瞎摆摆

csdn悲剧了。。600w用户资料泄漏，包括明文密码

威廉 — Wed, 21 Dec 2011 16:05:55 +0800

KindEditor：在线Html编辑器的另一选择

威廉 — Wed, 05 Oct 2011 21:55:13 +0800

今天发现了一个不错的Html编辑器 KindEditor，替换了一个项目原先使用的FCKEditor.

目前主流的在线编辑器是FCKEditor/CKEditor/TinyMCE，FCKEditor比较陈旧，界面丑陋，图片上传也不好用，CKEditor是FCKEditor的升级版，比较庞大，加载时间长，并且不带图片上传，图片上传需要集成另外一个CKFinder
TinyMCE不熟（虽然现在写这篇blog正在用的就是TinyMCE）

KindEditor 目前版本4.0，可以免费下载使用
官网：http://www.kindsoft.net
在线演示：http://www.kindsoft.net/demo.php

基于nginx的pop3/imap/smtp的反向代理解决方案

威廉 — Wed, 31 Aug 2011 13:05:49 +0800

本文介绍基于nginx的邮局反向代理配置方案。nginx对来源于客户端的pop3/smtp/imap请求予以转发到后端postfix，后端邮件服务器采用postfix 2.8.0，已配置并正常运行。

本方案参考 Using a php script on apache server as the auth backend ，并基于此方案进行改进，并增加了对smtp的代理。

环境配置：centos 5.5 + nginx 1.0.4

软件安装：

yum groupinstall 'Development Tools' -y
rpm -Uhv http://apt.sw.be/redhat/el5/en/i386/rpmforge/RPMS/rpmforge-release-0.3.6-1.el5.rf.i386.rpm
yum install libxml2-devel libxslt-devel pcre-devel libtool-ltdl libtool-ltdl-devel

cd /usr/src
wget http://nginx.org/download/nginx-1.0.4.tar.gz
tar -zxf nginx-1.0.4.tar.gz
cd nginx-1.0.4
./configure –prefix=/usr/local/nginx –with-mail –without-http
make && make install

配置nginx.conf：

#user nobody;
worker_processes 1;
error_log logs/error.log info;
events {
    worker_connections 1024;
}
mail {
    auth_http 指定IP:80/auth.php;
    pop3_capabilities "TOP" "USER";
    imap_capabilities "IMAP4rev1" "UIDPLUS";

    server {
            listen     110;
            protocol   pop3;
            proxy      on;
    }
    server {
            listen     143;
            protocol   imap;
            proxy      on;
    }
    server {
        listen    25;
        protocol    smtp;
        proxy    on;
        smtp_auth login plain;
        xclient    off;
    }
}

说明：
1.安装nginx时禁掉了http（–without-http），因为我们的目标只是转发pop3/smtp/imap请求，故nginx.conf也是相当简单，只有mail模块。如果还需要代理80端口（例如webmail），可以自行编译对http的支持。

2.smtp的配置模块里必须加入xclient off，否则当nginx向后转发smtp请求时，postfix将报“lost connection after XCLIENT”，同时nginx报“550 5.7.0 Error: insufficient authorization”. nginx对smtp的代理，与pop3/imap是不同的，详细见后文。

3.指定IP是用于认证的，需要放认证脚本auth.php. 认证脚本的作用就是验证用户和密码，一般自定义，可以放在任意的服务器上。本方案中选择放在后端邮件服务器上，便于管理。

这里有一个问题，postfix本身已经集成了认证机制（本人采用的是cyrus sasl2+courier-authlib），为什么加了反向代理，认证过程就要移动到反向代理上呢？这样岂不是就变成非透明代理了吗？为什么不作纯碎的透明代理呢？
根据测试，如果这个认证脚本不设验证，直接透传所有pop3/imap请求到后端，在后端邮件服务器还会进行一次认证，但是对于smtp请求，将不再认证，而直接按照转发规则进行转发（因为反向代理的ip加到了postfix的mynetworks中，见后文）。这两种不同的差异应该是跟协议有关。
为了保持统一，在本文的方案中，auth.php集成了pop3/imap/smtp的三种认证。这样的功能架构类似于游戏服务器的，登录服务器和游戏服务器是分开的。

4.在邮件服务器postfix/etc/main.cf中，修改mynetworks值，加入本反向代理的ip，并重载postfix：postfix -s reload

