1309 评论

为什么桌面系统装 Linux 可以做到更好的安全性(相比 Windows & macOS 而言)

不见图 请翻墙

  又有一段时间没写技术博文了。在前几篇博文的评论中,有若干读者催写 Linux 方面的教程。俺准备开始动手,写一点傻瓜教程(面向技术菜鸟)。
  很多人切换到 Linux 是出于安全方面的考虑。所以在写具体的 Linux 教程之前,咱们先来聊一下 Linux 安全性方面的话题。
  今天这个话题是前些年想聊但是一直拖着没写的(请原谅俺比较懒),如今算是补上了。


★事先声明


◇声明1


  操作系统间的对比很容易引发口水战。
  如果你不同意俺的观点,最好能指出俺哪里说得不对,而不要仅仅停留在“口水战”层面的争吵。

◇声明2


  俺在本文标题中已经明确限定了讨论范围是【桌面系统】。
  “服务器系统”或者是“移动设备的系统”【不】在本文讨论范围之内。


★预备知识


◇啥是“发行版”?


  通俗地说:Linux 只是一个操作系统内核(Linux kernel),并不是一个操作系统。
  所谓的“发行版”,就是在 Linux kernel 的基础上,再加装相应的辅助性软件,使之成为一个【可用的】操作系统。
  (关于“发行版”的更多介绍,可以参见俺的另一篇《扫盲 Linux:如何选择发行版?》)

◇啥是“攻击面”?


  通俗地说,系统中凡是【有可能】被攻击者利用的地方,都【有可能】存在安全漏洞。这些“地方”的总和,称之为“攻击面”。

◇啥是“攻击面”的【大小】?


  这个概念相对比较好理解。
  通俗地理解:软件越多,则攻击面越大;软件所提供的“数据输入途径”越多,则攻击面越大。
  (注:上面的说法只是一直【通俗化】表达,其实并不严密;喜欢抬杠的同学,别较真哦)
  (在其它条件类似的情况下)攻击面越大,则系统被入侵的风险越大。

◇啥是“攻击面”的【确定性】?


  这个概念的理解,相对费点口舌。
  所谓的“确定性”就是指攻击者对你系统中安装的软件,了解的详细程度。
  攻击者对你系统中的软件情况了解地越多越详细,那就表示“确定性”越高。
  (在其它条件类似的情况下)“确定性”越高,攻击者在实施入侵的过程中就越容易得手。


★Linux 的发行版的数量极多——可以用来降低【攻击面】的“确定性”


◇以 Windows 作反面教材


  咱们拿 Windows 7 来作为对比。
  Windows 7虽然提供了几个不同的版本(比如:家庭版、专业版、旗舰版),但是这些版本其实差别不大。
  为啥说“差别不大”捏,因为这几个不同版本的 Win7,都包含了完全相同的核心组件。【由于 Windows 的可定制性很低】,这些核心组件你是【无法】移除滴!而只要有某个核心组件出现安全漏洞,不管你用的是家庭版还是旗舰版,都会中招。
  (macOS 的情况与 Windows 类似)

◇Linux 的优势


  再来说 Linux。
  Linux 区别于其它操作系统(Windows、mac OS、BSD)的一大特色是:非常多的发行版。
  不同的发行版,差别非常大。这种差别不光体现在“预装的应用软件不同”,还体现在“内核的版本不同”,还体现在“内核的编译参数不同”。
  当俺对读者说:“俺用的是 Linux”,这句话【几乎没啥】信息量。通过这句话,你无法知道俺的系统中会有哪些软件,也无法知道俺的系统运行的是哪个版本的内核(kernel),更加无法知道俺系统的内核具有哪些编译参数。

◇补充说明


  (根据读者评论的反馈,加一个补充说明)
  历史上,确实有极少数的安全漏洞影响所有的 Linux 发行版(比如:Dirty COW 漏洞)。但是这类漏洞占漏洞总数的比例非常低。不能因为极少数漏洞,而否定了“发行版差异化对降低攻击面的积极意义”。
  顺便说一下,其他操作系统也出过“影响全系列版本的安全漏洞”。对于“影响全系列版本的安全漏洞”,任何操作系统都没辙。但是大部分漏洞只影响少数版本,这时候 Linux 发行版众多的特点,就会起作用了。


★Linux 具备高度可定制性——可以用来降低【攻击面】的“大小”和“确定性”


◇降低攻击面的【大小】


  Linux 相比 Windows 和 macOS 的最显著特点,是其高度的可定制性。
  找几个栗子来 show 一下:

  第1个栗子:
  Linux 的某些发行版可以比较方便地重编译内核。通过编译内核,可以把很多不需要的内核模块去掉(禁掉)。这当然有助于降低攻击面。
  对于这点,Windows 是完全做不到滴(因为微软没有把 Windows 的内核开源出来);
  苹果的 macOS,虽然其内核(darwin)是开源的,也可以重编译,但是比 Linux 要麻烦。

  第2个栗子:
  Linux 可以裁剪到【极致】。比如说:某个名叫 BasicLinux 的发行版可以把整个系统裁剪到只有 2.8MB,然后运行在只有 3MB 内存的 386 机器上。
  而近期的几个 Windows 版本(Win7、Win8、Win10)再怎么裁剪也还是有几百兆。
  至于苹果系统,貌似也无法像 Linux 这样裁剪(精简到只有几兆)
  把系统大幅裁剪,对关注安全的人而言并【不是】为了省硬盘(现在硬盘已经很便宜),而是为了【降低攻击面】。

◇降低攻击面的【确定性】


  关于“确定性”的话题,刚才聊“发行版”的时候,已经聊过了——如果攻击者不知道你用的是哪个发行版,你系统的攻击面非常不确定(确定性很低)。
  其次,就算是攻击者知道了你用的是哪个发行版,你的攻击面依然“确定性很低”——因为 Linux 的发行版很容易进行定制。
  拿 Windows & macOS 来作为对比。
  Windows 的图形界面系统是绑定在系统内核的,你无法定制它,更无法剥离它。
  对于苹果的系统,你要想把 macOS 的 GUI 系统彻底换掉,貌似有难度。
  但 Linux 就完全不同了——对 Linux 的图形化系统,从上层的“桌面环境”(desktop environment)到中间的“窗口管理器”(window manager)再到底下的“显示服务器”(display server),都是【可选的】(都有不止一个的候选项)。Linux 甚至还可以配置成【完全没有图形界面】。


★Linux 支持多样化的硬件(CPU/主板/等)——可以规避硬件的“单点风险”


◇预备知识:何为“单点风险”?


  此处所说的“单点风险”是指“单点故障的风险”。
  关于“单点故障”(Single Point of Failure)这个概念,俺曾经写过一篇博文《聊聊“单点故障”——关于“德国空难”和“李光耀”的随想》。
  (为了节省篇幅,此处就不再解释了。不懂的同学请自己去看那篇)

◇预备知识:啥是硬件漏洞?


