再来说说比特币

比特币上一次火的时候还是在 2013 年,当时最高的价格被炒到了近 1200 美元。后来随着 MtGox 的破产,价格一路跌至 200 美元以下。在 2015 年沉寂了一年之后,2016 年初,比特币的价格又有了抬头的趋势。目前的价格是 427 美元每个(2016 年 2 月 19 日)。

看到价格有上升的趋势,我也随手查看了以前开设的几个比特币的帐号,惊讶地发现我的存货总量居然有两个那么多。其中一大部分来自推荐的分成,比如 LocalBitcoins。看来过去的一年里,比特币的交易量还是相当地丰富。

这两个比特币囤了两年之后物超所值,于是我决定把它卖了。在好友群里一问,有个美国的朋友有兴趣按市价收。交易很快完成,瞬间钱包里又多出了 800 多美元。我还真是应该开个博客写写怎么网络赚钱 :P

交易完成之后,我不禁思考了一下为什么比特币还会涨起来。之前 MtGox 的破产,和最近比特币社区对算法更新的分裂,都给比特币的发展带来了沉重的打击。那为什么它的价值还会上升呢?

先来说说那位朋友为什么要买我的比特币。他的解释是,银行的国际汇款手续费过高,他从美国把美元汇到中国,再转成人民币,这一系列操作会带来非常高的手续费。取决于银行的不同,汇款的费用加上换汇的利差,大约会产生 5% 左右的损失。为了避免手续费,有一种方式是私下找朋友换汇,我用美国的帐户给你美元,你用中国的帐户给我人民币,大家都按中间汇率来结算,这样就不会有手续费。但是这样需要至少两个人才可以操作,不是随时随地的。而比特币则综合了两者的优点,一是交易过程中几乎没有损耗,二是随时随地都可以交易。只要比特币价格不震荡,用它来在两地转帐是一个非常好的方式。

于是这就产生了一定的需求,是不是刚需还说不准,但这种情况会越来越常见。无论是出国工作,还是旅游买东西,都会牵扯到换汇的问题。即使个人换汇金额较小,损失一点也影响不大。那做跨国生意的商人,5% 的利率差距,还是能省则省的。

那为什么比特币的价值会相应地上涨?简单来说,时代不同了。

两年前,比特币的价值上涨是因为还能挖到免费的比特币。当年矿机横行,大大小小的商人都在买矿机以求挖到几个币来卖钱。每个 1200 美元,而电费大概就几美分,只赚不赔的生意谁不做。而之后泡沫的破灭也是因为挖出来的币越来越多,后续的挖掘对算力的要求快速上升,挖矿不再是个人所能承受的事情了。于是大家一哄而散。

现在时代不同了。比特币挖矿已不再赚钱,因为投入(电费+机器折旧)高于产生(挖到的比特币价值)。相对于挖矿,人们更倾向于使用比特币交易。比特币的一个重要特性是不能再生。它可以被人为地毁掉,比如忘记了钱包的密码。宏观来看市场上的比特币会越来越少,那单位数量的价值就会越来越高。只要比特币的交易继续存在,那么它的价值就会水涨船高。

那么都预测它会涨了,我为什么还要把币给卖了?青菜萝卜各有所爱。虽然会涨,但是涨幅不确定,我觉得今年应该不会涨太多。如果政策稳定,比特币价格大涨还需要 2、3 年的时间。

最后,顺便再推广一下 LocalBitcoins 这个服务,它是一个交易平台,在上面你可以和全世界的人交易比特币。好处显而易见,你可以向美国的卖家买了比特币之后,直接向中国买家卖掉,以换取人民币。只需要一个帐号,就可以完成中美两地的转帐手续,非常方便。

瑞士的移动支付现状

最近的一个热门事件是 Apple Pay 正式进入中国了,使用 iPhone 在支持“闪付”的 POS 机上可以直接付款,不需要像往常一样刷卡。对于经常需要拿出钱包付款的人们来说,Apple Pay 可以极大地减化付款流程。

我一直在等待 Apple Pay 进入瑞士,这样出门就可以只带个手机了。只不过事实是,瑞士的市场太小得不到 Apple 的重视,而瑞士本土的移动支付技能树似乎点歪了。

