CommuniLink 聯通國際網絡

「Masters of Code」比賽將於3月21日至22日在香港舉行，整個Hackathon 比賽由AngelHack 主辦、MasterCard 贊助及主持，為期長達一年、共十站的全球活動，第二站在香港繼續尋找世界頂尖程式編寫員。

頂尖開發人員爭奪10萬美元大獎

這場比賽將要求開發人員以女性於科技領域的發展為重點，創造最佳的商業體驗。所以評審過程中男女混合的參賽隊伍會有優勢。香港最頂尖的開發人員及企業家須於是次比賽中發揮創新意念，勝出者將有機會於十二月到美國矽谷參加「Masters of Code」Hackathon 終極大賽，與來自世界各地的程式編寫精英互相切磋。

這個活動目的只有一個，就是匯集世界頂尖的開發人員、設計師和企業家，透過 MasterCard 的APIs為商業社會推動全球商業活動，參賽隊伍須設計新的prototype程式，展示程式編寫和設計能力，亦要闡明商業用途，藉此推動下一代的商業應用。

香港具備出色的商業人才，是舉辦全球Hackathon比賽第二站的理想地點。各地區的優勝隊伍將飛往矽谷參加「Masters of Code」Hackathon終極大賽，而每個地區優勝隊伍的每位成員均會獲得價值500美元的MasterCard禮品卡。比賽的總冠軍得主將於矽谷選出，贏取10萬美元資金發展其創新意念，更可參與為期兩星期的愛爾蘭都柏林MasterCard Start Path活動，或參加其他任何一個遙距計劃；得到MasterCard Open API行政團隊及Start Path計劃各一位成員為期六個月的指導；以及首十二個月免費使用Simplify Commerce處理交易，金額高達25萬美元。

以上資訊由www.hkitblog.com提供

 

互聯網世的出現完全改變了國際商貿行為，電子商貿令商機擴大，互聯網能面向更廣泛的地理位置，增加市場。以往香港作為中國與國外企業間的跳板的優勢已經不存在，有調查顯示中國電子商貿從業員認為擴展海外業務是優先要務，直接地與本地競爭。在香港人都北上尋商機時，國內電子商貿卻向外擴展，難怪香港競爭力不止被新加坡、台灣等亞洲地區拋離。

國企力爭海外市場

是次調查由Rackspace進行，於去年11月27-28日在上海舉行的中國跨境電商峰會暨展覽中對147名中國電子商貿從業員進行了訪問。調查發現許多希望增長業務的企業均放眼海外市場。34%受訪者已制定了海外拓展計劃，46%已著手進行拓展工作，只有20%未有近期擴展計劃。縱使在未有近期擴展計劃的受訪者之中，也有74%預計會在未來拓展海外市場，其中57%預料會在未來1-2年內進行，其餘43%預料會在未來3-4年內進行。時機是最重要因素，74%計劃在今年進行，47%有意進軍海外的企業把目標定於歐洲、英國或美國，亦有一些受訪者有意進軍澳洲、南美、俄羅斯及中東。

著重IT提升競爭力

IT技術在海外擴展方面得到多方面關注。其中，「可靠性」是最重要因素，其次是「用戶體驗」，第三是「與來自本地市場/熟悉的供應商合作」。一些現時正計劃擴展海外業務的企業亦有意使用管理雲服務，其中40%計劃將其海外寄存業務外判給本土、全球或當地雲端供應商。

對於已擴展海外市場的企業，他們面對的最重大的IT挑戰就是服務支援，「欠缺IT人員或支援」是最常見的問題。在使用寄存服務供應商的受訪者之中，只有12%表示能夠獲益於全球支援團隊。

物色IT供應商

61%受訪者認為『技術支援』在建立基建設施時「非常重要」，53%受訪者認為『技術支援』在擴展海外業務時「非常重要」。30%受訪者對其現有本土供應商的技術支援評分為「一般或以下」，其中許多受訪者認為他們有改進空間。「24×7支援」及「服務水平協議(SLA)」是受訪者物色IT寄存供應商的兩個最重要條件，而80%受訪者認為使用可於多個市場內支援其基建設施的全球寄存供應商「重要」或「十分重要」。

許多企業了解到充分利用當地支援及擁有了解全球市場的合作夥伴可帶來更多價值，現時這麼多企業熱衷於建立全球業務，他們使用的基建設施及支援自然也要全球化。

以上資訊由www.hkitblog.com提供

HTTP/1.1在1999年由RFC 2616定為標準，整個互聯網就一直基於它在運行，其間不同組織提出了總共10個更新版本或替代協議，但是有些版本被認為還有改進的空間，尤其是性能方面。Google也是嘗試改進HTTP/1.1的公司之一，他們在2009年發佈了SPDY協議，外間普遍認為獲得成功的機會微乎其微。

