2012年2月6日星期一

Google的2012预言与国产山寨的守望

Google的2012预言与国产山寨的守望  阅读原文»

  GOS又在元旦发布了新的一年里有关Google的大预言,今年共预测了22条Google在2012年有可能发生的事情。事实上,仔细数一下,国内发布的仅有21条,其中有一条似乎是翻译漏掉了。

  以下是笔者在补充了原有内容的基础上,按相似分类整理了一下,并加入了对应山寨市场的观点。这样对国内读者来说,看得更直观些。

  Google 首页

  1、Google的导航条菜单将改进为可自定义方式,提示栏也会支持一些新服务,这个计划原来只是在Google+实行。2011年,Google的首页导航条变更,已经让新浪、腾讯这些山寨大叔们趋之若鹜。2012年,这些山寨者将更加疯狂。

  Google Doodle

  2、Google Doodle Creator发布后,允许用户自己创建自己的doodle(即Google首页上会随着节日变化的小Logo),并且这些doodle可以像Google+一样分享给好友。腾讯可以学习分享,但要学到创建估计很难,除非把QQ涂鸦板合并,但那块的市场需求太小了,仅靠几位没有签约机制的大师级玩家明显不给力。

  Google Goggles

  3、还记得图片搜索应用吗?它将会应用于Google网页上的图片搜索中,并可分析图片并识别出其中的物体和人物。这是国内企业抄不来的东西,希望Google继续向着09年提出的那个透明平板的概念不断迈进。

  Google Music

  4、Google Music会变成订阅服务。这条内容目前我还无法直观的理解它。但Google Music一直是以正版音乐的方式给大家带来高音质的服务,只可惜该服务仅对美国用户提供,如果也想体验,只能用美国代理的方试访问了。音乐的订阅服务在国内其实也不少,表现最出色的就是音乐网站推出的电台服务。

  Google Drive

  5、Google Docs一直要改成Google Drive,即是将原来的文档存储编辑服务,向文件存储服务转变。等于是向网盘模式进军。改版后,也将更适合平板使用。据说这次改进将可以免费存储并同步任何文件。如果真是这样,我会果断放弃现在测试的所有国内网盘服务。

  Google Instant Answers

  6、Google Instant Answers发布,这是一个改进的即时解答服务,可以提供很详细回答的搜索服务。不知道能否对百度知道形成威胁,似乎雅虎已经抢先了一步。不过另一个Google汇问倒是不错,一个名不见经传的东西极具创意。很适合追求用户体验的产品需求调研使用。

  Google history

  7、Google history将会做更多的细节改进。Google的历史记录一直是资深用户推崇的产品,如果你只是偶尔登陆谷歌搜索,是无法体会在他背后那数以千万计服务器支持下的个性化服务。如果你使用谷歌有一年以上。你可以在谷歌历史记录看查看自己过去一年来的战绩。我允许谷歌来记录我的工作、生活、足迹、行为习惯,因为这些记录将会只针对我个人来提供全面的个性化服务。它安全、稳定,未经我的允许绝不对外授权。这就像为什么这么多有钱人喜爱瑞士银行一样,我的记录也是我一生的财富。这是山寨兄弟们永远也无法比肩的。

  YouTube

  8、HTML 5已逐渐取代HTML 4成为网页的新标准,YouTube的HTML 5播放器将成为默认设置。

  9、Google会在YouTube中采用类似电视频道一样的结构。会是PPTV的模式吗?虽然国内不能访问YouTube,但这两条设置,足以让土豆、优酷等国内同行跟风。

  Google+

  10、Google+将拥有3亿用户,并与很多Google应用合并,Google甚至会用Chrome来强推Google+。Google曾在2011年12月底利用首页,AdWords等方式全面推广Chrome,如果再用他来推广Google+,也就不奇怪了。不过希望Google能改进一个人有多个邮箱的关联方式。对于这个我一直很困扰,以至于圈子总是很局限,不敢经易向外扩张。

  11、Google+将提供可整合到博客里的留言系统。作为独立博客的管理建设者,一直致力于改善访客的用户体验,这将是我最为期待的一条改进。希望这个留言系统能够很好的与Wordpress整合,这将更加促进访客对评论的参与度,同时也会进一步提升垃圾信息的自动处理能力。

  12、Google+ Answers发布,替代之前收购的Aardvark。在它成功推出后,能否将成为Google+中又一大热门应用/频道。会和知乎网一样的作用吗?只是不知道这个和前面提到的Google Instant Answers有何关系?

  13、Google将会根据你的Google+信息流、Google Calendar日程表和你安装的一些Google应用来进行个性化的搜索。已知道的搜索依据有历史记录,Cookie,IP地址,终端平台等等。未来这些新的手段加入将让Google搜索更加强大,强大到让百度、盘古都无地自容了。

  Google Chrome

  14、Chrome会提供一个新的在线控制中心,他将允许你控制所有的在线同步数据(书签、密码、应用等),即便你不使用Chrome也能进行管理。这是一个值得期待的强化功能。一直对Chrome的同步机制很青睐,即时你在两台离线的电脑中同时处理书签里的项目,它也能在你在线时,把两台电脑中的记录合并起来。你不要再去一一核对是否有误删的行为,或是否有残留的信息。这点比早期使用傲游时要好很多。近年没用过国产浏览器,不知道他们是否已达到这个高度?至少目前的QQ五笔同步功能就很悲剧。

  15、在Chrome中,将会发布一个新的在线音乐编辑服务,不知道这是否是一个大众化的功能。希望这只是尝试的开始,也期待语音功能的植入。

  Google Android

  16、Google将专注于改进Android应用的质量,比如提供更好的用户界面,一些新应用会要求更多的权限。目前Android发布了4.0,有消息说六个月后发布4.1。从功能上看,4.0比以往更加的人性化。很多以往忽略的细节,在这上面都实现了。权限管理也是在安全上的一个重要保证。小米和魅族已经在邀请用户测试自制系统for Android 4.0了,不知道百度易、阿里QQ、华为、联想等国产兄弟们是否做好了准备?

