slashdot什么是 CSRF攻击？

网络中出现的“XX客”有何意思？

博客：原名weblog，后简化为blog，台湾译为部落格，也有直译为网志的。

公认是由Peter Merholz在1999年命名而成，blog简单说就是一个个人信息发布系统，文章按时间倒序排列，文章内容以超链接作为重要的表达方式，频繁更新。

它同日记不同的是，它是一个面向公众的个人媒体，它使得个人有了更多的机会面向大众，发表自己的观点和看法。

随着技术的不断发展，blog还延伸发展了移动博客（Moblog）、图片博客（Fotolog）、群体博客（Group blog）等多种形式。

维客：原名wiki，通常译为维基，来源于夏威夷语的“wee kee wee kee”，中文为“快点快点”的意思。

wiki的概念始于1995年，当时在PUCC（Purdue University Computing Center）工作的沃德·坎宁安（Ward Cunningham）建立了一个叫波特兰模式知识库（Portland Pattern Repository）的工具，其目的是方便社群的交流，他也因此提出了wiki这一概念。

Wiki 系统创造者的 Ward Cunningham，共同为 Wiki 下了定义：一群相互连接并可自由扩展的网页、一套用来储存与修改信息的超文本系统，所有的网页储存在一套数据库中，任何人透过具有表单功能的浏览器用户程序，皆可轻易加以编辑。

wiki最大的特色就是协同创作、版本控制以及独有的语法规则。

wiki通常用于知识管理系统、百科全书、使用手册等，目前最大的wiki系统是2001年开始运行的wikipedia百科全书系统，可惜在国内被封，无法访问。

奇客：原名“Geek”，也有叫极客的。

Geek也称原指那些性格古怪的人，或是在狂欢节进行奇怪表演的小丑。

在PC革命初期，“奇客”开始衍伸为一般人对电脑黑客的贬称，他们具有极高的技术能力、对计算机与网络的痴迷有时会达到不正常状态，将自己生活的大部份精力和时间都消耗在电脑和网络上。

给大众普遍的印象是：架着厚厚圈圈眼境、头发凌乱或发型古怪、衣着老土古怪，性格偏执离群等。

中文最接近的说法就是“发烧友”，但是比发烧友更富内涵……最近Geek的概念更加大众化，Geek通常指一些在业余时间沉迷在电脑网络上与人交往的人。

不过我更认同Geek是电脑网络的狂热爱好者，但并不一定是电脑高手。

其他比较认可的解释：ComputerGeek from The Jargon-The NewHacker’s Dictionary、ComputerGeek from FOLDOC、What is a geek? by omini。

典型网站：（英文）、（中文） 播客：原名Podcast或Podcasting，这个词是苹果电脑的”iPod”与”广播”(broadcast)构成的合成词，简单的说就是个人的网络广播。

Podcast是数字广播技术的一种，初期借助一个叫iPodder的软件与一些便携播放器相结合而实现。

播客录制的是网络广播或类似的网络声讯节目，网友可将网上的广播节目下载到自己的iPod、MP3播放器中随身收听，不必端坐电脑前，也不必实时收听，享受随时随地的自由。

