Messages posted by: choc_

@H3x4: hơ hơ ở đây có bạn StarGhost với nhiều bạn khác hay soi mình lắm, mình thích lắm :-D, nên mình khi nói gì ra thì phải "nói có sách mách có chứng" (không phải may mắn như bạn ở team BKTNS, nói gì ai cũng nghe, bởi có ai biết gì khác đâu mà nói lại smilie

)

http://0suto.wordpress.com/page/3/ wrote:

bạn bè mình nó ở ngoài kia nó học trên lớp, tối về nó coi tivi chơi , nó làm bài tập , học bài mới , là cuối kì nó thi vèo vèo, còn mình thì ngày học ở lớp, về nhà mày mò tự học , tự cày , tự suy ngẫm , nghiên cứu, sao mà mình không thua được chứ , cái này tôi đã chịu đựng 2 năm qua rồi, thiệt ra nếu học hành đàng hoàng có lẽ giờ cũng ko đến nối nào (mà thực ra h cũng phơi phơi tuy không cao nhưng cũng đâu có bèo quá )

Bạn Suto có học lớp KSTN kô? Nếu không thì mình nghĩ bạn đã thua bạn bè xa lắm rồi, ráng mà tập trung gỡ lại đi. Đừng tốn thời gian vào những thứ chưa cần thiết như những khóa hacking hoành tráng thế này nữa.

Mà mình bỏ công viết cái này, không phải là dành riêng cho bạn Suto đâu. Mình chỉ hi vọng là các bạn khác ở BKTNS biết là mình đang nghĩ thế nào về team của các bạn và những việc các bạn đang làm, nhất là các bạn sinh viên mới nữa. Mình rất hi vọng là đọc những gì mình viết, có bạn sẽ tạm nghỉ BKTNS, tập trung cho việc học ở trường hơn.

mình thích bạn bolzano_1989 quá. nếu dựa vào nickname mà suy ra tuổi, ở tuổi 20 mà bạn đã suy nghĩ và quan sát được như thế thì hay lắm. các bạn BKTNS nên nhìn vào bạn mình mà học tập. mình nghĩ thái độ đúng, suy nghĩ đúng rất rất rất quan trọng.

@mR.Bi: oh đúng là mình từng học ở đó. mình cũng đã trải qua giai đoạn như các bạn BKTNS bây giờ (không, lúc ấy mình *tấn công* ghê ghớm hơn nhiều lắm, các bạn BKTNS chưa biết thế nào là hacking đâu, dẫu theo cái nghĩa mà các bạn vẫn đang nghĩ đấy :-p), nên mình nghĩ là mình hiểu được những suy nghĩ của các bạn ấy.

dịp may là mình có cơ hội quan sát những lứa *hacker* đầu tiên của VN từ sau khi VN kết nối Internet. 99% bây giờ không còn làm việc hay nghiên cứu liên quan đến an toàn thông tin, điều mà tất cả đã từng nghĩ là ước mơ, là lẽ sống của cuộc đời họ :-p. lý do cơ bản là đốt cháy giai đoạn, đốt hết rồi thì tự nhiên đâm ra thấy chán, không còn gì để làm, mà thật ra là có cho làm họ cũng không biết làm.

mình cũng có dịp phỏng vấn một hai bạn, mà thành tích hacking cũng dày cộm, nhưng rốt cuộc thì các bạn ấy đều không thể trả lời được cho câu hỏi: với lỗi mà bạn đã khai thác, nếu bạn là người làm ở vị trí phòng thủ, bạn sẽ sửa lỗi đó hay làm gì để không bị tấn công? đây là hậu quả của việc chạy theo các tutorial, các tài liệu hướng dẫn step-by-step, mà bỏ qua, hay quên mất căn nguyên của các vấn đề.

mình thấy có câu nói hay được dẫn: muốn bảo vệ hệ thống, phải suy nghĩ như một hacker. mình nghĩ câu này còn thiếu một vế (chán hơn): muốn tấn công, phải suy nghĩ như một người ở vị trí xây dựng hệ thống.

nếu bạn không lập trình, không viết chương trình nhiều (nhiều ở đây không có nghĩa là gom một đống ngôn ngữ lại, mỗi thứ viết một cái "hello, world" rồi xong), bạn sẽ không bao giờ biết được các thói quen, những lói mòn, hay những vấn đề thường gặp của một lập trình viên.