  17、Android会有一个虚拟助理,比Siri更强大且可在桌面电脑上通过进入Google首页来使用。现在想尝试的用户可以试试Google语音输入法、Google语音搜索,这是一个可以支持汉语普通话和粤语发音的工具,在中文支持上不比Siri更强大吗?有了这个强大的后盾,再配上Google庞大的搜索体系,以及前面提到的几个Answers系统,世界上还有谁能超过它。或许百度说他也可以,希望不是baidu.jp的雅美蝶助理,如果真是,那还真可能有很大的市场。

Google

  Google Games

  18、Google Games多人的游戏平台发布,他可以同步Chrome、Android和Google+里的所有游戏数据、用户排名,还可以和好友一起游戏。国内的应用商不少是修改了原版游戏的应用,并自建了排名系统,但还无法做到进度的多平台同步。Google这么做,将秒杀一切国内篡改行为,也将更好的支持原版游戏的发展。但如果封杀过度也是不行的,至少国内的不少汉化作品就值得称赞,且看未来产品的试用效果再作定论。

  Google Store

  19、Google会开类似Apple Store的实体店,销售Chromebook、Android手机、Google TV和各种纪念品。国内暂不指望了,不知道香港有没有这样的店?

  20、Chrome Web Store的应用可被Android直接运行。Chrome上的运行一直不太稳定,或许是受服务器不在国内的影响,不知道Android上的Web Store是否也会这样?

  Google 硬件设备

  21、基于ARM的Chromebook和Google TV,比以前更便宜,且更成功。上个月突然发现长虹上海的旗舰店挂出主楼拍卖横幅?具体情况没有深究。三星、索尼都发布了Google TV战略,国内呢?难道也是在忙着举办拍卖会?

  22、继三星之后,摩托罗拉将推出首款Google品牌的手机和平板。阿里推出首款QQ品牌的手机,戴尔推出首款百度品牌的手机,国产其实一直在努力。只不过Google是迈着大步前进,国产一直跟在他人的屁股后面,拾掇着前人落下的麦穗。

  英文原文:Google Operating System:Predictions for Google's 2012(需翻墙)

  中文翻译:sealango ,中文译文


由拖库攻击谈口令字段的加密策略  阅读原文»

  编者按:本文作者肖新光,网络ID江海客,安天实验室首席技术架构师,研究方向为反病毒和计算机犯罪取证等。如果有读者想要就安全问题和作者探讨,可以在微博@江海客。

  我不得不惨痛地写在前面的是,这是一个安全崩盘的时代。过去一年,已经证实的遭遇入侵、并导致关键数据被窃或者被泄露的公司,包括索尼、世嘉这样的大型游戏设备厂商;包括花旗银行这样的金融机构,也包括了RSA这样的安全厂商。

  这些事件中最令业界瞠目的是RSA被入侵,这直接导致多家工业巨头遭遇连锁的攻击,很多安全企业本身也使用RSA的令牌。比RSA弱小很多的荷兰电子认证公司DigiNotar已经在被入侵后,宣告破产。

  就在2011年上半年,我们还是站在旁观者的立场讨论这些事情。但随即我们就遭遇了CSDN多玩天涯等等的数据泄露,其中最为敏感的,一方面是用户信息,另一个当然就是用户口令。由于身份实名、口令通用等情况影响,一时间人人自危。各个站点也陷在口水当中。

  但实际上根据推断,这些入侵都是一些过去时,也就是说这些库早就在地下流传。同时流出,也许就是一个集体性的心理效应。

  这种针对数据库记录的窃取,被一些攻击者称为"拖库",于是有了一个自然而谐音的戏称"脱裤"。只是攻击者日趋不厚道,从前只是偷了人家的裤子,现在还要晾在大街上,并贴上布告说,"看,丫裤子上还有补丁呢"。

  如果拖库是很难避免的,那么采用合理的加密策略,让攻击者拿到库后的影响降低到更小就是必要的。

  明文存放口令的时代肯定是要结束了,但加密就安全么?

个人密码安全策略

  那些错误的加密策略

  明文的密码固然是不能接受的,但错误的加密策略同样很糟糕。让我们看看下列情况。

  简单使用标准HASH

  我想起了一个90年代黑客笑话,有人进入一台UNIX主机,抓到了一个shadow文档,但破解不了。于是,他用自己的机器做了一个假的现场,故意留下这个shadow,最后看看别人用什么口令来试,最后再用这些口令与渗透原来的主机。遗憾的是,那时我们都把这个当成一个Joke,充其量回复一句"I服了you!",而没有反思使用标准算法的问题。

  目前来看,在口令保存上,使用最为广泛的算法是标准MD5 HASH。但实际上,很长时间,我们都忽略了HASH设计的初衷并不是用来加密,而是用来验证。系统设计者是因为HASH算法具有不可逆的特点所以"借"用其保存密码的。但其不可逆的前提假设,是明文集合是无限大的。但放到口令并不一样,口令的长度是受限的,同时其可使用的字符也是受限的。我们可以把口令的总数看正一个事实上的有限集(很难想象有人用100个字符作为口令)。

  比如一个人的密码是"123456",那么任何采用标准MD5加密的网站数据库中,其存放的都是这样一个MD5值:E10ADC3949BA59ABBE56E057F20F883E

  由于密文均相同,加之HASH算法是单向的,因此攻击者较早使用的方法就是"密文比对+高频统计"后生成密文字典来攻击,由于绝大多数网站和系统的加密实现,都是相同明文口令生成相同的密文,因此,那些有高频密文的用户就可能是使用高频明文口令的用户。攻击者一方面可以针对标准算法来制定高频明文的对应密文档来查询,另一方面,对于那些非标准算法,高频统计攻击的方法也非常常见。

