXNET 留言(0) 人氣()

閱畢日期:2011/11/19

有些plugins在親手打造部落格的家:WordPress_架站、管理、經營有介紹過的,就沒記下來了,基本上還是記錄自己有需要用到的。大致上這本稍稍有進階一點,有介紹到安全的東西、管理的東西跟一些可以直接操作資料庫的技巧。

Frontend plugins:
  • Where did they go from here
  • Quiz留言驗證問答(備而不用)

Backend plugins:
  • Quick Cache
  • WP-DB-Backup:這可以做定時備份
  • WP Security Scan
  • Theme Authenticity Checker(TAC)
  • WP System health
  • Limit Login attempts
  • LinkWithIn:對,這是網路服務,該網站上有直接提供plugin下載,所以wordpress官方的plugin頁面裡找不到。
  • WP Limit Post automatically:這好像比內建的好用,再研究看看


可以用來監測網站的服務:
  • Uptime Rebot
  • Basic State
  • 100 pulse
  • Uptime Dog


MySQL tips:
  • 刪除多餘備份文章:delete from wp_posts where post_type='revision';
  • 刪除垃圾comments:delete from wp_comments where comment_approved='0';
  • 改作者:update wp_posts set post_author=new_user where post_author=old_user; 這個post_author是數字,所以要到wp_author查


要買書可以到博客來網路書局

More about WordPress 3.x極速架站
文章標籤

elleryq 發表在 痞客邦 PIXNET 留言(0) 人氣()

閱畢日期:2011/11/19

哈,在圖書館時,圖書館員因為搞不清楚書名的標題跟副標,找了好久說。書的封面把「WordPress架站、管理、經營」打的斗大,結果「親手打造部落格的家」反而比較小,那圖書館用的書名「親手打造部落格的家:WordPress_架站、管理、經營」到底誰是主標?誰是副標呢?

好吧,這本我很快就翻完了,不是說作者寫的不好,而是我已經架好了,我只是想知道一般推薦的外掛有哪些。
前台用的:
  • Simple tag:有推薦tag跟整理tag的功能
  • WP-PageNavi:可加入頁碼,我好像有裝了,反正先記下
  • Random Posts
  • WP-Polls

後台用的:
  • Delete-Revision
  • Clean options:完整移除外掛的外掛
  • Permanlink redirect 永久改變網址架構:(1)避免常常變更網址架構 (2)基本上應該是有利用304還303的status code來跟spider bot講說有換地方了
  • Search everything

SEO stuffs:
  • Alexa
  • Google PR
  • Google XML sitemap

AD的話,除了Google AdSense、BloggerAds之外,我還有BlogAD沒用過。

另外提醒一下自己要做備份script。

要買書可以到博客來

More about 親手打造部落格的家:WordPress 架站、管理、經營
文章標籤

elleryq 發表在 痞客邦 PIXNET 留言(0) 人氣()

閱畢日期:2011/11/18

是因為MV裡的幾句話:「對啦,我就是幼稚!我就是幼稚才有辦法追妳那麼久!」「你想聽答案嗎?現在我就可以告訴你。拜託不要現在告訴我,請讓我,繼續喜歡你」戳到我心裡的某些東西,才會想看電影,才會想找書來看。不過要跟刀大說抱歉,書我是在好讀網站上找來看的。

這本書真的非常好看,好看到可以邊看邊笑~尤其是看到那個小鬼被死穴唬的一愣一愣的那段,柯景騰完全活用了人性的弱點,讓本來不信的小鬼後來信以為真還哭了出來,真的是超爆笑。其他關於戀愛的部份,真的就是回憶,所有男生都可能幹過的事情,很溫暖,很真實,但這就是青春!!書的故事跟電影的簡介不太一樣,在刀大的部落格裡也有說明了,這當然是因為電影所做的修改,可以讓電影更有張力、更加好看。像自由格鬥賽就不是因為要鼓勵沈佳宜而舉辦的,不過後來的確是因此而分手。在九二一地震的真正相互告白那段,頭皮是一整個發麻到不行,就跟刀大講的,心裡有被溫暖一整個灌滿的感覺。嗯,不得不再說一次,真的好看。

書的後面也有交代他成為作家的經過,看了村上春樹的「關於跑步」、克莉絲蒂的私房「日記」,現在又看了刀大的,真的深深體會到所謂的作家真的不是靠所謂的靈感就能成就一本小說的,當然不是說靈感不重要,而是寫作這件事情真的還是要多看多寫、持續的寫,才能成事。

昨天跟老婆講這本書的時候,突然想到,這本書會不會在女生看來就沒那麼的好看,畢竟是以男生的角度去寫的。下次要看看刀大別的小說,看是不是也有這麼好看。

More about 那些年,我們一起追的女孩
文章標籤

elleryq 發表在 痞客邦 PIXNET 留言(0) 人氣()

閱畢日期:2011/11/17 或許稱為放棄日期會比較好...(笑)

