Monday, December 29, 2008
2008 open source top 10
2. IBM Lotus Symphony办公套件
3. Firefox 3.0浏览器
4. Laconica开源微型博客平台
5. Fedora 9操作系统
6. Ubuntu 8.10操作系统
7.OpenSuSE 11操作系统
8. Novell JeOS操作系统
9. Ubuntu 8.04操作系统
10. 谷歌Android移动平台
Sunday, December 28, 2008
Gartner为你支招削减IT成本
Gartner为你支招削减IT成本
[收藏此页] [打印]
作者:潘春燕 编译 2008-12-26
内容导航:
Gartner为你支招削减IT成本
第1页: Gartner为你支招削减IT成本
文本Tag: Gartner
【IT168 技术文档】
在当前经济形势严峻的非常时期,所有企业的IT部门都必须勒紧腰带过日子。为了帮助IT主管们顺利解决削减成本这个难题,Gartner公司的分析师们近日整理出了20个办法,以便IT主管们削减开支。
1、最明显的方面是从削减人员开支入手。Gartner公司估计,IT预算当中平均有37%用于人员开支,所以这方面带来了省钱的大好机会。 Gartner建议采取多管齐下的办法:冻结招聘、减少或取消特别奖金,并且减少外部承包商的数量。另外,在边远地区开设了办事处的跨国公司应当考虑让这些员工回家。
2、简化企业组织结构。企业应减少一部分中层管理人员,让IT主管管理更多的人(比如20人),而不是让一个人管理六七名员工。扁平的企业组织不但能够省钱,还能提高效率。
3、改用共享服务。换句话说,把技术支持等部门并为服务于整个公司的一个部门。
4、即使你不得不从公司的另一个部门借调人员,也要为自己的领导团队配备一名财务人员,以便该人能帮你分析预算、想方设法帮你消减成本。
5、不要忽视“无人管理”的成本,比如打印机或数据中心电源的成本。
6、回过头去核查一下你的发票,确保供应商确实在按合同明确规定的费用收费。举例说,你的无线服务供应商是否答应向远程员工发放新手机时、免费送货。几个月过后,运费有可能开始出现在你的手机账单上;如果你不去核查,根本不会知道。
7、去掉不用的软件和模块。
8、与供应商进行合同谈判时不妨提些比较苛刻的要求。别害怕更换供应商,或者至少完成这头一个步骤:确定更换供应商需要承担多少成本。
9、购买电信开支管理服务。这类服务完全物有所值。
10、部署面向整个公司的手机购买计划。然后,购买尽量减少费用的手机服务方案。这要比让员工单独购买手机及服务方案、然后向他们收取费用来得划算。
11、如果有些方面不需要99.999%的可用性,不妨选择99.9%的可用性。这样,你与供应商谈判时可以省些钱。
12、考虑购买视频会议设备,而不是经常租用设备。
13、可能的话,使用互联网来替代成本高昂的广域网传输服务。
14、推迟改用Windows Vista。如果你的PC硬件保持良好的工作状态,不妨考虑再用上一年。
15、尽量使用价位适中的大众化产品;切勿贪求性能最佳的产品,只要能满足需要即可。
16、对服务器进行整合及虚拟化处理。
17、通过重复数据删除及其他方法来降低存储成本。
18、采用更合理的流程和策略,以便更有效地利用现有工具。
19、部署IP电话和VoIP系统,以此削减移动、添加和变更电话系统所需的成本。
20、收回闲置不用的软件许可证,以便新员工提出要求时可以重复使用这些许可证。
CIO如何寻找合适的Oracle DBA
CIO如何寻找合适的Oracle DBA
[收藏此页] [打印]
作者:杜奕锋 2008-12-29
内容导航:
为什么好的Oracle DBA那么难找
第1页: 为什么好的Oracle DBA那么难找 第2页: 好的Oracle DBA该具备的两大要素
文本Tag: Oracle
【IT168 评论】
为什么好的Oracle DBA那么难找?
“Duncan……可不可以帮我介绍几个数据库管理员(Database Administrator;DBA)来我们这边上班?”做了几年的数据库顾问服务后,客户看到我,总是希望我可以帮他们介绍几个DBA。
因为我自己在DBA这个职位上的培训,是从“信息”教育培训中心出来的。我通常都会这样回答他们:“你们可以找有OCP(Oracle Certified Professional)认证的人进来,我自己也是从教育培训中心出来的。”讲到这里,有些客户可能是不好意思得罪“我的出身”,唯唯诺诺的不讲话了……
有些比较熟的客户可能会直接说:“Duncan,不是啦,我们也知道教育培训中心,他们每年都会培训出一些取得OCP证照的Oracle DBA,像我们公司的 XXX也是那样出身的,但总觉得没有你那边的好用……所以……”
数据库管理员也无解的问题症结在哪?
好用的Oracle DBA为什么这么难找?这不但是很多CIO的痛,也是很多IT主管搅尽脑汁也解决不了的问题。那么,究竟从上述教育培训中心出来的Oracle DBA都跑到那去了?
以我当初受训的那班为例,我们班上一共有25个学员,当初随班考取OCP认证的大约有15人(之后考到的,我就不清楚了),在几年职场洗涤后,现在大概只剩下6个人从事与Oracle DBA相关的工作。这6个人中,有三个人是以主管的身份“兼作”Oracle DBA。Oracle DBA在IT职场的阵亡率很高。主要的问题在于,造成Oracle数据库发生问题的原因,经常不单只从数据库而来。
以我的一个客户为例,小白(人名纯属虚构,如果雷同,纯属意外)是一个拥有OCP证照,且对数据库本身的架构、运作原理有一定了解的数据库管理员。原以为一切都没问题的,无奈小白刚一就任,就面临到替换公司数据库系统主机的问题。小白没有程序开发与主机系统管理等经验(小白是那种一毕业就去考OCP的证照,接着做 Oracle DBA的人),因此,一就任就面临到不少挑战。
数据库系统在小白接手后,一直有一堆怪怪的问题发生。
问题在那?没有主机系统维护经验的小白虽然知道数据库系统本身的运作并不够顺畅,但却一直找不到问题的症结点,时间一久,他便成了大家“攻击”的对象。而且情况愈来愈严重。一开始,大伙只有在数据库出问题时,才会去找小白;到后来,只要一发生问题,不论那个问题跟数据库是否有明显的关连,大伙的第一个动作就是,把问题推到数据库或小白身上。
该状况让小白的工作愈来愈难做。理由是,小白既不懂管理主机系统,也不会撰写程序,当大家都枪口一致的说“一切都是是小白的责任”时,完全搞不懂状况的他,也只能摸摸鼻子,把这黑到发亮的锅子背下来。
幸好,小白的公司是我们维护的客户之一,历经几次的系统维护后,我们发现其实单纯只因数据库而导致的问题并不多,有一大半的问题是因为系统主机等硬件过于老旧而造成的问题,另外三分之一的问题则来自于程序撰写,如SQL语法撰写习惯不好等。
以SQL语法撰写习惯不好来说,当数据库的Loading还很轻的时候,这些有问题的SQL语法并不会对数据库或系统造成太大的影响,但是当数据库的数据成长急遽或主机负载将满时,上述的SQL语法,就像是一锅粥中的老鼠屎,会直接影响到整个数据库系统的运作效能。
在协助小白的那段时间,曾发生一个很好玩的现象:在我们还没有到现场确认问题原委前,小白总是透过电话用一付可怜兮兮的口吻跟我们求救(因为公司内部的同仁会把问题的矛头指向他)。但在我们到场了解状况后,反倒变成我们协助小白将该叫来骂的人骂一骂,例如:主机有问题,就把负责主机维护的人叫过来。程序写得不好,就把负责撰写程序的人叫来念一下。
上述的例子,在我们维护的企业中,是十分常见的状况。这代表一个Oracle DBA如果不是对系统或程序的运作有一定程度的了解,他将很难胜任数据库管理等工作。
只不过,教育培训中心提供的Oracle数据库课程,并没有教导Oracle数据库系统以外的知识,因此,非数据库本身所造成的营运问题,初任DBA一职的新人多没有能力掌控。
所以,当一个企业说他们找不到称职的或好用的Oracle DBA时,他们可能不是在说找不到“懂”数据库的人(其实考得到OCP认证,我想对数据库或多或少都有一定程度的了解),他们应该是指:他们找不到人可以用全观的角度,来解析、处理与解决导致数据库无法正常运维的原因。
我想,也应该是上述原因,我的某几位同学才会升到CIO,还兼作DBA工作。就我的观察,当一个员工有能力全角度的解析、处理与数据库运维相关的各种问题时,他已经离主管的位子不远了。
好的Oracle DBA该具备的两大要素
纵然如上所说,好的Oracle DBA难找,不过,日子总是要过下去,企业总不能因此就不雇佣Oracle DBA?以下,我将就我的经验,与大伙分享“如何找寻适合的Oracle DBA”。
怎么选择一个对的Oracle DBA
就像我说的,一个有能力的Oracle DBA,其实已经离主管的位子不远了。所以,大部份的企业很难一下子就找到一个全方位的Oracle DBA(当然也是有可能,只不过,这比较会有运气的成份),这代表企业在选择Oracle DBA的时候,势必要对负责该职位的DBA的职能有所取舍。我通常会建议我的客户在寻找Oracle DBA时,得先确认企业需要这个人来其处理什么问题?
