2014年7月16日 星期三
8杯水
每天要喝8杯水?6個你常犯的營養迷思
http://www.commonhealth.com.tw/article/article.action?id=5019757&page=1
maggie | 14th May 2010 | 健康減肥資訊 (減肥必看 !) | (930 Reads)
2014年7月15日 星期二
升職自救術
升職自救術
Yahoo財經 – 18時前
圖片來源: Getty Images
社交網站LinkedIn最新職場關係研究指,有三成的受訪香港專業人士認為,同事之間的友誼會影響其事業上的競爭力。當中,有63%千禧世代(18-24歲)坦言,會為升職犧牲與同事之間的友誼;至於62%的戰後嬰兒潮世代(55-65歲),則稱完全不會考慮。
即便如此,抱著「多個朋友總好過多個敵人」心態,在香港地區,有53%的受訪者相信,與同事之間的友誼可讓工作時更快樂,這個數值高於全球研究的平均值。受訪的「90後」當中,有65%認為職場上的友誼讓他們感到快樂,至於有動力的則有49%、提高生産力有39%。
無論如何,在職場談人情真的太天真,為了不做被犧牲的一個,你要先懂得如何自救,關鍵是如何展現自己的才能。
1.低調型:定期向上司匯報進度
日日加班,做不停手,老闆、上司就會升你?新界隻牛也夠勤力,但沒人看見,或者方向錯了,就甚麼都不是了。勤力是需要的,但必須確定高層們看得到你的勤力。定時定候向上司報告你的進度,適時向他「請教」一下,既可減少出錯,亦能爭取多與上司溝通的機會,低調地展現你的想法與能力。
2.社交型:偶遇爭機會
身為公司裏的「小薯仔」,見到高層的機會微乎其微。萬一在茶水間或電梯「偶遇」高層,有些人會以閃縮眼神回避,急步退場,因而錯失「被記住」的機會,注定被「叮」。你又沒有做錯事,根本沒有閃縮的理由,向別人報以微笑、打個招呼是基本禮貌。如是者,多碰面幾次,或能賺得一席對話時間。不要一味奉承,聊聊自己的工作或意見,反正讓他記住你,留下一個好印象,以後談升職,你的贏面也比較大吧。
3. 小心型: 諗3秒再回話
若有機會與上司、老闆們閒聊,亦不可掉以輕心。《人人都愛升職器:一切為了30歲以後的脫胎換骨》一書指,面對簡單的問題,例如附近有甚麼好餐廳,也不要快速回答。見微知著,作者說,停著「1、2、3」再回答的模式,有助表現出你的思路和對重點的整理能力,予以人深思熟慮的好印象,隨時變成你升職與否的重要評價之一。
在 Facebook 上成為 Yahoo財經 的擁躉
2014年7月14日 星期一
2014年6月27日 星期五
瞓捩頸又肩頸痛? 3分鐘搞掂痛楚
瞓捩頸又肩頸痛? 3分鐘搞掂痛楚
每當季節變換,日夜溫差較大時,就是落枕(俗稱:瞓捩頸)發作的時節,只要想到好幾天都不能隨意轉動脖子就大傷腦筋,因為這毛病要看醫生也不是,找鐵打醫師又怕痛。不用怕!大家只要騰出3分鐘,就可以輕鬆解除疼痛。
落枕正確的說法應為急性頸椎關節周圍炎(Acute fibrositis),左手掌兩個穴位(見圖)分別代表頸痛落枕及肩頸痛,沒有落枕時揉壓也有放鬆肩頸的效果,通常以右手姆指來施力,只要摸到紅點處有凹陷的地方就是開關了,可以邊揉壓邊轉動頸部來確定是否有效放鬆肩頸,大約3至5分鐘以內就能解除疼痛。
【職場管理】避免說的11句話
職場中掙扎求存,空靠一雙手並不夠,還需要一張嘴。口才了得的人,有誰不喜歡?即使不能雄辯滔滔,只要說話時,懂得選擇適當的詞匯,便能提升你的權威性和專業性。美國《Inc.》雜誌一文中,提及11句應避免在職場說的話,若當中有你的「口頭襌」,就要快快戒掉了。
1. 「我這樣說合理嗎?」
原本用來確認對方是否理解你的意思,可是實際上,可能讓對方誤會你在質疑自己,並不完全清楚自己的想法似的。專家建議,改說「你有甚麼看法?」比較好。
2. 「這樣不公平!」
雖然美國最新研究顯示,甚麼都要抱怨的人,比個性樂觀的人工作效率更高。抱怨有助抒發情緒,但最好不要在職場說出來。只懂抱怨並不能改變狀況,比起發牢騷,在麻煩的事發生之前,預先想好對策阻止其發生更實際吧。