  前面提到过“软件的安全漏洞”。其实除了软件,硬件也可能出现安全漏洞。
  就拿前几个月的新闻来说——高通的芯片存在一个 QuadRooter 漏洞,可以被攻击者用于“提升权限”。据说影响全球几亿部手机(相关报道在“这里”)

◇MacOS 的劣势


  前几章的很多反面案例都是拿 Windows 来嘲讽;本章节,俺要拿苹果公司的 macOS 来作为反例了。
  苹果公司的商业模式有一大特色就是【软硬通吃】——Apple 的产品,软硬件都是它自己提供的。
  这么做当然有很多好处——比如说更好的用户体验。
  但是在安全方面,缺点也很明显:
1. 攻击面的确定性非常高
2. 软件的单点故障
3. 硬件的单点故障

  软件的话题以及“攻击面的确定性”,前面已经聊过了。这里聊一下硬件的问题。
  假设你是一个果粉,并且你家中所有的 PC 都是苹果的笔记本。
  由于苹果的笔记本,硬件都是苹果提供的,所以你没有选择的余地。这就导致你的 N 台 PC 的硬件是相似的(甚至是完全一样的)
  如果出现了一个硬件方面的安全漏洞,很有可能会导致你【所有的】苹果笔记本都中招。

◇Linux 的优势


  相比 Windows 和 mac OS,Linux 支持的 CPU 类型非常非常多(有可能你听说过的 CPU,它都支持)。
  除了 CPU,Linux 对其它的硬件的支持也很全。为了让不熟悉 Linux 的同学有所了解,举一些 Linux 支持的硬件机型作为例子:
智能手机和平板
家用的网络路由器
电视机顶盒
树莓派(Raspberry Pi)
轿车的车载系统
大型机、中型机、小型机
......
  注:
  上述这个列表只是举例说明 Linux 支持的机型很多。(对普通用户而言)即使只考虑 PC,Linux 支持的 PC 机型也会明显多于 macOS。
  所以,如果某个 Linux 粉丝家中有 N 台 PC,他为了降低“硬件的单点风险”,完全可以在购买 PC 的时候,选择硬件完全不同的设备(比如一个是 Intel 的 x86 芯片,另一个是 ARM 芯片;再比如:一个是台式机,一个笔记本)。


★Linux 的用户群更加小众——避免了【树大招风】


  三大桌面操作系统的用户数,基本上是:Windows > macOS > Linux(Linux 的用户群是三个里面最小的)
  因此,不管是民间的草根骇客还是国家级的御用骇客,如果他们要研发渗透工具去入侵【桌面系统】,他们会把最多的资源(人力/物力)用来开发针对 Windows 的渗透工具;其次才是针对 mac OS 的渗透工具;而针对 Linux 【桌面】的渗透工具是最少的。


★Linux 是开源的——有助于代码审查


  开源的好处有很多。包括本文前面提到的其中几点,也是跟“开源”密不可分的。
  考虑到篇幅有限,在本章节,俺只聊开源带来的其中一个好处——代码审查(Code Review)。
  在开源社区有一个很有名的 Linus 定律只要有足够多的眼睛,就可让所有问题浮现(given enough eyeballs, all bugs are shallow.)。这个定律指出了——开源对代码审查的关键作用。
  (注:其实这个定律最早的提出者不是 Linus,而是埃里克·雷蒙德——《大教堂与市集》的作者)

  为了加深大伙儿的印象,俺拿 Windows 来作为反例——因为 Windows 基本上完全是【闭源】的。
  假设某个微软的程序员想要作恶——在 Windows 的某个核心模块中留下一个后门。由于 Windows 的核心模块都是【闭源】的,外界人士要想在闭源的模块中发现这个后门,难度非常大。虽然微软内部也有代码审查,但是微软内部搞代码审查的人,其人数是很有限滴,这些人的精力和工作热情也是很有限滴。所以,这类后门是很难被发现滴!
  反之,很多 Linux 发行版是完全开源的(从内核到应用软件,全部都提供源代码)。如此一来,全世界的程序员或者安全研究人员(只要愿意)都可以去看这些源代码。看代码的人多了之后,发现安全隐患的概率就会大大提升。


★有些 Linux 发行版由【社区维护】——有助于摆脱商业公司,降低隐私风险


  (三大桌面系统中)只有 Linux 才存在【社区维护】这种概念。另外两大桌面系统(Windows 和 mac OS)都是由【商业公司】来维护的。
  商业公司与开源社区,有一个非常本质的区别——【商业公司要考虑盈利,而开源社区没有赚钱的压力】。
  俺博客的老读者应该知道——俺对商业公司(尤其是商业大公司)抱有某种不信任的态度,原因包括如下:

  1. 商业公司会为了利润,而主动收集用户隐私
  Google 是这方面典型的【反面】教材——Google 90% 以上的利润来自“在线广告业务”。为了实现广告的【精准投放】,Google 不得不收集用户隐私,以增加对【每一个网民】的了解(Google 对你了解得越多,它投放给你的广告就越精准)

  2. 商业公司会为了利润,而迫于政府压力实施监控
  永远不要忘记斯诺登曝光的棱镜门丑闻
  至于咱们的朝廷,在这方面同样搞得很龌龊——国内的几大 IT 巨头都是六扇门(公安、国安)的帮凶。


★Linux 有更完善的软件包管理机制(此优点主要针对 Windows)——有助于避免中招


◇缺乏“软件包管理机制”的风险


  长期以来,Windows 一直缺乏成熟完善的软件包管理机制。很多菜鸟想要装软件,不外乎如下步骤:
1、先到百度上搜一下
2、找到某个下载站点
3、把软件下载下来
4、安装
5、使用
  上述这种操作步骤,【至少】存在两个安全缺陷:

  缺陷1:软件下载站点提供的安装包,【未必】是纯洁的(可能已经被人做了手脚)
  解释:
  有的软件下载站点(或网盘),本身就是黑店——它们提供的软件包本身是植入后门的;
  还有的软件下载站点(或网盘),因为管理员的疏忽——在收集软件包的时候没有仔细检查,混入了病毒/木马。
  举例:XcodeGhost 事件
  此事的根源在于:因为苹果公司官方的 Mac App Store 被 GFW 干扰,很多国内的程序员难以从 Mac 官网下载 Xcode(这是苹果系统的开发工具),有的程序员为了省事儿,直接通过墙内的网盘下载 Xcode。其中有些人下载到的 Xcode 是带有病毒/木马的。然后这些粗心的程序员又用这个带毒的 Xcode 去开发 iOS 应用,结果导致开发出来的 iOS 应用也是带毒的。
  受波及的 app 【至少】包括:微信、网易云音乐、滴滴打车、高德地图、12306、中信银行、同花顺......(大公司倒下一片)

  缺陷2:软件下载过程中,【可能】被篡改
  解释:
  如果下载过程中的传输是基于【明文的】HTTP 或 FTP,那么就存在【下载过程中被篡改】的风险。
  举例:黑暗幽灵木马(DCM)
  这玩意儿是六扇门(公安部门)出品滴,公安的临侦人员可以用这个工具,在你下载软件的过程中植入木马(前提是,你通过明文的传输协议下载)。更多介绍参见俺之前的博文《如何对付公安部门的“网络临侦”?——“黑暗幽灵木马”之随想》。

  缺陷3:没有及时升级新版本
  大部分软件本身是不提供“自动升级”功能的,对这类软件,你就需要自己手动去更新到新版本。
  自己手动更新,麻烦且不说,而且每一次更新,就又重复上述这两个风险。

◇“软件包管理机制”的好处何在?


  刚才介绍了——传统方式下安装软件的风险。那么“软件包管理机制”如何规避这些风险捏?
  好处1:更可信的来源
  对于一个 Linux 发行版而言,它的口碑越好,通常也说明:它提供的软件包越可靠。
  发行版的管理员是如何确保可靠性的捏?他们通常会从某个软件的官方网站直接获取“第一手材料”(减少了中间环节)。

  好处2:自动的文件校验机制
  完善的软件包管理器肯定会自带“文件校验”的方式(有的是基于“散列值校验”,有的是基于“数字签名”,有的是这两种相结合)。
  有了文件校验的机制,如果软件包在下载过程中被篡改了,在【安装之前】就会被发现。

  好处3:自动的软件升级机制
  几乎所有的软件包管理机制,都会帮你实现“自动升级”。总是保持自动更新,可以大大降低安全漏洞的风险。
  (关于“安全漏洞”的扫盲,可以参见《如何防止黑客》系列的其中一篇——是专介绍漏洞概念的)
  注:包管理器的的自动升级,是【独立于】软件本身的自动升级。换句话说,不管某个软件本身是否支持自动升级,包管理器都可以帮这个软件完成自动升级。