這本書一開始是先介紹工具的安裝,然後帶你認識HTTP的基礎、相關的協定。接著就教你一些基本的作法,像是故意竄改POST、URL、偽造cookie、上傳有問題的檔案、自動化大量掃描網站...等等的。cURL跟LibWWWPerl上場,主要是介紹,因為後面會用到這兩個神兵利器。後面幾章是真正的重點:
  • 第九章-尋找設計瑕疵
    • 規避必要的穿梭瀏覽:故意不要照網路上的步驟來作,以購物車為例,可以試著故意跳過某些頁面,看是否有問題。
    • 試圖進行特權操作:以有特權的身份,像網站管理者,去登入再登出以一般使用者登入,去瀏覽網站,看可不可以訪問到只有管理者才能存取的頁面。
    • 濫用密碼回復功能:試著操作看看,看是否會洩漏使用者的私密資訊或者是有機會被冒用。
    • 濫用可預測的識別符:以可預測的URL去試著存取使用者無法存取的頁面,例如多使用者的wordpress,由於編輯文章的URL固定,只要修改某些參數,看是否能存取到別人的資訊。
    • 預測憑證:像是網站自動產生密碼,最好要用非常亂的亂數,而不是以使用者名稱加日期這種可以預期的組合。
    • 尋找應用程式裡的隨機數字:寫的好模糊,我想應該是避免把重要的隨機資訊放在有機會被使用者看到的地方,像是cookie、Header或是頁面裡,讓有心人可以猜到你這個隨機數字要幹麼。
    • 測試隨機數字:取得隨機數字大量產生後的結果,看是否真的夠隨機。
    • 濫用可重複性:避免讓人一直重複嘗試,例如密碼輸入錯誤三次就暫時block住
    • 濫用高負載動作:就做DoS測試,看網站是否會因此掛掉或吐出不該吐的錯誤訊息
    • 濫用限制機制:比如知道密碼輸入錯誤三次會block住,就故意去block住其他人的帳號,讓其他人因此暫時無法使用網站。
    • 濫用競爭狀況:race condition
  • 第十章-攻擊Ajax
    • 即時觀察AJAX request:就用firebug或其他工具去看,並log下來研究
    • 識別應用程式裡的javascript:了解頁面怎麼使用javascript
    • 追溯ajax活動的來源:去trace
    • 攔截與修改ajax請求:利用WebScarab去即時修改request裡的欄位值,看網站是否會因此有問題。
    • 攔截與修改伺服器回應:跟前一項相反,看客戶端程式怎麼處理假造的伺服器回應。
    • 以注入的資料破壞ajax:搭配前兩項來注入有問題的資料、XML、JSON...
    • 破壞客戶端狀態:簡單說,就是網站應用程式不應該倚賴客戶端資料的有效性。
    • 檢查跨網域檢查:先看網頁裏面會不會去載入其他網域的javascript,然後藉著修改hosts,把那些javascript換成修改過的版本...
    • 透過JSON劫持讀取私有資料:一個是要嚴格檢查JSON,另一個則是要避免直接的把JSON資料送出去。
  • 操作session:
    • 在cookie裡尋找session id
    • 在請求裡尋找session id
    • 尋找Authorization header
    • 分析session id逾期:故意操作cookie的逾期資訊。
    • 使用Burp分析session id:避免session id是可以預期的,burp可以幫你檢查看session id是否夠隨機
    • 使用WebScarab分析session隨機性:跟上一項一樣,只是改用另外一個工具
    • 改變session避開限制:比如網站本來有限制,看刪除cookie之後,網站是不是還會擋你
    • 假扮其他用戶:這也是改cookie裡的使用者名稱,看網站是否會因此認錯人、處理錯誤
    • 鎖定session:也是利用假cookie的方式
    • 測試跨網站請求偽造:一樣紀錄網站正常程序,例如購物車,然後故意直接使用某個步驟的網址去瀏覽,看是否仍可以正常運作,如果可以,表示有心人有機會使用這個網址去作惡
  • 第十二章:多面向測試
    • 利用XSS竊取cookie
    • 利用XSS建立覆蓋物
    • 利用XSS產生HTTP請求
    • 以互動的方式嘗試基於DOM的XSS問題
    • 規避欄位長度限制
    • 以互動的方式嘗試跨網站追蹤
    • 修改Host標頭
    • 以暴力法猜解用戶名稱與密碼
    • 以互動的方式嘗試PHP include檔案注入問題
    • 建立解壓縮炸彈:故意上傳有問題的壓縮檔,讓應用程式在解壓縮時會持續解壓縮,導致有問題。
    • 以互動的方式嘗試命令注入
    • 以系統化的方式嘗試命令注入
    • 以互動的方式嘗試XPath注入
    • 以互動的方式嘗試SSI注入
    • 以系統的方式嘗試XPath注入
    • 以互動的方式嘗試LDAP注入
    • 以互動的方式嘗試紀錄注入