关于xclient：xclient的作用，是将前端的服务器模拟作为一个邮件客户端，而向后端的postfix进行认证和执行发送，但是postfix还需要一个打patch才能完美支持xclient。
关于此问题的讨论可以参见 http://forum.nginx.org/read.php?2,173197,173246#msg-173246

auth.php：

<?php
/**
* @see xiabaibai.net
*/
if(!isset($_SERVER ["HTTP_AUTH_USER"] ) || ! isset($_SERVER ["HTTP_AUTH_PASS"] )) {
    fail(0);
}
$username = $_SERVER ["HTTP_AUTH_USER"];
$userpass = $_SERVER ["HTTP_AUTH_PASS"];
$protocol = $_SERVER ["HTTP_AUTH_PROTOCOL"];

$backend_port = 110;
if($protocol == "imap") {
    $backend_port = 143;
} elseif ($protocol == "smtp") {
    $backend_port = 25;
}

list($uid, $domain) = explode("@", $username);

$auth = authuser($username, $userpass);
if(!$auth) fail (-2);

pass($_SERVER["SERVER_ADDR"], $backend_port);

//自定义认证，sql查询或者api
function authuser($user, $pass) {
    return true;
}

function fail($code) {
    switch($code){
        case 0: header("Auth-Status: Parameter lost"); break;
        case -1: header("Auth-Status: No Back-end Server"); break;
        case -2: header("Auth-Status: Invalid login or password" ); break;
    }
    exit();
}

function pass($server, $port) {
    header("Auth-Status: OK" );
    header("Auth-Server: $server" );
    header("Auth-Port: $port" );
    exit();
}

?>

win7下安装ESET NOD32 Antivirus RC 5（精睿汉化）后导致无法进入桌面

威廉 — Thu, 25 Aug 2011 12:39:02 +0800

nod32这个版本跟系统有冲突：

版本：5.0.84.0 RC
语言：简体中文
类型：纯净版
授权：试用三个月
适合32位系统：XP/Vista//Win7/2003/2008
封装：麦田守望者
来源：精睿(vc52).网络安全

我的系统：
主板：技嘉GA-G41MT-ES2L
独显：nVIDIA GeForce 210
操作系统：win7

问题表现：
启动到账户登录界面，输入密码后，一直显示欢迎界面，卡死，或几十秒后直接黑屏，按Ctrl+Shift+Del能启动任务管理器，但执行任何操作均死掉。

解决方法：
一开始以为是显卡驱动问题，进安全模式卸载并重装了独显的驱动，无效。然后拔掉独显，并重装了主板的驱动、主板集成显卡的驱动、网卡驱动，均无效。
怀疑不是驱动问题，是软件冲突，再次进到安全模式，通过XueTr查出没有数字签名的几个服务：Daemon Tools Lite, nod32, 还有一个迅雷的基础组建服务，全部禁用，终于可以进入桌面。然后逐一筛选，终于定位到nod32这个元凶，卸载，然后到官网下了一个4.2版本的，装好一切正常。

ESET NOD32 防病毒软件 4.2 官网下载地址

注：
nod32是个可靠的杀毒软件。精睿软件园是很有名气的nod32发布地，之前一直从精睿下载集成了id获取器的nod32版本，在360闹事的那段时间还推荐给了朋友。
这个有问题的版本是5.0.84.0 RC. 如果从官方下载了nod32，而苦于寻找id的话，可以单独下载精睿的id获取器。当然，买正版是最好的。

ESET VC52 WebID （ESET ID获取工具） 1.2.0.0

飞影的故事

威廉 — Mon, 11 Jul 2011 21:35:11 +0800

重温幽游白书。富槛只用一页就讲述了飞影充满传奇色彩的故事。

忌子飞影，出生于冰河之国的凶恶孩童，养父母是盗贼。喜欢看见皮肉遭利刀划过后，尚未出血时的刀痕，而且喜欢听见受伤时哀嚎声，对于冰河的那群女子会抛弃他的心，是可以理解。