  但查表攻击迅速压倒高频统计的原因,正是从2000年开始陆续有网站规模性明文口令泄漏事件开始的。在过去每一次明文的密码泄漏事件,攻击者都会把使用MD5、SHA1等常见HASH算法加工成的口令与那些采用HASH值来保存的库进行应对。

  随着超算资源的廉价、GPU的普及、存储能力的增长,一个不容忽视的威胁开始跃上桌面,那就是,这些巨大的HASH表已经不仅仅是基于泄漏的密码和常见字符串字典来制作,很多攻击者通过长期的分工协作,通过穷举的方式来制作一定位数以下的数字字母组合的口令串与多种算法加密结果的映射结果集,这些结果集从百GB到几十TB,这就是传说中的彩虹表。

  HASH的单向性优势在此已经只有理论意义,因为HASH的单向性是靠算法设计保证的,使用一个有限集来表示一个无限集,其必然是不可逆的。但攻击者是从查表来完成从HASH到口令明文的还原的。因此其算法的单向性也就失去了意义。

  联合使用HASH

  一些人误以为,HASH不够安全是因为HASH算法的强度问题,因此把MD5或者SHA1联合使用,其实这是毫无价值的(只是徒耗了存储资源)。如上面所说,HASH的不安全性在于大量口令与其HASH值的对应关系早已经被制作成彩虹表。只要你联合使用HASH的算法其中之一在彩虹表中,自然就可以查到了。

  同理,那种采用"MD5的头+SHA的尾"之类的,或者采用其他的混合两个值的方法,也一样是没有意义的。因为攻击者可以很容易的观察到这种组合方法的规律,经过拆解后继续按照查表法破解。

  自己设计算法

  我一向认为,既然我们不是一个密码学家,而是工程师、程序员,那么放着现成的好东西不用,自己开发加密算法是相当愚蠢的事情。我相信很多程序员都遇到过挖空心思想到了一个"新算法",然后发现早在某篇20世纪80年代的数学论文里,早就提出了相关算法的情况。

  况且在开源时代,很多算法不仅被实现和发布了,而且还经历了长期的使用推敲。这些都是自己设计、自己实现无法比拟的。

  关于自主设计的算法的不安全性,有一个事情深达我脑海。记得我在证券系统工作时,由于刚刚接手收购来的营业部,需要把一个clipper编译的柜台系统进行迁移,但原来的开发商已经联系不到了,当时我们制定了两条路,一位高手李老师负责,进行数据破解,看看是否能还原明文,而我则负责破解算法,如果李老师那边走不通,则我需要解出算法,把000000~999999之间的数字全部加密,然后用密文做碰撞(那时证券都是柜台操作,没有网上炒股,密码都是柜台用数字键盘输入的)。

  由于原来的开发者加了一点花活,我这边还没有眉目,那边旁观李老师的工程师,已经发出了惊叹之声,我跑过去,只见李老师根据构造的几个密码的加密结果,在纸上汇出了长得非常像杨辉三角的东西。不到半个小时,李老师已经连解密程序一起做好了。

  上面故事的目的是说明,自己设计算法无论怎么自我感觉良好,看看美国官方遴选算法的PK过程大家就明白了,我们无法和全球数学家的智慧组合对抗。

  因此自己设计实现算法,并不是一个好主意。这其中也包括,在实现上会不会有类似输入超长字符串会溢出一类的Bug。

  单独使用对称算法

  在标准HASH安全破灭后,又看到有人呼吁用AES,其实这不是一个好建议。AES这些对称算法,都不具备单向性。网站被攻击的情况是复杂的,有的是只有数据库被拖,有的则整个环境沦陷。而后者AES密钥一旦被拿到,密码就会被还原出来,这比被查表还要坏。

  当然我们还看到一种把AES当HASH用的思想,就是只保留一部分的AES加密结果,只验证不还原。但其实这样的AES并不见得比HASH有优势。比如即使攻击者没有拿到密钥,也只拖了库,但攻击者自己在拖库之前注册了足够多的帐号,并使用大量不同的短口令。那么就拿到了一组短明文和对应密文。而此时密钥是完全有可能被分析出来的。

  而使用DES、AES一类的算法,还是使用标注HASH,还是自己设计算法,如果不解决不同用户相同口令密文相同的统计性缺陷,那么攻击者即使拿不到密钥,也都可以先把一些高频口令用于帐号注册,拖库后进行密文比对。就可以锁定大量的采用常见口令的用户。

  加"一粒盐"

  其实很多同仁都指出了哈希加盐法(HASH+SALT),是问题的解决之道,所谓加盐(SALT)其实很简单,就是在生成HASH时给予一个扰动,使HASH值与标准的HASH结果不同,这样就可以抗彩虹查表了。

  比如说,用户的密码是123456,加一个盐,也就是随机字符串"1cd73466fdc24040b5",两者合到一起,计算MD5,得到的结果是6c9055e7cc9b1bd9b48475aaab59358e。通过这种操作,即便用户用的弱密码,也通过加盐,使实际计算哈希值的是一个长字符串,一定程度上防御了穷举攻击和彩虹表攻击。

  但从我们审计过的实现来看,很多人只加了"一粒盐"。也就是说,对同一个站点,不同用户使用同一个密码,其密文还是相同的。这就又回到了会遭遇高频统计攻击,预先注册攻击等问题。

  口令的安全策略

  在传统密码学家眼中只有一种加密是理想的,那就是"一次一密",当然事实上这是不可能的。但如果我们套用这种词法,我们也可以说,口令安全策略的理想境界,我们可以称为单向、一人一密、一站一密。

  单向:标准HASH算法的价值尽管在这个场景下,已经被推倒,但其单向性的思想依然是正确的,口令只要是能还原的,就意味着攻击者也能做到这一点,从而失去了意义,因此使用单向算法是必须的。