★Linux 有更严格的“文件权限”(此优点主要针对 Windows)——有助于降低病毒的流行


  曾经有一个流传很广的【谬误】——因为 Windows 的用户数量大,所以才导致 Windows 下的病毒泛滥。
  要反驳这种谬误很简单——如今“Android 装机总量”已经大大超越“所有版本 Windows 的装机总量”。但是 Android 并没有出现像 Windows 那么泛滥的病毒传播。
  那么,是什么导致 Windows 的病毒泛滥捏?一个很重要的原因是——文件权限不合理:

◇FAT 文件系统,完全不支持“文件权限”


  早期的 DOS 操作系统以及早期的 Win9x(Win95、Win98),只支持 FAT 格式的文件系统。而这种文件系统【不支持】文件权限。
  没有文件权限就意味着——任何一个进程都可以修改 FAT 分区中的任何一个文件。这样的系统环境,简直就是病毒的天堂。
  所以在 DOS 时代以及 Win9x 时代,病毒的流行程度很广;到了“NT 系列”开始普及(从 Win2000 开始普及),NTFS 文件系统用得多了(NTFS 支持文件权限),病毒的流行程度(相比 DOS 及 Win9x)就少了很多。

◇Windows 缺乏【严格的】“可执行权限”(默认情况下,仅仅 exe 扩展名就可以运行文件)


  在 Windows 的【默认设置下】,【仅仅】根据扩展名(exe、com、bat ...)就可以决定一个文件是否“可执行”。Windows 的这种做法有很大的隐患,比如说:会导致某些本来不该执行的文件,因为用户误操作而被执行。
  (根据某些读者反馈,俺加个补充说明)
  NTFS 文件系统虽然支持详细的 ACL(访问权限控制)。但是,大部分用户(甚至包括某些技术人员)并不懂得去修改/设置 ACL。
  至于 FAT 文件系统,(如前所述)压根儿不支持文件权限。而很多 U 盘是格式化为 FAT 分区的——这就是隐患。

  相比之下,所有 POSIX 风格的操作系统(早期的 Unix、如今的 Linux、各种 BSD)都是根据专有的“可执行权限”来决定一个文件是否可以运行,而与扩展名【无关】。
  Windows 的反例:
  很多年以前,Windows 上就流行一个低劣的骗术——把一个 exe 的可执行文件内置一个 jpg 的图标,然后再通过适当地修改文件名,伪装成一个吸引人的图片文件(此时该文件的扩展名依然是 exe,但是菜鸟通过资源管理器看这个文件,会以为是个图片)。
  那些上当的网民会直接双击该文件(想要打开图片),但其实是运行了一个恶意的可执行文件(比如病毒或木马)。
  对于 POSIX 系统(UNIX、Linux、BSD),这样的骗术是【无法】得逞滴。


★结尾


  希望看完这篇博文,可以促使某些读者把桌面系统切换到 Linux 上。
  接下来的技术博文,俺会开始写 Linux 的一些傻瓜教程。由于 Linux 的发行版差异很大,俺目前初步考虑:基于 debian 发行版来介绍这些傻瓜教程,
  如果你想要推荐其它发行版(作为傻瓜教程的基础),可以在本文留言。


俺博客上,和本文相关的帖子(需翻墙)
扫盲 Linux:新手如何搞定 Linux 操作系统?
扫盲 Linux:如何选择发行版?
吐槽一下 Windows 的安全漏洞——严重性超乎想象
如何防止黑客
如何对付公安部门的“网络临侦”?——“黑暗幽灵木马”之随想
扫盲 Tails——专门强化隐匿性的 Linux 发行版
聊聊“单点故障”——关于“德国空难”和“李光耀”的随想
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2017/03/Why-Linux-Is-More-Secure-Than-Windows-and-macOS.html

1,309 条评论

  1. 回复
    1. 我擦!!!我守到凌晨,竟然还被抢了

      删除
    2. 我是想看博客了,打开刚好有博文更新

      删除
    3. TO ShadowSword
      抢沙发有这么重要吗???

      删除
    4. 讨论理想中的世界,和中共灭亡后如何做才实际,否则在我们看来和五毛捣乱帖子没有区别

      删除
  2. 哈哈,抢个沙发,期待好久的Linux,博主坚定了我入坑Linux的信心

    回复删除
  3. 桌面环境Linux可以实现更好的安全性,这是不言自明没啥争议的问题吧

    回复删除
    回复
    1. 所以博主赶紧更新后续要紧。

      删除
    2. 个人喜欢Archlinux,希望博主也尽量兼顾一下Debian之外的发行版。

      删除
    3. upvote Archlinux. I currently using KVM+PCI Passthrough for GPU, all client is protected by pfsense. And all block device is protected by LUKS and accessed by samba. Only qemu revelent packages are install on the hypervisor Arch.

      删除
    4. TO 3楼的网友
      争议当然有。
      比如说:
      俺的同事中有个果粉,此人坚持 macOS 比 Linux 更安全。
      (程序员中,果粉很多)

      另外,
      即使是那些赞同俺观点的人,也未必能想到这么多个方面的优势。
      很多人只想到了一条(就是“避免树大招风”那条)

      删除
    5. TO 1单元的网友
      俺努力中...

      删除
    6. TO 2单元的网友
      多谢反馈 :)

      TO 3单元的网友
      多谢分享你的安全配置 :)

      删除
    7. TO 2单元 & 3单元
      Arch Linux 是一个口碑良好的发行版,而且俺也用过。
      如果是在安全方面考虑 Arch vs Debian
      Arch 的的一个短板是:
      它的风格【偏激进】——内核以及软件包,用的都是最新的。
      而 Debian 的一个优点是:
      内核及软件包都是用一个虽然有点旧但是【更保险】的版本。

      对于使用最新版本的内核,俺认为风险比较大。
      这种情况下,很多 patch 刚合并到主线没多久,代码评审的数量还不够多(不够充分、不够深入)。
      而一个偏旧的内核,其【功能性】代码都是几年前提交的,这么长的时间,会经历更多的代码审查

      删除
    8. 此评论已被作者删除。

      删除
    9. (补充一下俺写的 7单元)
      刚才想起来,Arch 也可以安装 LTS 的 kernel
      这个 LTS 相比最新的内核,会更稳健一些。
      但是俺印象中,Arch 用的 LTS 还是比 debian 的内核要新很多。

      删除
    10. TO Dis Pos
      多谢分享 debian 的介绍 :)
      以俺的风格,肯定建议用 stable 的

      删除
    11. 此评论已被作者删除。

      删除
    12. 11单元看出来别说出来啊,帮朝廷分析怎么抓博主?

      删除
    13. To 楼上

      我跟你一样,不希望朝廷抓住随想。
      不过,我总结的规律非常初级,朝廷若要对随想搞社工,比我的这种分析要厉害的多的多的多。
      另一方面,我总结的东西是基于随想公开透露出来的零星信息,随想既然已经透露出来,说明他不认为该信息有致命威胁。

      删除
    14. 以前的文章他就多次透露出对Debian的偏爱,所以按照他心思缜密程度来看,Debian恰恰只是他放的一个烟雾弹罢了。按照随想这种稳定为主的尿性,说不定在个人PC上用CentOS也有可能。
      当然了,随想也可能想到六扇门会想到他会放烟雾弹,所以Debian也有可能真的是他的Host操作系统。
      当然了……递归……
      ……
      ……
      所以他到底用什么,六扇门慢慢猜吧。。。

      删除
    15. 个人看法,那种所谓偏好稳定的保守的发行版可能更适合于有专职维护团队的组织吧,对于一般个人用户来说,首先feature很重要,其次同一时间只有一个维护版本无论对开发者还是用户都能更专注,其他发行版的N多版本号、各种依赖太头疼了。

      前面博主说了Arch在安全方面的短板,我觉得还是有有利因素的吧。

      新代码的评审不够,但这对攻击者也是同样的,而且Arch升级周期快,可能攻击者发现漏洞时Arch已经升级到更新的版本了。

      用Arch的高价值目标不多,用Linux的机构组织用户一般都会选Redhat、Debian什么的吧。

      删除
    16. 怎么看待社区维护的 Ubuntu 的衍生版? (比如 Ubuntu MATE, KUbuntu, XUbuntu, LUbuntu等) 这几个发行版都不是 Canonical 维护的,感觉应该要比原生的 Ubuntu 靠谱,但考虑到之前 Mint 官网被黑的事情,是否还需要关注社区本身的整体水平? 另外 Debian 对于显卡的驱动支持个人感觉明显没有 Ubuntu 好,如果遇到硬件太新的机器,不一定能找到合适的驱动,有什么较好的解决办法吗?