大部份的企业对Oracle DBA的需求,一开始多半是以维持数据库的正常运作以及协助数据库进行数据备份等工作为主,因此,我会建议找有大型主机系统管理经验(有存储管理经验者尤佳),或者了解操作系统原理与运作的人来做。因为,Oracle 数据库运作的不正常,经常是因为系统出状况,找具有系统管理经验的人员做DBA,在一定程度上应该已经能比“只”懂数据库的信息人员,还会比较快得找到问题。此外,也比较能避免数据库出现宕机(一般而言,数据库在管理上最忌讳的就是宕机时间了)等状况。
其次,有的企业在找Oracle DBA的时候,希望找那种了解数据处理流程的人,以便大大翻整一下既有数据库内的数据,以及优化数据传递与分析(例如写一些store Function、triger、建DB_link……)等工作。在这种状况下,若企业找的DBA是系统管理出身的人,在接手的初期他一定会吐血给你看。至于在未来,有没有机会掌握甚至是“得心应手”,这就要看那个人的资质了。因此,关于这一方面的人选,我就比较建议找有程序开发经验的人(特别是对数据库存取上有实际程序开发经验的人),他们除对数据与数据结构的本身有一定的敏感度,也比较熟悉客户的需求,知道该如何翻整数据库。
要特别注意的是,鱼与熊掌不可兼得,同时兼俱系统管理与程序开发等两种技术能力的人少之又少,因此,在进行DBA的招募前,建议企业先想好自己要的是哪一种人才。不过,不论你找的是那一种Oracle DBA,我都不太建议找一个只有OCP认证但无其它工作经验的人来做DBA。因为这意味着,企业要落实数据库管理的阵痛期可能会拉得很长,而且阵痛的过程中DBA也很是辛苦。
运气好的时候,就像今天故事的主角小白一样,在我们的扶持下,撑了一年半,已经可以称得上是称职的DBA。运气不好的时候,像我在教育培训中心的同学,他苦撑了一年后离去,至今他仍不敢跟别人说他有OCP的证照。
最后,要另外一提的是“效能调校”。由于Oracle数据库的效能是可以被调整的。因此,也有不少企业在找Oracle DBA时,是以调校数据库效能为主要诉求。这样的想法是很好,只不过,“效能调校”所牵扯到的领域太过广泛。
决定数据库效能高低的因素有很多,有时候是单纯的数据库参数没有调整好,有时候则牵扯到整个硬件架构,甚至是程序软件开发规划等问题。光是能做到单点调校的DBA即已十分难得,Oracle DBA若不是以很全面的角度在思考问题来进行调校,也很可能导致数据库系统出现其它面向的问题。
发生在企业的真实状况是,一个应用服务能否顺利运维,与服务器、储存设备、网通设备等硬件,数据库、操作系统、应用系统(复杂点的还牵扯到中间件软件与开发组件,例如ODBC )等范畴都有关。因此,一个DBA很难在第一时间就面面俱到地思考所有问题,必须慢慢地依经验抽丝剥茧地清楚问题的所在。所以,如果企业目前尚未有专任的 Oracle DBA,我会建议千万不要一开始就想找一个能做好“效能调校”等工作的Oracle DBA(不过,还是可以去找到协助运维或数据整理的DBA),否则,可能会导致极心痛的失望。
OCP的认证真的没有用吗?
说到这里,相信很多人会想问:“那我选人的时候,还要看OCP这张认证吗?这张认证不就跟废物一样?”如果真的造成这样的误会,我一定会被这些教育培训中心及Oracle 原厂给杀了。这里要郑重的重新声明一下:“我本人也是教育培训中心教出来的……”。
教育培训中心的训练课程有其重要性,尤其是数据库基本概念等。老实说,一个Oracle DBA若没有先好好把OCP的五门课(8i是五门课,9i以后有两门合并,变成四门课)攻读过一遍,了解Oracle 数据库的架构与运作原理的DBA,我不觉得他有资格说他是一个DBA。
没错,我刚刚确实提到造成数据库运维不顺的原因,有可能是操作系统或系统开发等非数据库本身的问题所引发的。但是,愈了解数据库架构与运作原理(真得好好读懂这一些书)的人,才愈有可能厘清上述的“非数据库本身的因素 ”来自何处,并进一步地针对数据库的特别来改善问题。而且,他们在管理数据库时,他们的做法也会比较多元化。
以数据库备份为例,没有考过OCP认证的DBA,他们熟悉的数据库备份方式可能就只有一种,而且还有可能是错的备份方式,例如:我之前听过最扯的备份方式就是在Oracle数据还在运作的状态,直接用OS提供的Ccopy指令将数据库档案复制出来。相对的,考过OCP证照的DBA,他们在备份方式的选择上就比较多元,而且能根据不同的情境采取不同的备份或备源方式,以确保灾难发生的时候可以无误恢复各种数据。
因此,企业在进行Oracle DBA的招募时,DBA是否拥有OCP认证,仍旧是一件很需要被考虑的。但同样需要提醒的是,拥有OCP认证只代表这个DBA对于数据库的熟悉度,不代表他有能力发现问题与解决问题。
我个人的想法是,拥有OCP认证,只代表该人员拥有“开始往后的DBA生涯”的权力,至于这个DBA 未来的成长幅度,则取决于他在系统面与程序面的学习能力。
拥有10g或11g的OCP认证足够吗?