更有意义的是，你还可以自己制作音频节目，并将其上传到网上与他人分享。

播客颠覆了被动收听广播的方式，使听众成为主动参与者。

播客于2004年下半年开始流行，如今发展迅速，而且也扩展到视频节目的录制。

P 不等于 NP……么？

他的证明目前只有初稿，本来只在私下里流传。

但是有人把它捅到了 Slashdot 那里，于是媒体闻风而动。

一夜之间，似乎人人都开始讨论这则新闻了。

大家这么激动的原因是这个问题实在太过于重要。

它既是数学上的顶尖难题（著名的七个百万美元悬赏的千年数学难题之首），也是计算机科学的基础性问题。

并且和许多别的著名数学难题（例如黎曼猜想或者庞加莱猜想）不同，它对于整个信息产业（从而也对于当今世界的方方面面）具有重要的现实意义。

简单的说，在这里 P 指的是「能够很快被解出的问题的集合」（这里「很快」的严格定义是所谓多项式时间内），NP 指的是「能够很快判定一个解是否正确的问题的集合」。

P/NP 问题一般表述为 P 是否等于 NP，即「是不是一个问题只要能够很快判定一个解是否正确，它就能很快被解出」。

关于这个问题的更详尽的解释，可以参看这篇文章。

人们目前并没有充分证据证明 P = NP 或者 P ≠ NP 两者中任何一个结论，但是大多数人相信 P ≠ NP。

如果 P = NP，整个计算机科学和信息技术都会迎来极为重大的变革。

关于 P = NP 的现实后果，可以参阅这篇笔调略显夸张的文章。

2002 年对该领域专家的一次调查显示，相信 P = NP 以及 P ≠ NP 的专家的比例是 9:61。

以上即为这则新闻的背景。

毫无疑问，人们离断言该问题已被解决还有极为遥远的距离。

众所周知，任何一个著名且重要的难题都会吸引无数人的关注，各种所谓的证明汗牛充栋，其中 99% 都来自没有受过专业训练的外行，没有任何实际意义。

当然这则新闻的主人公并不在此列，他是该领域内一位声名卓著的专家，曾经在这一方向作出过很多重要研究。

但是即便如此，他的证明仍然需要经过严格的审查，很可能它很快就被挑出一个细微然而重要的错误，然后迅速被人遗忘。

这样的故事发生过很多次，以至于专业人士大多对此新闻持以审慎的态度。

佐治亚理工大学的计算机科学家，美国工程院院士 Richard Lipton 在他自己的 blog 里讨论了这篇论文。

简而言之，他认为这是个严肃的，值得认真研究的证明，但是对其中一些证明思路颇为疑虑。

在接下来的一段时间里，他和很多该领域的专家一样会开始严格审阅这篇论文的细节。

即使小概率事件真的发生了，这篇论文最后被证明是正确的，我们的生活会有立竿见影的变化么？答案是不会。

一方面，他证明的是 P ≠ NP 而非 P = NP，这是个相对而言并不太令人惊讶的，冲击力也不算太强的结论（虽然也很困难）。

另一方面，一个理论成果的影响传递到现实世界会经历漫长的过程。

什么是 CSRF攻击？

，即在某个恶意站点的页面上，促使访问者请求你的网站的某个 URL（通常会用 POST 数据方式），从而达到改变服务器端数据的目的。

这一类攻击依赖于你的网页中的表单，脆弱的表单很容易受到攻击。

对于你网站中的访问者而言，可能会受到以下攻击： * 在你的网站之外记录受攻击者的日志（比如：Slashdot）； * 修改受攻击者在你的网站的设置（比如：Google）； * 修改你的硬件防火墙； * 使用受攻击者的登录信息在你的网站中发表评论或留言； * 将资金转移到另一个用户帐号中。

CSRF 攻击的典型是那些使用 cookie 记录登录信息的网站，但对于一些允许某个 IP 地址访问的页面（如内部网），这一类攻击也会奏效。

CSRF 攻击通常会使用到 JavaScript（但不仅限于 JavaScript）实现跨站点自动提交表单－－表单数据可以隐藏，提交按钮可以伪装成链接或滚动条。

* 确定那些接受可改变服务器数据的 CGI 只接受 POST 参数，不接受 GET 参数，一些服务器端语言默认同时接受两种方式提交过来的参数； * 确定表单提交处理的是你自己的表单，可以使用一个隐藏字段中存放MD5字符串，此字符串是将登录 cookie 数据与服务器端存放的密钥进行 MD5 之后的结果，只有这个 MD5 字符串正确时才接受表单数据； * 另外还可以增加一个更为严格的方法：在表单中增加一个时间戳的隐藏字段，并将其包含到 hash 字符串中，如果时间戳超过某个时间，则认为表单已过期。

当表单过期时，给出一个方法可以让用户重新提交表单，比如将用户之前填写的数据依旧放入表单中，但使用一个新的 hash 字符串。

一个PHP的表单例子，表单代码：
); if (time() - $_POST[time] $expire) { //表单已经过期，生成新的时间戳和 hash 字符串，显示表单让用户重新提交。

（此处省略）//….}//表单验证通过，可以接受表单提交的数据，并进行其它操作。

//….?