点击查看[瑞士的移动支付现状]的详细内容

站点启用 Certificate Transparency

之前一直都以为 Certificate Transparency 这个东东是给 EV 用的,没想到今天看了篇文章,说是个人站点也可以用。于是就去申请了一下。

先简单说说 SSL 证书的安全性。SSL 的机制是一个简单的信任链关系,浏览器并不能区分两个受信任的 CA 对同一域名签发的证书。比如本站的证书是由 DigiCert 签发的,如果另一个 CA 有意或无意也签发了一个对于 leonax.net 的证书,浏览器在访问网站的时候并不知道哪个证书是“真的”,哪个是“假的”。于是如果有两个网站,使用了不同 CA 签发的证书,且都说自己是 leonax.net,那么浏览器都会显示出“安全”的图标。现在 SSL 证书泛滥,部分 CA 为了降低证书申请的门槛,并没有做到严格的域名审核步骤,导致一些恶意分子有机可趁,伪造证书来骗取用户的信任。

简单来说 Certificate Transparency 是一个用于增强 SSL 证书安全性的东西,它可以确保 CA (Certification Authority) 不乱发证书。CT 的做法是通过一个第三方的验证机制,来判断证书的改动有没有出现异常。比如上述情况,会有两个 CA 同时向验证服务器提交信息,或是一个提交了,浏览器却收到了另一个的证书,这样便可以区分出“真假证书”了。

本站的证书是在 DigiCert 申请的。DigiCert 对 Certificate Transparency 的介绍可以看这里。实际上它废话了一堆,只是告诉你要去联系客服开启 CT 即可。于是我就去找了客服,十分钟搞定,当中还绕来绕去说了一些废话,可能是因为美国当地时间是夜里,客服不太清醒的缘故。不过事情也不复杂,很快客服就给我重新签发了证书。拿到新的证书之后,再上传到网站服务器即可。

开启了 CT 之后,在 Chrome 的网站信息中就可以看到类似上图的字样。说是网站已提供有效的 Certificate Transparency 数据。

StrongVPN 的用户反馈摘录

StrongVPN 是一家自 1994 家就成立的公司,它可以活到现在并依然有着很好的用户体验,足以表明它家的实力。以下是一些用户反馈的摘录,取自 StrongVPN 的用户反馈页面。原文都是英文的,附上我自己的翻译。


Jingui L.:主要使用 StrongVPN 上 YouTube、Facebook 和收发邮件。日本的服务器是我目前用过最好的 VPN 服务。它从来没有出过问题并且非常快。虽然它只在 Deluxe 套餐中才有,有点小贵但非常超值。


Zhongjie W.:主要使用 StrongVPN 访问国外站点。VPN 连接的速度很快并且非常稳定。连接配置方便,很容易就可以更换服务器。每当我遇到了连接问题,客服人员总能快速地帮我解决。


Nursat Y.:我在工作和生活中都使用 VPN。StrongVPN 的服务令我非常满意。物有所值,连接速度比其它大多数 VPN 提供商都快。StrongVPN 在工作和生活中都起到了很大的作用。


Margus M.:使用 VPN 来访问世界其它地区的网站。StrongVPN 已经没有瑕疵地为我服务了三年。即使在中国地区这么烂的网络环境下,StrongVPN 依然能提供最稳定的连接。更好的是,它家的客服非常高效。


Dominik J.:StrongVPN 是目前世面上最好的 VPN,没有之一。我和 Nathan 一起使用了四年 StrongVPN,它家的客服总是及时地出现在我需要帮助的时候,并且总能帮忙解决各种连接问题,让我访问到包括 Google 在内所有重要的网站。每当一个网站在中国被墙的时候,我只要提交一个工单,就可以获得及时的服务。我觉得已经没什么可以挑剔的了。

如果你也对 StrongVPN 的服务感兴趣,可以点击这里购买。它家现在有一个特价套餐,仅售不到 $5 一个月,非常合算。

注册过程中有任何困难的话,可以参考《StrongVPN 的详细购买攻略》,或联系 StrongVPN 的客服

博客 2015 年度访问数据统计

这大概是我第一次发布如此的统计,细心的读者大概可以发现本博客最早的文章发表于 2004 年,只是好多年来,访问量实在不值一提。直到去年,博客的访问量终于有实质的上升了。

2015 年全年博客的页面点击量(Pageview)为 2,217,504,比 2014 年上升了 42%。总访问人次为 804,116,比 2014 年上升 47%。也就是说,差不多平均一个人浏览 2、3 个页面就离开了。这符合博客的特性,毕竟我的博文都是全文输出,文章内容不分页,也没有其它骗点击的小把戏。大家看完一篇文章后,再回首页看看,然后就结束访问了。

看了坛子的文章,发现月光博客在 2015 年的文章访问量只有 75 万多一点。这么说来,我的博客还比月光博客热门那么一点。是不是该高兴一下下?