nếu bạn nghĩ là bạn biết, àh "tôi biết buffer overflow, sql injection, xss...", đó là do người ta nói cho bạn thôi, chứ thực ra bạn không biết tại sao lập trình viên lại tạo ra các lỗ hổng như thế (nhiều bạn *hacker* còn blame lập trình viên là sao tụi nó ngu quá, viết code cẩu thả quá. rất lame). điều này cũng áp dụng cho các vấn đề khác trong việc quản trị hệ thống thông tin.

memory corruption bây giờ ngày càng khó khai thác. các thư viện ORM, các web framework mới hầu như đều được thiết kế để phòng chống sql injection. nói cách khác, muốn khai thác, muốn tấn công những lỗ hổng này, đòi hỏi một nền tảng lập trình vững vàng, thông hiểu cách mà ứng dụng tương tác với hệ thống, để từ đó tìm ra các khe cửa hẹp mà chui qua. không cần học nhiều, cứ đọc tutorial rồi làm, bạn vẫn sẽ làm được, nhưng chỉ cần người ta điều chỉnh đi một chút, là thua.

cụ thể đi ha. ví dụ như các bạn BKTNS, mình dạo một vòng, thấy có lần bạn leader đã gửi lên (chép từ Phrack) bài nói về integer overflow. Nhưng rốt cuộc, trong topic ở trên HVA này về đề tài đó, không thấy có bạn nào tham gia (mà với cá tính các bạn đã thể hiện ở đây, sẽ là rất lạ nếu các bạn ấy biết mà các bạn ấy không nói, tự vì bình thường không biết gì các bạn ấy còn dám nói mà :-p).

hay như năm ngoái, sự kiện bạn dan kaminsky tìm ra các lỗi liên quan đến dns. để tìm ra được lỗ hổng cơ bản, trong một giao thức cơ bản của internet, để thấy được cái mà bao nhiêu người nhìn vào không thấy được, bạn dan kaminsky đã phải tiêu tốn rất nhiều năm trời nghiên cứu tcp/ip nói chung và dns nói riêng. chỉ có nền tảng học thuật vững vàng mới tạo ra được original works. chưa hết, để setup được môi trường thử nghiệm cho giả thuyết, dan kaminsky cũng phải có kỹ năng quản trị hệ thống và lập trình (cái này thì khỏi chê rồi, cứ nhìn vào mấy cái software của hắn) rất tốt.

hay như vừa rồi, có bạn alex sotirov và đồng bọn làm nghiêng ngả internet khi tạo ra một cái CA certificate giả mà tất cả browser trên thế giới đều trust. bạn đọc cái tài liệu của họ http://www.win.tue.nl/hashclash/rogue-ca/) và có cảm thấy một nỗi xấu hổ mơ hồ khi mà bạn không hiểu họ đang nói gì hết? các bạn BKTNS cũng cần phải biết rằng, nền tảng học thuật của cái tấn công này cũng xuất phát từ các môn ở trường mà bạn đang học. không xa lạ gì đâu, crypto là từ information theory, number theory, probability theory, computation theory (automata đó :-p), algorithm mà ra.

nếu mà cứ chạy theo hết chương trình đào tạo hacking dữ dội này đến chương trình đào tạo hacking ghê ghớm khác, thì chạy mãi cũng sẽ chẳng đến đâu. bởi cứ hễ đi ra ngoài chương trình đào tạo là bí :-p. kiểu như những con khỉ được người ta dạy làm xiếc, tập cho được vài trò, rồi diễn hoài, kêu diễn trò khác, hay nghĩ ra trò mới là nó bó tay.

mà thôi mình đã nói là km các bạn :-D.

@Caonguyen12G: mấy cái đó không hề cơ bản tí nào đâu bạn ạh. 4,5 năm để học mấy cái đó thôi là đã mệt mỏi lắm rồi. học để qua khác rất xa học để hiểu và làm được việc.

