這篇文章作者說他是從國小課本看來的,如果這是真的,搞科普的大概要哭了。古代的土地不像現代這樣寸土寸金,也不是人人都有土地,測量土地不需要這麼精確,應該犯不著為了策量土地而發展數學,數學的發展經常是很緩慢的過程數百年才有天才出,為了買賣土地而發展數學緩不濟急。
以目前所知的數學史,現代所知的三角學是希臘人Hipparchus創始的,目的是研究行星跟恆星的運動。三角學後來由埃及人托勒密集大成出書名為「數學彙編」,然而這本書的阿拉伯書名是「天文學大成」。
繪製我們今天所知道的世界地圖是確定地球是圓球之後的事情,這是非常長的故事,或許已經可以單獨出一本書了。建議有興趣的人不要看國小課本胡說,推薦一本數學史的書:商務印書館出版的「數學:確定性的失落」,翻譯的不錯,值得一讀。 網頁說明1
維基百科上說九九乘法表在13世紀是大學教材。寫程式是很好的邏輯訓練,也能讓抽象的數學變得更具象。我覺得小孩開始學習寫程式滿好的,就像文科理科都要學數學一樣,只是重點不同,寫程式不是資訊系的專長,而是每個科系都可以作的事情。BBC甚至還有硬體,這滿有意思的。
但是,這種通才觀念在台灣大概還要很久很久吧,有個參考指標:那些資訊大老每次出來談話都說要科技整合、要有人文素養等等的,但是他們的公司的徵才條件,一定也還是科系分明,非資訊相關科系畢業不可,就算是成績很爛也還符合應徵門檻。非相關科技就算有十年經驗也不能應徵。我想他們並不是故意講一套作一套,而是台灣社會整體上要達到了解通才教育與人才養成的目標,還非常遙遠。
像是Awoo那個哲學系畢業創辦人是很不簡單,不要說是哲學系,甚至是數學系也還有HR不知道跟電腦有關係,他如果在求職網站大概是沒機會進入資訊業,更別說獵人頭公司的那些專員,就算他們懂他們的客戶也不見得接受,說不定還會認為獵人頭公司沒有專業知識亂推薦,這是社會整體觀念落後造成的情況。
我是用2010年中的macbook pro安裝Office 2011版,非常龜速,本以為加記憶體會改善,記憶體加倍了一樣慢。不得已只好買Pages用看看,本以為這不到一千塊的Pages勉強用一用就好,沒想到一試成主顧。雖然有些小問題,譬如一個表格的cell如果很長,它無法跨頁,只能自成一頁,這讓我得要調整內容、行距之類的來應對。
但是以前用word的時候,從來沒有人說我的文件「編輯得很漂亮很專業」,用Pages之後,我在不得不在它的「限制」跟相對於word「功能不多」的情況下,把文件做出質感。最重要的是,它很快,快得跟兔子一樣,在Mac上,MS的Word, PowerPoint, Excel就跟三隻小烏龜。於是後來我又買了Keynote,用起來一樣好用。Number我是沒買,因為Google Spreadsheet已經夠好用了。我保留Office是因為要開啟別人的檔案而已。
去年我曾經懷疑過慢是因為我的Macbook老舊的緣故,於是跑去Mac專賣店試用最高檔的機款,結果一樣差不多,Lag很明顯。新版Office for Mac 就算不用錢,我都不見得會升級,畢竟只是轉檔而已,夠用就好。
可能我的第一句話有點語病,讓人讀起來誤以為我說他在server上存放明碼,不是這樣,看我的第二句話有說「在server上加密...」也可以佐證那不是我的意思。我不致於認為LassPass這麼stupid。
我想表達的是,用戶必須把明碼交給LassPass管理跟使用,所以LassPass是否值得信任是一個重點,問題不在加解密在哪裡做的,而在於是誰做的。如果今天LassPass是小米,那就免談了。問題是,LassPass是誰,又有誰知道呢,沒有FBI的壓力嗎,這都是無法知道的。所以,的確,這是取捨的問題。
