继被一名俄罗斯学生在2分钟内绕过沙盒被破解之 后,Chrome浏览器再次破相,这次得手的是一位代号为PinkiePie的少年黑客,他在此之前准备了一周多,结合了三个新的漏洞,在一台打了所有安 全补丁运行Windows 7的Dell Inspiron笔记本电脑上利用最新版的Chrome稳定版获得了完全的系统权限。PinkiePie因此获得了第二笔6万美元的大奖,当然奖金也是 Google提供的。
Google员工称PinkiePie是一位有职业道德的安全研究家,他并未将这些漏洞卖给第三方。PinkiePie说自己整个攻击过程里最简单的一步就是在施行最初的攻击之后就跳出Chrome沙盒。他很早就发现了跳出沙盒的办法,但他拒绝谈论具体的技术细节。
目前Pwnium大赛的奖池里还有88万美元。另外说明一下的是之前还有一位黑客也攻破了Chrome,但他利用的似乎是Chrome里捆绑的Flash的漏洞,所以并未拿到奖金。
Update:Chrome Stable分支旋即升级到了17.0.963.79,修复了PinkiePie发现的安全漏洞。
Via Chrome Story
LPI (Linux Professional Institute)启动了 Linux Essentials 认证项目。这个项目是为了新进入开源和Linux领域的人准备的。LPI已经花了两年时间和政府组织,学校等机构来准备这个项目。
“Linux Essentials”的考试将会覆盖Linux的进化史,流行的操作系统,常见的开源软件和协议,命令行操作,系统安全和文件权限等知识。通过考试的参与者将被获得一个有效期为十年的PDF证书,“Certificate of Achievement”。
这个项目将于2012年6月在欧洲,中东还有非洲率先启动,其他地区于2013年启动。参加这个考试的费用是50欧元(学校考场),65欧元(私人考场)。
LPI 是与1999年创建的一个非营利性组织。该组织提供Linux领域独立的考试和专业认证。
原文链接,OSChina.NET 原创编译
编写技术文档,是令众多开发者望而生畏的任务之一。它本身是一件费时费力才能做好的工作。可是大多数时候,人们却总是想抄抄捷径,这样做的结果往往非常令人遗憾的,因为优质的技术文档是决定你的项目是否引人关注的重要因素。无论开源产品或面向开发者的产品,均是如此。 实际上,我想说明的是:对于面向开发者的产品来说,其用户体验中最重要的一环并不是什么主页设计、登录过程、或者SDK下载。真正最重要的是产品的API文档!如果没人知道你的产品如何使用,纵使它巧夺天工,又有何用?
如果你是一个专门从事面向开发者产品设计的工程师,那么编写完善的技术文档,就跟你为终端用户提供良好用户体验一样关键。(API 设计是很聪明的投资,你得到的回报是忠实的开发人员。详见:《为什么“开发人员友好性”是API设计的核心》。)
我见过许多类似的情况,一个项目被草率地扔到GitHub的页面上,仅仅配有两行的readme说明文件。要知道,真正成功的API文档是需要用爱来悉心制作的艺术品。在Parse产品项目里,我们就把自己奉献给了这门艺术!
那么,什么才是制作优秀API文档的关键因素呢?
0. 绝不吝惜使用层次
你的设计文档不应当仅仅直白地列出所有的终端函数和其参数。好的文档应该是一整套有机的系统内容,能指引用户通过文档与API进行交互。退一万步说,你至少让你的文档包含以下几个部分。
参考索引:参考索引应当是一个事无巨细的列表,包含了所有功能函数的繁文缛节。它必须注明所有的数据类型和函数规格。高级开发者要能够拿着它整天当参考书使用。
开发指南:这是介于参考索引和开发教程中间程度的文档。它就仿佛是一篇更加详细的参考索引,阐明了如何使用各种API。
开发教程:开发教程会更加具体地阐述如何使用API,并着重介绍其中的一部分功能。如果能提供可编译运行的源代码,那就再好不过了。
在Parse项目里,我们做到了上述所有三个部分。目前我们正在努力编制更多的开发教程。
另外一个此方面优秀的范例是Stripe’s API(http://www.stripe.com) 。这个产品的文档包括一个很棒的《hybrid guide and reference》,以及一套开发教程。《GitHub API参考》也经过了良好的设计。
1. 不要在例子中包含抽象概念
你可以争辩说,我的API本身就是个抽象体, 抽象就是它的特点。然而,当你在教会开发者如何使用的过程中,还是能不抽象就不抽象比较好。
