2013年12月31日 星期二

為甚麼windows 8平板註定是個失敗的產品

這幾天有機會試用了acer的windows 8平板加上鍵盤的產品w510

首先呢,平板本身太重了,單獨的平板就有580公克了,加上鍵盤,跟帶一台ultrabook出門就一樣了,除了平板可以跟鍵盤拆開之外沒有其他優點,不上不下,對上其他android , ipad系列沒有輕薄優勢可言,對上ultrabook又輸了效能

簡單的說,windows平板的特色就是三個字:慢慢慢

這也是windows系統的通病,不管是哪一版,買了,開機就是先跑windows update,嘿嘿,光這個步驟,規格差的windows8平板,可能就得花超過一小時以上,加上重新開機,在手動升級windows 8.1,整個就是莫名其妙,不是買來就可以直接使用,而是還得手動作一堆有的沒的,更何況windows update還得每個月都做,不做系統又容易被入侵,這是第一慢

 再來就是現在的ipad , android手機或是平板,都有factory reset功能,但是呢不管是ipad , android,user自己安裝的軟體,跟os本身是整個分離的,互相不會影響,在微軟系統裡面,也有類似的功能,叫做app-v,讓使用者自己安裝的軟體,可以不會影響到底層的作業系統,但是呢,很抱歉,windows 8並沒有內建這個功能,雖然也學人家內建了還原預設值的功能(名字叫重整電腦),但是呢,還原之後,所有曾經裝過的windows update hotfix,serverice pack都得重新再來一次,天啊,這啥小,有哪台ipad , android,更新了底層的os,再跑factory reset,會連底層的os都一起回到剛出工廠的狀態的? 沒有 這是第二慢

os本身慢,cpu至少得用到intel core i3以上等級的才會有堪用的效能可言,但是要有高規格硬體,就是得付出高價位,但是給使用者的體驗,卻沒有相對升級,user只會很疑惑,為甚麼機器那麼慢,但是明明價位上已經可以買頂級android平板了

再來是modern ui的問題,或許是為了迴避專利,搞得ui很複雜,程式開啟之後,左右四個角落,那些功能要滑出來,比傳統選單還奇怪的操作邏輯,步驟也很多餘,又為了與傳統windows軟體相容,硬是搞了傳統桌面出來讓舊版軟體可以跑,但是這些傳統軟體,要用觸控來操作卻是個非常難用的東西

總之,windows 8是個注定失敗的產品,除非完全放棄過去windows的思維,放棄windows update這種垃圾,人家ipad , android,怎麼更新os ? over the air update,檔案下載好,安裝下去,頂多5-10分鐘就結束了,微軟呢? 更新windows 8.1的步驟有多少,還得先上某些hotfix,之後才能更新到windows 8.1,這些東西一般的user會嗎?
除了放棄windows update,還要加上app-v這功能,才勉強看的到這些領先者的車尾燈

我是真的不懂為甚麼會有人願意花錢買這些應該拿去填海的東西來折磨自己,只為了比較好的microsoft office相容性

2013年12月18日 星期三

為甚麼給行動裝置用的wifi應該跟公司內部網路實體切割開

在現在這個年代,人手一支智慧型手機,一台平板,或是筆記型電腦已經是不可擋的趨勢了
而這些屬於個人的行動裝置有個共同點,就是都有wifi連線

有了wifi連線,表示這些設備很容易就變成內部網路的一部份,很多廠商會推出很多的byod的方案來讓行動裝置變得很難用,但是這依然沒辦法阻擋行動裝置安裝一些sniffer之類的工具來收集內部網路封包,或是執行惡意攻擊程式

尤其很多無線ap,雖然有密碼保護,但是密碼強度不夠,或是加密程度不夠,密碼很容易就被猜到,讓行動裝置很容易就連上wifi直接進路內部網路

怎麼避免這樣的狀況?
在做基礎建設的時候,就直接將wifi所使用的ap的實體網路佈線,跟內部網路用的網路,兩者實體分離,即使在同一個地點,實際上行動裝置連上之後,跟內部網路依然是分離的,無法直接存取內部網路系統
如果有apps要在行動裝置上執行,存取內部網路資料,那就讓行動裝置透過vpn連到內部,或是強制必須透過加密保護的連線來存取內部網路資料

這樣的另一個好處是,對管理員來說,給行動裝置用的線路,設備,堪用就好,爛掉也沒太大影響

2013年12月17日 星期二

為甚麼ftp server跟web server再一起的時候容易有資安問題

最近在處理公司內部系統的架構的時候,回絕了一個請求,讓windows server上的iis開放讓user從任何來源都可以上傳資料

為甚麼?

雖然通常ftp跟web server的user帳號是分開的,也是用不同的路徑,但是當web server需要直接讀取ftp上傳的資料的時候,這就表示,有些路徑,兩個services都會去存取
想想有多少的網站,開給修改網頁的人的ftp帳號,進去之後就是web server的資料路徑
於是有心人士很容易透過ftp上傳可執行檔案,例如php , aspx等等檔案,再透過browser直接開啟這些檔案,就可以讓web server去執行這些檔案,於是就得到了整台web server的控制權

目前的ftp server,並沒有辦法控管那些檔案類型不能上傳,因此比較好的做法是,只開放可以信任的來源(特定的ip)才能上傳資料,並且透過其他軟體來檢查上傳的檔案是否是可以信任的
或是笨一點的作法,有需要時才開啟,用完之後就關掉ftp
或是最麻煩的,啟用ssl加密,只接受有安裝了可以信任的憑證的客戶端才能上傳資料,但是這個實作上在客戶端上面比較麻煩

至於web server接受上傳檔案,就必須透過程式去檢查內容是否符合,或是只接受有安裝了可以信任的憑證的客戶端才能上傳資料