      删除
  4. 请问对于CPU、网卡、主板等硬件内置的后门有何对策?

    回复删除
    回复
    1. TO 4楼的网友
      短期的解决方法(如 1单元 所说)
      长远的、根本的解决方法,需要推动【开源硬件】
      这方面的相关介绍,可以参见维基百科
      https://zh.wikipedia.org/wiki/%E9%96%8B%E6%BA%90%E7%A1%AC%E4%BB%B6

      删除
    2. 就是没得换啊,AMD、Intel的新CPU都内嵌硬件级后门。

      删除
    3. 楼上能解释下“新cpu都有后门”的证据吗

      删除
    4. http://www.fsf.org/blogs/licensing/intel-me-and-why-we-should-get-rid-of-me

      删除
  5. 一两周一篇也不能算懒了,但是有点说话不算数。 :D

    Java 性能优化[0]:概述
      先初步考虑聊如下几个话题:
    1. 基本类型 vs 引用类型
    2. 字符串过滤实战
    3. 关于垃圾回收(GC)
    4. finalize函数
    5. (未完待续)

    回复删除
    回复
    1. TO 瘦肉丝
      说来惭愧——编程类的博文,最近几年写得很少了。

      因为读者多了之后,读者中程序员的比例就降低了。
      俺感觉:写信息安全的技术贴(相比编程的技术贴),受众更广一些,紧迫性也更大一些。

      删除
  6. 在安全性和用户体验方面很难兼得,我记得第一次用Ubuntu的时候十分不习惯,连复制粘贴这样简单的事情都做不了,如果没有特殊需要真的没必要去用。我觉得在虚拟机里面装个Linux系统专门用来上网到不错,看视频、收发邮件都可以用浏览器解决。
    另外接上一篇文章的评论继续请教作者。在美国一所大学曾经发生一次网络攻击事件,袭击者使用了Tor网络,FBI追查不到那个人,可是在分析学校的流量之后发现那一天使用Tor的人不多,一个个去调查很快就发现袭击者了。在你的文章中提到使用多重代理,我对VPN的保密性带有疑虑,当VPN被破解之后Tor流量将暴露出来,而在中国使用Tor的人并不多,因为它的连接速度太慢了,如果公安锁定某个区域的话调查的对象将更少很容易被发现。所以我想问的是除了在软件层面匿名,还有没有其他的方法,比如使用特殊的硬件?

    回复删除
    回复
    1. TO 6楼的网友
      关于你提到的“复制粘贴”
      俺觉得 Linux 的桌面,这个功能比 Windows 还好。
      Linux(以及 BSD)的桌面,支持两种剪贴板。
      一种类似于 Windows 下的 Ctrl+C & Ctrl+V
      还有一种是基于“鼠标选取”和“鼠标中键点击”。


      关于你提到的 TOR 去匿名化的案例
      俺认为这个案例中,TOR 的使用者暴露,有很大程度是【社会工程学】的因素导致。
      为啥调查人员能够断定——网络攻击者就在那所学校之内?
      虽然这个案件的详情俺不了解,但是俺猜测:
      攻击者在攻击过程中的行为,或许已经间接暴露了自己的某些特征。
      TOR 作为网络匿名化的工具,其作用仅限于【网络层面】,对【社会工程学层面】的问题,TOR 是无能为力的。
      甚至可以更进一步地说:
      对于【社会工程学层面的问题】,没有任何【技术手段】可以彻底解决。
      要解决社会工程学的问题,只能靠社会工程学的措施来防范。

      关于你对 VPN+TOR 的担心。
      俺分几个层面帮你分析。
      首先,
      如果选择合适的 VPN,可以让破解 VPN 的成本变得非常高。
      其次,
      就算 VPN 被破解,分析人员看到了 VPN 中的 TOR 流量。
      但中国的 TOR 使用者,并没有你想象的那么少。
      最后,
      就算国内的 TOR 使用者真的很少。
      公安如何排查 TOR 的使用者?
      TOR 的使用者,才不会公开承认自己是 TOR 使用者。
      难道让公安民警挨家挨户去搜查电脑吗?
      而且,谨慎的 TOR 使用者,会在一个全盘加密的环境中运行 TOR。
      这种情况下,搜查电脑也看不出啥。

      删除
    2. 哈佛那个是韩国人金某为了逃避期末考试而发恐吓邮件
      因为他使用了学校的wifi,学校的wifi记录mac地址和tor使用记录
      fbi查了下谁在那个时间段用过tor 根据mac码和网络认证用户名找到了kim某,之后k某也认了
      结案

      删除
    3. TO jang
      多谢你补充了 6楼 提及的案例的详情
      (你的回复很迅速啊)

      从你的补充来看:
      先不讨论技术层面,而讨论社会工程学层面。
      俺果然没猜错,此人发恐吓邮件以逃避期末考。
      通过分析这个行为的动机,就可以把范围缩小到校内学生。
      所以此人暴露,更多是因为【社会工程学层面】。
      这方面出了纰漏,TOR 也救不了他。

      删除
    4. 全盘加密比较容易看出来,抓进去教育教育就招了。手动挂载加密盘(文件),断电重起后根本没人知道这个是啥。

      删除
  7. 我知道一个匿名操作系统Tails,希望能够看到作者介绍。

    回复删除
    回复
    1. TO 7楼的网友
      多谢反馈 :)
      其实俺前几年已经写过一篇博文,介绍 Tails 了
      (请看本文末尾的“相关博文列表”)

      删除
    2. 此评论已被作者删除。

      删除
    3. tails的文章在这里:
      https://program-think.blogspot.com/2013/12/linux-tails-guide.html

      删除
    4. TO Dis Pos
      (先提醒一下:你把斯诺登的洋名拼错了)

      关于 Snowden,俺补充一下:
      俺记得他大力推荐过2款安全工具:
      一个是 Tails 发行版,另一个是 TOR
      这2款工具,俺博客也都推荐过。
      尤其是 TOR,俺写过好几篇博文了

      删除
    5. TO Softether
      多谢替俺回答读者,并贴出相关博文的链接 :)

      删除
    6. 匿名专用,还现成的。
      https://www.digi77.com/linux-kodachi/
      https://www.qubes-os.org
      https://www.whonix.org/

      删除
  8. 回复
    1. 此评论已被作者删除。

      删除
    2. Mint的ISO被黑了是真事,这就充分证明了检验签名检验散列的重要性。Canonical和天朝合作的是UbuntuKyln,和普通版本的没关系。(我猜随想一定会说不是很喜欢商业公司维护的发行版,所以社区维护的Debian是个很好的选择)。Mint用起来确实挺像Windows的…Debian安装确实够繁琐。

      删除
    3. 不认为上手linux要用mint,彻头彻尾的奶妈思维。学习起来效率极低,中文参考资料也非常少

      删除
    4. TO Dis Pos
      多谢老熟人捧场 :)

      关于你提到的几个问题,俺逐一回复如下

      1、关于不同的 Linux 发行版
      这个建议挺好的 :)
      可以考虑聊一下。
      由于 Linux 的发行版数量太多,俺只能调名气大影响力大的那几个,来聊一聊

      2、关于外交的败笔

      2.1 为啥“一带一路”是败笔?
      可以参考俺之前的一篇
      《[url=https://program-think.blogspot.com/2015/08/weekly-share-91.html]每周转载:天朝近期的宏观经济形势很不妙(国内外各方报道)[/url]》

      2.2 为啥南海的策略是败笔?
      (站在朝廷的立场分析一下)
      目前还是要遵循矮邓的【韬光养晦】策略。
      你提到天朝的军力和军费猛增。
      俺认为:
      天朝的军力,增幅有多大,不是关键;
      天朝的军费,数额有多大,不是关键;
      天朝军力在全球的排名(除非能排到第一),否则也不是关键;
      关键是:
      天朝军力与世界第一的美国,差距有多大?
      这个差距是否在变小?
      (假如是在变小)变小的速率有多快?