  一人一密:同一个站点设置同样口令的不同用户,加密生成的密文内容并不相同。这样就能有效的应对结果碰撞和统计攻击。采用字典的攻击的方法基本是不收敛的。

  一站一密:仅仅保证一人一密是不够的,还要保证使用同样信息、同样口令去注册不同网站的用户,在不同站点的口令加密结果是不同的。鉴于有大量用户用同样的信息、同样的口令去注册不同网站,如果能做到这一点,流失出的库信息会进一步打折扣。而攻击者基本会放弃生成密文字典的尝试。

  实现这些说起来很简单,依然是HASH+SALT,关键在于每个站点要有不同的SALT,每个用户要有不同的盐。

  但如果攻击者不是只获得了库,而且也获得了相关的加密参数和密钥,我们就要看到攻击者依然可以自己通过相关参数和密钥调用算法,使用常见密码对每个用户生成一遍密文,然后是否有匹配。当然我们可以看到由于"每人一粒盐"的策略,攻击者所需要的计算代价已经变化了,如果过去只需要生成一次的话,那么假如使用100个常见的口令来做,那么只要口令没有碰撞到,对每个用户都要做100次加密操作。但这也是不容小觑的威胁。因为有太多用户喜欢使用那些常见口令。

  因此,设定一个密码禁用表,让用户避免使用常见口令,可以进一步让破解者付出更大的代价,从而最终导致计算资源不收敛而放弃,也可以是一个可以考虑的策略。但也需要提醒WEB开发者的是,这样会增大你的用户忘记口令的风险。

  另外,用户是否有把密码设置为123456的自由呢,我想只要不是国防、航天、涉密系统和有安全要求的企业环境,如果只是潜潜水、骂骂街,网站或许提醒用户就好,但也许并不需要做成强制策略。

  具体的实现

  了这么多,怎么来具体实现一站一密、一人一密的策略呢,2011年12月23号,我们想到与其空洞的说教算法原理和策略,不如提供一些非常直接的示例程序和文档。

  因此同事们写了一份名为Antiy Password Mixer(安天密码混合器)的开源代码,当然这没有什么技术含量,也不是"自有知识产权的国产算法",有的只是对实现较好的流行开源算法包的示范性使用而已,目前的Python版本,也只有三百行代码,在其中封装了RSA和HASH+SALT使用,并给出了具体的在初始化、注册和认证时如何使用的范例文档。

  大家可以在这里找到这个东西:http://code.google.com/p/password-mixer/

  当然,就像我们惋惜很多应用开发者缺乏对安全的重视一样,其实我们并不懂应用开发,所以这些代码和文档对于应用开发者看来可能非常丑陋。尽管可能被鄙视,我们还是要打开门,证明安全团队并不保守。

  而同时,我们必须与应用走得更近,因为我们也在使用着这些自认为违反了某种安全原则的应用,却因为不是其开发者而无法改造它们。

  过去的10余年,


让雪中画面更加唯美

让雪中画面更加唯美


城市雪景常见问题

在冬天拍摄雪景作品时,我们经常会遇到几大类问题,我们今天就给大家讲述如何拍摄雪天场景的画面。如何利用手头上的器材拍摄出唯美的作品。

问题1:雪色不纯

在拍摄很多雪景作品的时候,我们最容易发现的问题就是雪色不纯,看上去灰灰的,我们就来给大家解决这个问题。

如何让雪色更纯净?

在拍摄雪景的时候,我们经常会看到自己拍摄画面中的雪色发灰,不够透亮,看上去不够纯净。这是因为,尽管我们按照雪地进行测光,相机本身还是会误认为画面的高光部分过多,会"主动"减少曝光来平衡画面。这就造成了我们拍摄出的白色不够白。因此,我们要在相机测光数值的基础上,手动增加曝光补偿1/3挡至1挡。这样拍摄出的雪色会更加的白净、通透。

蘋果日報 - 20120206 - 8粒禮盒裝售 221元元宵行賄湯圓贈貪官

 

8粒禮盒裝售 221元
元宵行賄湯圓贈貪官

2012年02月06日

今日是元宵節,中國人有一家人一起吃湯圓的習俗。但內地近日冒起一批天價湯圓,不但價格高,而且過度包裝,如內有八粒湯圓、一條芝麻酥和兩盒糕點的圓滿禮盒,要價 221元(人民幣.下同);一隻 8吋大小的兔形湯圓,則賣 160元。據悉,買家多數都是利用公款購買,送給官員等作疏通關係之用,難怪有網民稱之為行賄湯圓。學者批評,這是繼天價月餅、天價糉之後,另一個利用節日送禮行賄的機會。

「自己吃不起一、兩百元的湯圓,但為了送單位領導,只能咬咬牙!」今日為元宵節,內地的超市都設置攤位發售湯圓,吸引民眾購買,但有銷售人員稱,湯圓禮盒每日可售 100盒,買家多是送給官員、各類客戶,用作聯絡感情、疏通關係。

