Start a New Journey

 最近看到一則新聞「 全校不分系 台大將設空白學程 」。說真的，這本不是什麼新聞，畢竟一堆大學都在做了，像是 成大 、 台科大 、 清大 、 陽明大學 等，多加一間台大其實沒什麼大不了的。為什麼要成立「不分系」的學程呢？我引用新聞中的話如下：「教務長丁詩同表示， 校內三成學生不清楚就讀科系所學 ，學制鬆綁是為 提供更多自我探索資源 ，也培育新時代需要的 跨領域人才 。」簡單整理一下： 學生不知道自己的興趣 提供更多自我探索的時間 提供跨領域的整合機會 其實我認為後面兩點是假的，這些學校就算開了不分系課程，大多是讓同學有更多的選課自由。問題是，大學的選課其實已經夠自由了。在不管會不會延畢的情況下，一個大學生要退掉必修去修其他學系的課那是他的權力，我想再大多數的學校只要老師答應加簽應該都沒有問題。當然這會影響到上課人數的限制以及授課品質，不過這些都是技術層面的問題。我在意的地方是：「學生不知道自己的興趣」 拜託，學生不知道自己的興趣這是新聞嗎？幾十年來這個問題不是討論到爛掉了嗎？對，但這件事情要和下面這東西一起看：「 學生學習歷程檔案 」 。節錄如下： 學生學習歷程檔案將完整記錄學生在高級中等教育階段時的學習表現。除了考試成果之外，透過學生學習歷程檔案，能更真實呈現學生的學習軌跡、 個人特質 、能力發展等，補強考試之外無法呈現的學習成果。藉由定期且長時間的紀錄，更能大大減輕學生在高三時整理備審資料的負擔。  如果學生在高中就已經展現了個人特質了，你要告訴我學生不知道自己的興趣嗎？？可能有人會說這是108課綱啊，現在才開始實施。問題有兩點，108課綱確實才剛開始，在大學端的確還沒有收到這批學生，但怎麼會有學校開設一個學程只會了彌補這兩年的空缺？第二，就算沒有108課綱，按教育部的規劃來說，應該要提昇推薦甄試入學人數，而這一批人理論上不就是很明白自己想要什麼的學生嗎？ 綜合這兩件事情，誰可以告訴我， 台灣的教育部到底是希望學生在高中就找到自己的興趣？還是上大學慢慢摸索？ 以我在大學端來審入學資料的經驗，身為資工系的老師，我只會看跟資工有關的資料。意思是，在推甄資料放上鋼琴比賽冠軍對我來說毫無意義。如果我給一個鋼琴比賽冠軍很高的分數，那一定是因為他在資訊領域表現傑出，而跟鋼琴造詣無關。當然兩者兼備很好，但有多少人能夠作到呢？看看資工系大一那票學生要花多少時間練習程式，你要告訴

Zoom 的風暴越演越大，在教育局一聲令下全體禁用之後，我們看到葉丙成老師出來發話了。細節要看他的 Facebook，但是因為我擔心之後會被蓋掉，所以這邊先放上新聞的連結。 教部停用Zoom 葉丙成：老師們的努力全白費 如我所料，另外一位自認是資安專家的李老師出來講話了。 很明顯是在對罵 ...  以我個人來說，這百分百是政治議題。要資安？那請問政府能不能看你的信件，我不是說中國或是美國，我指的是中華民國或是台灣，看你要怎樣稱呼。 離題了，我們回到 Zoom 這邊來。我這邊只針對爆出來的問題做分析。 昨天又看到一則新聞，關於 Zoom 使用 AES_128_ECB 的方式來進行加密，內容如下： Move Fast and Roll Your Own Crypto: A Quick Look at the Confidentiality of Zoom Meetings 說真的，這篇寫的內容非常好，有憑有據，比之前只會隨便抓兩句話就上來吹一整篇的人好多了。真要說缺點的話是沒有註明軟體的版本，畢竟 Zoom 都一直有在更新。在通篇文章裡面，扣掉資料傳中國以外（請注意，我知道美國和歐洲應該是有法律規定用戶資料必須要留在國內，所以我之前的文章討論的純粹是技術，畢竟大家拿出來講的是資安而比而不談政治），最大的問題只有一個，Zoom 是使用 AES_128_ECB 的方式進行加密，而且金鑰是來自中國的。按照文章來說，架構如下： 關於金鑰來自中國這件事情我在技術上沒有意見（政治上另外一回事），因為這個架構就是很單純，在資安上是「公正第三方」（Trusted Third Party），簡單來說是你不能去質疑它的安全性，正如你在使用 Google 服務的時候你也不會去質疑 Google 的安全性一樣。問題出在 AES_128_ECB。這沒啥好說的，這是一個問題。128 的意思代表金鑰長度 128 bits，以目前來說還算夠用，根據 wikipedia 的資料 Since 2015, NIST guidance says that "the use of keys that provide less than 112 bits of security strength for key agre