知道母亲所给的信物冰泪石是贵重的宝石，却向盗贼炫耀，而故意挂在脖子上，所以每天都过着刀口淌血的日子。

对于找寻冰河之国一事，已经渐渐不重要了，因为每天都太忙了。

冰河之国已经变成凝视冰泪石时，偶尔想起的故乡罢了。

就在大开杀戒之后，当地的盗贼都因畏惧面躲的远远的。所以，凝视冰泪石的时间相对增加了。于是渐渐……发现自己在凝视冰泪石时，心灵就会平静下来。

唯有凝视着冰泪石时，表情才缓和。透过这颗拥有不可思议力量的石子，想起了那位创造这颗石子与自己的人。寻找冰河之国的目的也随之而改变了。

离开了地盘后，便会遇上新的敌手，其中不乏有厉害的家伙。一时的大意，母亲的冰泪石跌落悬崖深渊，使得寻找的目标又多了一个。需要能看到更远更透的眼睛。

为了装上邪眼，除了必须忍受极大的痛楚之外，还得失去多年修行得来的妖力。不过，当时的自己却不以为然……

因为，对于一时大意而遗失冰泪石的自己，始终无法原谅。

用邪眼找到了冰河之国。悄悄地回到故乡，见以冰女们终日生活在痛苦中，于是改变了心意，决定不杀她们。因此复仇的任务结束了。

城旁角落荒墓上的墓碑上发现了母亲的名字。并没有生气，因为知道这是母亲的意思。

此行所得的收获是得知了妹妹名字叫雪莱，而且失踪数年了，于是又找到了一个新的生活目标。你的一生仿佛是为了漂泊而生存着。

经过一番曲折，在人界有段不可思议的曹遇。然后又改变了！

与某个奇特的人战斗，你遇见了妹妹，当然她不认识你，而你也不会她，你希望维持目前的关系就好。

再来只要找到自己的冰泪石就行了，而且在人界的战斗也差不多满足了你的胃口。

可是，“要是你遇见了我哥哥，请把这个交给他”，“这颗并不是我的冰泪石”当你心中这么告诉自己时，感到生活目标被扼杀的虚无感。

你的生活只剩杀戮而已，所以你考虑到死亡的问题。你的意识是我所接触过心地最善良的家伙。

maildroprc 自动创建邮箱文件夹并订阅

威廉 — Mon, 20 Jun 2011 19:25:17 +0800

roundcube有个bug，没有自动订阅邮箱的4个folder（Sent Trash Drafts Junk），于是写了一个插件，放在login_after回调里：

public function login_after($data){
        $rcmail = rcmail::get_instance();
        $default_imap_folders = $rcmail->config->get('default_imap_folders');
        $rcmail->imap_connect();
        if(is_object($rcmail->imap)){
          $a_mailboxes = $rcmail->imap->list_unsubscribed();
            $need_subscribed = array_intersect($default_imap_folders, $a_mailboxes);
            $need_subscribed = $default_imap_folders;
            if(count($need_subscribed)>0){
                foreach($need_subscribed as $folder){
                    if (!$rcmail->imap->mailbox_exists($folder))
                          $rcmail->imap->create_mailbox($folder, true);
                      else $rcmail->imap->subscribe($folder);
                }
            }
        }
    }

这样每次登录都回去检查没订阅的邮箱，并且自动订阅，如果不存在则创建（兼容一部分转移过来的丢失folder的老用户）
今天细想，这个工作应该是在maildrop里完成，于是改进了一下maildroprc：

`/usr/bin/test -d $HOME/Maildir/.Sent`
if( $RETURNCODE == 1 )
{
EXTENSION = "Sent"
log "\"$MAILDIRMAKE -f $EXTENSION $DEFAULT\""
`$MAILDIRMAKE -f $EXTENSION "$DEFAULT"`
`if ! grep -q INBOX.$EXTENSION $DEFAULT/courierimapsubscribed; then echo INBOX.$EXTENSION >> $DEFAULT/courierimapsubscribed; fi`
}

`/usr/bin/test -d $HOME/Maildir/.Trash`
if( $RETURNCODE == 1 )
{
EXTENSION = "Trash"
log "\"$MAILDIRMAKE -f $EXTENSION $DEFAULT\""
`$MAILDIRMAKE -f $EXTENSION "$DEFAULT"`
`if ! grep -q INBOX.$EXTENSION $DEFAULT/courierimapsubscribed; then echo INBOX.$EXTENSION >> $DEFAULT/courierimapsubscribed; fi`
}

`/usr/bin/test -d $HOME/Maildir/.Drafts`
if( $RETURNCODE == 1 )
{
EXTENSION = "Drafts"
log "\"$MAILDIRMAKE -f $EXTENSION $DEFAULT\""
`$MAILDIRMAKE -f $EXTENSION "$DEFAULT"`
`if ! grep -q INBOX.$EXTENSION $DEFAULT/courierimapsubscribed; then echo INBOX.$EXTENSION >> $DEFAULT/courierimapsubscribed; fi`
}