过去在Oracle数据库 8i、9i的年代,只要考4、5门课(8i 五门、9i 四门)才可以拿到OCP认证,但自从10g以后,只要考两门就可以拿到OCP认证,这样的人是否够格呢?很多CIO都在问我这个问题。我想,并不能用考试科目的多寡来决定人的素质。不过,说老实话,就目前得知教育培训内容来说,以授课时数来看,10g以后的OCP教育培训的总天数是10天,比8i、9i少了一半的时间,言尽于此,大家应该心里都有底了。
虽然10g以后的版本,数据库在管理与应用等操作上比 8i、9i 容易多了。但就数据库底层的技术架构概念以及运作模式而言,我个人觉得8i以及9i在教材的规划上比较扎实(相对地难懂);而10g以后的教材则比较浅显易懂(不像以前我们读的8i“天书级”OCP教材),但也相对地无法太深入地着眼于底层的技术架构与运作等内容。当然,这也是一个福音,因为可以更容易的跨入这一个领域。
人员的本质最为关键
我会选择一个什么样的人来做DBA?事实上,我并不会先看他(或她)有没有OCP认证。
“诚信”反而是我第一个考虑的标准。因为数据库的数据不外乎企业或客户的重要数据,如果DBA的功力好,但他却“诚信不足”,那么,上述重要数据很容易在他“有心”又有“能力”的情况下被利用。第二个评估点是他对系统面的了解程度,以及他解决问题的方法。一个肯学、好学的DBA,在面对问题时,比较不需要我担心这担心那,我也不用忧烦他是不是有能力熟悉OCP课程等。
所以,关于OCP执照,我觉得有是最好,如果没有的话,至少要找到对的人,再来要求、培训(考到OCP)。“对的人”远比拥有OCP证照重要多了,事实上,要“对的人”取得OCP认证一点也不难。
黑客狙击Oracle系统的八大套路
黑客狙击Oracle系统的八大套路
[收藏此页] [打印]
作者:ITPUB论坛 2008-12-29
内容导航:
黑客狙击Oracle系统的八大套路
第1页: 黑客狙击Oracle系统的八大套路 第2页: 从后门偷窃数据
简介
Oracle的销售在向客户兜售其数据库系统一直把它吹捧为牢不可破的,耍嘴皮子容易,兑现起来可就不那么容易了。不管什么计算机系统,人们总能够找到攻击它的方法,Oracle也不例外。本文将和大家从黑客的角度讨论黑客是用哪些方法把黑手伸向了你原以为他们不能触及的数据,希望作为Oracle的数据库管理员能够清楚的阐明自己基础架构的哪些区域比较容易受到攻击。同时我们也会讨论保护系统防范攻击的方法。
1.SQL注入攻击
如今大部分的Oracle数据库都具有为某种类型网络应用服务的后端数据存储区,网页应用使数据库更容易成为我们的攻击目标体现在三个方面。其一,这些应用界面非常复杂,具有多个组成成分,使数据库管理员难以对它们进行彻底检查。其二,阻止程序员侵入的屏障很低,即便不是C语言的编程专家,也能够对一些页面进行攻击。下面我们会简单地解释为什么这对我们这么重要。第三个原因是优先级的问题。网页应用一直处于发展的模式,所以他们在不断变化,推陈出新。这样安全问题就不是一个必须优先考虑的问题。
SQL注入攻击是一种很简单的攻击,在页面表单里输入信息,悄悄地加入一些特殊代码,诱使应用程序在数据库里执行这些代码,并返回一些程序员没有料到的结果。例如,有一份用户登录表格,要求输入用户名和密码才能登录,在用户名这一栏,输入以下代码:
cyw'); select username, password from all_users;--
如果数据库程序员没有聪明到能够检查出类似的信息并“清洗”掉我们的输入,该代码将在远程数据库系统执行,然后这些关于所有用户名和密码的敏感数据就会返回到我们的浏览器。
你可能会认为这是在危言耸听,不过还有更绝的。David Litchfield在他的著作《Oracle黑客手册》(Oracle Hacker's Handbook)中把某种特殊的pl/sql注入攻击美其名曰:圣杯(holy grail),因为它曾通杀Oracle 8到Oracle10g的所有Oracle数据库版本。很想知道其作用原理吧。你可以利用一个被称为DBMS_EXPORT_EXTENSION的程序包,使用注入攻击获取执行一个异常处理程序的代码,该程序会赋予用户或所有相关用户数据库管理员的特权。
这就是Oracle发布的著名安全升级补丁Security Alert 68所针对的漏洞。不过据Litchfield称,这些漏洞是永远无法完全修补完毕的。
防范此类攻击的方法
总而言之,虽说没有万能的防弹衣,但鉴于这个问题涉及到所有面向网络的应用软件,还是要尽力防范。目前市面上有各式各样可加以利用的SQL注入检测技术。
对于软件开发人员来说,很多软件包都能够帮助你“清洗”输入信息。如果你调用对从页面表单接受的每个值都调用清洗例行程序进行处理,这样可以更加严密的保护你的系统。不过,最好使用SQL注入工具对软件进行测试和验证,以确保万无一失。
1. 默认密码
Oracle数据库是一个庞大的系统,提供了能够创建一切的模式。绝大部分的系统自带用户登录都配备了预设的默认密码。想知道数据库管理员工作是不是够勤奋?这里有一个方法可以找到答案。看看下面这些最常用的预设用户名和密码是不是能够登录到数据库吧:
Username Password
applsys apps
ctxsys change_on_install
dbsnmp dbsnmp
outln outln
owa owa
perfstat perfstat
scott tiger
system change_on_install
system manager
sys change_on_install
sys manager
就算数据库管理员已经很勤奋的把这些默认配对都改了,有时候想猜出登录密码也不是一件困难的事情,逐个试试“oracle”、“oracle4”、“oracle8i”、“oracle11g”,看看碰巧是不是有一个能登录上去的。
Pete Finnigan提供了一份关于缺省用户和对应密码的名单,该名单非常全面而且是最新的,并包括已经加密的密码。如果你用all_users来进行查询,可以尝试并比较一下这份名单。
防范此类攻击的方法
作为数据库管理员,应该定期审核所有的数据库密码,如果某些商业方面的阻力使你不能轻易更改容易被人猜出的密码,你可以尽量心平气和地和相关人员解释,用一些直观的例子来阐明如果不修改密码的话会有什么不好的事情发生,会有什么样的风险存在。
Oracle也提供了密码安全profile,你可以激活该profile,在某种水平上加强数据库密码的复杂性,还可以执行定期密码失效。要注意要把这个功能设置为只对通过网络服务器或中间层应用服务器登录的事件起作用。
2. 蛮力攻击(Brute Force)
蛮力攻击,就像其名字所暗示的,就是不停的撬,直到“锁”打开为止的方法。对于Oracle数据库来说,就是用某种自动执行的进程,通过尝试所有的字母数字组合来破解用户名和密码。
Unix的管理员就可以利用一款名为John the Ripper的密码破解软件来执行这类的攻击。现在如果你下载某个补丁,你也可以利用这款软件来对Oracle进行蛮力攻击,敲开其密码。不过根据密码的复杂程度不同,这可能是个很费时的过程,如果你想加快这个进程,可以事先准备一张包含所有密码加密的表,这样的表叫做Rainbow table,你可以为每个用户名准备一张不同的rainbow table,因为这种密码加密算法把用户名作为助燃剂。在这里就不再深入介绍更多的细节问题了。
Oracle服务器的默认设置是,对某个特定帐户输错密码达十次就会自动锁定该帐户。不过通常“sys as sysdba”权限没有这个限制,这可能是因为如果你锁定了管理员,那所有人都将被锁定。这样的设置为我们黑客破解软件(OraBrute)如开辟了一条生路,它们会昼夜不停地敲打你数据库的前门,直到它乖乖打开为止。
防范此类攻击的方法
想要抵御此类攻击,可以使用之前提及的对付预设密码攻击的方法。不过好奇心过重的数据库管理员也可能下载上面提到的工具侵入自己的系统。这说明了你真正的风险来自何方。
4. 从后门偷窃数据
在安全领域,这个概念被称为数据向外渗漏(exfiltration),这个词来自军事术语,其反面是向敌人内部渗透(infiltration),意思就是在不被发现的情况下偷偷潜出。对于从目标数据库获取数据的过程,可能就像从一些磁带备份中挑拣数据和还原数据库或者像从一个被毁坏的磁盘重复制一份拷贝一样简单。不过,也有可能涉及到窥探网络传输以获得相关的数据包。
Oracle有一个名为UTL_TCP的程序包,能够使外部连接指向其他服务器。对它稍微改编一下,就可以利用它从数据库发送一套低带宽数据流到远程主机。Oracle也附带了一些有用的程序包来隐藏数据流里的信息,如果你在发动潜入行动的时候担心入侵检测系统会监测到你的不法活动,那么可以充分利用这些功能秘密嵌入,包括DBMS_OBFUSCATION_TOOLKIT和 DBMS_CRYPTO。
防范此类攻击的方法
