2015年3月31日星期二

阅收藏:中国高考可能加入国学

中国教育部在高校加强了国学教育,而中小学的强化国学教育也在有条不紊的进行之中。 国内第一套高中传统文化通识教材预计将于今年9月出版,四册分别为《论语》《孟子》《大学·中庸》和《道德经》。 至此幼儿园、小学、初中、高中各阶段标准化传统文化教材的研发工作已经完成。中国国学文化艺术中心秘书长张健表示,目前各地高考改革的几个信号均指向国学,但考什么、怎么考又是一个难题。专家建议,不应以文言文字词解释等传统形式考查,应关注考生如何消化吸收传统文化中的哲学素养和思想韬略。此次即将出版的高中阶段传统文化通识教材共有4册,供高中一、二年级使用。高一学习《论语》《孟子》,高二学习《大学·中庸》和《道德经》。其中《道德经》为原文全本讲解,另外三册则是按主题归类讲解。如《大学·中庸》一册,分为“慎独”“齐家”“格物致知”“中和”“为政”等章节。















via Solidot

阅收藏:每周转载:关于 GitHub 和 GFW 的 PK(第2季)

阅收藏:中国对GitHub发动的是Man-on-the-side攻击

安全研究人员发布了GitHub遭受DDoS攻击的分析报告。对GitHub的攻击至今已持续120多个小时。研究人员认为,中国采用的攻击方法是类似中间人攻击的Man-on-the-side攻击,中间人攻击是完全控制一个网络节点,而Man-on-the-side攻击则是攻击者监听通信信道植入新信息。整个攻击过程简而言之:一名无辜的用户在中国之外访问中国网站;用户访问的一个网站需要载入一项服务的脚本,比如百度统计的脚本;中国的一个被动检测设施探测到了浏览器发出的百度脚本请求,它发回了伪造的响应而不是百度脚本,伪造的响应是一个恶意的脚本,它告诉用户的浏览器反复加载GitHub.com的两个特定页面。攻击者至少劫持了10个百度域名的脚本,其中包括了统计和广告。大约1%的中国网站海外用户遭到劫持。这次攻击展示了中国主动和被动网络过滤设施是如何的庞大,它不能再被视为审查中国网民互联网流量的一种技术,而是能在访问中国网站的无辜网民的帮助下对全世界目标发动DDoS攻击的一个平台。















via Solidot

阅收藏:外交部回应GitHub遭来自中国的DDoS攻击

在周一的例行外交部记者会上,有记者询问了开源代码托管网站GitHub遭到100多小时DDoS攻击而攻击源头位于中国一事。发言人华春莹回答说,“近期似乎只要是美国或者其他哪个国家有网站受到攻击,就会有人联想是不是中方黑客所为,这很奇怪。我想提醒你,中国是网络黑客攻击的最主要的受害者之一。我们一直强调,中方希望同国际社会一道,加快制订国际规范,共同维护好网络空间的和平、安全、开放与合作。希望各方都能以积极、建设性态度合作应对网络黑客攻击问题。”她的话基本上相当于什么都没说。对于中国是攻击者还是受害者,实际上很容易回答:有哪个实体有能力在国际出口边界上劫持最大中文搜索引擎的流量,用恶意攻击代码替换百度的合法JS脚本?















via Solidot

2015年3月29日星期日

阅收藏:对GitHub的大规模DDoS攻击已超过80个小时

对GitHub的大规模DDoS攻击已超过80个小时,攻击者此举显然是为了迫使GitHub移除反审查项目Greatfire。DDoS攻击产生的史翠珊效应(Streisand effect)反而让更多人知道了Greatfire。攻击者先后使用了四种DDoS技术攻击GitHub(未完全确认):第一波是创造性的劫持百度JS文件利用中国海外用户的浏览器每2秒向托管在GitHub上的两个反审查项目发出请求,这一手段被GitHub用弹出JS警告alert()防住;第二轮是跨域 <img> 攻击,被GitHub检查Referer挡住;第三波是DDoS攻击GitHub Pages;第四波是正在进行中的TCP SYN洪水攻击,利用TCP协议缺陷发送大量伪造的TCP连接请求,让GitHub耗尽资源。对于Greatfire所实现的collateral freedom(PDF),也有许多人对此表达了不满,Greatfire的做法让一些CDN服务商遭到了封杀,而GitHub是最新的受害者。