放大圖片

元宵節家家戶戶都會吃湯圓。互聯網

元宵節家家戶戶都會吃湯圓。互聯網

12345678910

放大圖片

內地廠商生產的免煮湯圓每個售 8元人民幣。互聯網

內地廠商生產的免煮湯圓每個售 8元人民幣。互聯網

12345678910

「這都是用來送禮走人情」

放大圖片

江西放巨型花燈,洋溢節日氣氛。

江西放巨型花燈,洋溢節日氣氛。

12345678910

內地今年除傳統的湯圓外,還出現多種五顏六色、口味不同的湯圓,部份售價更貴得驚人。湖北武漢的超市,出售一種名為「玉」系列的湯圓,七種水果口味,售價每公斤 50元,相當於普通湯圓的兩、三倍。還有更貴的,一種有三種水果口味的免煮湯圓禮盒,八個乒乓球大小的湯圓售 48元,另一種白兔造形的每粒售 8元。
有業者透露,湯圓的成本極低,一般湯圓的零售價是成本的兩倍,毛利高達 50%,而近年才出現的特色、高級湯圓,售價偏高,利潤亦十分可觀。然而,這些湯圓雖然貴,但銷量卻十分不錯,不少購買高級湯圓的民眾直言:「這都是用來送禮,走人情」。
對於湯圓作為節日禮物,武漢民眾李傑稱,這種節日送禮行賄,達到某種目的的「交易」,如同豪華月餅、糉子,只要市場有需求,就根本無法杜絕。
武漢的華中科技大學教授韓東屏認為,名煙、名酒、購物卡等傳統「行賄」禮品的限制越來越嚴,令到民眾送禮的選擇亦越來越少,故高價節日食品成為代替品。韓亦認為,當局只能透過嚴懲違規官員,將受賄市場打掉,才能鏟除豪華節日禮品的生存土壤。
武漢理工大學教授龍炳煌則指出,隨着人們生活水平的提高,吃湯圓已不在於吃,更不是在吃包裝,但若湯圓與「豪華」等字眼聯繫起來,再冠之以商業、炒作噱頭,就背離其傳承歷史文化的本意。
新華網

蘋果日報 - 20120206 - 8粒禮盒裝售 221元元宵行賄湯圓贈貪官

北元宵 南湯圓做法不一

2012年02月06日

元宵節究竟是吃湯圓還是吃元宵?兩岸民眾都會在今日元宵節吃糯米粉包裹餡料的食品,俗語有云:「北元宵,南湯圓」。雖然湯圓、元宵的外形、味道、食法分別不大,但製作過程卻完全不同,不過圓滿幸福、好運一整年的象徵意義卻是一樣。

元宵餡料放竹盤滾動

北京大批民眾昨日冒着嚴寒,到各大老字號排隊購買元宵,部份店舖人龍長逾 100米,要等候三小時才能買到,而南方地區及台灣民眾則購買湯圓,其中宜蘭昨有百人參與搓湯圓活動。有學者指出,元宵是將餡料放在竹盤上滾動,慢慢沾上糯米粉而製成,而湯圓則是將糯米粉與水混合成粉糰,包入各式餡料,製法完全不同。
不論是湯圓或元宵,醫生都建議民眾不要吃太多,因為兩者外層都是糯米粉,含較多淀粉、黏性高、熱量極高,不易消化,吃得太多會出現腸胃不適,糖尿病人更不宜多吃。新華網/台灣《蘋果日報》

- 20120206 - 敍利亞 無視敍人血長流 否決安理會阻鎮壓提案「俄中應為屠殺負責」 俄利益掛帥「崩口人忌崩口碗」

 

無視敍人血長流 否決安理會阻鎮壓提案
「俄中應為屠殺負責」

2012年02月06日

「還有多少人要死,俄羅斯和中國才會讓聯合國安理會採取行動?」「俄中要擔敍利亞屠殺的道德和人道責任。」敍利亞民眾隨阿拉伯之春起義 11個月,總統巴沙爾( Bashir Assad)一直血腥鎮壓,上周五晚更變本加厲,在霍姆斯( Homs)大開殺戒造成多達 300死,國際社會都希望聯合國安理會主持公道,俄羅斯和中國卻雙雙否決制止暴力升級的決議案,為千夫所指。

支持大屠殺 中俄要負責

敍利亞民眾不畏死天天示威抗議,感召政府軍士兵陸續變節,巴沙爾的部隊每天一百幾十的殺,反對派「敍利亞全國委員會」( SNC)指累積已達 6,000死。

霍姆斯一間醫療中心停放着多具死者屍體。路透社

霍姆斯一間醫療中心停放着多具死者屍體。路透社

敍利亞政府軍上周五轟炸霍姆斯,造成逾千死傷,不少重傷者要送院救治。路透社

敍利亞政府軍上周五轟炸霍姆斯,造成逾千死傷,不少重傷者要送院救治。路透社

國際社會怒斥發殺人牌照

西方譴責巴沙爾的聲音未停過,政府軍卻殺得眼睛紅了,上周五晚在造反熱點霍姆斯通宵濫炸開火, SNC指造成 260死數百傷,當地人權組織指約 100死者是婦孺,居民則指死者可能超過 300人,是敍利亞起義以來最血腥的一章。
國際社會一直設法要制止敍利亞民眾流血,西方和阿拉伯國家都支持阿拉伯聯盟的方案,要求巴沙爾停火下台,由敍利亞人領導國家過渡成多元民主政體。前天(周六)在霍姆斯屠殺後,聯合國安理會立即將敍利亞問題決議案上馬表決,決議案要求馬上結束敍利力暴力局面,促巴沙爾交權下台,但沒提制裁或授權動武。
決議案在表決中獲 13國支持,但遭俄羅斯和中國兩個常任理事國雙重否決,未能過關。身為巴沙爾長期盟友的俄羅斯指,決議案厚此薄彼,偏幫反對派。中國則指,安理會內對決議案仍有嚴重分歧,強行表決無助解決問題。
這是俄中四個月來第二次否決敍利亞決議案,國際社會一致怒斥。美國駐聯合國大使蘇珊.賴斯( Susan Rice)批評俄中「出賣敍利亞人民,維護懦弱暴君」令人「憎惡」;國務卿希拉莉( Hillary Clinton)更說不能想像決議案會被否決,「那些阻止決議案通過的人,應為敍利亞平民被殺負上重大責任」。
英國外相夏偉林( William Hague)說:「俄中去年 10月否決上一個決議案後,敍利亞死了超過 2,000人,還有多少人要死,俄羅斯和中國才會讓聯合國安理會採取行動?」敍利亞 SNC指否決等同給巴沙爾「殺人牌照」。也門諾貝爾和平獎得主卡曼( Tawakkol Karman)說:「俄中要擔敍利亞屠殺的道德和人道責任。」國際特赦組織指俄中「完全不負責任」。