đương nhiên nếu bạn vừa có thể học tốt ở trường, vừa học tốt mấy món ở ngoài này, thì quá hay. nhưng mình nghi ngờ là rất ít bạn làm được điều đó, không phải vì các bạn không có khả năng, mà là do các bạn nghĩ các môn ở trường của các bạn không hấp dẫn hay là không có ứng dụng thực tế được. phải hông bạn OSATO? sự thực là môn nào cũng có những ứng dụng thực tế rất hay. và tất cả các môn đều có liên quan đến vấn đề an toàn thông tin.

mà mình thấy các bạn cũng lạ ha, lúc nào cũng than thở, rất pathetic, "ơ tụi em là sinh viên, không ai hướng dẫn hết". mà lúc người ta hướng dẫn, chỉ đường thì kô chịu nghe và suy ngẫm.

hahaha có nhiều lúc mình cũng nghĩ, "phải chi hồi đó có ai hướng dẫn, chỉ đường thì hay biết mấy". nhưng giờ thấy các bạn BKTNS nói chuyện, mình nghĩ lại, "hồi đó mà có ai chỉ thì chắc mình cũng không nghe đâu" :-p. dẫu gì thì cảm giác hack hiếc này nọ vẫn (có vẻ) hay ho hơn rất nhiều việc ngồi đọc sách, làm bài tập về nhà, nghiên cứu thêm về đề tài mình đang học.

thôi, mình không nói nữa, các bạn thích gì thì cứ làm đi. km các bạn.

sửa lần chót lúc 7h28PM: cập nhật thêm một số ý.

@bolzano_1989: mình biết là trường bạn có dạy nên mình mới kêu các bạn nên học kỹ đi.

mình thấy tội nghiệp cho các bạn sinh viên còn đang mò mẫm mà lại đi theo các chương trình đào tạo như thế này. rồi sẽ chẳng dẫn tới đâu, lúc nhìn lại, có hối hận thì đã muộn.

mình có lời khuyên cho các bạn: quên đi, quên hết hacker, hacking, buffer overflow, fuzzing, sql injection, xss...tập trung học những thứ trong trường dạy, tập trung vào discrete math, programming language, operating system, network programming, data structure & algorithm, information theory, automata, compiler, database, distributed system...học hết và học tốt những thứ đó, mà vẫn duy trì được một cuộc sống khỏe mạnh, thì đã bước một bước rất dài trên con đường học và nghiên cứu về an toàn thông tin rồi.

mình thấy bạn lại nhảm rồi nữa. việc training của bạn nó chẳng có ảnh hưởng gì đến VN hết, đừng có mà tự dưng đặt ra một cái mục tiêu có vẻ cao cả, để mà biện minh cho cái phương tiện sai lầm của mình. the end does not justify the means.

mình không nói là những người tạo ra tài liệu này không muốn nó được phổ biến rộng rãi (dẫu vậy mình nghi ngờ bọn BlackHat hay Offensive Computing sẽ không muốn tài liệu training, mà bọn chúng bán lấy tiền, được phát hành thế này), mình chỉ khuyên bạn nếu có sử dụng cái gì, ngay cả cái sườn của chương trình, thì nên credit tác giả của nó.

đó cũng là một thói quen mà mình nghĩ các bạn sinh viên như bạn cần phải tập. bởi lẽ nếu ngay từ lúc học, đã chôm chỉa những thứ không đáng như thế này, thì đến lúc đi làm, làm khoa học hay chỉ đơn giản là làm kỹ thuật, sẽ có khả năng chôm nhiều thứ kinh khủng hơn.

gọi là "course" thì phải có ai đó đứng lớp phải hông ta? không hiểu là các bạn BKTNS đứng lớp hay là các giáo sư ở đại học Syracuse nhỉ?

mà sao lạ ha, không hiểu là BKTNS chôm tài liệu của đại học Syracuse hay là ngược lại, mà sao không thấy bên nào cite bên nào hết trơn? àh còn cái khóa Advance Exploitation nữa, không hiểu là BlackHat chôm của BKTNS hay là BKTNS chôm của Blackhat nhỉ?

rồi thêm một ứng cử viên là seraphpl cho danh hiệu "chuyên gia từ trên trời rơi xuống".

mình bầu cho bạn ham_choi giải thưởng "chuyên gia từ trên trời rơi xuống" trong tháng này.

mắc cười quá, hôm nay mới xem được một cái tin thế này:

http://www.cbc.ca/consumer/story/2009/03/17/slot.html wrote:

According to the statement, Kusznirewicz was playing an OLG slot machine called Buccaneer at Georgian Downs in Innisfil, Ont., on Dec. 8 when it showed he had won $42.9 million.

When the machine’s winning lights and sounds were activated, an OLG floor attendant initially told Kusznirewicz to go to the “winners circle” to claim his prize, according to the statement. But other OLG employees immediately arrived and told him that the corporation would not be paying, because there had been a “machine malfunction.”