3. 「我沒有時間」
只要待在職場一段時間,總會試過接到上司派予的「不可能任務」。沒能完成的工作,與其花時間想藉口解釋為甚麼要遲,倒不如為工作設下死線,快手快腳做完更好,反正你總得完成它。
4. 「只是……」
很多人喜歡說「只是」,一句「我只是覺得」、「我只是想」,會使人感到你帶著戒心和一絲抱怨、緊張。把這兩個字從你的說話中「刪除」,能讓你的話顯得更具說服力。
5. 「我一周前已發了電郵」
發了電郵不代表任務完成,別人沒回覆,你得主動跟進。溝通需要主動,別因這些問題,令同事受到責罵,破壞彼此關係。
6. 「我討厭……」
職場中,和同事聊聊八卦,的確可增進彼此感情。惟羞辱別人或公司業務,只會顯得你很幼稚,禍從口出,更隨時惹來被解僱的危機。
7. 「這不是我的責任」
即使不是你的職責,假如可抽出時間,不妨幫同事一把,突顯你擁有團隊精神。反正事情到最後,若出了壞結果,這個責任大家都要一同承擔。
8.「你應該……」
在予以建議時,很多人不奇然地說出「你應該」三個字。不過,這句話或多或少令聽者感到責備的感覺,想表達相同意思,只要稍作修飾,改為說「在未來,我建議你......」,聽起來有尊重的感覺,舒服很多。
9. 「我可能是錯的,但是……」
第一句就貶低自己,之後接著說的話,說服力也會大打折扣了。人需要謙虛,但過於謙虛的開場白,還是不要說比較好。
10. 「對不起,但是……」
有些人習慣以「對不起」作為開場白,但沒頭沒腦的道歉,只會讓人感到煩懨,亦顯得懦弱,必須戒掉。
11. 「其實……」
有些人喜歡以「其實」作為開場白,就如「其實,你要找的東西就在那裏」、「其實,你可以用這個方法」。講者可能是習慣使然,但聽者卻有種自己做錯事的感覺,「其實」二字把彼此的距離拉遠,最好戒掉它吧。
在 Facebook 上成為 Yahoo財經 的擁躉
2014年6月24日 星期二
轟炸 DNS 最「難攪」
專訪 Popvote 網絡大戰背後: 轟炸 DNS 最「難攪」
一次民間公投令 DDoS 攻擊成為全港話題,也令更多人關心黑客攻擊的威脅。事件中很多人關心攻擊規模和來源地,但其實黑客攻擊 DNS 域名系統的手法,才是危險和值得關心的。今次我們專訪了專業資訊保安協會外務副主席范健文,淺談一下是次攻擊對防範 DDoS 的一些保安啟示。
攻擊對象不限目標本身
針對是次民間公投的 DDoS 攻擊,不僅成為香港報章的頭條新聞,甚至更登上外國報章,成為中外關心的事件。事件中最注目的包括高達每秒 300Gb 的極大攻擊流量,與及外國廠商 Cloudflare 如何阻擋這史無前例的 DDoS 攻擊,但其實黑客針對 DNS 域名來攻擊的手法才是最值得公眾和 IT 保安從業員關心的。
據港大民研透露,PopVote 投票系統最初是由 Amazon Web Service、CloudFlare 和 UDomain 共同提供服務。但在服務啟用 30 小時後就遭到攻擊,紀錄顯示,AWS 的 DNS 在 20 小時內收到超過 100 億次查詢,而 CloudFlare 和 UDomain 亦分別受到每秒 75Gb、10Gb 的 DDoS 攻擊。
DNS 成防禦 DDoS 軟肋
結果導致 AWS 停止為 PopVote 提供 DNS 服務,UDomain 亦退出了服務。其後雖然 CloudFlare 啟動防護,成功阻截 DDoS 訪問,也成為各大報章追訪的對象,但黑客後來改變攻擊計劃,改為向「.hk」的域名系統埋手,試圖癱瘓整個 .hk 系統,從而令全港網站跟公投系統一齊停止運作,幸好最終未能得逞。
從 IT 保安角度,保護 IP 可以防止黑客直接向「本體」攻擊,因為域名其實可以隨便改,只要指向回你的 IP 就能提供服務。但問題是一般網民上網,記著的是你的網址而不是 IP,域名受到影響雖然不會令本體受到攻擊,但卻能令網民無法用域名連到你的網站,就結果而言其實黑客已經攻擊成功。雖然 .hk 系統能夠保著不失,但這卻帶出問題:DNS 域名系統是否防範黑客攻擊的軟肋?