via Solidot

阅收藏:暗物质比以前认为的更神秘

天文学家根据哈勃和钱德拉太空望远镜的观测得出一个结论:暗物质不仅无法直接观测到,甚至对它们自己而言也是无形的。两个星团碰撞,恒星、气体云和暗物质云会以不同的方式发生作用。恒星除非直接碰撞它们只会彼此呼啸而过,气体云则会降低速度甚至停止运动,暗物质云的碰撞被认为与恒星相互类似,彼此几乎没有影响。我们可能会假设均匀散布在星系团中的暗物质云可能会和气体云那样发生强相互作用。但研究人员发现,暗物质云彼此之间无缝的滑过对方,就好像暗物质不存在那样。















via Solidot

阅收藏:揭秘俄罗斯的职业五毛党

发表在俄罗斯国内网站和境外网站上的大量亲克里姆林宫帖子和评论是专业五毛党发的,他们中许多人的薪水高于全国的平均薪水。俄罗斯最著名的五毛工厂叫互联网研究中心,其办公地点位于圣彼得堡的Savushkina Street,他们实行的是12小时轮班24小时工作制。最近几周,前雇员开始公开谈论他们的职业五毛生活。为了研究克里姆林宫如何操纵舆论,亲西方的博客Marat Burkhard在互联网研究中心工作了两个月,他指出操纵舆论的策略相当高明:在俄罗斯和国际政治相关问题上制造假的争论,其中包含亲西方的观点,但最终总是亲克里姆林宫的观点获胜。Burkhard说,发帖数有指标,达到指标就立即能拿到4.5万卢布的薪水:在12小时轮换期间发表135条评论,每条评论不能少于200字,所以工作人员需要不停的打字。互联网研究中心有LiveJournal部,新闻部,图像和讽刺画创作部,视频创作部,有乌克兰语部,英语部...Burkhard所在部门有20人,他说有外语技能的雇员薪水更高,月薪可能超过6.5万卢布。他称互联网研究中心就是当代的真理部。















via Solidot

2015年3月28日星期六

阅收藏:对GitHub的DDoS攻击在继续,百度否认与其有关

根据Github状态信息报告,对GitHub的DDoS攻击在继续,攻击者已经多次调整了策略:最早是中间人劫持百度的分析和广告JS明文文件,然后在被GitHub用JS弹出警告信息引起广泛关注后停止了劫持,接着是转移到攻击静态页面和资源,致使GitHub网站访问缓慢;现在它再次开始调整,GitHub也在继续跟着适应和削弱攻击。对于百度分析和广告JS文件被替换为恶意攻击代码一事,百度安全在微博上声称与它无关,“经过仔细排查,已经排除自身产品的安全问题和黑客攻击的可能。我们也已经向其他网络安全机构通报情况,共同对相关问题进行进一步诊断。”攻击者替换的攻击GitHub的恶意JS代码也被人仔细分析了一番,被认为太业余。目前被攻击的两个项目之一的greatfire已经恢复到正常内容。















via Solidot

2015年3月27日星期五

阅收藏:Github证实遭到DDoS攻击,HTTP劫持已停止

Github的状态信息证实它从3月26日起遭到了超过24小时的持续DDoS攻击,目前攻击已经停止,因为防火长城不再劫持百度的JS脚本文件了。此次攻击采用的是HTTP劫持,加密连接不受影响。攻击者的设备设在国际互联网和国内互联网的边界上,用恶意的代码替代百度的JS文件,载入恶意代码后用户的浏览器将会每2秒访问域名https://github.com/greatfire/和https://github.com/cn-nytimes/,也就说访问国内网站的国外访问者联合对Github发动了DDoS攻击,Github的反制措施是用alert("WARNING: malicious javascript detected on this domain")替换了原网页的内容。这是值得纪念的一天。















via Solidot

阅收藏:百度联盟广告脚本被插入攻击GitHub代码

如果你在国外,访问cbjs.baidu.com/js/m.js显示的代码和在国内访问该网站的代码是不同的(如图为国外访问内容)。该地址是百度广告联盟的JS脚本。该脚本插入了攻击GitHub(greatfire和cn.nytimes)的代码,也就说如果从国外或代理服务器访问嵌入百度广告联盟脚本的网站,你相当于在帮助发起针对GitHub的DDoS攻击。暂时不清楚这些代码是否是百度植入的。















via Solidot