示威者前日在英國倫敦的敍利亞大使館外示威,一度與警員衝突。法新社

示威者前日在英國倫敦的敍利亞大使館外示威,一度與警員衝突。法新社

敍利亞伊特利布區大批民眾出席反對總統巴沙爾的集會。路透社

敍利亞伊特利布區大批民眾出席反對總統巴沙爾的集會。路透社

德拉區多名示威者在政府軍鎮壓中身亡,由大批民眾簇擁出殯。路透社

德拉區多名示威者在政府軍鎮壓中身亡,由大批民眾簇擁出殯。路透社

在敍利亞西北部伊特利布區,民眾舉行集會要求血腥總統巴沙爾下台。路透社

在敍利亞西北部伊特利布區,民眾舉行集會要求血腥總統巴沙爾下台。路透社

7敍使館被衝擊 促杯葛俄中貨

決議案遭否決,英國、德國、希臘、澳洲等七國都有憤怒的示威群眾,衝擊敍利亞大使館。在澳洲首都坎培拉, 50示威者衝進使館,在地下一層大肆破壞,偷走電腦。在埃及首都開羅,示威者更放火燒使館。在科威特,示威者砸碎使館玻璃,掛上反對派旗幟。在利比亞,示威者佔據使館。在突尼西亞,示威者進駐使館,當局宣佈驅逐敍利亞大使,表明不承認巴沙爾政府。約旦的穆斯林兄弟會更指,「俄中否決決議案等於有份殺戮敍利亞人」,「所有回教徒和阿拉伯人應杯葛俄羅斯貨、中國貨,以聲援敍利亞人」。
在希拉莉斷言國際社會不會軍事介入敍利亞下,安理會決議案否決後,阿拉伯國家要另尋方法化解衝突。分析家相信如果安理會僵局無望化解,希望巴沙爾下台的波斯灣國家,或會秘密加強在金錢和軍火上支援敍利亞反叛軍。
法新社/美聯社/路透社/
美國《華爾街日報》/英國《觀察家報》

俄利益掛帥
「崩口人忌崩口碗」

2012年02月06日

俄羅斯否決安理會敍利亞決議案,口中說要對敍利亞各派一視同仁,但說到底還是維護自己利益,保盟友和維持自己在國際社會影響力,而且對政權更迭「崩口人忌崩口碗」。
俄羅斯之前對決議案諸多留難,指是擔心西方像對利比亞那樣,藉安理會決議進行軍事打擊助變天,卻造成大量平民死傷。西方和阿拉伯國家已有多項讓步,包括刪去直接要求巴沙爾下台、刪去對敍利亞自願性實施軍火禁運,以及寫明決議並無授權外國軍事介入等,但俄羅斯仍以決議「向敍利亞各派發出不平衡的訊號」為由否決。

供應巴沙爾政權軍火

美國《華爾街日報》指出,俄羅斯是巴沙爾政權主要軍火供應國,而且在本身都有反政府示威浪潮之際,對任何聯合國要一國領導人應群眾運動下台的行動,都十分敏感。此外,俄羅斯曾要求敍利亞兩派到莫斯科和談,本周又將派外長等高官訪問敍利亞,正想發揮外交影響力,西方要求當下表決,被視為不給俄羅斯臉子。
中國以安理會各國仍有嚴重分歧下強行表決、無助解決問題為由否決議案,表面是做和事老,但多多少少也像俄羅斯忌憚政權更迭,也一起受國際譴責。
美國《華爾街日報》/新華社

狂轟濫炸
迫擊炮打平民

2012年02月06日

霍姆斯民眾對於殺戮見慣見熟,市內居民分裂成兩半,什葉派回教徒效忠巴沙爾政權,遜尼派卻要推翻他,近 11個月不斷受血腥鎮壓。但上周五晚造成多達 300死的狂轟濫炸,居民都形容是前所未有的恐怖一夜。
反政府人士穆罕默德說,反政府武裝部隊上周五在卡里迪亞區( Khalidiya)襲擊了一個政府軍檢查點,俘虜了 17名士兵,又襲擊當地一個空軍基地,觸發政府軍不分青紅皂白狂轟猛炸。
居民指政府軍向民居密集開火,又首次用迫擊炮攻打平民。一名居民說:「這是邪惡的新伎倆。」另一居民說:「炸彈就如雨下,你不知會落在甚麼地方,你只能祈禱。」
轟炸由晚上 10時開始,一直到凌晨 4時才停下,卡里迪亞區的民居差不多全受損,其中四座多層大樓更倒塌或全毀。居民法里斯說很多婦孺都沒時間換衣服,穿睡衣逃到戶外尖叫痛哭,他和一些壯丁冒險從瓦礫挖出 40具屍體,放到附近公園,公園卻又遭三枚炸彈轟中,死了 30人。

街道處處見屍體

居民又指霍姆斯的街道處處可見屍體,他們卻怕得不敢葬他們。反對派人士指市內幾間醫院都被軍警搜查,臨時設置的小型戰地醫院又被數以百計的傷者擠爆,軍警故意阻礙醫藥補給,令多達 1,000名傷者可能不治。
反對派在上載網上的短片,都見救護站堆積屍體,很多被爆炸轟得難以辨認,其中一個片段拍到一間房內放了至少八條屍,其中一人半個頭遭轟掉。敍利亞政府卻聲稱片段是「武裝恐怖組織」殺人嫁禍政府,想影響國際輿論,令安理會通過敍利亞議案。
路透社/英國《星期日泰晤士報》/《觀察家報》

韩寒幕后的最大推手

姚小远因为韩三篇对韩寒有成见,所以写了这篇博文。徐静蕾,韩寒真的可以随便捧出来的吗?