防范此类攻击的最佳办法是安装入侵检测系统,这些系统能够检测网络中流入和流出的数据包。有一些检测系统还提供深入数据包检测,可以确实检查某些SQL,并可以通过设定规则在某种情况下触发报警器。这些工具还能够查找泄密迹象,例如添加的UNION、各种类型的short- circuiting命令、利用“--”注释进行截断等等。
5. 监听器
计算机世界最让人觉得了不起的事情就是,不管有多么困难的事,总有办法驯服它。尤其是在安全领域,一些漏洞如此的简单,而这些漏洞的出现仅仅是因为用户(也包括我们现在扮演的角色——黑客)并没有像软件设计者(程序员或软件开发员)本来预想的那样思考和行动。
Oracle监听器的设置是为了能够实现远程管理。那么如果攻击者把监听器的logfile设置为Unix .rhosts文件呢?这样攻击者就可以轻松的对.rhosts文件进行写操作。Unix上的这个文件设置了什么人可以不用密码而使用rsh、 rlogin和rcp命令登录。你可以想想将会发生什么事情。
这其实只是围绕Oracle监听器安全问题的冰山一角而已。其他的还有缓冲区溢出等一大堆问题需要注意。事实上Litchfield的《Oracle黑客手册》里花了一整章的内容来讨论这个主题。
防范此类攻击的方法
从预防的角度而言,Oracle已经做出了一定措施来更好的保障系统安全,前提是你能够把它实施到位。首先,为监听器设置一个管理密码。对于担负着管理不断增加的密码重担的管理员而言,这看起来像是多余的,不过在你需求其他途径来保障监听器安全之前,好好地想想上面提到的和没提到的威胁。Oracle也添加了ADMIN_RESTRICTIONS,能够阻止特定的远程控制事件。
6. 权限提升
简单的说,“权限提升”包括使用现有的低权限帐户,利用巧取、偷窃或非法的方式获取更高的权限,甚至是数据库管理员的权限。
下面举个使用CREATE ANY权限的例子。假设我能通过一个拥有CREATE ANY TRIGGER权限的用户CYW访问数据库,这样我就能在任意的模式里创建触发器。如果你能追踪到一个任何用户都能执行写入操作的表,你在SYSTEM里创建了一个能够在低权限的你对该可写表进行插入或更新操作时执行的触发器。你编写的触发器会调用一个存储过程(也是你自己编写的),该存储过程会使用AUTHID CURRENT_USER为调用者授权。这就意味着,当该触发器运行“你”的存储过程时,拥有SYSTEM的权限。现在你的非法存储过程内部,包含了 “EXECUTE IMMEDIATE 'GRANT DBA TO CYW'”。这样我就可以在触发器运行的时候插入到我的公共表里,该触发器由SYSTEM所有,而SYSTEM会调用我的 change_privileges存储过程,这个存储过程使用AUTHID CURRENT_USER为我授权。这样“我”就可以在不改变我自身权限的情况下获得并执行SYSTEM的权限。
防范此类攻击的方法
数据库管理员该怎么应对这个问题呢?首先,你应该审核数据库的CREATE ANY权限,删除其中不需要的那些部分。其次,看看类似于www.securityfocus.com这类的论坛,看看关于权限提升的最新漏洞。最后,激活对某些特定类型数据库活动的审计功能并没有什么坏处,这样数据库就能让你实现自我保护。当数据库自行审核类似于GRANT DBA这样的事件时,你可以通过查看审计日志知道有没有出现恶意或突发的活动
7. 操作系统指令和安全
黑客并不总是通过shell命令行提示符登录到你的系统的。不过,通过诱使Oracle数据库运行操作系统水平的指令,我们的确给黑客提供了一条运行指令的有效途径。这些指令能够删除和破坏文件、改写日志(以便隐藏他们的行踪)、创建帐户,以及其他一些能通过命令行输入指令达成的操作。他们是怎么做到的呢?尽管方法有很多,最容易的一种就是通过Java和 PL/SQL这些程序语言。通常可以利用创建外部存储过程的能力,使之执行一个具备系统调用功能的存储程序。这个系统调用指令能够以首次安装时使用的 oracle帐户权限执行。
防范此类攻击的方法
虽然Oracle在保护用户免受此类攻击上已经取得了一定进展,不过你最好还是把希望寄托在你的预防监测工作上。严密留意你的系统内部有没有出现这类活动,当有攻击者试图对你使用此类恶意攻击时,你最好能够事先掌握主动权。
8. 文件系统安全
对文件系统(filesystem)的访问是一个让你头大的棘手问题。“oracle”操作系统用户拥有所有Oracle软件和数据库数据文件的访问权限,所以如果数据库内部的某些用户利用UTL_FILE包访问filesystem上的文件时,他们就可以访问之前由于权限和角色限制而无权访问的很多数据库内部文件。
防范此类攻击的方法
Oracle引入DIRECTORY对象在防止此类攻击上也有一定作用。在10g 系统中,必须通过DIRECTORY对象来定义某些类型的读写操作。这意味着用户必须拥有CREATE DIRECTORY权限,而在前面介绍的权限提升问题中,我们已经看到可以通过很多方法获取这种权限。即使这些也被解决了,还是有很多方法可以通过 PL/SQL或Java语言来获取对filesystem的访问权限和对文件的读写权限。
总论:
就像上面讨论的一样,Oracle数据库产品有很多漏洞,有时候看起来就像由一些聪明透顶的工程师建造的一所豪宅,工程师固然聪明,但比那些觊觎此宅的黑客们忠厚老实多了。因此,他们没有预料到有人会利用这种种方法来偷砖窃瓦削弱豪宅的根基。黑客可以通过很多不同的方法进行攻击,侵入到目标数据库。
不过,只要数据库管理员能够花点时间和精力来解决,其中很多问题都是可以避免的。Oracle已经针对很多漏洞在数据库内部打上了补丁,而且入侵监测系统能体构额外的安全保障。所以数据库管理员应该对每一种漏洞都铭记在心,警惕性才是防范的关键,尽量执行好自己制定的安全计划
Wednesday, December 24, 2008
Photoshop Photo Techs
http://www.16xx8.com/photoshop/feizhuliujiaocheng/photoshop-1007.html
Monday, December 22, 2008
open-source flash
http://osflash.org/open_source_flash_projects
Libraries
http://visualrinse.com/2008/07/01/10-open-souce-or-free-flash-or-flex-code-libraries-you-need-to-check-out/
http://createdigitalmotion.com/2006/10/10/open-source-flash-for-artists-flashdevelop-resources/
http://flashsourcecode.com/
http://www.mozilla.com/en-US/press/mozilla-2006-11-07.html
http://teethgrinder.co.uk/open-flash-chart/
http://www.flashtica.com/
http://www.onyx-vj.com/
http://www.amfphp.org/
Flash Gallery
http://www.digitalthread.com/webdesign/
http://www.coolhomepages.com/sort/
Remove Acrobat 6.0 Professional (Windows XP and 2000)
手绘
http://flash.tom.com/
http://blog.sina.com.cn/s/blog_4a36a07b01009nga.html
http://download.it168.com/416/426/85091/index.shtml#RSDownload
http://www.webjx.com/photoshop/photo-8560.html
http://www.16xx8.com/photoshop/xiaoguojiaocheng/photoshop-7780.html
http://haoxiai.net/tuxingsheji/Photoshop/112480.html
http://www.jztop.com/Photoshop/tupian/a42584.html
http://www.68design.net/Graphic/Photoshop/38752-1.html
http://haoxiai.net/tuxingsheji/Photoshop/112512.html
Sunday, December 21, 2008
Web Design Gallery
http://web.livedoor.biz/
http://www.ikesai.com/
http://www.designlinkdatabase.net/
http://www.webdedb.com/
http://www.web-mihon.com/
http://www.media-guide.jp/
http://www.art-noc.com/