在 200 多万的页面访问中,有超过 80% 的用户来自中国(包括台湾和香港),剩下最多的是来自美国的访客(5%)。看来有能力出国的同学们,所阅读的技术文章都已转向了英文,我的博客自然对他们没什么吸引力了。

访客所使用的浏览器前三名分别 IE(52%)、Chrome(25%)、Safari(7%)。除了 Safari 比起 2014 来上升了 2% 之外,前两位的比例没有明显的变化,IE 依然是大众的主流浏览器。操作系统方面,Windows(76%)、Android(8.96%)和 iOS(8.75%)占据前三位,Mac OS X 只占了 3%,Windows Phone 更是只有可怜的 0.06%。在移动时代全面到来的时候,Windows 家族大势已去了。

博客的页面平均加载时间从 2014 年的 3.01 秒下降到了 1.90 秒,速度提升 37%。这和我在 2014 年底把博客迁移至 Google Cloud 密不可分。Google Cloud 的总体表现令人满意,希望在 2016 年全面使用 Google CDN 之后,页面的加载时间可以降到 1 秒以下。

新的一年,我会致力于改进用户体验,随着访客上网设备的改变,访客所浏览到的内容形式也在慢慢地变化。博客不能一直受限于文字模式,提供用户喜闻乐见的内容,才是博客存在的意义。

由快播的庭审说说加密解密的问题

今天是“快播”涉黄案开庭的日子,新浪网直播了庭审全过程,过程中充满了各种欢乐。我们来说说其中的一个:

且不说这位审判员对于法律是多么地无知,用户的文件无论有没有加密都属于个人隐私,能问出这样的问题显然是对隐私保护没有一丁点的认识。

接下来我们从技术的角度来说说,为什么不能解密。

加密解密实际上是纯数学的东西。如果把一个需要加密的文件看成是一串数字,比如一个文件由一串数字序列(A0, A1, A2, ..., An)构成,这个序列可以被人阅读和理解。加密的过程就是把上述 A 序列转换为(B0, B1, B2, ..., Bn),这个 B 序列是完全杂乱无章,看不懂的内容。然后解密就是加密的逆过程,把 B 序列再翻译回 A 序列。这两个转换过程中都需要大量的计算,而计算机的产生使用大规模加密解密成为可能。

加密解密的一个典型应用场景是寄信。比如小张要写一封信给小红,为了防止信件在寄送过程中被别人看到内容,小张可以把信的内容先加密,然后收小红收到信之后再解密,即可确保寄送过程中没有人可以看懂信件的内容。

加密解密的一个重要工具是密钥。密钥的本质也是一串数字序列(C0, C1, C1, ..., Cn),把它和 A 序列以某种方式混合,即可产生 B 序列。然后再把 C 序列和 B 序列以某种方式混合,即可产生 A 序列。这种方式称为对称密钥加密。常见的对称密钥加密方式是 AES,暴力破解 AES 加密需要千百万年的计算时间,因此被认为是安全的。

使用对称密钥加密的前提条件是,传递信息的双方事先要约定一个密钥,有了统一的密钥,才能顺利地加密和解密。我们在谍战剧里经常看到的,战争的一方截获对另一方的密码本,从而监听到了重要的信息。这个密码本,就是这里说的密钥。密钥需要定期更新,否则就有可能被对方暴力破解,或是以其它的方式窃取。

从谍战剧中我们可以看到,对称密钥加密的主要缺点就是,交换密钥不方便。虽然后续的通信都加密了,但是密钥的传输过程中却是公开的。密钥的传输过程成了加密解密中的薄弱环节。

那么有没有办法解决这个问题呢?当然是有的。这种方法称为非对称密钥加密

非对称密钥加密的密钥包含两部分:公钥和私钥,公钥可以公开,私钥需要保密。而非对称密钥加密是一个外人看来很玄乎的东西。先说说它的过程:小张手里有一对公钥 P 和私钥 X,小红手里有一对公钥 Q 和私钥 Y。小红先把自己的公钥 Q 告诉小张。小张使用 Q 和自己的私钥 X 把信件的内容 A 加密成 B,然后把 B 和小张自己的公钥 P 一起告诉小红。然后小红使用自己的私钥 Y 和小张的公钥 P 对加密内容 B 进行解密,即可还原出 A 来。相信看到这里多数人都已经晕了。