因應新冠肺炎的影響，教育部開始大力鼓吹「遠距教學」。教育部本來主打的軟體是 Zoom ，直到下面的這些新聞： 立委點名教育部、司法院，籲公部門禁用 Zoom！ Zoom爆資安疑慮 立委提醒教育注意遠距資安風險 Zoom 資安爭議懶人包，專家建議如何使用這套視訊會議服務較為安全 然後教育部做了下面的裁示： 教育部對zoom資安疑慮後續處置說明 好，接下來是我的看法。 End-to-End Encryption Zoom 最大的問題是它曾宣稱它具有 End-to-End Encryption，對作資安的人來說，這個宣告指的是 Sender 和 Receiver 之間有共享的金鑰可以加密（當然建立金鑰可以透過非對稱式的方式）。但後來被抓到並沒有這樣實作！！Zoom 因此宣稱他們的 點對點加密 指的是 「從用戶端到Zoom的伺服器」 。作資安的沒有半個會認可這樣的說法。上面這段敘述的資料來源附在下面： ZOOM MEETINGS AREN’T END-TO-END ENCRYPTED, DESPITE MISLEADING MARKETING 問題來了，要做到 Zoom 那樣的功能，有可能實現 End-to-End 的加密嗎？ 我認為不可能 。一般一對一的聊天軟體這並不難，但想想看，Zoom 可以在多人的會議室當中，允許有些成員在私下講話，根據 End-to-End 的定義，每個成員之間都要有一把共享的金鑰，這在金鑰管理的機制下是不可行的，因為會議成員是來來去去的，動態金鑰管理一直是資安領域一個難解的問題。 為了證明我的猜想沒錯，我們來看看大部分新聞提到的幾套軟體：Google Meet、Microsoft Team、Cisco Webex。當然還有其他軟體啦，不過我只找了這三套的資料，若有人有興趣歡迎找其他的相關資料。 Google Hangouts Meet Meet security and privacy 在 Encryption 那邊很明確寫到「All data in Meet is encrypted in transit by default between the client and Google for video meetings on a web browser, on the Meet Andr

因應新冠肺炎的疫情，學校開始要求老師們要「遠距教學」。「遠距教學」對我來說沒有任何問題，事實上，我並不討厭數位化的教學模式，我甚至自己去 Coursera 上面上過一些課程，一方面是去學習，二方面也是看看人家怎樣上的。 BTW，我超喜歡 Charles R. Severance 這位老師的。他的 Python For Everybody ，雖然對資工領域的人來說有點太簡單，但是上課風趣，也講得非常清楚 。但我個人本身還是比較喜歡實體授課，去親身體會上課的氛圍，和學生的互動等。當然很多人說：「網路授課還是可以互動阿」，特別是學生還會說：「隔著網路比較敢問問題」（拜託，我的課堂上，問題答不出來從來沒扣分好嘛），對，但隔著網路會更容易只跟有反應的同學互動，更難在一大片信息中注意到比較沒有反應的學生，而且對於氛圍的感受力下降，也造成老師很難立時做調整。不過這些對我來說問題還不大 ... 我在意的是 ... 誰可以告訴我「考試」要怎麼辦？？ 為了解決這個問題，我採用了現代人最會的 Google 大法，然後我看到了下面的文章： 解析大專院校難以「超前部署」遠距教學的七道陰影 大學線上測驗防止學生作弊？老師們應該要注意的弦外之音 在第一篇文章中提到： 我認為「防弊」有兩個層面，其一能否測驗出學生修業後「能力」的成長，而非只是「暫時」背起來了；其二，則是能否真正測驗出是「該名」學生的能力，也就是如何確定A答案是A學生的，而非B學生提供。 對於前者，老師們不能再出那種課本翻得到、網路上查得到的考題，而是能針對該門課程的「教學目的」拿出有水準的open book exam，而且是沒有標準答案的，才能測驗出學生在知識、技能或觀念上「內化」的程度。因此，老師勢必又要花更多的心力在出題和改考卷。 針對後者，我個人覺得，這永遠會是「道高一尺魔高一丈」，大學作為一個18歲以上的成年教育階段，學校和老師該去思考的是如何讓人有學習動機上課、並透過測驗了解自己的成長或不足，而非消極的防弊。 第二篇文章則是提到： 大企業花大錢建立的防盜機制都會有人破解，更何況是一堂課的考試。不如積極思維、超前部署，一開始就思考〝沒有嚴格的防盜機制下〞，該如何測出學生的學習狀態？由於網路的匿名性，教育者在網路上教學必需盡力回歸教學本質，直視學生的學習動機：面對它、解決它、放下它。讓學生