They offered him a free dinner for four at the casino’s buffet.

In a press release, OLG described the malfunction as follows:

“The single Buccaneer-themed slot machine in question is a two cent per play machine with a base game reward of $300 and an absolute maximum payout of $9,025,” the release states.

“The $42 million figure is not a possible award given this machine’s configuration and pay table settings.”

Mấy khứa ở Veracode mới đưa ra một giả thuyết như sau về cái code của mấy cái máy lotto này:

Of course the lawsuit will probably be thrown out, or OLG will settle with the guy for a lesser amount. But from a technical perspective, it’s amusing to think about what happened to cause this scenario. You can imagine the slot machine software looking something like this:

void do_spin() {
spin_reels();
if (winning_combination) {
unsigned int winnings = calculate_payout_in_cents();
send_to_display("You've won $%u!\n", winnings/100);
add_to_balance(winnings/100);
}
}

int calculate_payout_in_cents() {
int rv;
if (rv = lookup_payout_amount())
return rv;
else
return -1;
}

For some reason, something caused lookup_payout_amount() to return NULL, which meant calculate_payout() returned -1, signifying an error. Then, in addition to implicitly casting the signed result to an unsigned type, do_spin() fails to check for the error condition! It assumes success and announces the payout via the slot machine’s display. In this case, the -1, represented as 0xFFFFFFFF in two’s complement, gets interpreted as an unsigned number, 4294967295, due to the implicit cast, and the display prints “You’ve won $42949672!”

Hehehe rõ ràng các vấn đề liên quan đến số nguyên rất nguy hiểm nha.

@StarGhost: mình đang nói về cái khác, không hiểu sao bạn lại nghĩ là mình đang phát biểu một định lý nhỉ? àh thì ra là do bạn đang nghĩ về khoa học. buồn cười quá :-D. mình nghĩ phát biểu của mình chỉ nên được hiểu là một đúc kết, rút ra được từ mớ empirical data của mình. nếu bạn tin mình, thì bạn tin là nó đúng. nếu bạn không tin, thì thôi, chẳng có gì nghiêm trọng.

hehehe từ rày về sau, mình sẽ chú ý, mỗi lời của bạn StarGhost phát biểu trên HVAOnline đều sẽ là một định lý, hay một kết quả khoa học với đầy đủ thí nghiệm, dữ liệu để kiểm chứng. như thế thì quá hay.

@LeVuHoang: bạn àh, bài của bạn rất đơn giản, ý cũng bình thường, chỉ họa chăng là mù mới đọc kô được, nên mình nghĩ bạn bỏ cái kiểu argument "bạn không đọc rõ ý mình" đi. mình cũng đã trả lời đúng vào ý mà bạn muốn nói rồi.

bạn cứ chăm chăm vào việc, "àh thằng vk này có nhược điểm, fix nó thế nào, nếu mà không fix được thì thay bằng cái mới". mình có nói đó là ở góc nhìn về kỹ thuật nó sẽ đơn giản như vậy. cái gì sai thì cứ sửa. nhưng mà đặt nó vào một ngữ cảnh làm dịch vụ bán cho khách hàng, thì mọi chuyện không đơn giản như vậy.

nhược điểm của vk thì mình nghĩ, và như bạn cũng đã nói, người ta đã biết đến từ lâu. nhưng tại sao biết nó có nhược điểm, nhưng người ta vẫn làm? (khác với cái ý của bạn, nếu mình không nhầm, là làm rồi, mới thấy nó có nhược điểm). chỉ có hai lý do: hoặc là citibank (và những bank khác) toàn những thằng ngu hoặc là vk dễ làm, đem đến hiệu quả cao hơn chi phí bỏ ra và khách hàng chấp nhận nó.

...

thôi, mình chán topic này rồi.

@StarGhost: hehehe ở đây mình đang nói đến việc bảo vệ các giao hoạt động trên Internet mà ta, one-time pad có thể ứng dụng thực tế để bảo vệ các hoạt động trên Internet được không bạn? nếu được, nhờ bạn starghost chỉ vài đường để mình nghiên cứu xem. bạn nhớ nghĩ đến các yếu tố chi phí, khả năng được người dùng chấp nhận luôn nha.