具体原理这是不多说,它和素数分解有关。它对于密钥的保护措施是加密的双方只需要交换公钥即可进行加密和解密,而即使公钥被第三个人知道,他也没有办法破解加密过的文本。常见的非对称密钥加密方式是 RSA,暴力破解 RSA 同样也需要千百万年。非对称密钥加密最常见的应用是 HTTPS。这下知道为什么 HTTPS 是安全的了吧。

于是这里就解答了那位审判员的疑惑,为什么不能对用户上传的文件进行解密,因为根本解不开。如果快播的用户在上传视频时使用了非对称加密,下载视频的用户在观看时解密,这个过程中快播是没有办法知道其中的内容的。聊天软件 Telegram 也使用了类似的方式进行端到端的加密,使用聊天内容就连 Telegram 自己也不知道。

和加密相关的另一个技术称为哈希(Hashing),哈希的作用是验证源文本的真实性。举个例子,小张立了一份遗嘱,他显然不需要对这份遗嘱加密,因为遗嘱最终是要公开的。而他要做的是,确保最终公布的那份遗嘱和他最初立下的是一样的。于是小张可以在立下遗嘱的时候对这份遗嘱做一个哈希,在遗嘱公开的时候,对公开的遗嘱再做一次哈希,如果两份哈希码一致,才说明遗嘱没有被改动过。当然这其中还涉及到一些哈希保密的步骤,这里不细说了,大家知道这个意思就可以了。

哈希和加密解密的一个重要区别是,哈希生成的哈希值,是没有办法解密的,就是还原不回去,只能把 A 哈希成 B,不能再从 B 推导出 A。哈希在计算机领域的一个常见用途是保存密码。比如你在某个网站上注册了一个帐号,这个帐号包含用户名和密码。而网站的管理员不希望除了你之外的其它人看到这个密码,于是网站上所保存的内容只是密码的哈希值,而不是密码本身。在你每次登录网站的时候,网站都会对你输入的密码做一次哈希,如果哈希值和网站数据库中存放的一致,则表示你输入的密码正确。而即使有人偷取了网站所保存的哈希值,也没办法还原出密码来,也就不能登录你的帐号。

现在主流的哈希算法是 SHA-2。一个常见的应用场景是两步验证

好了,说了这么多加密解密相关的东西,回过头来说说快播。我没有用过快播的软件,也不太清楚快播对色情视频的打击做到了什么程度。但从技术的角度来看,P2P 的加密内容分享是无法被解密的,这也加速了全球日益高涨的恐怖威胁。全世界的政府都在要求商业公司提供用户的解密数据,与之相对的是数学领域的加密理论已经远远把监控和破解甩在了身后。我不认为任何公司需要对技术的进步负责,科技的进步是大势所趋,而需要改进的,是那些仍处于落后状态的事物。

Go 语言中奇怪的 if 语句

上篇文章提到过 Go 语言中带有强烈的设计者的主观想法,Go 的 if 语句就是其中一例

常见的 if 语句大约是这个样子的(C++):

这样有一个问题:变量 event 定义在了 if 语句的外面,也就是说,在 if 语句之后,也可以继续使用 event 变量;而如果后续的操作中不需要 event 变量了,它实际上就造成了命名空间的污染。这并不是一个严重的问题,多数情况下不会造成任何问题,而如果一定要解决的话,在 C++ 中可以在 event 的定义之外套一层大括号来限定它的作用域。虽然代码看上去有一些奇怪,但无伤大雅。比如这样:

但是 Go 的设计者不知是出于什么原因,非要从语法上解决这个问题。于是 Go 中的 if 语句可以写成这个样子:

对,你没有看错。虽然 event 是定义在了 if 中,但它在 else 中也是可以用的。也就是说,这种写法实际上是上述的 C++ 写法的语法糖。

并不清楚 Go 的设计者添加这个语法糖的目的是什么。它仅仅是为了解决变量的作用域问题而提出,却牺牲了代码的可读性。if 语句可能会变得过长而不易阅读;在后续重构的过程中,拆分 if 语句也会变得困难。为了解决一个小问题而增加一种有问题的语法,看上去有点得不尝失。