http://www.ubusuna.co.jp/
http://www.webdesignclip.com/
http://www.hpdesign.websozai.jp/hpdesign/
http://webmark.jp/
http://www.webdesignlibrary.jp/
http://higash.net/20080705/08webbest20.html
http://design.weblogjapan.com/
http://www.kanbandedb.com/
http://clip.livedoor.com/clips/smilevision/tag/%E3%82%B5%E3%82%A4%E3%83%88%E5%88%B6%E4%BD%9C%E4%BA%8B%E4%BE%8B%E9%9B%86
http://www.webthumbnail.com/
http://www.bestdesign.org/yomi.cgi?mode=kt&kt=001&sort=id_new
http://www.art-noc.com/archives/cat_104.php
http://design-iketeru.azu-mi.com/
http://www.nicewebdesign.net/
http://www.web100sen.net/3_1.html
English
http://www.coolhomepages.com/sort/index.php?catName=E-Commerce&sortType=DATE&nRPP=108&setLarge=Yes&pageNo=1
Personal
http://futsalblog2.seesaa.net/
http://webdesignlink.blog15.fc2.com/
Templates
http://choco--late.com/archives/198
http://www.s-hoshino.com/web/
http://www.mizutamari.net/
http://blog.creamu.com/mt/2008/06/4040_free_web_template_resourc.html
http://phpspot.org/blog/archives/2007/02/web_18.html
http://www.baywebs.net/shopping/index.html
http://www.webdezain.jp/
Tools
http://e0166.blog89.fc2.com/blog-entry-213.html
Snap Tools
http://www.webimage.jp/
Wednesday, December 17, 2008
Monday, December 15, 2008
(组图)世界上首台个人超级计算机诞生了!
(组图)世界上首台个人超级计算机诞生了! | |
每日邮报 2008-12-08 19:53:52 | |
世界首台个人超级计算机--“泰斯塔” 美国NVIDIA公司日前表示,他们目前已经历功地研制出了世界上首台个人超级计算机。这种名为“泰斯塔”(Tesla)的超级计算机售价为4000英镑(约合4万元人民币),运算速度比普通的个人电脑快250倍。
美国马里兰州高级生物医学计算中心科学家杰克-科林斯认为,“这一杰出的发明将可能帮助人类加速癌症治疗药物的研发速度,挽救更多人的生命。” 个人超级计算机的创新之处在于采用了Nvidia公司最新的图像处理器。Nvidia公司宣称,这种图像处理器可以给下一代家庭计算机带来闪电般的速度。 贝拉昴多介绍说,“传统的处理器在一个线程中,同时只能处理一个任务。但Nvidia最新的图像处理器可以同时处理多个任务,比如可以同时采集多个象素以 产生动态图像。” 据研发人员介绍,“泰斯塔”个人超级计算机拥有“工作站的价格,超级计算机的性能,适合个人操作,非常简单易用”等几大特点。在外观上就如同一 台可以放在桌面上的工作站一样,内置一颗四核CPU 和3-4个GPU单元模块,拥有12-16GB系统内存、1200-1350W电源,可以直接使用办公环境下标准的电源。由于总共拥有960个GPU核 心,使其浮点计算性能高达每秒4万亿次,是当前台式工作站的250倍,而售价不到1万美元,跟相同性能水平的传统超级计算集群相比,价格只有1%。研发人 员说,“泰斯塔”个人超级计算机实现了人们“以工作站的价格和占地空间获得超级计算集群性能”的梦想,开启了个人高性能计算的新领域。“就象20多年以 来,PC从早期的专家设备变成了今天人手一台的普及工具一样,我们相信从现在开始,个人超级计算机也可以走向普及。” 英国维根伦(Viglen)公司、阿玛尼(Armari)公司以及戴尔(Dell)公司等多家计算机生产商共同参与了这种超级计算机的研发。目 前这种超级计算机主要面向大学以及科研机构销售。Dell公司称,这款电脑将投入大规模生产,逐渐向普通消费市场进军。目前,这类个人超级计算机产品已经 在国外一些大学科研人员当中得到了采用。 |
Sunday, December 14, 2008
Taobao
Taobao ( www.taobao.com )は、 2003年5月 10日馬云氏のB2BのプラットフォームAlibabaが投資4.5億元を投資し設立したショッピングのWebサイト。該ウェブサイトに記載は"アジア最大の ショッピング サイト"と主張する。Alexaの統計によるとサイト訪問ナンバー22の世界ランキングされている。
同社の広報によると:会社名、 "淘宝(Taobao)"の意味は、 "見つからない宝物がない、売れない宝物ない"とされる。また、"2年という短い期間で、すぐにオンラインショッピング市場になったと制覇し、中国のオンラインショッピング市場シェアの約70 %"、中国の市場のショッピングサイト上での基本的な独占を占めている。
2006年12月まで、Taobaoのメンバー- 3千万以上登録され、 2006年取引額が169億元。 2008年第1クオーター取引が188億元を超えたことで、B2C(企業対消費者取引)の試験を開始した。
特点:开店与易趣网相比无需花钱(只需要手机 、 身份证认证)
特徴:易趣(イーベイ中国)に比較して店を開くのに費用が必要なくて、携帯電話、身元認証だけで十分
Taobaoの馬氏は"招财进宝(Zhaocaijinbao)"は" 3年間は無料"の約束を破ったことで、店に反対されていたが、最終和解した。
淘宝的支付方法为支付宝 ,与eBay的贝宝 (Pay Pal China)类似。
"支付宝"はTaobaoの支払い方法で、eBayのはPayPal (ペイパル中国)似ている。
Saturday, December 13, 2008
Android can run on HTC TyTN (Kaiser)
http://pdadb.net/index.php?m=specs&id=733
HTC TyTN II P4550 (HTC Kaiser 120) Specs
Datasheet-Views: 530542 views since addition of datasheet (February 28, 2007)
Datasheet_State: Final specifications
Release;Date: September, 2007
Project-Codename: HTC Kaiser 120
Browse all devices under HTC Kaiser 120 codename
Predecessor_Model: HTC TyTN P4500
Dimensions: 59 x 112 x 19 millimetres
Mass: 190 grams (battery included)
Software+Environment
Operating-System: Microsoft Windows Mobile 6 Professional (Crossbow) AKU 0.4.2
Browse devices running this OS
Microprocessor,_Chipset
CPU: 32bit Qualcomm MSM7200
Browse devices based on this microprocessor
CPU:Clock: 400 MHz
Memory,_Storage+capacity
ROM_capacity: 256 MiB (accessible: 145.2 MiB)
RAM+capacity: 128 MiB
Display
Display:Type: color transmissive TFT , 65536 scales
Display+Diagonal: 2.8 "
Display;Resolution: 240 x 320
Sound
Microphone(s): mono
Loudspeaker(s): mono