xem an toàn thông tin là một hàm của tài nguyên của kẻ tấn công, mình nghĩ không những nó không bỏ qua sự phức tạp của an toàn thông tin và môi trường xung quanh, mà chính là cách nhìn nhấn mạnh nhất vào sự phức tạp và khó khăn của an toàn thông tin. bất kể bạn có đầu tư bao nhiêu, thì sự an toàn của bạn không được quyết định bởi những việc bạn làm, mà phụ thuộc vào việc kẻ tấn công bỏ ra bao nhiêu thời gian và tiền của để tấn công bạn.

nếu bạn càng làm nhiều, thì có thể kẻ tấn công càng phải tiêu tốn nhiều tài nguyên hơn, nhưng không phải lúc nào cũng được như thế. kẻ tấn công khôn ngoan sẽ dành hết tài nguyên của hắn để tấn công vào điểm yếu nhất trong hệ thống phòng thủ của bạn. thành ra nếu mà làm nhiều mà không làm đúng, thì cũng thua.

mà mình thấy có gì đó mâu thuẫn ở đây. bạn starghost ở đây thì kêu là đừng xem nhẹ những phức tạp trong an toàn thông tin, nhưng lại cho rằng one-time pad là tuyệt đối an toàn. mình đồng ý one-time pad là tuyệt đối an toàn, nhưng đó chỉ là khi xét one-time pad là một hệ quả của một định lý trong lý thuyết thông tin. nghĩa là nếu loại bỏ hết những phức tạp của hiện thực, thì one-time pad là an toàn, theo lý thuyết. nhưng nếu tính luôn cả những khó khăn hay phức tạp của hiện thực, thì mình thấy trong lịch sử đã hơn một lần, người ta sử dụng one-time pad nhưng vẫn bị tấn công như thường. Thử tìm trên Internet những gì liên quan đến VENONA bạn sẽ thấy.

còn về việc vô tác dụng hay không vô tác dụng, theo ý của mình là nó có làm cho việc tấn công của attacker có khó đi hay không, attacker phải tốn nhiều tài nguyên hơn hay không. nếu mà đạt được tiêu chí đó, điều mà mình nghĩ là tất cả các phương thức phòng thủ hợp lý đều phải có, thì chỉ cần xem xét về tính khả thi của phương thức đó (về lợi ích, về chi phí, về sự chấp nhận của người dùng) là có thể triển khai được. bạn thử nói vài cái tiêu chuẩn của IEEE hay IETF RFC được triển khai rộng rãi mà vô tác dụng, không đem lại hiệu quả gì hết cho việc phòng thủ?

vả lại, có câu nói, "attacks only get better, they never get worse", có nghĩa là có thể phương pháp phòng thủ hôm nay còn có tác dụng, nhưng nó sẽ trở nên vô dụng trong một thời điểm nào đó ở tương lai. vấn đề cần phải xem xét là khi nào (nó là kết quả của quy trình tái đánh giá rủi ro). nên chẳng có gì lạ, nếu một phương thức trở nên mất hết tác dụng của nó, sau khi đã được triển khai thành công vài năm.

tuy vậy mình nghĩ ở đây, trong môi trường của vn, thì phương thức dùng bàn phím ảo, cho đến bây giờ, vẫn có đất dụng võ.

@levuhoang: vấn đề của bạn là bạn có thể defeat được virtual keyboard, nên bạn cho rằng nó không cần thiết. vừa rồi, ở blackhat, có thằng làm cái tool ssl-mitm (ý tưởng thì cũ nhưng cách làm có nhiều cái hay), thế thì ssl trở nên không cần thiết nữa, chuyển qua xài http hết cho rồi? nói về otp token hay matrix card, thì chúng nó cũng chẳng an toàn, khi gặp phải các loại mitm trojan, thế thì không nên xài chúng luôn?

để đánh giá về mức độ hữu dụng của một phương thức phòng thủ, thì mình nghĩ chỉ đứng nhìn ở góc độ kỹ thuật không thì sẽ chẳng thấy được gì cả. muốn đánh giá, phải đưa phương thức phòng thủ đó vào một ngữ cảnh cụ thể, chi phí triển khai, lợi ích đem đến, và một bản phân tích rủi ro cụ thể liệt kê những mối nguy nào, lỗ hổng ra sao, tần xuất xảy ra, mức độ thiệt hại...rồi từ đó mới biết được có nên triển khai hay không. bạn levuhoang với bạn starghost thử làm một cái bản phân tích như thế xem sao?

Thế thì sao nhỉ? Mình mới học được một câu thế này từ bạn thaidn: security is not some absolute or boolean attribute; security is a function of the resources invested by an attacker.