      除非天朝有把握在短期内快速接近美国的军事实力,否则的话,邓矮子的韬光养晦才是最佳博弈策略。
      (再次强调一下:以上是站在朝廷立场进行的分析)

      3、关于“加楼层”的按钮
      这个问题貌似之前也有讨论过。
      如果把这个按钮放到左边,那就跟“回复”按钮挨在一起。
      这个方案试验过,很多人抱怨更加容易混淆两者。
      如果把这2个按钮对掉,跟原先的习惯相反,估计也会有读者出来抱怨。
      暂时还没有想到比较理想的解决方法 :(

      4、关于 Linux Mint
      俺对 Mint 的印象很差。
      之前 Mint 团队出现严重的安全问题,反应出该团队的素质很糟糕。

      5、关于 Debian
      俺觉得 debian 还不算是阳春白雪,
      比 debian 更阳春白雪,还有好几个呢。比如 gentoo
      debian 对于技术菜鸟而言,还是比较容易搞定的。
      (尤其是,如果俺能写出足够傻瓜化的教程)

      6、关于俺 Linux 教程的【定位】
      俺并不是纯粹写一个 Linux 的扫盲或入门。
      因为这类教程已经很多了。
      俺定位的目标读者是:
      【对安全比较关注,对技术不太懂,但是又愿意折腾】
      俺希望通过未来这个教程,让这类读者学会搭建一个安全的 Linux 环境,同时还能学到一些技术,摆脱“技术菜鸟”的身份

      删除
    5. TO Benny Think.
      老熟人,你的猜测是对的。
      俺显然【反对】使用 Canonical 维护的 Unbuntu。

      作为 Unbuntu 的母公司,Canonical 再次印证了俺在本文中对商业公司的批评。
      Canonical 之前被曝光过一个丑闻——
      当用户在 Ubuntu 进行【本地】文件搜索的时候,系统会把搜索关键字发送到母公司 Canonical 的服务器上。
      【这是典型的侵犯用户隐私】

      删除
    6. 此评论已被作者删除。

      删除
    7. 为什么不能直接参照其他博客的展现方式来设计留言区呢?按理说这方面的设计已经很成熟了,在其他网站(和博客)几乎不会出现搞错留言和回复的情况。

      删除
    8. TO Dis Pos
      (刚才看到你的提醒,特来回复此楼)

      关于“加楼层”的按钮
      通过调整按钮文字,改为“另开新楼”。
      俺觉得这个建议值得一试 :)

      删除
    9. TO 8单元的网友
      blogspot 博客平台默认的留言区,“新加楼层”的按钮只有一个,并且在页面最底部。

      blogspot 平台上,大部分博客的评论都不多(相比俺博客而言)。
      所以上述这种默认的界面设计,问题不大。

      但是俺博客的留言很多(楼层也很多)。
      于是页面会拉得很长。
      之前老是有读者抱怨:每次要加一个新的楼层,都要先滚动到页面底部,非常麻烦。

      所以俺才把这个按钮放到每一个楼层中

      删除
    10. 此评论已被作者删除。

      删除
    11. To 随想

      关于“一带一路”,48楼1单元也有提及,我才知道原来随想早就写过,是我自己完全忘记了。

      删除
  9. 听你这么一番介绍,我觉得非常有必要换一下操作系统了,感觉用windows就是一个定时炸弹。

    回复删除
  10. 介绍一下即插即用的Tails 吧,Tor 绑定,踏雪无痕,很cool的感觉。

    回复删除
    回复
    1. tails 每次开启太耗时间。可能是俺不懂怎么耍。

      删除
  11. 我就使用linuxmint系统,debian太别扭了。用了几天,放弃了

    回复删除
  12. 大家对于于欢案怎么看

    回复删除
  13. 博主终于发博文了,天天刷新,看看有没有更新!

    回复删除
    回复
    1. TO 14楼的网友
      多谢对俺博客的支持 :)

      删除
  14. 补充一点关于Debian的问题:
    由于Debian是很多开发者独立维护的,是不是及时打安全布丁也是由开发者自己决定的,如果某个包的开发者不积极维护他的包了,这个包的安全就难以保证了

    回复删除
    回复
    1. TO Liang Guo
      首先,感谢你的补充 :)

      你说的是没错——应用软件的安全补丁,是由应用软件的开发者决定的,与发行版的维护团队无关。

      实际上,这里存在两个问题:、
      1、如何选择发行版?
      2、如何选择软件?

      这2个问题大体上是正交的(相互独立的),并且这2个问题都很重要。

      另外顺便补充一点:
      如果某个发行版是很靠谱的,那么该发行版的软件仓库通常【不会】包含很烂的软件包。

      删除
  15. LINUX系统作为桌面意义不大,作为网络管理系统才有意义,争夺博主新发文的沙发上全世界最引人注目而且实际意义最少的事情,除非是天神没有人知道你的真实身份,除非你确定你能让天神给你什么好处再做

    回复删除
    回复
    1. TO 16楼的网友
      关于使用 Linux 桌面系统
      俺与你的观点不同。

      你认为意义不大,俺认为意义重大。
      除了本文提到的“安全性”方面的优势,另外一个是:摆脱对大型商业公司的依赖。

      安全性的意义
      对于政治敏感人士,意义很大;(斯诺登本人强烈建议用 Tails——这也是 Linux 的发行版之一)
      即使对普通的网民,其意义也不是没有。

      摆脱商业公司的意义
      目前这个互联网时代,互联网的自由精神正在被大型商业公司破坏。
      (就在前不久,“Web 之父”还专门写了文章,大声疾呼这个危害性)
      操作系统作为一种【基础设施】,如果被大型商业公司控制,这对互联网的前途,不是啥好事儿。

      删除
  16. 自己这几年使用linux桌面的经验:
    1.linuxmint和archbang本人都用过,archbang比较复杂,有些软件装不上去,有bug,根本启用不来,要自己去搜原因。linuxmint的使用,没有太大问题。
    2.一般大公司,你无法用linux作为宿主桌面上网。这个时候我想到的方案是随想君的虚拟机办公。windows加入域或者安装VPN工具,linux虚拟机nat就能通过windows上网。
    3.现在用elementary os,风格像苹果,第一次安装要配置不少东西,自己写个脚本。每次做快照,最麻烦的是thunderbird的文件迁移,因为权限问题,thunderbird不能读取共享目录,所以持久化文件现在自己导出再导入。
    4.真心觉得用linux很累,要使用开源软件来替代习惯使用的有图形界面的软件,像office这些还是真的很多兼容性问题。厂家开发的软件,偏向windows和mac,如kindles。所以,我是搞了两个虚拟机,一个wibdows,一个linux。
    5.但你习惯了linux,你就回不去windows那种桌面了

    回复删除
    回复
    1. 4.真心觉得用linux很累,要使用开源软件来替代习惯使用的有图形界面的软件,像office这些还是真的很多兼容性问题。厂家开发的软件,偏向windows和mac,如kindles。所以,我是搞了两个虚拟机,一个wibdows,一个linux。
      5.但你习惯了linux,你就回不去windows那种桌面了
      这两个习惯性问题确实很难解决,搞的我装linux后玩了几天,还是回到windows了,真鄙视自己,有没有好的解决办法啊,另外开虚拟机玩linux感觉还是不行,我笔记本内存4G卡的要死,没法爽爽的玩啊

      删除
  17. linuxmint感觉好点,国内的deepin装过,华丽的不要不要的,不过总是感觉不是太安全,其他的arch什么的,还是小白,不会装……呜呜

    回复删除
    回复
    1. 脱离狼窝,又如虎口。。。而且对于中国人来说,我甚至觉得windows(非中国版)比deepin(还有麒麟那个ubuntu)更安全。

      删除
    2. deepin,不就是那个做盗版的深度技术做的嘛
      这种团队定制出来的linux想想都恶心

      删除
    3. 此评论已被作者删除。

      删除
    4. TO 18楼的网友
      对 deepin,俺信不过。
      信不过的原因至少两点:
      1、
      作为国内团队,而且是公开的团队,如果受到朝廷的胁迫,他们能扛得住压力吗?
      2、
      deepin 团队的综合实力及素质,与那些最有影响力的发行版(Debian、RHEL、Fedora ...)的团队相比,显然会差一大截。

      删除
    5. TO Dis Pos
      多谢分享你对 deepin 的切身体会及吐槽 :)

      删除
  18. 回复
    1. 上一篇文章的部分问题还没回。关于比特币的本地安全性是指电脑上可能中病毒木马吗?还是什么。
      关于zeronet的问题挺多的,不知道meek之前提的图形界面什么时候搞出来?