`/usr/bin/test -d $HOME/Maildir/.Junk`
if( $RETURNCODE == 1 )
{
EXTENSION = "Junk"
log "\"$MAILDIRMAKE -f $EXTENSION $DEFAULT\""
`$MAILDIRMAKE -f $EXTENSION "$DEFAULT"`
`if ! grep -q INBOX.$EXTENSION $DEFAULT/courierimapsubscribed; then echo INBOX.$EXTENSION >> $DEFAULT/courierimapsubscribed; fi`
}

if (/^X-Spam-Status: Yes/ )
{
EXTENSION = "Junk"
log "\"$MAILDIRMAKE -f $EXTENSION $DEFAULT\""
`$MAILDIRMAKE -f $EXTENSION "$DEFAULT"`
`if ! grep -q INBOX.$EXTENSION $DEFAULT/courierimapsubscribed; then echo INBOX.$EXTENSION >> $DEFAULT/courierimapsubscribed; fi`
to $HOME/Maildir/.$EXTENSION/
}

要是maildroprc的语言支持循环的话，就能更省一些。简单备注一下：
$RETURNCODE==1，表示为false（估计是沿用c++的）
$DEFAULT是预定义的变量，为邮件投递的全路径
courierimapsubscribed文件放于邮箱Maildir下，控制邮箱的订阅与否

参考：
http://www.ajaxstu.com/Mailfuwuqi/257893.html
http://gogs.info/wiki/debian/maildrop

postfix实践记录

威廉 — Thu, 09 Jun 2011 12:51:19 +0800

最近在搞postfix. 邮局应该是互联网最早的一代应用，发展至今二三十年，软件和架构都非常成熟，搭建和配置也相当灵活，本文记录一下实践过程中的点滴。

配额管理

用户的配额都是放在数据库中，而邮件系统获取配额记录有两种方式。

方式1：通过postfix的virtual_mailbox_limit_maps指定

virtual_mailbox_limit_maps = mysql:/usr/local/etc/postfix/mysql/mysql-virtual-quota.cf

内容：

hosts = IP
user = DB_USER
password = DB_PASS
dbname = DB_NAME
table = mail_users
query = select quota from mail_users where email='%s'

方式2：通过courier-authlib+courier-maildrop指定。其中authlib用于认证，maildrop用于投递，由postfix调用

编辑courier/authlib/etc/authlib/authmysqlrc：

MYSQL_SERVER        mysql.example.com
MYSQL_USERNAME        admin
MYSQL_PASSWORD        admin
MYSQL_PORT        0
MYSQL_OPT        0
MYSQL_DATABASE        mysql
MYSQL_USER_TABLE    passwd
MYSQL_CRYPT_PWFIELD    crypt
MYSQL_QUOTA_FIELD    quota
MYSQL_UID_FIELD        uid
MYSQL_GID_FIELD        gid
MYSQL_LOGIN_FIELD    id
MYSQL_HOME_FIELD    home
MYSQL_NAME_FIELD    name

各个字段分别与数据库中的相应项对应，认证程序即通过这些字段构造sql向db查询。
在每个邮箱Maildir目录下面，会有一个maildirsize文件，用于存放配额。实际测试证明，当配额调整后，maildirsize不会立刻被重写，只有当用户收发邮件时，触发maildrop程序，才会更新maildirsize.

两种方式有何优劣，待研究。

限速

即限制用户单位时间内的邮件发送量，也是两种方式，均采用第三方软件。

方式1：policyd. 强大的反垃圾邮件过滤器。

安装policyd（本人用的v1.9），在配置文档中设定端口（设定的是10032），导入sql建好数据库表，并指定在postfix的main.cf中挂接policyd插件：

smtpd_end_of_data_restrictions = check_policy_service inet:127.0.0.1:10032 permit

也可以加到smtpd_recipient_restrictions中，区别是smtpd_end_of_data_restrictions是在收到客户端END-OF-DATA命令后调用过滤器（也就是从客户端收完待发的邮件数据后），而smtpd_recipient_restrictions是在收到RCPT TO命令后调用，SMTP交互的过程中，RCPT TO在END-OF-DATA之前，放在END-OF-DATA会消耗更多的带宽和处理时间。这里放在smtpd_end_of_data_restrictions后，我想应该是考虑通过获取更多的邮件头以备调用policyd更复杂的过滤规则。