Audio;Output: Proprietary
Cellular_Phone
Cellular_Networks: GSM850, GSM900, GSM1800, GSM1900, UMTS850, UMTS1900, UMTS2100
Cellular-Data;Links: CSD, GPRS, EDGE, UMTS, HSDPA
Call+Alert: 40 -chord melody
Vibrating_Alert: Supported
Speakerphone:: Supported
Control_Peripherals
Positioning_Device: Touchscreen
Primary_Keyboard: Slide and tilt QWERTY-type keyboard
Directional-Pad: 5 -way
Scroll+Wheel: Pressable rotary scroll wheel
Interfaces
Expansion+Slots: microSD, microSDHC, TransFlash, SDIO
USB: USB 2.0 client, 12Mbit/s
mini-USB
Bluetooth: Bluetooth 2.0
Wireless;LAN: 802.11b, 802.11g
Infrared-Gate: Not supported
Multimedia_Telecommunication
Analog-Radio:Receiver: Not supported
Digital;Media-Broadcast-Tuner: Not supported
Satellite:Navigation
Built-in-GPS:module: Supported
Complementary+GPS;Services: Assisted GPS, QuickGPS
Built-in:Digital+Camera
Main;Camera: 3.1 MP
Autofocus-(AF): Supported
Optical;Zoom: 1 x
Secondary:Camera: 0.3 MP
Additional:Details
Battery: removable
Battery+Capacity: 1350 mAh
エンタープライズサーチ特集
「information TUNAMI」と呼ばれるほど、企業内に蓄積するデータはこの数年で激増し、ホワイトカラーは情報検索に多くの時間を浪費しつつある。さらに、その成功率 も年々低い結果となっているという。そんな中、“混沌”の中から複雑な条件で目的の情報を拾い出すエンタープライズサーチに大きな期待がかかる。そこで本 特集は、その最新動向や導入事例を交え、企業の情報検索における課題を明らかにしていく。
新着記事
キーワード検索の限界を打ち破るタイムトラベル検索
インターネット検索に比べ、エンタープライズ検索に求められる条件は大きく異なる。一般的なキーワード検索での絞り込み技術にも限界があるという。それは、過去のある時点の状態を再現した検索が必要になったときだ。 (2007/3/30)
「あやふや地名」検索を実現したマピオンモバイル
ケータイ版「マピオン」に登場した新サービス「乗換&ナビ」は、出発地と目的地をフリーワードで入力するだけの手軽なインタフェースが特徴だという。実は、それをハイエンドのエンタープライズサーチエンジンが支えている。 (2007/3/29)
企業内検索に不満を抱くユーザーの「盲点」
重要な情報の発見などで期待されるエンタープライズサーチだが、検索範囲や精度に不満を持つユーザーが実に7割も存在するという。検索エンジンとユーザーの認識との間に生じた食い違いとは? (2007/3/26)
エンタープライズ2.0で柔らかい知識共有が始まる
企業がWeb 2.0を取り込むようになると、ネット上でブログやSNSが普及したように、企業内でもボトムアップのコンテンツが急増していく。それを集合知として分析し、企業価値に結び付けるのがエンタープライズサーチの役割だ。 (2007/3/20)
膨大なDBを抱えるNotesユーザーからの「SOS」
エンタープライズサーチの効用の陰であまり語られないのが、Lotus Notes内における情報検索の困難さだ。Lotus対応をうたいつつも、まったく使い物にならないサーチエンジンも多いという。この避けられない課題に、企業はどう対処するのか。 (2007/3/15)
エンタープライズサーチが必須となる理由【前編】
エンタープライズサーチが、業務の効率化や生産性向上のためのツールとして注目されている。専業ベンダーだけではなく、業務ソフトやシステムベン ダーがこぞって参戦し、市場は加熱する一方。このソリューションがなぜ注目され、また企業になくてはならなくなるのか。2回にわたり探っていく。 (2007/3/9)
情報共有の活性化を阻む8つの落とし穴
文書管理システムやKMの利用が形骸化する中、簡単に文書公開できるツールと高速な検索エンジンが連携する、エンタープライズサーチ(企業内情報検 索)に初めてトライする企業向きのソリューションが登場している。まずは使ってもらい、次第に情報共有の文化を育てていくのも有効な方法だ。 (2007/3/1)
関連記事
サーチの「条件」 企業の戦略、論理を結果に反映できるか
検索結果はベンダー任せにしない――。今後のエンタープライズサーチは、検索過程を可視化して、企業の論理を検索に反映させるソリューションが主流になるかもしれない。 (2007/3/8)
「日本企業の情報活用は力不足」――オートノミーが目指す検索の自律化
混沌とした情報の蓄積からいかに価値を見いだせるか――。この知的情報資産活用の難テーマに、オートノミーは、ケンブリッジで研究されたパターン照合技術と概念抽出技術で解を示すという。 (2007/3/6)
「検索で取り組むのは経営課題そのもの」、ウチダスペクトラム社長
エンタープライズサーチ元年で市場は活性化しているが、現在はまだ一部の先進ユーザーが試行している段階。ウチダスペクトラムの町田潔社長は、エンタープライズサーチこそが企業競争力の決め手になると話す。 (2007/3/14)
MS、エンタープライズサーチ製品のリリース延期で戦略に影?
デスクトップとエンタープライズ、そしてWebの検索を一度に実現するクライアント製品のリリースが延期された。また、特定の知識を持った人物を検 索するための機能として、SharePoint Server向けに予定されていた機能は、サポートなしのアドオンとして提供されることになった。 (2007/02/15)
Googleの侵食に先手、SharePointを主軸にエンタープライズ検索を刷新
2007年に新しいデスクトップ検索クライアント、SharePoint Server 2007、Windows Vistaがリリースされ、Microsoftのエンタープライズ検索ソリューションの選択肢はかつてないほど充実する見込みだ。Googleや Yahoo!を抑えて市場シェア拡大を実現できるか? (2006/07/11)
企業向けデスクトップサーチを投入するMSの狙い
マイクロソフトは1月17日より、グループポリシーへの対応などを図った「企業向けWindowsデスクトップサーチ」と「企業向けMSNサーチツールバー」を無償で公開する。 (2006/01/16)
ウイングアークと日本オラクル、内部統制に向けた文書データのセキュアな運用ソリューション提供
ウイングアークとオラクルが、Oracle Secure Enterprise Search 10gとStraForm-Xを連携させ、内部統制に向けた、業務文書のデータ化とセキュアな運用のためのソリューションを提供する。 (2006/11/02)
日本オラクルとサン、企業内検索システムの無償試用プログラム
日本オラクルとサン・マイクロシステムズは、両社の製品を組み合わせた企業内検索エンジンシステムを、無償で60日間提供する試用プログラムを開始した。 (2006/10/06)
あらゆるデータを検索対象に――オラクルがSecure Enterprise Search 10gをリリース
日本オラクルは新たなカテゴリ製品となる「Oracle Secure Enterprise Search 10g」の出荷を開始したことを明らかにした。 (2006/04/12)
Oracle OpenWorld Tokyo 2006 Report:
OracleがGoogle対抗の検索エンジン発表、「顧客のためにナンバーワンでありたい」とエリソンCEO
Oracleがナンバーワンにこだわるのは、「顧客により高い価値を提供したいからだ」とエリソンCEOは話す。企業向けのセキュアサーチ技術でもナンバーワンでありたいとし、Google対抗の検索エンジンを発表した。 (2006/03/02)
SaaS――忍び寄る情報サービス産業の構造変化 第2回:
グーグルやアマゾンも――ソフトウェアの領域を超えるSaaS