在你的文档中尽可能地举现实中的例子吧。没有哪个开发者会抱怨你举例太多的。实际上,这种做法能显著地缩短开发者理解你产品的时间。对此,我们的网站里甚至给出一个代码样例加以解释。
3. 减少点击次数
开发者痛恨点击鼠标,这已经不是什么秘密了。千万别把你的文档分散在数以万计的页面当中。尽量把相关的主题都放到一个页面里。
我们非常赞成使用“单页面大指南”的组织形式(链接),这种形式不仅能让用户纵览全局,仅仅通过一个导航栏就能进入他们感兴趣的任意主题,另外还有一个好处是:用户在进行搜索的时候,仅仅搜索当前页面,就能涵盖查找所有的内容。
在这个方面的一个优秀范例是ckbone.js documentation,只要你有个鼠标,一切尽在掌握。
4. 包含适当的快速指南
万事开头难,开发者/程序员学习一套全新的API,不得不重新适应其全新的思维方式,学习代价高昂。对于这个问题的解决办法是:通过快速指南来引导开发者。
快速指南的目的是让用户用最小的代价学习如何利用你提供的API干一些小事。仅此而已。一旦用户完成了快速指南,他们就对自己有了信心,并能向更加深入的主题迈进。
举个例子,我们的快速指南能让用户下载SDK以及在平台上存储一个对象。为此,我们甚至做了一个按钮,来让用户测试他们是否正确地完成了快速指南。这能提升用户的信心,以鼓励他们学习我们产品其他的部分。
5. 支持多种编程语言
我们生活在一个多语言的世界。如果可能的话,为你的API提供各种编程语言版本的样例程序,只要的API支持这些语言。多数时候,多语言的工作都是由客户端库来完成的。要知道,开发者要想掌握一套API,离开他们熟悉的编程语言,是很难想象的。
MailGun’s API为此做出了良好的榜样。它提供了curl,Ruby,Python,Java,C#和PHP等多个版本供开发者选择。
6. 绝不放过任何边界情况
使用API开发应用,所能遭遇的最糟糕的情况,莫过于你发现了一个文档中没有提到的错误。如果你遇到这种情况,就意味着你不能确认究竟是你的程序出了错,还是你对API的理解出了错。
因此,参考索引中必须包含每种假设可能造成的边界情况,不论是显示的还是隐式的。花点儿时间在这个上面,绝对能起到事半功倍的效果。
7. 提供样例应用
在学习结束的时候,开发者希望能看到关于项目产品应用的大致蓝图。达到这一目的最好的办法,莫过于提供可运行的样例应用。我发现,应用程序代码是将API运行机理和系统整合融会贯通最好的办法。
sample code in Apple’s iOS Developer Library 则是这方面做得很好的,它包含了详尽的iOS样例程序,并按主题一一分类。
8. 加入人性化的因素
阅读技术文档枯燥乏味,自然不像坐过山车那样紧张刺激。不过,你至少可以通过加入一些人性化的因素,或者开开玩笑。给你的例子中的变量其一些好玩儿的名字吧,别老是把函数名称叫什么foo之类的,好让你的读者有焕然一新的感觉。
至少,这可以保证你的读者不会读着读着就睡过去。
结论:
若要想深入人心,一个良好的设计文档必不可少。然而,设计一个好文档是需要大量投入才能形成的。但是,这些投入是值得的,因为它的意义和产品本身同等重要。
编写良好文档的另一半诀窍,是要从产品开发的初始阶段就朝着这个方向努力。不过,这就不是本文讨论的范畴了。
英文原文:James Yu 编译:伯乐在线
自从 Twitter 宣布支持 SPDY 后,我想如果在浏览的时候显示正在使用 SPDY 的话,那该多酷。
因此我开发了一个 Chrome 扩展,源码在 Github.
关于 SPDY 的介绍请看这里。
检测 SPDY
Chrome 输出一个名为 wasFetchedViaSpdy 的参数做为 loadTimes 对象的一部分:
if (window.chrome.loadTimes().wasFetchedViaSpdy) {
// SPDY!
}
Via devthought
在攻下了 Megaupload 以后,黑客组织 Anonymous 的 DoS (denial of service)大炮最近好像消停了。
2月28日 Anonymous 使用他们的DoS工具“Low Orbit Ion Cannon”攻下了 Interpol 的网站 ,但是威胁攻陷更大的网站并没有实现。有人猜测他们正在计划攻陷整个 Internet 的 DNS 系统。Anonymous 对目前的 DoS 工具并不满意,他们正在开发下一代的攻击武器,利用 DNS 自身作为武器的一部分。
更多 DNS 武器的细节请 查看原文。