Nếu mà kẻ tấn công có một nguồn tài nguyên không giới hạn, thì chẳng có phương thức bảo mật nào là an toàn tuyệt đối cả. Đương nhiên, kẻ tấn công luôn có một nguồn tài nguyên bị giới hạn, bởi thời gian hay tiền của. Nhiệm vụ của các bên phòng thủ lúc này là: làm cho kẻ tấn công phải tiêu tốn tài nguyên càng nhiều càng tốt.

Không có phương thức phòng thủ nào, nếu đã được xây dựng và người dùng đã chấp nhận, là vô tác dụng cả.

ngonchan wrote:

Nếu mình nhớ không nhầm thì tác giả của BluePrint (#6) là một người Việt smilie

Nhầm rồi. Chính xác là người đóng góp lớn cho sự phát triển của grid-based design (mà BluePrint là một trong những framework làm theo ý tưởng này) là một người gốc Việt. Website của hắn ở đây: http://subtraction.com.

@StarGhost: mình đồng ý là con số mình đưa ra không hợp lý cho lắm. Mình có biết vài bạn sinh viên mới ra trường, cũng ở tỉnh, lên thành phố học, nghĩa là có những khoản phải chi y như bạn nói, mình sẽ thử hỏi xem các bạn ấy chi tiêu thế nào, có còn dư ra gì không. Hi vọng cái mẫu của mình nó sẽ đủ phổ quát để có một con số hợp lý hơn.

Dẫu vậy, mình vẫn bảo lưu ý kiến là nên để dành tiền mua sách hay bất cứ phương tiện tiếp cận tri thức nào.

@St Konqueror: thư viện của một vài trường thuộc đại học quốc gia Tp.HCM. Thậm chí trường ĐHKHTN, một trong những trường rất lớn ở VN, đưa hẳn lên trang chủ của họ hàng ngàn cuốn sách e-book lậu.

@St Konqueror: cái analogy của bạn sai bét. Khoa học bao giờ cũng có hai nhánh: khoa học lý thuyết và khoa học ứng dụng. Còn cái cách làm sysadmin theo dạng đọc tài liệu how-to hay tutorial của hãng thì chưa bao giờ là khoa học cả, họa chăng chỉ là kỹ thuật.

Mình thấy có có chuyện để bàn ở đây. Nói trước đây chỉ là những gợi ý để các bạn suy nghĩ thêm, hoàn toàn không có ý xấu. Mình cũng không có vấn đề gì với việc người khác làm khác mình.

Đó là chuyện sách vở. Mình nghĩ chắc đa số các bạn ở đây đã đi làm, kiếm được tiền từ công việc mà mình làm. Thế thì tại sao lại đọc sách lậu và khuyến khích người khác đọc sách lậu nhỉ? Mình thấy như thế không có đúng chút nào.

Nếu sách cần cho công việc, và công việc đó đem lại tiền cho mình, thì nên bỏ tiền ra mua sách. Tại sao bỏ tiền ra mua máy tính, mua điện thoại, mua ipod, mua những thứ đồ xa xỉ khác thì được, nhưng sách, một thứ sản phẩm hết sức văn hóa thì lại toàn đi chôm, một hành động rất là vô văn hóa?

Tôn trọng giá trị lao động của người khác cũng là tôn trọng chính bản thân mình, nhất là khi mình dùng thành quả của người ta vào công việc của mình. Nó cũng giống như tham khảo sách vở, tài liệu, công trình của người khác để viết ra paper của mình, mà không cite gì hết. Cái này người ta gọi là đạo văn thì phải :-p. Còn chôm sách là đạo gì ta? Đạo tri thức?

Sách có quá mắc không? Mình không nghĩ thế, ít có cuốn sách nào quá 1tr VND, mà lương ra trường của một bạn sinh viên ở VN một tháng chắc cũng tầm 4-5tr VND rồi (mình tin là các bạn ở đây lương còn cao hơn). Nghĩa là để dành một tháng thì cũng mua được 2-3 cuốn. Một năm tệ lắm cũng mua được 10-15 cuốn. Vừa có được sách để đọc, vừa thấy thanh thản trong lòng, tại sao không nhỉ?