跨網站指令稿(XSS)參考書:"Hacking exposed: web application"
使用cURL時,要注意,cURL不會編碼資料,例如 "-d title=My comments"應該要自己把空白改用%20 "-d title="My%20comments"。

2012/1/18 補充(之前有記在tomboy貼士裡,忘了記上):
  • URL 裡,protocol跟域名不分大小寫。
  • OWASP WebScarab
  • CAL9000 駭客工具,含有各種技巧與script,以javascript撰寫
  • PornZilla
  • Nikto (perl scripts)
  • Burp Suite 類似 WebScarab 的工具


More about Web 安全測試錦囊妙計
文章標籤

elleryq 發表在 痞客邦 PIXNET 留言(0) 人氣()

閱畢日期:2011/11/13

第一次拜讀米果的小說,會認識她,是因為她的部落格,我蠻喜歡她的文章。最近她出小說了,當然是要捧場一下。

從一開始總編輯消夫的氛圍,到在台北適合小楊、葉哥追尋著總編輯的身影,我真的以為這應該是一部推理小說了吧,但想不到卻在最後發生了逆轉,這樣的結局是有一點令人錯愕了。總的來說,這是一部應該不能歸類在科幻的作品,而應該看做是輕鬆的城市狂想作品,可以泡杯咖啡愜意看完的小說。

本來是想照慣例來破梗的,不過這個結局不適合破梗,破了就沒意思了。那就只能提一下裏面讓人很感到親切的部份了,我覺得親切的部份是在提到夏天跟小吃的地方,看到那些地方時,就會有,「對啦,台北的夏天就是這樣」跟「好像很好吃耶,要不要去找一下」的那種感覺。是說,這好像是米果的強項,尤其是她的部落格文章裡,還蠻常提到台南小吃的,所以會有親切感,不會讓人意外吧?!

要買書的話,可以到博客來

More about 夏日彼岸
文章標籤

elleryq 發表在 痞客邦 PIXNET 留言(0) 人氣()

閱畢日期:2011/11/6

借這本書,主要是參考塯公圳用的,書裡提到的部份跟網路上可以找到的資料相似。我是建議這本書可以做個今昔地名的對照,在書裡有些部份應該是直接從古籍、地方誌抄出來的,地名是舊的,所以不容易讓人知道可以去哪裡找這些圳,如果有今昔地名對照,可以更清楚讓人了解圳有延伸到哪裡去。這個我認為也可以做個旅遊+歷史、人文的書出來,讓人可以去追訪這些古圳,我覺得應該會很有意思。

桃園大圳從書裡的照片看起來保持的還很完整,可見桃園應該還有在耕作。
這條圳跟嘉南地區的烏山頭水庫、嘉南大圳都是由日本人八田與一所設計、主導的,看了維基百科上的介紹,可以知道他對台灣的貢獻很大!!除了設計水利工程之外,也建立出"3年輪做"的制度,讓當時不識字的農民能輕易的依法施作、維護,這點跟都江堰一樣。水利工程能持續,除了靠工程品質之外,設計出一套能輕易讓人維護的制度也是一件很重要的事情。

我發現公視有節目專門介紹八田與一:

要買書可以去博客來網路書局

More about 台灣的古圳道

文章標籤

elleryq 發表在 痞客邦 PIXNET 留言(0) 人氣()

閱畢日期:2011/11/1

翻譯不好,而且看起來作者的條理也不是很好,東跳西跳的,很難閱讀下去,後來是乾脆都用翻的,很快看過一次。雖說是用翻的,不過書本的厚度相當厚,在東湊西湊的情況下,也是花了好幾天的時間才翻完。

基本上,可以說作者根本就是跟Steve Jobs對著幹,完全就是把Steve Jobs在NeXT的負面全部都寫出來了。簡單說,Jobs的NeXT公司就是失敗,失敗透頂,錢亂用(不只是自己的錢跟募資來的錢還有富豪裴洛跟Canon的錢),自己搞製造,方向不明確,瞄準的市場錯誤,到書的最後,就1992、1993年左右,說公司開始轉向軟體公司的方向走,要推出NeXTStep,但是仍然沒有起色。相信你應該知道接著發生什麼事情了吧,1995年,Microsoft 推出 Windows 95,把一堆公司,像Sun、Macintash、IBM...等公司打的一敗塗地,更何況本來就只有些微市場的NeXT。書的最後,就寫到此。

但是從這些失敗裏面可以看的出來,Steve Jobs重回Apple之後,是有認真檢討過的,這段時期對於Jobs來說,是一段很黑暗而且刻骨銘心的時期。

我倒是想起了Clone自NeXTStep的GNUStep,2004年以後的Linux桌面環境就很少再看到GNUStep了,比較常見的就是GNOME、KDE、XFCE,GNUStep專案倒是還活著,之後到底是發生了什麼事情而導致使用的人變少了呢?

More about 電腦金童NeXT風雲再起
文章標籤

elleryq 發表在 痞客邦 PIXNET 留言(0) 人氣()