韩寒走向神坛的开始是新概念作文,是小说《三重门》,但是,真正让其登峰造极的,却是网络,更准确地说,是博客让韩寒从天才少年最终脱颖而出,成为大众偶像、公民、公知、意见领袖和影响时代的人。

表面上看,是韩仁均、路金波以及韩寒的幕后团队让韩寒成为博客世界点击量最大的博主,实际上,打造韩寒让其到达顶峰的既非韩仁均、路金波也非韩寒的幕后团队,而是新浪网以及新浪博客的那些换了一茬又一茬的编辑们。可以说,正是新浪博客编辑对韩寒每篇博文的极力推荐、置顶以及总是将韩寒博客放在最显眼、最突出的位置,才是造成韩寒博客世界最高点击率的真正原因。

把韩寒换做韩仁均,换做其他任何一个阿猫阿狗,在新浪博客编辑如此眷顾和大力度支持下,都会获得相当大的点击量。韩寒之前另一个新浪点击量最高的博主徐静蕾就是一个很好的注脚,演戏不是第一,写作像老娘们的嘴一样爱絮叨的徐静蕾,不是因为她的名声,也不是因为她的写作水平,仅仅是因为编辑的推荐、置顶,就获得世界第一博主的江湖地位。微博时代的所谓微博女王(女王这个词被糟蹋得如此彻底)姚晨,实际上就是一个微博女佣,没有网站的幕后作用力,她那张大嘴就是一个空洞符号而已!

知道了韩寒幕后最大推手之后,让韩寒显出原形还有一个途径,就是利用黑客的力量或者网站深喉,将韩寒发出博文的IP地址和韩寒行程做一个对比,也就什么都明白了。

小远2012年2月6日12:00雨   上海理道之理道文化兔,我只是一只有文化的兔子



韩方大战:人类已经无法阻止KFC了?

人类已经无法阻止KFC了?

李志起 CBCT志起未来营销咨询集团董事长 www.lizhiqi.com

    话说跨年的"方韩大战",PK若干个回合之后,未见高低。不过,网络间由此而生的亮点可谓连绵不断,而最闪电的当属肯德基了。

本来这两大名人之间的口水论战,沾不上这吃的什么事情。话说方质疑韩文章有人代笔,韩为此声称要起诉方索赔10万。这码子事情本来也该告一段落了,没有想到后有人称韩寒的《零下一度》这个大作是在肯德基完成的。这下方像是抓到什么把柄一样,立刻发动机关枪:你说他在肯德基写的,谁证明?原味鸡能证明吗?土豆泥能证明吗?香芋派能证明吗?

这下子,网络热闹了。先是有ID为原味鸡、土豆泥、香芋派等若干博友前来"证明",接着就是肯德基华丽丽的"代开写作证明"。有网友贴出了一张照片:肯德基的店门口新挂招牌,"本店店员代办写作证明,购全家桶赠送监控录像光盘一份,欢迎广大青年作家来店写作。"

   这势头让人不禁觉得这KFC大有准备转型为青年作家孵化基地的苗头。大概这肯德基总部也该考虑为中国区增加一个新业务部门,叫写作公证部门。接着来更是有网友晒出了自己在KFC开出的写作证明,网络间可谓沸沸扬扬。

这到底是网友的恶搞,还是KFC趁着这方韩大战就势炒作一把?当然,一个不争的事实就是,KFC作为培养五好青年的摇篮,近年来不但孕育了许多年轻有为的作家和脍炙人口的佳作,更培养了一批拿鸡骨头作画的年轻艺术家以及各种奇装异服的行为艺术者。

网友们似乎在这沸沸扬扬的背后嗅到了不一样的味道,这味道与昔日海底捞在微博上营销可谓如出一辙。可谓亦真亦假,真假难辨。不过,很快KFC官方就在微博里辟谣了:提供写作证明不是小肯的强项,抱歉让亲们失望了。谢谢帮小肯P图、宣传的亲们,辛苦了。 

老实说,即使是"辟谣"了,依然没有打消公众对其"炒作"的念头。不过,这大家都理解,就像海底捞至今都不会承认炒作一样,大家都心照不宣罢了。从叫外卖可指定帅哥送餐,到代开写作证明,既无伤大雅地娱乐了大众,又巧妙地为自己"加分",如此"病毒"营销,让人叫绝。当然,就凭这对热点事件的捕捉速度,也值得让人肯定一番。

李志起,著名营销咨询机构——北京志起未来营销咨询集团董事长,志起未来商学院发起人,对外经济贸易大学EMBA顾问,2009年中国营销功勋奖获得者,2008品牌中国年度十大专家,2007科特勒中国最佳营销精英,改革开放30年中国策划标志人物,深刻影响中国营销的十大人物,中国创新营销论坛主席,中欧国际工商学院营销学会顾问,十多家著名财经媒体专家顾问。为200多家中国企业担任过品牌营销顾问。他在中国营销界提出的"品牌空间论"、"传播3.0"、"成长金字塔"模式和"红色智慧"等理论有着广泛的影响。



从疯狂走到了灭亡:2012中国房产商命运

文/叶楚华 余治国

 房产泡沫对一国经济长期的破坏早已被人们所熟知。《世界金融五百年》一书指出,近代以来各国出现的房产泡沫现象会造成严重的经济后果,甚至是政治后果。我们的决策层同样早已知道,必须要改变房产过热的非理性繁荣局面。有介于此,决策层通过各种手段来对房产进行调控,包括各种经济手段,甚至是指令型的行政手段。毕竟在中国,市场调控手段极易失效,唯一能保证达到目的的终极手段只能是行政手段。

当然房产市场本身具有一定的规律性。就拿美国来说,自1800年以来,美国房产业、土地销售和或不动产建设高潮基本上一直每隔18年循环一次。并且这个过程具有一定的规律,银行信贷过快扩张而导致资源配置扭曲,土地投资形成热潮,投资逐渐转变为投机,随之便进入衰退。

