王白石

6月5日，Movable Type终于按捺不住寂寞和人气流失的压力，放出了Movable Type4-beta版。从平生一笑那里得知消息之后，今天才有时间坐下来安装，发现整个过程极为容易，后台界面也易用了很多，许多新功能还没学会怎么用。

提醒一下，不要自作聪明地像以前的版本一样再去把mt-config.cgi-original这个文件自己去改动，直接在地址栏输入http://yoururl/mt.cgi即可，一切安装都是人机交互界面了！如果自己擅自更改了的话，后果就是执行mt.cgi的时候报500错误！这也正是最新BETA版的第一个特性：易于安装。

其他特性参考一笑的网站吧，这里括弧一下:D

* Easy to set-up and use(易于安装使用)
* Enjoy all the power of rich media(加入了WYSIWYG，能够插入多媒体，不知道是好是坏，唉)
* Get a view of your blog’s success with the MT4 dashboard(学WordPress？)
* Create a dynamic website with powerful content management(强调内容管理的强大)
* Let your readers join the conversation(内建了注册系统，这下子跟WP又一样了，支持OpenID)
* View multiple blogs on one website, with easy archiving(嗯，这个比较好，看了看下载回来的文件，可能是通过ExtensibleArchives插件实现的)

我的试验田地址是：http://www.qiran.org/mt4/

1月17日发布，新功能如下：
* 修复了重要的潜在风险XSS缺陷
* 对所有MT用户推荐，免费升级
* 使FastCGI功能更易用，性能增长15倍

Six Apart鼓励所有MT用户进行升级，主要原因是XSS缺陷得到修正。

FastCGI的优势：
* 提升CGI执行性能
* 提高评论速度
* 提高可靠性
* 遭遇SPAM攻击的时候更具弹性

国内通往北美的internet数据终于有了一点点复苏的迹象，至少我可以让我打开位于DreamHost的MT管理界面，写下这一篇，而在这之前的四天里，我的主机基本上遥不可及。

一次地震，让我们看到了脆弱的数据通信技术，中断的节点几乎全部集中于台湾附近，而这一中断几乎让中国大陆对外特别是对北美的所有数据流处于中断状态，所造成的损失不可估量。

到现在为止，我还不能打开Dreamhost的Control Panel，不知道为什么MT的管理界面出奇的顺利，难道是加密传输的原因？

希望情况尽快好转起来。

I paid $119.40 for another year service on Dreamhost.

After two weeks looking on line to check all the comments for different hosts, e.g. Bluehost, the one I prefer more, but finally I decided to stay in DreamHost.

There were two other plans:
1. Change all domains / service to Bluehost, with good web panel and stable host computer, or
2. Register another user instead of the current one, but it’s make trouble to transfer the domains to new space, and cause a lot of work.

I am lazy boy, so I spent more dollar and enjoy serving my girl.

刚才在网上又挖到一文，Link: 恐怖的Dreamhost超额流量费，是关于花儿开了的一篇因为受到恶意下载以及Dreamhost错误的统计方式而造成的超高流量费：虚惊一场！

我看了一下，觉得两个问题造成这场虚惊：
1. 事主放了两集《越狱》在服务器上，晕啊，这可是当红下载，一旦链接泄露或者被爬虫挖到，后果可想而知。不管是受到攻击还是过多的流量，都会给自己造成影响。
2. 来自特定IP的过多请求，类似于攻击的情况下，DH做了错误的统计，让你在国内链接DH（类似攻击的IP来自国内），从来没奢望达到过234M/s的速度，事主是在7.5小时里被人用掉了6TB的流量，显然是不可能的。

看来，在自己的服务器上放置流行下载的东西是很危险的，例如MP3，电子书，MV或者电影，特别是你被Baidu或者google链上后，容易变得一发不可收拾。

另外，服务器在美国，适用美国法律，提供像MP3以及电影这种带有版权的东西的下载是违法的，提醒一下要小心。

最近几个月以来，垃圾Comments和Trackback每天都有几百的速度在涨，如果哪几天忘了看，几千的spam让人实在没心情看哪些是正经的comments和TB，另外CPU使用时间实在太多，真不知道哪天DH会KILL掉我的mt-tb.cgi。