SPDY順勢成為下一代HTTP標準原型

因為互聯網有龐大的歷史包袱，但Google有一件武器能使SPDY流行起來：Chrome。他們搭建了自己的網站，修改了Chrome來支持SPDY，用戶被其更好的性能所吸引，這給其他網站和瀏覽器開發商構成壓力。

根據W3Techs的統計，在全球超過12億的網站中有3.4%使用了SPDY協定。這個比例看起來不高，但這份名單中包括了一些最大的網站，有Google、Facebook、Yahoo!、Twitter、YouTube、Wordpress等，這使得互聯網每天通過SPDY協定來承載的頁面流量在總流量數中占了相當大的份額。

負責HTTP/2.0標準化工作的IETF HTTPBIS工作小組在2012年的一次討論中，決定把SPDY作為HTTP/2.0的原型，但一開始他們沒有想完全採用它。微軟也提出了他們自己的提案，稱為HTTP Speed+Mobility。三年後，看起來SPDY已經在競爭中勝出，它已經被HTTPBIS工作小組採納為HTTP/2.0，並且進入標準化流程的最後階段。

Chrome率先支援最新協定

Google宣佈SPDY將於2016年頭退休，轉而採用HTTP/2.0。對於Google旗下的網站和Chrome來說，只是換了個協定名字，協定本身沒什麼變化。最新的Chrome 40裡面有個SPDY/4開關，有興趣測試HTTP/2.0的人可以打開它。Google也打算不再讓Chrome支援NPN協定，轉而支援ALPN協定，並建議開發者使用最新的TLS擴展。

根據CanIUse的調查，目前Firefox、Chrome、Safari、Opera、iOS版Safari、Android版Chrome、Windows 8上的IE 11都已經支援HTTP/2.0，有些需要打開選項，有些不需要。Windows 10預覽版自帶的瀏覽器也支援。Apache、Windows 10上的IIS和nginx都已經加入了SPDY 3.1或4(這就是HTTP/2.0)。剩下的就是網站管理員們去升級伺服器軟體了。

以上資訊由www.hkitblog.com提供

 

招聘顧問公司Robert Walters研究了中國，香港，日本，馬來西亞，新加坡和韓國的主要求職網站、平台、報章等，分析出亞洲區2014年第四季專業職位較去年同期增加18%，隨著越來越多的外國企業進入亞洲市場，亞太地區的商業信心及經濟會持續增長。

香港的就業市場信心2014年相對穩定，較2013年有信心增加人手，招聘廣告增加了15%，Robert Walters指出即使下半年政治環境不穩定也無損企業意慾。而為提升競爭力，企業開拓更多專業空缺以取代現有非專業人手。2015年預計競爭會持續激烈。

眾多專業人士中，香港IT人才需求因大數據、數碼市場推廣等而大大提升24%，而客戶服務，人手需求增長僅次於客戶服務、會計、HR管理人才。

以上資訊由www.hkitblog.com提供

 

IoT (Internet Of Things) 物聯網，其本意是指萬物基於某種方式從而達致萬物互聯之效；一般情況下，物件（不論是傳統物件或專為物聯網概念而生產的產物），均是通過於物件之中安裝傳感裝置、RFID、智能晶片等，從而通過這些裝置，令物品能主動向中控台發出某種訊息，而人類通過中控台接收這些訊息，從而了解到物件本身的感知行為；例如通過中控台我們可以得知由傳感器辨識的汽車引擎資訊，從而安排進行維修等。

其實物聯網有很多有趣的事物，未來有機會我們會再深入探討。本文之中，我們希望先與大家探討一下物聯網的安全事宜。

物聯網依賴傳感器，而傳感器之中均運行著一套系統；就好像我們採用的路由器一樣，任由我們將物聯網說得如何神奇，但仍需通過一個系統以便處理各種要求及訊息，及後才向中控台傳送，而此系統由於欠缺統一性，因此傳統的保安方法均難以有效地對此出有效的安全防禦。

近日與一位安全專家飯局，當時我們刻意就物聯網向他查詢一下，結果發現原來業界仍未就物聯網的安全性制定出一套安全標準；而假如硬要說物聯網的統一標準，唯一可能實現到的就是應用於汽車之中的多媒體系統；事關某些品牌的汽車本身的市場佔有率極高，因此較容易便能定立到屬於自己品牌的標準物聯網系統，這對於開發統一標準的安全防禦方案來說亦是較為容易的。

儘管現時業界就物聯網的安全防禦方案仍未定立出一套標準，但根據專門針對 Web App 安全的開源組織 Open Web Application Security Project (OWASP) 業界指引，針對 IoT 的安全問題應留意以下五式。

