發表文章

目前顯示的是 2020的文章

降低「必修科目」真的是好事嗎?從「選課地圖」談起

 可能是希望學生可以花更多的時間去修「他喜歡的科目」(當然有很高的機率是涼課),台灣的大專院校似乎有個風潮是要降低各系所的「必修科目」。最近系上又要求要製作「選課地圖」,看著密密麻麻的課程(實在有點心虛,因為我一直認為系上開的課不夠多 ... ),看著課程之間的關聯,我在想:「按著這選課地圖來看, 降低了必修數目根本沒有意義啊 」為什麼?因為那些所謂的必修科目,幾乎都是各大領域的「先修科目」,如果學生不想亂選課的話,那些幾乎都還是必修的,降不降低根本一點影響都沒有。其實這一點從各研究所的入學考科就可以看出來了。 其實,大部分的同學可能搞錯了「必修科目」 的意義了。很多同學都把「必修科目」當成是該系所的專業科目,但其實,我認為 把「必修科目」當成是該系所的「基本常識科目」比較好 。也因此,我實在不覺得應該要減少必修的學分數。反過來,我認為應該要延長修業年限,只要學生他付得出學費,他想學各樣的學問又有何不可呢?這樣不會造成社會的問題嗎?但這不才是把自由還給學生嗎?難道跨領域的人才都不需要跨領域的時間嗎?  

笨蛋,問題不在於分不分系

 最近看到一則新聞「 全校不分系 台大將設空白學程 」。說真的,這本不是什麼新聞,畢竟一堆大學都在做了,像是 成大 、 台科大 、 清大 、 陽明大學 等,多加一間台大其實沒什麼大不了的。為什麼要成立「不分系」的學程呢?我引用新聞中的話如下:「教務長丁詩同表示, 校內三成學生不清楚就讀科系所學 ,學制鬆綁是為 提供更多自我探索資源 ,也培育新時代需要的 跨領域人才 。」簡單整理一下: 學生不知道自己的興趣 提供更多自我探索的時間 提供跨領域的整合機會 其實我認為後面兩點是假的,這些學校就算開了不分系課程,大多是讓同學有更多的選課自由。問題是,大學的選課其實已經夠自由了。在不管會不會延畢的情況下,一個大學生要退掉必修去修其他學系的課那是他的權力,我想再大多數的學校只要老師答應加簽應該都沒有問題。當然這會影響到上課人數的限制以及授課品質,不過這些都是技術層面的問題。我在意的地方是:「學生不知道自己的興趣」 拜託,學生不知道自己的興趣這是新聞嗎?幾十年來這個問題不是討論到爛掉了嗎?對,但這件事情要和下面這東西一起看:「 學生學習歷程檔案 」 。節錄如下: 學生學習歷程檔案將完整記錄學生在高級中等教育階段時的學習表現。除了考試成果之外,透過學生學習歷程檔案,能更真實呈現學生的學習軌跡、 個人特質 、能力發展等,補強考試之外無法呈現的學習成果。藉由定期且長時間的紀錄,更能大大減輕學生在高三時整理備審資料的負擔。  如果學生在高中就已經展現了個人特質了,你要告訴我學生不知道自己的興趣嗎??可能有人會說這是108課綱啊,現在才開始實施。問題有兩點,108課綱確實才剛開始,在大學端的確還沒有收到這批學生,但怎麼會有學校開設一個學程只會了彌補這兩年的空缺?第二,就算沒有108課綱,按教育部的規劃來說,應該要提昇推薦甄試入學人數,而這一批人理論上不就是很明白自己想要什麼的學生嗎? 綜合這兩件事情,誰可以告訴我, 台灣的教育部到底是希望學生在高中就找到自己的興趣?還是上大學慢慢摸索? 以我在大學端來審入學資料的經驗,身為資工系的老師,我只會看跟資工有關的資料。意思是,在推甄資料放上鋼琴比賽冠軍對我來說毫無意義。如果我給一個鋼琴比賽冠軍很高的分數,那一定是因為他在資訊領域表現傑出,而跟鋼琴造詣無關。當然兩者兼備很好,但有多少人能夠作到呢?看看資工系大一那票學生要花多少時間練習程式,你要告訴

再論 Zoom 的安全性:AES_128_ECB

圖片
Zoom 的風暴越演越大,在教育局一聲令下全體禁用之後,我們看到葉丙成老師出來發話了。細節要看他的 Facebook,但是因為我擔心之後會被蓋掉,所以這邊先放上新聞的連結。 教部停用Zoom 葉丙成:老師們的努力全白費 如我所料,另外一位自認是資安專家的李老師出來講話了。 很明顯是在對罵 ...  以我個人來說,這百分百是政治議題。要資安?那請問政府能不能看你的信件,我不是說中國或是美國,我指的是中華民國或是台灣,看你要怎樣稱呼。 離題了,我們回到 Zoom 這邊來。我這邊只針對爆出來的問題做分析。 昨天又看到一則新聞,關於 Zoom 使用 AES_128_ECB 的方式來進行加密,內容如下: Move Fast and Roll Your Own Crypto: A Quick Look at the Confidentiality of Zoom Meetings 說真的,這篇寫的內容非常好,有憑有據,比之前只會隨便抓兩句話就上來吹一整篇的人好多了。真要說缺點的話是沒有註明軟體的版本,畢竟 Zoom 都一直有在更新。在通篇文章裡面,扣掉資料傳中國以外(請注意,我知道美國和歐洲應該是有法律規定用戶資料必須要留在國內,所以我之前的文章討論的純粹是技術,畢竟大家拿出來講的是資安而比而不談政治),最大的問題只有一個,Zoom 是使用 AES_128_ECB 的方式進行加密,而且金鑰是來自中國的。按照文章來說,架構如下: 關於金鑰來自中國這件事情我在技術上沒有意見(政治上另外一回事),因為這個架構就是很單純,在資安上是「公正第三方」(Trusted Third Party),簡單來說是你不能去質疑它的安全性,正如你在使用 Google 服務的時候你也不會去質疑 Google 的安全性一樣。問題出在 AES_128_ECB。這沒啥好說的,這是一個問題。128 的意思代表金鑰長度 128 bits,以目前來說還算夠用,根據 wikipedia 的資料 Since 2015, NIST guidance says that "the use of keys that provide less than 112 bits of security strength for key agre