SaaSに取り組むのは、もはやハードウェアベンダーやSIベンダーだけでなく、個人向けのサービスベンダーにまで広がるなど、IT産業に構造変化をもたらしつつある。同時に、サービス化はソフトウェアだけでなく、プラットフォームまでにも及んでいる。 (2007/01/25)
Google Miniが機能強化で狙うもの
企業向けの小型検索アプライアンス「Google Mini」の機能強化では、検索領域の拡大とセキュリティという2つの側面がポイントとなった。 (2007/02/05)
Google、検索アプライアンスを機能強化
新Google Miniはセキュリティ機能などが強化され、価格は1995ドルから。 (2007/01/31)
Interop Tokyo 2006:
グーグル製ドキュメント検索アプライアンスの廉価版が登場
ぷらっとホームは展示場において、社内の文書検索やECサイトの商品検索などを行うグーグルの検索エンジンアプライアンスを紹介した。 (2006/06/09)
「Legoブロックをイメージ」――グーグルが日本版「Google Mini」投入
グーグルは、企業Webサイトやネットワーク内の文書を検索できるようにするアプライアンスの新製品「Google Mini」を発表した。 (2006/04/12)
Google、企業向け検索でコンサルティング会社と提携
エンタープライズ向けの検索提供でGoogleとコンサルティング会社のBearingPointが提携。Google Search Applianceの機能を各業界特有のビジネス環境に合わせてカスタマイズする。 (2006/02/15)
アクセラテクノロジ、企業向けドキュメント検索ソフトを出荷開始
アクセラテクノロジは、企業向けドキュメント検索ソフト「Accela BizSearch V3.0 Enterprise Edition」を出荷開始した。 (2004/12/08)
オーシャンブリッジとアクセラテクノロジ、業務文書の公開に特化したサーバを販売開始
オーシャンブリッジとアクセラテクノロジは、「eAccela Net-It 業務文書公開サーバ」を共同開発した。 (2004/01/30)
検索の力を現場の力に、ウチダスペクトラムが2種類のパッケージ
ウチダスペクトラムは、企業向け検索プラットフォーム「SMART/InSight」をベースに、特定業務に特化した機能を組み合わせたパッケージ、2製品をリリースした。 (2006/10/24)
業務に必要な情報を即座に発見――ウチダスペクトラムがエンタープライズサーチシステムを発表
ウチダスペクトラムは、社内外の情報を横断的に検索できるエンタープライズサーチシステム「SMART/InSight」を発表した。業務時間の30%以上を情報収集に費やしているオフィスワーカーの生産性向上を促す。 (2005/10/19)
ジャストシステム、「ConceptBase V」を活用した文書管理ソリューションを販売
ジャストシステムは、同社の検索エンジン「ConceptBase V」とパナソニック ソリューションテクノロジーのドキュメント管理システム「GlobalDoc5」を組み合わせた文書管理ソリューションを提供する。 (2006/02/24)
ジャスト、社内の情報活用を促進するツールの新版
ジャストは、社内の情報活用を促進するための支援システム「ConceptBase V」を1月18日に発売する。 (2005/10/18)
ジャストシステム、Linux環境対応ナレッジ検索システムを販売開始
ジャストシステムは、Linux環境に対応したナレッジ検索システム「ConceptBase Search Enterprise for Linux」を販売開始する。 (2004/09/24)
コグノスの検索ツール、IBMおよびYahooの企業ソフトウェアプラットフォームに対応
Cognosは同社のBIツール「Cognos 8 Go Search」を、IBMとYahooのエンタープライズ検索ソフト「IBM OmniFind Yahoo Edition」に対応させると発表した。組織内やWeb上に蓄積された情報を検索し、ダッシュボードやレポート、分析、評価指標情報などを提供できる。 (2006/12/20)
IBMとYahoo!、エンタープライズ検索ソフトを無料提供
イントラネットとインターネットの両方に対応したエンタープライズ検索ソフトを、IBMとYahoo!が共同開発、無料で提供を開始した。 (2006/12/14)
オーシャンブリッジと住友電工情報システム、文書共有ポータルシステムで協業
オーシャンブリッジと住友電工情報システムは、文書共有ポータルシステムで協業すると発表した。 (2005/10/27)
ホワイトペーパー:
企業向け文書検索エンジンを導入して業務に役立つ情報をすばやく見つける
企業内の情報システムに文書検索エンジンを導入する動きが活発化している。オートノミーの文書検索ソリューション『Ultraseek』を使えば、業務で必要な情報をすばやく見つけることができるようになる。 (2006/07/26)
エンタープライズサーチ・ビジネスサーチの製品
エンタープライズサーチ
ちょっと前、その分野にまったく興味すら覚えた事のない私に「エンタープライズサーチの動向」的な事を調査する仕事が回り回ってきました。
「とりあえず、FAST、Autonomy、Endecaあたり調べてみて」と言われ調べだしたら、なんだか芋づる式にその分野の製品が出て来たので、せっかく見つけた事だしココにメモる。(興味が無い事を)調べてみての感想としては...
- 調査終了してもさっぱり興味が湧かなかった&調べた側からどんどん忘れて行く(=効率が一向に上がらず時間がかかりまくり)ので、自分にとっては本当に興味が無い分野なんだな~と思った。
# 依頼するならもっと適任な人に~>上の人- 単なる検索に終わらず、検索結果に手を加えたり、結果を元に別な要素を引っ張って来て表示したりと、各社手を替え品を替えでなかなかおもしろいと思った(ちょっとBI化してきてる?)。
- エンデカ、ビビシモ、コンベラとか耳慣れないネーミングが多い。
- 形態素解析だ、ファジー検索だ、フェデレート検索だ、ファセット検索だ...初耳な言葉のオンパレードで、何がどんな検索方法なのかもう訳わからん状態(# もうすっかり忘れた)。
- 日本語サイトが無いところは、ウェブ翻訳使いまくってみたけど、どれもまだイマイチであった。
# 英語以上に意味不明な訳の時もありで、脳内疲労が加速した。
リンク集
- FAST ESP(Fast Search & Transfer)
# MSが買収。NTTデータと協業した「なずきサーチ」ってのもある。- Autonomy IDOL(Autonomy)
# Verity買収の結果、K2, Ultraseekもココの製品。- Endeca ProFind(Endeca)
- Vivisimo
# 検索結果に対して各自が投票や★の数で評価を付けたり、タグやコメントを書き込むことができ、そのデータにはほかの社員もアクセス可能(ソーシャル機能の追加)らしい。- Convera
- Coveo Solutions
- InQuira
# Business Objectsが買収し、更にSAPが買収- Isys Ssearch
- Inxight
- Google検索アプライアンス: Google Search Appliance(グーグル株式会社)
- ConceptBase V(株式会社ジャストシステム)
- IBM OmniFind Enterprise Edition(IBM)
- Oracle Secure Enterprise Search 10g(日本オラクル株式会社)
- KnowledgeMeister(東芝ソリューション)
- SMART/InSight(ウチダスペクトラム株式会社)
- CyberFinder(サイバーソリューションズ株式会社)
- Accela BizSearch(アクセラテクノロジ株式会社)
- QuickSolution(住友電工情報システム株式会社)
- WiSE(ビジネスサーチテクノロジ株式会社)
- SAVVY NEO(ジップインフォブリッジ株式会社)
- Bibliotheca2(株式会社日立製作所)
番外&関連ネタ
- Powerset NATURAL LANGUAGE SEARCH(Powerset)
# 人工知能ベース。Googleキラーと言われるも、2008年7月、MSに買収。- Carrot2
【レビュー】検索結果をアグレッシブに分類! Carrot2 (1) Carrot2とは | マイコミ ジャーナル
- Basis Technology(Rosette言語処理プラットフォーム)
FastやEndecaなどで採用されている形態素解析システム(導入顧客)
- 2008 Enterprise Search Vendors: The new "Fab 4... and 1/2"(New Idea Engineering, Inc.)