DDoS 攻擊 DNS 日趨主流
域名解析服務(DNS)是網路基礎的重要部分,負責將大家日常認識的網址,和真正在背後的 IP 地址之間做轉譯。只要是需要用上域名的服務都會跟 DNS 有關,由網站到電郵,以至企業軟件和雲端服務都會用上。據 Infoblox 於 2011 年報告,單一台智能手機在日常使用時已會產生每秒 20 至 30 次 DNS 查詢,DNS 服務通訊量是以往的 20 倍。
由於 DNS 的重要性愈來愈高,因此也逐漸成為黑客瞄準的攻擊對象。據調查顯示,2013 年全球 DNS 攻擊事件比 2012 年提升 200% 以上,其中 DNS 型態的 DDoS 攻擊、DNS 偽冒嫁接、DNS 弱點利用為主要類型。由於大多數機構對 DNS 系統的安全防護比較少,因此成為網絡防禦的軟肋所在,一旦 DNS 發生問題時的嚴重等級及影響範圍都極為劇烈。
濫用 DNS 作攻擊跳板
雲端服務供應商 Radware 為 DNS 攻擊分為 4 大類。第一種是基本洪水攻擊,透過送出許多 DNS 請求到 DNS 伺服器,以耗盡伺服器的網域名稱解析器及快取資料庫資源。第二種是遞迴式洪水攻擊(Reflective DNS Flood),攻擊者會對 DNS 伺服器送出不存在 DNS 快取資料的網域名稱解析請求,從而增加 DNS 伺服器與網路頻寬的負荷。
第三種是垃圾洪水攻擊(Garbage Flood),利用 53 埠對 DNS 伺服器發出大量封包,進而塞爆伺服器對外的網路連線,讓 DNS 名稱解析器疲於奔命無法服務正常查詢請求。據 Arbor Networks 全球 2013 年度基礎架構安全報告,發現有 10% 的 DDoS 大量攻擊是來自 UDP 53 埠,僅次於最常被攻擊的 HTTP 網站服務所採用的 80 埠(29%)。
放大攻擊提高破壞力
還有一種現在更流行的折射式洪水攻擊(Distributed Reflection DNS Flood),只需有限資源便能攻擊,而且不需自行架設的 DNS 伺服器,就足以產生巨大的網路流量。去年 3 月反垃圾郵件組織 Spamhaus 就是被黑客以這方式攻擊,產生高達每秒 300Gb 的網路攻擊流量。
而黑客在發動 DNS 折射式洪水攻擊時,更會同時運用放大攻擊(Amplification Attack)的手法來加強破壞力。黑客會利用開放查詢的 DNS 服務器作為放大器,透過向 DNS 服務器發送大量的垃圾 DNS 查詢,從而向攻擊目標反射回覆。由於查詢和回覆的封包內容不對稱,向目標反射的封包會有放大效果,按不同攻擊方式可有多達 3 倍,甚至 100 倍的放大效果。
垃圾 DNS 解析請求癱瘓系統
而是次 PopVote 受到的攻擊,就有很大部分來自 DNS 的 DDoS 攻擊。就專業資訊保安協會外務副主席范健文理解,攻擊的最大流量都是來自 DNS 層面,針對 HTTP 等埠的攻擊其實很少。他指出,現在黑客攻擊未必會著眼在攻擊本體,把 DNS 弄死已足夠令服務停止運作。
「其實在 PopVote 停止運作時,你用 IP 直接連上網站是完全無問題,很暢順的。因為問題不在於本體,而是 DNS 受到騷擾。黑客透過向 DNS 發送垃圾 DNS 查詢,送出不存在的 DNS 快取資料的網域名稱解析請求,大量的回覆增加了 DNS 伺服器與網路頻寬的負荷,最終導致服務中斷。」他說。
舉個例子,受到黑客控制的僵屍電腦會向本身使用的DNS 服務器發出一些隨意生成的PopVote DNS 請求,例如 xyz.popvote.hk、abc.popvote.hk 等。縱使DNS 服務器已經有快取資料(Cache),但由於沒有這些不存在的域名紀錄,於是便會將解析請求轉到 .hk root 服務器 。而這些請求當然也是沒有答案,於是便產生了極大的流量回流到 PopVote 網站。
攻擊非常聰明也極難阻擋
范健文表示,由於這些流量都是從正常來源而來,不能透過簡單過濾 IP 的方式來阻擋,因此才會那麼難以防禦。是次攻擊中,PopVote 本打算採用 AWS 的 Anycast DNS 服務來加強穩定性,而 AWS 亦因此收到多達 100 億次 DNS 查詢,為了不影響其他客戶的服務,最終只能退出戰線。
他坦承這種攻擊非常聰明也極難阻擋,而這也顯示到目前 DNS 網路服務相當脆弱,成為防禦 DDoS 的最大軟肋。一般網民可以透過使用 OpenDNS 來避免 DNS 遭到綁架,但在服務提供者層面而言無太多方法可以做到,最低限度目前是如此。
可以預見的是,利用 DNS 作為 DDoS 攻擊跳板的事件,未來將會不斷發生,而且遭遇的頻率將愈來愈頻繁。不僅 IT 保安從業員必須正視這方面的威脅,而業界和政府機構亦應加強在 DNS 解析上的改革工作。
訂閱:
文章 (Atom)