上网去查，发现CCode&TCode不错，最新支持MT3.3.1，刚碰巧还有几个朋友同时也在头痛spam，也正在试这个CCode&TCode，于是自己也试装了一下。实际效果不错，插件改变了entry id，让spamer无从下手（总不能从1到10位数这样扫过去……）。今天是第三天，还未发现一例垃圾。

安装方法极简单，阿alongblog上去下载源文件到/mt目录下，并解压：

wget http://alogblog.com/downloads/dn.cgi?CTCode-3.3.01.tar.gz
tar -zxvf CTCode-3.3.01.tar.gz

注意把/mt-static文件夹下的东东COPY到相应位置。

转到你的后台管理界面，在Templates下面，找到单篇归档和评论预览两个模板，在里面找到<form>标签，把<$MTEntryCCode$>添加进在下文后面：

<input type=”hidden” name=”entry_id” value=”<$MTEntryID$>” />

<$MTEntryCCode$>

同时，在<head>标签里把下面这段添加进去：

<script type=”text/javascript”
src=”/url_to_mt/default_templates/obfuscator.js”></script>

重建单篇模板，OK。

补充一个Chedong和平生一笑推荐的第二重防SPAM方法：
将mt-tb.cgi和mt-comments.cgi改名，再修改mt-config.cgi，添加：

TrackbackScript new_trackback_file_name.cgi

CommentScript new_comments_file_name.cgi

这样针对mt-tb.cgi的spamer可以被你滤掉了，不知道这个方法还能有效多久，常换就是了。
另外还要注意把自己的mt-config.cgi保持权限为600，以确保安全。

Hacker gallery

Originally uploaded by Christnan.

早上没事，想起来很久没打开过gallery看看，那里没人去，不料想打开之后吓了一跳，一幅图片，醒目位置写着：

STOP!
No war in Lubnan

落款是：AYYILDIZ TEAM

显然，网站被hack了，有意思的是还在顶部留下了操作人的ID：”HACKED BY - TNCAkadro”. 当然，我没得罪过什么人，应该是被殃及了。上网一查，马上查到同时有很多网站被HACK，不知道是冲着美国去的（我的主机在美国）还是冲着以色列：总而言之，被殃及了。

以前从没注意过网站安全的重要，现在开始要学习一下如何把网站建设得更安全。

实在无法忍受spam，给评论加上了TypeKey认证，用这种方式来阻止SPAM评论。
方法简单，在TypeKey网站注册，在认证那里可以最多填写5个站点，把自己mt-comments.cgi的路径加上去，然后把认证码放在MT的配置里面，开启认证就OK了。

也许有用，试几天再说，这几天COMMENT会有些不方便，见谅了：）

VOX，Six Apart公司新推出的个人BLOG平台。

感觉不错，推荐一下，点击进入VOX，值得说的是，平台支持collection，以及和Flickr相册兼容得很好，还支持多种格式的照片/语音和视频文件上传，界面很友好。

我这里有五份邀请函，谁要的话留言即可。不过自己也可以申请，不过要等上三四天。

打开http://weblog.zhangbee.com的管理界面，直接就是一大片等待pending的comments和trackback，统计了一下，6月7日当天的垃圾comments共计200条，trackback共计120条，虽然没造成什么CPU时间困扰，但还是让人怒兮兮的。

打算把后台再升级一下，加强anti-spam的功能。但据说，spamer早已经看中了MT，针对MT的反SPAM早已有所准备，也难怪，MT3.2也偶尔有被袭击的时候。

大部分的SPAM都带链接，要么是推销低价软件，或者是卖伟哥，当然还有大量的成人链接。99%的SPAM来自国外。