# Enterprise Searchの情報がいっぱい(英語)- 次世代検索はグーグルの上に構築 - @IT
- エンタープライズサーチ ― 企業内検索に求められるものとは? | エンタープライズ2.0 Forum
# 2ページ目に製品一覧がある
Friday, December 12, 2008
Thursday, December 11, 2008
中国広告市場調査
すみません。
途中まで整理したものは下記の通りです。
① 中国のネット環境でアフィリエイトは盛んでいない
affiliateは中国で、客観的な第3者による仲裁ができてないため、普及されてないと考えられる。
② 中国で従来のネットワーク広告は外資のネット広告会社にコントロールされている
主要な広告サイトはポータルサイト。
広告自体は広告顧客が直接サイトに営業されるパタンと代理会社経由営業されるパタンがあるが、課金仕組みは閲覧数(PV)とクリック数によって分けられている。
両方の課金基準は外資のネット広告会社に支配されていた。
(DoubleClick, aQuantive, WPP, Right Media)
このパタンでは一般中小サイトの参入が難しい。
③ Google、Microsoft、Yahooが②広告会社を買収していたよって今はこのような国際ネット広告市場を支配している
中国でGoogleのAdsenseが進出している
http://www.google.com/intl/zh-CN/adshome/index.html
一般に広告アカウントを登録すれば簡単に広告サービスを提供できる。中小サイトには人気である。
Googleがコンテンツに合わせて自動的に広告を提供している。金額も広告顧客次第。課金仕組みはクリックベース。つまり閲覧だけでクリックがなければは収入につながらない。また、収入はある程度たまったら引き出せる。最後中国のgoogleはアメリカと日本より金額が比較的に少ない。
結論は中小サイトは最初③で展開するのが始まりやすいと思います。ただし、収益が高くないです。順調にユーザ数とPVなど伸びったら、③と②の直接営業合わせて行えば、収益が高くなります。
インテルプロセッサーHigh-Kと金属ゲート技術
インテル、45nmプロセスに向けたリーケージ削減技術などを発表
~ムーアの法則はあと10年有効
90nmプロセスのCPUとして提示されたPrescott(左)とDothanのダイ写真 10月5日発表
インテル株式会社は5日、都内でCPUの技術に関する説明会を報道関係者向けに開催し、90nmプロセスの現状や、将来の技術ロードマップを発表した。
この中で、Intelのロバート・S・チャウ インテル・フェロー兼技術・製造本部 トランジスタ・リサーチ ディレクタが、2007年の45nmプロセスで導入されるリーク電流(リーケージ)削減技術を発表した。
●ゲート絶縁膜と電極の素材を変更してリーケージ削減
ロバート・S・チャウ インテル・フェロー兼技術・製造本部 トランジスタ・リサーチ ディレクタ リーケージ削減技術の概要は、ゲート絶縁膜の材料を、現在使われている二酸化シリコンから高誘電率(High-k)に、ゲート電極の材料を、現在使われているポリシリコンから金属にするというもの。
プロセッサの小型化に伴って二酸化シリコンのゲート絶縁膜も1.2nm、原子数個分のレベルまで薄くなっているが、この状態では「蛇口を閉めても 水がしたたたる」(チャウ氏)ように電流が漏れ(リーク)してしまう。High-kでは絶縁膜を3nmまで厚くでき、リーケージを100分の1以下に抑え ることができるという。
ただし、High-kとポリシリコンのゲート電極の相性が悪いため、性能が低下してしまう。このため、ゲート電極に金属素材を採用した。
チャウ氏は、二酸化シリコンからHigh-kへの切替を「心臓移植」に例えた記事を引き合いに出し、その困難を表現したが、Intelは5年でHigh-k材料を特定したという。また、この技術により、ムーアの法則の有効性をさらに10年継続できるとした。
なお、6日に都内で開催される「ゲート絶縁膜国際ワークショップ2003」でも、詳細が説明される。
●90nmの歩留まり向上速度は過去最高
城浩二 取締役 開発・製造技術本部長 チャウ氏の発表に先立ち、インテルの城浩二 取締役 開発・製造技術本部長が90nmプロセスの現状と、90nm以降に向けた研究開発について説明した。
この中で90nm世代のプロセッサを特徴付ける技術として、低誘電率の層間絶縁膜、50nmのゲート長、歪みシリコン、300mmウェハを紹介。特に歪みシリコンは、シリコン格子を歪ませることで電子の流れを高速化し、駆動電流を10~20%向上させるとした。
また、90nmの歩留まり向上速度は0.13μmプロセスまでの速度と比較して過去最高で、すでに量産可能な水準に達しているとし、90nmプロセスの開発が順調であることを強調した。
●2010年には20GHz
ムーアの法則に則り、2010年に20GHzのCPUを予測 今後の製造プロセス導入については、2005年に65nm、2007年に45nmを計画。45nmプロセスではゲート長が25nmまで縮小される が、実験レベルでは15nmまで実現したとし、プレーナー型CMOSの縮小を進めていく。一方、非プレーナー型のトライゲート・トランジスタ構造の研究開 発も進める。プレーナー型、非プレーナー型のどちらを採用するかは、今後の技術動向次第で決めるとしている。
こうした技術により、2010年には動作周波数20GHzで、10億以上のトランジスタを搭載するCPUを予測しているとした。
ゲート長は15nmまで動作を確認 プレーナー型のテラヘルツ・トランジスタ(左)と、非プレーナー型のトライゲート・トランジスタ ●EUVマスクやパッケージング技術の開発も
説明会後半ではインテルの大藤武 開発・製造技術本部 リソグラフィ開発部長がマスク技術について、市川公也 開発・製造技術本部 テクノロジーソリューションセンター部長がパッケージング技術について説明した。
マスク技術では、極紫外線(EUV)マスク技術がトピックとして取り上げられた。これは、製造プロセスの微細化に対応するため、現在使用されてい る光源よりも波長の短いEUVでマスクを露光する技術。現在の光源は193nmの波長までとなり、以降は13nmのEUV露光に移行するロードマップが提 示された。
こうしたマスク技術の開発はIntel社内で行なわれており、社内にマスクショップを持つことが競争力を高めていると強調した。
Intelのマスク技術のロードマップ。ただし、最新のロードマップでは、この図にある157nmの波長をスキップしている 通常の光フォトマスクは石英を通して露光するが、EUVマスクでは反射膜に反射させて露光する インテルが製造したEUVマスク パッケージングについては、壊れやすいLow-k材料を採用したプロセッサをパッケージする技術や、モバイル機器向けのシステム・イン・パッケージ(SIP)のためのダイ積層技術などについて説明された。
とくにSIPについては、より多くの層を重ねるためにダイを薄くし、50μmのダイを8枚積層する研究が進められているとした。また、サンプル出 荷中のフォールデッド・スタックド・チップ・スケール・パッケージでは、ロジックとメモリを組み合わせたパッケージを、柔軟に構成できるメリットを説明し た。
パッケージングの開発拠点は日本にもあり、現在は主に携帯電話向けチップのパッケージングを開発している 90nmプロセス製品にはオーガニック・フリップ・チップパッケージを採用 超薄型パッケージングでは厚さ50μmのダイを8枚積層 柔軟な構成が可能なフォールデッド・スタックド・チップ・スケール・パッケージ 会場に展示された300mm(左)と200mmのウェハ □インテルのホームページ
(11月5日現在、この件に関する情報は掲載されていない)
http://www.intel.co.jp/
□関連記事
【2001年11月27日】Intelがテラヘルツ・トランジスタ技術を発表
http://pc.watch.impress.co.jp/docs/article/20011127/intel.htm
(2003年11月5日)
[Reported by tanak-sh@impress.co.jp]