Mình nghĩ thói quen đọc sách lậu bắt nguồn từ trường học mà ra. Các thầy không làm gương thì làm sao trò làm cho đúng được. Không thể đổ lỗi cho việc thiếu tiền, thiếu tiền là thiếu từ vài mươi năm trước kìa, bây giờ trường đại học nào cũng rộng rãi khang trang, thư viện to đùng, có cả máy lạnh, và chất đầy sách photo từ sách gốc do các thầy đem từ nước ngoài về!!!.

Mình cũng đã học từ những cuốn sách photo đó. Nhưng đó là thời sinh viên, nếu sinh viên không có sách để học thì đó không phải là lỗi của sinh viên, mà là lỗi của trường, lỗi của ngành giáo dục, lỗi của cả một quốc gia. Nhưng khi đã ra trường, kiếm được tiền rồi, mà vẫn đọc sách lậu, thì đó là lỗi của bản thân mỗi người.

Mà thôi, như mình đã nói từ đầu, đây chỉ là ý kiến cá nhân. Mình thích nguyên tắc của Postel: be conservative in what you send, liberal in what you accept. Mình sẽ nghiêm khắc với bản thân, nhưng nếu bạn nào có download rồi in sách để đọc thì mình vẫn vui vẻ với bạn đó.

Rồi xong tiết mục "giáo dục lối sống cho thanh niên thời hậu đổi mới".

Hay thật thì ra các bạn cũng có chơi cái game này. Mình cũng có chơi, đang ở Vortex 19, nhưng mà bận học nên đã dừng lại mấy tháng rồi, tuần này rảnh rảnh sẽ ngồi coi lại.

mrro, StarGhost, gamma95, rickb...các bạn đến level bao nhiêu rồi? Dứt điểm chưa?

Không mình nói thật. CSS khó. Bạn nào không tin thử lấy CSS làm layout cho một website, rồi làm cho website đó hiện đúng hết trên các browser hiện đại đi.

@rickb: ý mình kô phải là các câu hỏi hay là cách bạn hỏi. ý mình là nếu bạn vẫn còn chưa nắm rõ được những kiến thức thế này, thì mình võ đoán là viết AV là quá sức bạn. đương nhiên đây chỉ là đánh giá cá nhân thôi.

mình nghĩ thay vì tự viết, bạn nên tham gia một dự án open source nào đó làm về AV, như clamav chẳng hạn. sẽ học được nhiều thứ một cách nhanh hơn là tự viết. đương nhiên cái này là mình giả sử bạn viết AV để học, còn nếu muốn viết để bán kiếm tiền thì mình không biết thế nào. làm clamav cũng được, nhưng mà mình nghĩ sẽ khó kiếm được tiền.

mình thấy CSS còn khó hơn Javascript, C, C++, và tất cả các loại ngôn ngữ lập trình trên thế giới cộng lại. nghe đồn các khoa CS trên thế giới thay vì dạy C hay Java cho freshman thì sẽ dạy CSS :-D.

anyway, có cuốn sách dạy xHTML/CSS rất được là cuốn Head First xHTML/CSS.

ặc, đứa nào theo dõi hay sao đó, chứ tại sao nó lại biết tủ sách của mình có sách gì ta?

@rongchaua: mình đưa ra câu hỏi, không phải vì mình muốn làm cho sự việc rối tung lên, đơn giản mình chỉ muốn gợi ý, để bạn OP tìm hiểu thêm mà thôi. đây cũng là một câu mà hồi mình học lớp sơ đẳng về lập trình bằng Java, mình cũng đã tự hỏi, và trong quá trình đi tìm câu trả lời, mình đã ngộ ra được nhiều thứ hơn về Java.

mình không muốn xen vào tranh luận của bạn với bạn nbthanh, nhưng mình nghĩ tranh luận thì chỉ quan trọng ai đúng ai sai, còn ai ra vẻ thế nào thì mặc kệ họ. nếu họ ra vẻ mà họ nói đúng, thì nên hoan hô. còn họ ra vẻ mà họ nói sai, thì nên mặc kệ. chứ bực tức làm gì cho mệt.

dẫu vậy, mình tin là một tí nữa, bạn rongchaua sẽ bị bạn nbthanh làm nhục smilie

.