      删除
    2. TO qaz
      (先抛开比特币不谈)
      俺简单说一下“本地安全风险”大概有哪些情况会导致你的数据泄漏
      1、本机操作系统被传播了恶意软件(病毒/木马/蠕虫/等),盗取你的数据
      2、本机操作系统被入侵(有些入侵需要恶意软件辅助,有些不需要),然后入侵者就有可能拿走你的数据
      3、电脑被盗或丢失,导致你的数据别别人拿到
      4、电脑被公安扣押并使用取证软件分析你系统中的数据
      5、本机的硬件存在漏洞,导致别人可以利用这些硬件漏洞拿到你的数据
      6、基于硬件的旁路攻击
      (这个比较高级。比如基于物理键盘的 key log;比如分析键盘的按键声音;比如分析物理显示器的电磁辐射)

      删除
  19. 先留名再看,使用Linux发行版路过!很多情况下用瘟斗士简直糟心。感觉随想对deb系情有独钟啊。
    不知随想是否有GnuPG公钥?

    回复删除
  20. 看了好多楼主的文章,学习到了很多有用的知识和真实的常识。今天第一次写评论,在此表示感谢。楼主说现在对的人多了,程序员的比重就少了,就很少写技术文章。我个人觉得还是希望多一些技术性、编程性文章。古人云:授人以鱼,不如授人以渔。虽然楼主条理清晰的讲解了许多内容,但我觉的还是鱼的成分多,渔的成分少。只有越来越多的人懂得真正的技术,才能用真正的技术去创造出更有利的利器去穿越无形的长城。诚然,是有很多人不是科班出身,不是程序员,但谁也不是生而为程序员的。我想以楼主如此高深的造诣,对那些有需要的,想要用技术追求自由的人来做一些点睛般的指点,让他们少走一下弯路。学到真正的技术,或许会有更多的楼主这样的人才出现。退一万步想,可能有人学了技术,去做非法勾当,这避免不了,有些人可能毕竟是有些人。如果大多数70或是80以后的年轻人能掌握一项互联网技术,就像掌握了一面外语,可以与更多懂得此门“外语”的人交流。到时候,墙再高,终归要倒。最后想说:长城没能挡住我的祖先,柏林墙没能让东德富强,防火墙只能证明赵国软弱。

    回复删除
    回复
    1. TO Unknown
      首先感谢你对俺博客的认可 :)

      关于你提到的那句“古人云”
      这其实是俺博客的宗旨。
      在博客副标题的动态格言中就有这句:
      【授人以鱼不如授人以渔!授人以鱼只救一时之急,授人以渔则可解一生之需。】

      但是俺觉得:
      你对“渔”的理解,还是有点偏差。
      你可能太局限于“技术层面”的“渔”。
      但是,更重要的(甚至可以说是最重要的)“渔”是什么捏?
      俺认为是【思维能力】。
      “思维能力”显然比“编程能力”更重要。

      最近几年,虽然编程类的博文很少写了,但是俺写了不少思维类的博文。

      删除
  21. 看了这个后我觉得我应该早点切换操作系统了,可惜我在网络方面是个菜鸟,看来需要多多学习啊。

    回复删除
  22. 我个人是非常支持GNU/Linux的(不管它安不安全),主要是出于它反抗垄断、支持开放与共享的精神的角度考虑,不过这个安全性比较其实还是有值得商讨的地方。
    但是,最近开源软件的确出现了不少安全方面的(负面)大新闻……之前OpenSSL的heartbleed居然在加密模块的核心内存区域不执行数组边界检查,造成可以通过心跳包窃取用户登录信息。
    最近Linux内核的最核心的内存管理模块又发现Copy-On-Write机制的重大漏洞(Dirty COW),破坏了内存保护机制,可以被用来取得root权限。
    上面的这些问题,都是所有发行版共同具有的,并不因为编译时调整一些参数就会解决。
    虽然开源软件“只要有足够多的眼睛,就可让所有问题浮现”,但是上面两个Bug都存在了相当久,引入问题的人实际上都是专家(第二个问题貌似Linus本人责任最大,第一个问题也是PhD在搞的项目),居然没有任何人发现,可见用大量资金砸出来的专业的Code Review,和基于社区的Code Review,效果是不一样的(因为实际上社区没有足够的眼睛……很少有人真的会去看Linux Kernel的Memory management的代码)。
    而且上述漏洞,由于软件开源,无法保证补丁在漏洞细节被公布之前就交付给用户,因此危害反而更大了。当然由于软件开源,里面存在后门的概率确实也很低。
    另外NT内核和Windows系统的某些先进安全特性我们还是要有正确的认识。NT内核支持ACL貌似比Linux要早,而且Linux现在ACL还没有普及,日常使用还是owner, owner gourp, others那套古老的权限系统居多。
    64位NT内核启用了强制驱动程序签名,Linux内核倒也是支持,只是绝大部分发行版并没有在编译时加入相关选项。(P.S. ACL里也是有可执行选项的)。所以Windows在权限管理实际上走在Linux前面,当然FAT那是个历史遗留问题了。
    另外,Windows Vista开始引入的User Account Control(UAC)实际上将管理员用户默认降权到普通用户的级别,因此说Windows用户默认都在使用相当于root的权限也是不对的(然而很多用户反而各种抱怨)。反倒是有些不熟悉Linux的用户,sudo git clone,sudo npm install之类的命令用的飞起,尽管根本就不需要root权限。
    所以我个人觉得,不考虑博主这样和政府、大公司作对的行为,实际上桌面Linux的安全性主要还是来源于小众、恶意软件少、以及用户相对专业的特点。
    再强调一下。我非常支持Linux,正因为如此,更要正视其问题。

    回复删除
    回复
    1. 本楼论据质量不错。

      不得不说当初很多用户抱怨vista的确是因为UAC,就连很多开发者都给差评,其中还包含apache的windows版的某个开发者,这么做还破坏了兼容性。然而,在经过时间的检验之后,本人最终还是觉得UAC还是利大于弊,特别是强制检查签名,很多人电脑里预装的“优化版windows”都把UAC都禁用了真是可惜。

      删除
    2. 就凭Windows里给各国政府开后门就没法说安全啊,这根本就不是技术能解决的问题。

      删除
    3. 补充一下,给政府开的后门并不见得只有政府能用。

      删除
    4. 关于可执行权限,我到今天都没搞懂存在的意义是什么。
      以文件来说,一个文件可以读取,那么可以载入内存而执行是自然而然的。
      有人能详细解释一下吗?难道只是为了防止误操作?