問題 1：管理介面設計垃圾

第一種問題就是有關物聯網設備的網頁管理介面設計。很多時開發物聯網設備的廠商均會通過提供網頁介面讓管理員能輕易完成設定工作；然而管理介面假如在編程上採用了較差的方法，那登入的網頁介面之中便可能會有機會被植入各種木馬；同時黑客亦可通過嘗試預設的「陽春」憑證以抓取純文字帳户登入憑證，採用不同的方法將登入資料列出，最終便可成功登入物聯網設備。

初步解決方案

不要採用預設的帳户：第一次設定物聯網設備時，便應該將預設的帳户密碼作更改，以避免被黑客輕易撞破。 避免在密碼錯誤訊息之中透露帳存是否真正存在。 啟用自動封鎖功能，當多次輸入了錯誤的登入資訊時，便直接將之封鎖。

問題二：Access Control 的必要性

第二種問題就是管理員太過有自信。很多時物聯網的物品可能只有內部人士才可存取，因此管員便會忽略了密碼的嚴謹程度，但大家別忘記任何嚴密的網絡保安方案，均不敢說自己 100% 安全；因此即使只供內部使用的物聯網設備，亦需借助第三方的方案設定好 Access Control (存取控制權限) 以確保安全。

初步解決方案

提高警覺性：即使是內部使用的物聯網設備，亦應該設定一些較複雜的密碼以確保擁有一定的安全性。 可通過部署一些存取控制設備，從而確保了物聯網設備的存取權限，避免黑客有機可乘。

問題三：小心開啟了不安全的 port 位址

第三種問題是與 port 有關的。眾所週知一些 Network services 能被第三方加以利用去進行一些足以影響內部運作的行為；常見的不安全 Network services 例如有 NFS – port 2049、Portmap – port 111、FTP – port 21 等等…. 還有很多，不詳述。

假如對 port 位的控制不充分，將有機會讓黑客充分地利用如緩衝區溢位 (Buffer overflow) 攻擊以將你的程式預設緩衝區塞得滿滿的，最終癱瘓設備；同樣道理，開啟了某些 port 位亦將會導致被 DoS (Denial-of-Service) 攻擊，此攻擊的目的都是癱瘓裝置。

初步解決方案

設定好你的麻煩的 iptables….或防火牆，確保只開啟需要使用到的 port 位。 確保所開啟的 Network service 其引起的 DoS 可能性較低，以確保設備不會被輕易 DoS 而導致停機或癱瘓情況。

問題四：傳輸加密問題

大家都知道，採用上如 SSL 等方式對傳輸過程進行加密的重要性吧！但很多時，尤其是內部使用的設備，由於其生成的 SSL 並沒有正式向 SSL 機構進行申請，所以啟用了 SSL 加密連線後，便會導致每次登入時出警告字眼；而很多管理層為了一己之方便，往往不會理會安全問題，便要求 IT 管理員將之解除，結果 IT 管理員便只有停用 SSL，這樣黑客便很容易通過一些工具深入查看傳送之中的封包，從而找出登入資料；另外有些大意的廠商為了方便性，在編寫程式時採用了 GET 的方式取得用户所輸入的帳户資料，這亦是另一種不可原諒的大意。

解決方法

堅持安全為先，堅持啟用 SSL 加密傳輸協定。 選用方案前，了解一下網頁管理介面的設計是否有足夠的安全性。

#########################

http://www.hkitblog.com/login.php?userid=3&password=1234

上述網址便是採用了 GET 的方式取得用户登入資料，大家輕易可見，傳輸過程之中網址後方會直接附上用户所輸入的登入資訊。

########################

問題五：設備是否支援自動更新

別笑！很多物聯網設備是無法自動更新的！沒法提供自動更新的設備便不應購買了，事關當新的漏洞被發現後，廠商即使已提供更新，然而卻需管理員逐一手動進行更新，一來浪費寶貴的人力資源，二來人手處理在反應時間上始終及不上設備自動完成更新，對吧！

解決方法

應選購「懂得自動更新」的物聯網設備。 即使設備懂得自動更新，亦請留意更新檔案傳送過程時的傳輸協定是否為已加密。 確保更新過程之中，廠方不會收集設備之內的資料。

總結：持觀望態度的物聯網

老實說，創新科技的第一批使用者，往往都是勇者。舉例如老品牌作業系統，他們的 RTM 版本、SP1 以前的系統版本，往往仍處於試行階段；情況與現時的物聯網一樣，很多技術仍未有行業標準，更不用說安全管理了，所以物聯網方案現時仍未適合大量部署；反而現時企業可通過小量部署物聯網方案，從而進行內部測試，為即將到來的物聯網時代作最佳準備。

以上資訊由www.hkitblog.com提供