信贷与房产泡沫密不可分。不做过多解释,简而言之,就是做资本资产的房产是货币增发机器,也是通胀的原因之一。中国房产泡沫早在2008年就应该破裂了。但是在20092010年,决策层为了应一时之需,急剧扩大信贷。仅2009年银行信贷就增加了近9.6万亿元,这相当于于整个印度银行信贷体系贷款规模的2倍。

房产泡沫因此而急剧扩张。在中国房产泡沫最严重的市场上,房价与年租金之笔高达50-601。众所周知,次贷危机因美国房产泡沫而引发。但就在2006年美国房市泡沫达到顶峰时, 最高不过也就是401的数据。目前美国房产市场的年租金回报率(年租金/房产市价)平均约为6%,房价与年租金之比约171。美国房产的这个数据略高于中国商业银行的定期存款利息,但却远高于中国房产的年租金回报率。如果要将房产的年租金回报率提高到银行定期存款的水平,中国各地的房价至少应下跌30%-60%

房产泡沫由此可见一斑。但是,如果仅仅遵从所谓的市场规律,任之随之而不进行政府干预的话,结果显而易见。1930年经济大萧条便是明证。2007年次贷危机之后,美联储给华尔街金融机构注资7万多亿美元也证明了这一点。那些口口声声自称哈耶克的信徒们,在面对实际的市场崩盘时只信奉政府干预。

实际操作与理论有太大的差距,在中国亦然。房产调控也是自然而然的事情,决策岑决不愿看到房产泡沫的扩大与崩溃导致严重影响社会稳定的结果。目前,房产调控已初见成效。最近,渣打银行关于中国房产商的调研数据表明,政府拍卖的土地价格下降到2010下半年土地价格最高峰时值的2/3。据报道,很多地方政府的土地拍卖也大量流标。面对这样的局面,决策层仍然再三强调要让房价回归理性。由此可见,决策层对房产调控的决心与意志。

目前中国约有3万多家房产商。花旗银行的定量研究表明,中国最大的100家房产商仅仅控制了25%的市场,企业规模排名在100-600500家较大的房产商的市场份额在10%-15%左右。2011年,美国标准普尔对中国房产商的财务状况进行过情景试验,结果表明只有销量下跌30%,绝大部分中小房产商便将陷入绝境,破产不可避免。因此,房产业的兼并重组不可避免。

根据规定,中国的地方政府不能直接借贷。一些地方政府以投资公司的名义向银行贷款,这样的投资公司在全国约有1万来家。2009-2010年新增信贷中的大部分都流入了这些地方政府支持的投资公司手中。这些投资公司进而安排建造一些对于民众来说确属必要的基础设施建设,如农田水利灌溉设施、市政建设,等等,但其中有很大一个部分流入了房地产。因为这些贷款,地方债务增加了5万多亿,债务总额达到了10-14万亿,占GDP25%-36%

随着房产调控的长期延续,地方上必然八仙过海,采取各种花样百出的措施来完成那些尚未完成的项目。但是,无论他们是挪用某些用于其他目的的财政资金来变相补贴,还是强迫银行购销部分贷款,或是注资一些地方兴办的商业银行或信用社,根据目前房产调控的决策层意图来判断,很多这样地方上的项目不能产生足够的收入来还贷,其中很大一个部分的项目必定会成为烂尾工程。而只有决策层支持的具有战略价值与历史意义的大工程,如高铁建设,才能得到信贷支持。

根据芝加哥大学罗伯特?6?1艾利伯教授的推算, 2011年中国经济增长率9.3%当中有3个百分点来自房产泡沫。如果考虑到待售的房产存货,因为存货在GDP核算中也算投资,还要剔除2个百分点。换而言之,房产泡沫占经济增长率的一半多。因此,中国的选择只有两个:一是像美国的格林斯潘一样,在戳破旧泡沫的同时兴起新泡沫,维持一种动态平衡,比如出台新的经济刺激计划来弥补房产泡沫崩盘的损失。这不仅需要决策层具有高超的经济平衡能力,还要具备强有力的手腕。二是退一步,进两步,降低经济增长率,维持长期的可持续发展。无论决策层的选择是什么,房产商、部分地方政府都需要回归经济理性!因为上天欲让其灭亡,必先让其疯狂!

 

 

叶楚华 余治国房产系列评论文章:

出来混总是(要)还的——中国楼市即将崩盘

敲响楼市泡沫的丧钟,历史很快会把陈宝存们扫进垃圾堆

20年内,城市房产将成为没人要的破烂

楼市留给你抛盘的时间不多了

社会溃败致中国成高利贷之国

经济软着陆或难实现,中国楼市末日已经降临

温州,没人救得了你了!温州正在成为人间地狱

所有人都将为房产大泡沫付出沉重代价

请给我永远的谎言——放水救炒房老板们纯属妄想

美联储加息预期给中国楼市泡沫最后一击

试行地方债券是货币与房产政策大转型的里程碑

泪奔吧,楼市已成银行的弃妇

房产税必须要落实:均富若不成国策,动荡指日可待

外资撤离预示中国楼市漫长寒冬到来

欧元的选择只有早死或迟死(《环球时报》)

温总理告诉你房价不跌的幻想有多傻

不能将殖民地经验照搬大陆房产

欧债危机,下一个倒下的是法国?——答《国际先驱导报》记者采访

房产泡沫是引发欧债危机的直接导火索

房产业的投机性严重阻碍中国崛起的步伐

下调存准率不会扭转房价下跌趋势

货币政策改变不了房产泡沫的必然破灭

德法意欲何为,欧元出路何在?——《国际先驱导报》对余治国、叶楚华采访

冰火两重天的香港:万众瞩目的香港房产富豪与笼屋中的百万贫民

多收土地税、少收房屋税,让房产泡沫软着陆

20126月之后是自住者购房的时间窗口

金融体制改革迟滞不前,地产商坦言房价必降

房产泡沫破灭不会引起中国版的次贷危机

2012年的房产调控决定中国未来命运