      删除
    5. 是unix时代留下来的东西,一个文件只有3种权限:读,写,执行。unix/linux系的内核在读取文件时,如果发现这个文件没有”可执行“标记时,便不会直接运行它(但还是可以通过系统漏洞让它执行)。

      你说的执行,如果文件B是被其他进程/文件A读取后间接执行,那其实也是可行的,前提是调用它的进程/文件A自己必须可执行,并且还有其他条件。【可执行】其实就是【触发执行】的意思。以用户的角度,用户去执行文件B就不同了。

      删除
    6. Stackexchange上有一个关于这个问题的问答https://security.stackexchange.com/questions/66550/unix-execute-permission-can-be-easily-bypassed-is-it-superfluous-or-whats-the
      整体来说用途确实不大。不过貌似有一种特殊的情况,就是该执行文件是SUID程序,在这种情况下通过其他手段执行此程序会造成SUID标志位失效。(SUID权限使得程序在运行时可以以所有者,通常是root的权限运行,而非当前用户)大概是如果把passwd的执行位关掉,那还真就是可以防止非root用户修改密码。

      删除
    7. 再说几句关于发行版的若干事宜……其实博主说的是“基于debian”的发行版,基于debian的发行版实在太多,distrowatch上排名前几的发行版中,mint、debian、ubuntu、zorin、elementary、deepin都是基于debian的,其实选哪个关系不是那么的大(当然出于博主所从事的工作,Deepin和UbuntuKylin还是慎重考虑,就算没有任何已知的后门,其中的大量国产专有软件也是让人不放心的)。基于debian的发行版一个重大特点就是使用基于APT的包管理系统。APT其实是非常复杂,也非常强大的一套系统,包管理难度较大。加上这些发行版相对注重稳定,因此软件版本可能较旧(但是安全补丁一般都是打了的),要想用新软件可能需要手动编译。但是,如果不折腾的话,这些发行版的安装、配置、软件管理都非常符合一般用户的习惯。

      有人推荐了Arch Linux,其实我是非常喜欢的。Arch Linux基于pacman包管理,简单易用,但是依赖管理能力弱,有些时候需要手动干预才能升级,但是因为打包简单,使用滚动更新,软件版本很新,AUR中的用户自制软件包脚本非常多。Arch Linux在“用户中心,而不是用户友好”这条路上走的有些过于激进,早先他们废除了一个本来就很简陋的安装脚本,使得用户如果不熟悉Partition、Mount、Bootloader、Chroot之类的概念几乎无法进行安装。最近还决定废除32位支持,这显然对于普及来说不太方便。我倒是觉得Manjaro这个基于Arch Linux的发行版可以考虑,起码貌似有GUI安装器。

      删除
    8. TO terminal
      看来你不但支持 Linux,技术层面了解还蛮多的。

      关于 Dirty COW
      这确实 Linux kerne 开发过程中的一个严重败笔。
      影响面极大,而且持续时间极长(9年)

      不过捏,即使存在这个问题,【并不影响】本文提到的几个结论:
      比如:【Linux 具备高度可定制性——可以用来降低【攻击面】的“大小”和“确定性”】
      比如:【Linux 的发行版的数量极多——可以用来降低【攻击面】的“确定性”】

      因为像 Dirty COW 这样“独特”的漏洞,是非常少的。
      大部分漏洞都【不会】位于如此核心的位置。
      比如说:
      如果某个漏洞是存在于“应用软件”中,那么只要系统中没有该应用软件,这个漏洞自然就不存在了。
      比如说:
      如果某个漏洞位于内核的某个模块,只要编译内核的时候没有包含该模块,那么这个漏洞自然就不存在了。
      比如说:
      如果某个漏洞位于内核,并且与特定的硬件(比如芯片类型)相关,那么当具体的运行环境不是这款硬件,那么这个漏洞自然也不存在了

      删除
    9. TO terminal
      关于 Arch Linux
      前面有读者推荐,俺也给出了自己的看法。
      同意你所说,Arch 的某些理念过于激进。
      导致安装过程对技术菜鸟的门槛有点过高了(至少比 debian 要高得多)

      另外,
      俺想选择以 debian 来写教程,考虑点之一是:debian 比较保守(稳健)
      debian 软件仓库中的软件,通常都是一个相对旧(但稳健)的版本。
      俺认为:
      某些发行版(包括 arch)过于追求软件的最新版本,有一定的安全风险;
      另外,过于追求最新版本,有时候会导致一些软件之间的兼容性问题,这会大大增加技术菜鸟的门槛

      删除
    10. win7有好用的激活手段么?
      总觉得xiaolan给的windows loader不靠谱(话说他只看md5符合否,而【不看】该工具是封闭源码的,真是不靠谱,恐怕五毛的资料是物理层面或者斯诺登方式搞得 )

      删除
    11. 膜法师……不管M$多邪恶,使用盗版软件总不是什么太光彩的事情……
      要真是说激活的话,建议不要用任何bootloader模拟OEM BIOS的方案了,直接用Windows 7/8/10的企业/教育版本+开源的KMS服务器。当然你Windows 10加个Insider项目也不是不可以,不过对隐私侵犯很大。
      还有MD5碰撞现在PC都已经随便搞了吧……Google之前都发SHA1碰撞的paper了……博主我觉得也可以普及一下……

      删除
  23. 还以为会发关于某案的评论。对于我这种一般读者,如随想所想,更喜欢看随想的时评。不过随想能完善博客的技术板块,也是很好。以后如果需要可以查阅。

    回复删除
    回复
    1. 讲道理,某案的价值其实不大……

      删除
    2. TO daoyou ltr
      前一篇博文已经是《每周转载》,而且最近已经连续写了很多政治/时事方面的博文。
      所以这篇才改为——聊聊技术话题

      你说的“某案”是指“辱母杀人案”吧?
      这事儿还在发酵过程中,俺想抽空汇总一篇《每周转载》

      此案又是一个抹黑朝廷抹黑党国的好机会。
      让大伙儿瞧一瞧天朝是一个多么变态的社会。

      删除
    3. 文革薄一波被儿子睬断肋骨,皮撕下来做纪念品,挂家里,儿子打老子,太普遍了,而且是国家制度化强迫做的那才残暴不仁

      删除
    4. 不打算聊聊郭文贵以及高层博弈以及大会前的看点吗?

      删除
    5. 一个国家一定是需要反对派的,反对派的监督可以是咄咄逼人的,但是不应该是狂怒和嗜血的,天朝首先没有反对派,这很不正常,更可怕的是,执政派是狂怒和嗜血的。反对是人的天性,但是既反对的同时,又具有文明应该是社会前进的大流。比如在议会里辩论,这种事情天朝奇迹般的缺乏。一党专政下的世界,立法执法都是一起的,无约束的权力真是说你犯罪你就犯罪,没罪加罪;说你无罪你就无罪,有罪免罪。且不说其他的,光说这种审批的不平等,有时一个恶官的审判比一个平民在自保的情况下的反抗受到的审判居然轻很多,这种极度不平等的情况下应该有社会的怒气和不满出来。我想人都会拥有正义感的。教育太重要了,反洗脑太重要了,多学习编程君,帮助启发独立思想,启发人们的自由意识。

      删除
    6. 回复5单元
      你的5单元大多言论,是正确的,也是我长期坚持的一种价值观。
      但是这个博客读者群体中,很多人因为所谓反洗脑,导致一种泛读习惯的缺失(习惯自己认可的东西,打个比方:自己不小心吃了腐烂的食物,因此认为所有这种食物都是腐烂的,同时全面认同其他价值观),造成的结果就是吸收知识的偏食(只吃自己喜欢的食物),偏食导致价值观右倾严重。价值观整个都是极右思想了,于是中间思想和左思想的人会被扣帽子,认为他人不正常,都是被洗脑的人。
      于是形成另一种被洗脑的人,而他们自己不觉得,自己还觉得该加大反洗脑的力度。
      洗脑就是这样产生的,因为自己思维本来都没有基础(学识、逻辑水平等形成的价值观),导致否定一种洗脑后,因为自己思维逻辑没有内心的立足之处,会掉入另一个洗脑陷阱。(这种情况最容易实现的就是利用刚学会翻墙之后,利用读者的新鲜感、社会碰壁挫败感来达到目的)
      偏食的最大危害就是迫害妄想症,时刻在内心阶级斗争,要所有小粉红死,以为TG随时都要消灭他。
      克服这种洗脑的方法就是,坚持大量的阅读,无论是左派还是右派思想的东西,真相自然明了。
      这就是为什么我一直还留在这个博客的原因。