在policyd的配置中，关于收发限制是以下参数（部分）：

# —- SENDER THROTTLE —-
SENDERTHROTTLE=1 是否开启发送限制
SENDERMSGLIMIT=150 单位时间内，用户能发送的邮件数量上限
SENDERQUOTALIMIT=250000000 单位时间内，用户发送发送邮件的总大小上限
SENDERRCPTLIMIT=86400 单位时间内，用户发送邮件的接受者的数量上限
SENDERMSGSIZE=1024000000 能发送的最大邮件字节数
SENDERTIMELIMIT=24h 单位时间

# —- RECIPIENT THROTTLE —-
RECIPIENTTHROTTLE=0 是否开启接受限制
RECIPIENTMSGLIMIT=100 单位时间内，用户能接收的邮件数量上限
RECIPIENTTIMELIMIT=24h 单位时间

这些参数基本上是初始设置，也即在创建邮箱账户的时候所insert到db中的值。我们可以通过编程式的手段来直接操作db，对不同邮箱账户或域进行动态调整，非常灵活。

方式2：milter-limit

安装milter-limit，在postfix的main.cf中挂接：

smtpd_milters = unix:/var/run/milter/milter-limit.socket

配置是通过makemap生成：

makemap hash /etc/mail/access.db < /etc/mail/acces

对于管理系统来说，由于发送限制的配额是存放于db中，这种就需要一个定时程序，先从db查询并生成/etc/mail/acces，然后通过makemap生成hash，再重启milter-limit：

/usr/local/etc/rc.d/milter-limit.sh start restart

php cli模式执行脚本，报Extension ‘**.php’ not present.的问题解决办法

威廉 — Thu, 02 Jun 2011 16:52:36 +0800

以php cli模式执行脚本a.php，通常需要在脚本a.php首行加入以下代码：

#!/usr/local/php/bin/php

这样指定了php路径，即可直接将php脚本当成可执行文件调用：

chmod +x /usr/local/script/a.php
/usr/local/script/a.php

等效于/usr/local/php/bin/php /usr/local/script/a.php

今天发现有些脚本无法运行，报错“Extension '**.php' not present.”：

检查php所有配置均正常，首行的路径也指定。

google这个问题，发现也有人遇到，不过是在放到crontab中的时候执行不了。

在这个帖子中，http://ubuntuforums.org/showthread.php?t=861410，有人提到可能是win换行符导致：

打开我的代码一看，确实多了^M，这个win下的"\r"字符：

去掉首行的这个"\r"，保存后即可正常执行。

24完结

威廉 — Tue, 25 May 2010 23:11:00 +0800

《24》终于完结了。虽然第八季的最后两集刚下完还没看，但是还是想提前感叹一下。8年，8季，一部最好看的电视剧在今天成为历史。它是我最早开始接触的美剧（貌似很多人最早看的是friends吧），陪我度过了5个年头，192个小时。英勇无比的鲍小强简直就是神话，他经历的险境给我们这些热血青年灌注了无比强大的个人英雄主义。即使现在好看的美剧那么多，还经常下载以后来不及看，但24仍然是每周第一时间收割的。水木美剧版上，已经有许多剧友发表感慨，缅怀一路看过的24。其实很多季的剧情已经记不得了，很多人物也都已模糊，但是那种让人绷紧神经的感觉仿佛已经深入脑中，滴答滴答的4声计时亦然余音绕梁。萨瑟兰饰演的鲍尔还是那么年轻、有气势（以前一直纳闷导演居然找了这么矮的一个演员演这么牛逼的特工），感觉他以后要是拍其他电影恐怕都难。24足以载入史册，与friends、越狱、lost等一并为广大美剧爱好者所称道。留此一文，谨以纪念。

BMW之悦广告欣赏：缔造乐趣分享感动

威廉 — Thu, 22 Apr 2010 21:06:17 +0800

我们制造汽车
更创造无限激情
让灵感天马行空
让梦想化作现实
我们以创新定义未来
赋予科技情感
让每一次的体验
都带来心灵的感动
BMW之悦
缔造乐趣分享感动

BMW的新广告创意，每一句的用词都那么完美，聆听即是享受。

瞎摆摆