話說為來,它說「 Your key never leaves your device」這句話應該也是有語病的,如果是這樣不可能做到BYOD,跨device分享password的功能,一定要把key depoly過去吧,這樣就leave device了。
它會自動替用戶填上密碼表示他的實際意義是存明碼,在server上加密用的是它的key,不是用戶的key,是它在防外界(包括用戶)。但用戶應該擔心的是如何信任它,所以是用戶怎麼防它的問題。就算key pair是用戶提供的,只要明文密碼是它替用戶填的,它是經手人,這就有men-in-the-middle的風險,(它既加密又解密,表示它兩把key都拿得到,這key pair是誰提供的無關緊要,以此看來它似乎不需要搞兩把key)。如果要使用別人做的系統來管理資安很難禁得起無限上綱的拷問而不崩潰的,但風險的性質是要有所了解的。
再說後台那個大資料庫。一定是所有用戶的加密後的密碼放在上面,它肯定有public IP,否則他不能作BYOD。這就等於是一大群聚集在一起的小魚,自然會吸引鯨魚跟鯊魚來捕食。而且,如果它能pass decryption key到mobile device上(BYOD),那表示一定還有更肥的一群魚在那裡(key 資料庫)。如果是decryption key是離線安裝的,那在deployment上會很麻煩,員工離職時也有解除的困擾。(當然,為了安全麻煩一點有時無法避免)
這家公司的資安是必須稽核的重點,如果要使用這樣的方案,平常就要準備好替這家公司資安辯護的資料,免得大老闆一來,一句話就被考倒了。那種平常在商場上打滾的人,對別家公司的信任度很低(或說敏感性很高),最愛拷問這類問題,但通常一問就是大哉問的好問題,因為資安不能不考慮到信任。
乍看之下,LassPass的方式像是一個集中管理密碼明文的資料庫系統,原理單純。使用者還是會接觸到密碼,所以應該是管理密碼明文,統一管理的好處是可以把哪些不守規矩沒有遵守密碼設定原則的傢伙揪出來,他不少功能是屬於糾察隊性質的功能,所以這系統的著眼點在「管理」。共用帳號的問題不是這系統要處理核心問題。但如果離職不是經常發生,每次有人離職就強制所有人換密碼,並且監看是否有人不合群一直提醒他,用這種管理方式來處理,或許這種系統就可以派上用場。
如果不是大型公司或機構,大概用不到那些safety guideline enforcement跟BYOD這一類抬高價格的花邊功能,這似乎是一個讓新手當練習的好題目。
今天剛替朋友處理一件資安事件,我朋友去附近某國創業,當地雇用的IT把自己的帳號設定成super admin,後來因故離職之後,不時上線搗亂替同事重設密碼藉以要脅。甚至還打越洋電話來騙我把DNS hosting轉給他。好在我做了double confirm,不然我朋友公司的網路就崩潰了。
團隊密碼管理確實是大問題,在使用者端、服務提供者/網站、應用開發者跟設備生產商雖然性質有些差異,但情況類似。很多公司生產資訊產品都留了後門,隨著人員來來去去,後門成了大門。
傳統資安專家建議不要把密碼寫下來,然而雲端密碼管理產品大成功,可見保存密碼很辛苦,在方便跟安全之間,主流趨勢是方便使用,相對而言安全不是主要考量。以我自己將近200條的密碼紀錄表為例,要靠腦袋記億是不可能的。
密碼問題因為歸因於「不守規則」的個人問題,不是公司的問題,公司沒有花錢的正當性,預算難過關,內部意見難整合。IT最常幹的事情就是替同事重設密碼。有IT人員可幹這事,公司老闆傾向不重複投資,免得讓IT閒閒沒事幹。
密碼管理問題有技術層面、有人性層面,通常是人性勝。因為人性勝,所以沒多久就轉勝為敗。然而,人性卻不能不勝,要事事都把安全擺第一,大概只能回去用算盤。
(抱歉,昨晚喝多了,早上起來重新改寫一番)