有關 Zoom 的安全性問題:End-to-End Encryption

因應新冠肺炎的影響,教育部開始大力鼓吹「遠距教學」。教育部本來主打的軟體是 Zoom ,直到下面的這些新聞: 立委點名教育部、司法院,籲公部門禁用 Zoom! Zoom爆資安疑慮 立委提醒教育注意遠距資安風險 Zoom 資安爭議懶人包,專家建議如何使用這套視訊會議服務較為安全 然後教育部做了下面的裁示: 教育部對zoom資安疑慮後續處置說明 好,接下來是我的看法。 End-to-End Encryption Zoom 最大的問題是它曾宣稱它具有 End-to-End Encryption,對作資安的人來說,這個宣告指的是 Sender 和 Receiver 之間有共享的金鑰可以加密(當然建立金鑰可以透過非對稱式的方式)。但後來被抓到並沒有這樣實作!!Zoom 因此宣稱他們的 點對點加密 指的是 「從用戶端到Zoom的伺服器」 。作資安的沒有半個會認可這樣的說法。上面這段敘述的資料來源附在下面: ZOOM MEETINGS AREN’T END-TO-END ENCRYPTED, DESPITE MISLEADING MARKETING 問題來了,要做到 Zoom 那樣的功能,有可能實現 End-to-End 的加密嗎? 我認為不可能 。一般一對一的聊天軟體這並不難,但想想看,Zoom 可以在多人的會議室當中,允許有些成員在私下講話,根據 End-to-End 的定義,每個成員之間都要有一把共享的金鑰,這在金鑰管理的機制下是不可行的,因為會議成員是來來去去的,動態金鑰管理一直是資安領域一個難解的問題。 為了證明我的猜想沒錯,我們來看看大部分新聞提到的幾套軟體:Google Meet、Microsoft Team、Cisco Webex。當然還有其他軟體啦,不過我只找了這三套的資料,若有人有興趣歡迎找其他的相關資料。 Google Hangouts Meet Meet security and privacy 在 Encryption 那邊很明確寫到「All data in Meet is encrypted in transit by default between the client and Google for video meetings on a web browser, on the Meet Andr

遠距教學的考試問題

因應新冠肺炎的疫情,學校開始要求老師們要「遠距教學」。「遠距教學」對我來說沒有任何問題,事實上,我並不討厭數位化的教學模式,我甚至自己去 Coursera 上面上過一些課程,一方面是去學習,二方面也是看看人家怎樣上的。 BTW,我超喜歡 Charles R. Severance 這位老師的。他的 Python For Everybody ,雖然對資工領域的人來說有點太簡單,但是上課風趣,也講得非常清楚 。但我個人本身還是比較喜歡實體授課,去親身體會上課的氛圍,和學生的互動等。當然很多人說:「網路授課還是可以互動阿」,特別是學生還會說:「隔著網路比較敢問問題」(拜託,我的課堂上,問題答不出來從來沒扣分好嘛),對,但隔著網路會更容易只跟有反應的同學互動,更難在一大片信息中注意到比較沒有反應的學生,而且對於氛圍的感受力下降,也造成老師很難立時做調整。不過這些對我來說問題還不大 ... 我在意的是 ... 誰可以告訴我「考試」要怎麼辦?? 為了解決這個問題,我採用了現代人最會的 Google 大法,然後我看到了下面的文章: 解析大專院校難以「超前部署」遠距教學的七道陰影 大學線上測驗防止學生作弊?老師們應該要注意的弦外之音 在第一篇文章中提到: 我認為「防弊」有兩個層面,其一能否測驗出學生修業後「能力」的成長,而非只是「暫時」背起來了;其二,則是能否真正測驗出是「該名」學生的能力,也就是如何確定A答案是A學生的,而非B學生提供。 對於前者,老師們不能再出那種課本翻得到、網路上查得到的考題,而是能針對該門課程的「教學目的」拿出有水準的open book exam,而且是沒有標準答案的,才能測驗出學生在知識、技能或觀念上「內化」的程度。因此,老師勢必又要花更多的心力在出題和改考卷。 針對後者,我個人覺得,這永遠會是「道高一尺魔高一丈」,大學作為一個18歲以上的成年教育階段,學校和老師該去思考的是如何讓人有學習動機上課、並透過測驗了解自己的成長或不足,而非消極的防弊。 第二篇文章則是提到: 大企業花大錢建立的防盜機制都會有人破解,更何況是一堂課的考試。不如積極思維、超前部署,一開始就思考〝沒有嚴格的防盜機制下〞,該如何測出學生的學習狀態?由於網路的匿名性,教育者在網路上教學必需盡力回歸教學本質,直視學生的學習動機:面對它、解決它、放下它。讓學生