首先，什麼是「素養」？ 直接參考官方網站好了。 http://12basic.edu.tw/12about.php 素養（competence） ，代表「一個人為適應現在生活和面對未來挑戰，應該具備 知識 、 能力 和 態度 」，不是將知識就只是冷冰冰的背誦和記憶，重點是跟生活情境有連結，不是用抽象的知識理論，而是從學生在日常生活裡面的體驗累積知識，自然而然地學習。 我對幾個字很感冒：「 自然而然 」。為什麼？因為我相信人的惰性。以素養為導向的教學，老師應該透過引導個方式引出學生的問題，並帶領學生逐步去找答案，聽起來很夢幻，但如果學生說：「我沒有問題」呢？這就是我在課堂上的狀況。提了眾多的問題，有些人反應熱烈，但有人就是低頭玩手機。 我認為理念很好，但沒有考慮到人性，以至於最後，我們會訓練出一批高級人才，但大多數的學生會在過程中被淘汰，或是被逼的去補「素養」。不要認為無法補習，只要還有考試，還要分高低，補習班就一定會存在，訓練學生演出「素養」給你看，然後考試會繼續回到玩手機的生活。這真的是我們要的社會嗎？ 其實所謂的素養題目，跟過去的「應用題」又有什麼兩樣呢？？

最近在幫系上審特殊選材入學管道的申請資料。有個老師提到一個有趣的數字，這些申請人在班上成績幾乎都是倒數的，如果只看最後一名，好像有七八個人的樣子（這還是不計入倒數第二第三名的結果）。就算單單只看「數學」這一科，大部分的人表現都不是很讓人滿意。所以我有些同事在擔心，這種人進到學校，他們能夠畢業嗎？ 廢話，這是特殊選材啊，重點就應該擺在學業以外的地方啊。 我同意，這是特殊選材原生的目的，讓一些學業不好的人，在特殊領域上有著優異表現，能夠讓這些怪才進到校園裡面學習。問題是，你知道大學裡面要學什麼嗎？在我們資工系上，純就數學領域來說，就起碼有「機率」、「線性代數」、「離散數學」這種純數學的課程，大一的微積分我們就先不提了。如果你的基礎不好，你進來以後要如何通過這些課程呢？ 可是我會寫程式啊？ 我同意，你應該會寫程式，但是，你的程式大概就是停留在「口語」的程度。正如你也會說中文和英文，不過都沒辦法說的很優美。舉一個例子來說，給定一個數字 N，你知不知道要怎麼判斷他是不是質數呢？你可能會從 2 到 sqrt(N) ，把每一個數字都拿去檢查一遍看是不是 N 的因數，這是正確的方法，但有沒有更好的方法？如果你學過數論，你可能會發現更好的處理的方式。所以拜託了，不要認為學科成績不重要，你可以有幾科比較沒有興趣，但在高中時期千萬不要完全把學業放下，投入各樣的競賽，我不認為這對你的生涯規劃是好的。 可是老師上課的東西很無聊，我也覺得用不到 ... 那麼，我可能要很殘忍的告訴你，你可能不夠有「資訊素養」（我超討厭這兩個字的）。你能不能把你高中學的內容和程式進行結合呢？為什麼一定要把他分開來看？？我不是說每個人要十項全能，但太早放棄那些不是好事，不需要每個科目都出類拔萃，但不要一句「無聊」就直接打發掉了。 就算來到資工系，這裡也有很多無聊的課程。這些課程或許和你所謂的「程式」並不相關，或者應該說你會看不出關聯性，然後抱怨：「我學這要幹麻？」，不要放棄，那些課程會成為必修不是沒有理由的，等你「道行」夠高了，你才會明白會什麼要上這些課。 要怎樣才能在特殊選材拿高分？ 我不知道，畢竟每個人評分的方式不同，有些老師很看重數學，有些老師很看重程式比賽，因此我最多只能代表我自己發言。 第一，參加營隊的證明是不會幫你加到分的。 參加營隊很好，你會多學到不少東西，可是這是