ơ mình tưởng học về Unix là học cách họ thiết kế cái dòng hệ điều hành này chứ nhỉ? Còn mấy tài liệu mà bà con nói ở đây nó có liên quan gì nhỉ? thiệt là khó hiểu.

nếu là mình, mình sẽ tìm cuốn Modern Operating Systems của giáo sư Andrew Tanenbaum mà đọc. mấy thứ còn lại chỉ là manual, chỉ cần nỗ lực, không cần nhiều chất xám, thì vẫn sẽ hiểu và làm được, còn cuốn sách mà mình nói, thì phải động não nhiều hơn. đọc cuốn mà mình đưa ra rồi, thì đọc tiếp từng thiết kế riêng biệt của từng dòng, lúc đó mới cần đến tài liệu của hãng.

mình đọc sơ qua, thấy yêu cầu mật khẩu phải mã hóa bằng block cipher hay public-key crypto system là mình thấy cái dự thảo này có vấn đề rồi. lại còn khuyến nghị sử dụng 3DES nữa chứ lol. mình không biết đồng chí viết cái này có hiểu những gì mà đồng chí đang viết không?

nhìn kỹ lại, dự thảo này chỉ nói chung chung, mà không đi vào chi tiết, thành ra mình nghĩ giá trị của nó cũng chỉ ở mức chung chung, kiểu như làm kiểu nào thì cũng có thể hiểu là làm đúng theo dự thảo, hoặc ngược lại.

thí dụ đi vào chi tiết là thế nào?

với cái khuyến nghị sử dụng AES, 3DES, RSA để mã hóa mật khẩu (mình cứ giải sử đây là khuyến nghị đúng), thì người soạn cái dự thảo này nên có những đoạn nói về việc sử dụng AES, 3DES hay RSA sao cho đúng. Ví dụ key thì phải dài bao nhiêu, nên chọn mode nào cho block cipher, hay cần tham khảo code thì tham khảo ở đâu.

mà mình thấy tếu một đều (cái này mình thấy hoài) là tài liệu này chẳng hề có reference gì cả. giống như tác giả rất siêu phàm, tự nghĩ ra hết những thứ này từ đầu.

còn nhớ ngày đầu tiên mình đi học, việc đầu tiên mình được dạy là: phải tôn trọng công sức lao động của người khác, tham khảo cái gì thì phải cite cái đó, ghi rõ vào ai đã giúp mình làm cái gì, mình đã đọc đoan này ở đâu, mình đã chép đoạn kia ở chỗ nào. reference còn giúp người đọc mở rộng thêm tầm mắt, dạng như muốn đào sâu chỗ đó thì nên đọc cái gì, của ai.

anyway, mình thấy về tiêu chuẩn cho hệ thống thông tin, thì nên tham khảo cái đã có sẵn của bọn NIST.

mình ném đá hội nghị tí: bạn rickb nếu mà còn hỏi những câu thế này thì nên nghiêm túc xem lại dự định viết chương trình chống virus của bạn. để dành thời gian làm cái khác phù hợp với bạn hơn đi.

hoan hô bạn nbthanh. ơ forum không có nút thank you hay là i love you àh :-p.

@rongachau: mình đi học, thấy các ông thầy bà cô và đồng môn luôn trân trọng những câu hỏi hay. khi mình đi làm, hỏi được một câu hỏi hay, xoáy đúng vào trọng tâm vấn đề, giúp mình được tăng lương nữa đó. nên mình nghĩ hỏi hay nên được khuyến khích. mà mình thấy, một trong những vấn đề hiện tại của hvaonline là thiếu câu hỏi hay.

@windman: cái kiểu tự ti "ơ tại tôi làm cái này sau anh nên tôi dở hơn anh thôi, chứ còn làm cùng lúc thì tôi chắc chắn sẽ hơn anh" rất nhục và phản khoa học.

mình thấy sử dụng mấy phần mềm này mà không hiểu chuyện gì xảy ra thì thà không xài còn hơn. mình rất ghét cảm giác bị công cụ làm cho mình cảm thấy ngu ngốc và vô dụng.

Nó nè: http://java.sun.com/j2se/1.5.0/docs/api/java/lang/class-use/Integer.html. Làm gì mà mất cả tháng tìm mà kô ra?

Giờ thử trả lời câu hỏi, tại sao lại có lớp Integer này nhỉ, khi mà mình nhớ không lầm thì Java đã có primitive type là int mà ta :-p?

@Fal: mình đang luyện công đây. Mình đang tham khảo lecture notes của khóa "Discrete math for computer science" trên MIT OCW. Mình thấy bọn này viết notes rất hay và tếu :-p.

Khóa đó nó bàn về các vấn đề: logic, proof, elementary number theory, combinator và probability. Note về probability của bọn nó cực hay.