      删除
    7. 脑残又在那里说别人被洗脑了
      TG消灭的异己还少了?脑残把反共人士该有的警惕说成迫害妄想
      脑残还告诉别人要坚持大量阅读,十分可笑,是不是要天天看人民日报环球时报等你心目中的优秀出版物才能树立正确的思维啊哈哈

      删除
    8. 回复7单元
      你是没看过我引用的新闻还是咋的?我在博主最近几篇发的文章下都有评论,而且引用了新闻,都是来源各个海外报纸/通讯社。而且也推荐了很多报纸/网站。
      反而是你,除了人民日报、环球时报,就只知道美国之音、本博客、功夫网与翻墙、明镜网、泡泡(声称“未经审查的互联网信息”)这类。
      看的一天都是迫害人权的消息,当然自己的思维都是成天被TG迫害。迫害妄想症。

      删除
  24. 神奇,每次一出这种技术类博文,网评员和脑残们一个都不吱声了

    回复删除
  25. 破娃酱@breakwa11 推特已锁,怀疑出事。

    之前不久,破娃酱说发起投票说“要不要公开ss的协议特征”进而给ss增加某某代码之类的话(记不清了,我表述的可能和原意有偏差)。
    照现在的情况分析,很可能是
    1. 破娃酱本身是朝廷卧底,想给ss增加一个后门
    2. ss团队本身已经混入朝廷卧底,并且拒绝修复破娃酱发现的这个漏洞/后门。

    说道开源社区的贡献,ss这个圈子实在太小了;只有几个精英在维护而已。大部分人只是使用者而不是开发者,贡献不了什么东西,更谈何代码审查。

    回复删除
    回复
    1. 不要散步臆想,请先看完 github 里的内容在说话不迟
      SS 原始协议有特征是事实
      她喜欢她的 SSR 。她没有要给 SS (SS-libev) 增加代码,即使 PR,也不由她来实现最早代码修改. 她的很多想法,都值得参考

      删除
    2. 回26楼,不要乱猜,你猜的全是错的

      删除
    3. 楼上出来现身说法,手动滑稽

      删除
    4. ……ss的圈子虽然小,但是代码量也没有那么大,现在的加密协议也在进行规范化的文档描述,因此安全性的讨论还是比较充分的。
      breakwa11说话不太友好,但是技术水平是有的,维护ssr的同时,对于ss的协议也有一定贡献。
      早期ssr不遵守GPL,这是breakwa11的过错,但是当breakwa11改正错误并希望接手ss开发时,社区中有很多人群起攻之,而且说的话根本就不尊重密码学的知识,才造成了现在的局面。
      目前来说,breakwa11和ss的主要维护者maxlv和riobard等人在实现一些特性的思路上还是有很多分歧,但是整体来说,breakwa11很多好的特性确实添加更早,maxlv和riobard等人希望项目更模块化、低耦合,但实际上很多特性的实现反而偏慢。
      不过我个人还是坚持使用ss,breakwa11说我原版癌我也不介意吧。
      希望在这里能@一下breakwa11,我希望最后ss和ssr能合并回一个项目。

      删除
    5. 回复 26楼4单元
      不可能合并,即使我想合并,madeye也不会同意,这是其一。
      其二,方向不同,思路不同,目标不同,面向用户不同,威胁模型不同
      最后,他做的是项目,我做的是玩具,一个给我做各种实验的玩具

      我说话不友好,还不是被逼出来的,如果你愿意试试站在我的位置体验一番的话
      佩服随想貌似从来没表现过自己的情绪化

      删除
  26. 奇闻录反洗脑效果不错,而且对实事反应较快。
    不知道奇闻录是否有免翻镜像,以方便传播?

    回复删除
  27. Arch / Parabola 用户后排围观😂

    回复删除
    回复
    1. TO ホロ
      多谢老熟人捧场 :)
      看来俺博客的读者中,有不少用 Arch 的。
      (前面几楼已经有好几个了)

      删除
  28. 最近被windows折腾的死去活来,各种毛病层出不穷,现在用的是ubnutu mate 完全一点不懂,这个系统怎么样?

    回复删除
    回复
    1. TO 29楼的网友
      如果你对 Linux 完全不熟,可以参考俺的另一篇博文
      《[url=https://program-think.blogspot.com/2013/10/linux-newbie-guide.html]扫盲 Linux:新手如何搞定 Linux 操作系统[/url]》

      删除
  29. 我有一个想提问的问题:
    我在使用Debian时经常遇到自己要用的软件在源里没有,需要自己编译运行的情况,编译和运行自己没有仔细检查的源代码会不会和运行其他人的二进制文件一样危险?

    另:话说,如果使用ARM就更安全了。。。。那我要是搞个RISC-V是不是就不用担心电脑被黑了。。。。

    回复删除
    回复
    1. 是的。一样危险。

      一般这个时候,要仔细检查源代码来源是否可靠,是否有签名。

      删除
    2. TO Shelikhoo
      如果你比较关注安全性,那就尽量【只用】软件仓库中的软件包。
      能加入 debian 软件仓库,至少已经被 debian 团队评估过了。

      如果你想要的软件,仓库中没有,你又非用不可。
      那你最好想办法去多了解一下这个软件的靠谱程度。再决定是否用它。

      举个例子:
      假设你要用的这个软件是开源在 GitHub 上的,那你可以观察这个项目加星(star)的数量。数量越多,通常就越靠谱。

      再举个例子:
      假设你要的这个软件,虽然仓库中没有,但是你在网上查到:某个技术牛人推荐过该软件。
      那么就相当于:这个软件得到了这个技术牛人的“背书”,其靠谱程度也会相应提升。

      删除
    3. TO Shelikhoo
      关于芯片的问题
      小众的芯片,会降低被入侵的概率。
      但不会降到零。

      比如前面某个读者提到了“大名鼎鼎的 Dirty COW 漏洞”
      这个漏洞位于 Linux 内核中的内存管理模块,与芯片类型无关。
      不管哪种芯片,还是会中招。

      删除
  30. 博主在
    ◇缺乏“软件包管理机制”的风险 中提到
    缺陷2:软件下载过程中,【可能】被篡改。

    然后在◇“软件包管理机制”的好处中讲
    好处1:更可信的来源
    好处2:自动的文件校验机制
    好处3:自动的软件升级机制

    这里补充一点
    即便有上述3个好处,有些情况下其实还是没有避免缺陷2。
    举例:某软件包放出一个1.1.1和1.1.2两个版本,其中1.1.1不仅修复了旧版的很多高危漏洞,而且1.1.1本身引入了一个新的高危漏洞,恰好1.1.2是用来解决上述漏洞的。

    假设你在缺陷2仍然使用明文流量,那么黑客可以利用这点,让你升级时只能升到1.1.1,这个时候你电脑上的软件校验是通过的;来源也比较可信(是作者发布的嘛);升级是自动还是手动就不必谈了;因此上述这三个好处也不能保证你的安全。

    当然,我不否认,这三个好处能提升安全性是肯定的。

    回复删除
    回复
    1. TO 31楼的网友
      首先承认,你的思考很深入 :)

      不过你说的这种情况,对比较成熟的包管理机制,是【无效】的。
      换句话说:比较成熟的包管理机制,在这种情况下,【不会】上当。

      举个例子:
      某个包管理机制,先获取“需要升级的软件包的列表”,这个列表中包含了每个软件包需要升级到哪个版本。
      并且这个列表是经过数字签名的。
      这种情况下,旁路攻击者如果要篡改版本号,包管理在下载完“更新列表”之后,就会发现被篡改,根本就不会再去下载具体的软件包。

      删除
    2. (接上一单元)
      俺曾经去看过几个最大的发行版的“软件包升级机制”。
      至少他们几个,在【原理上】就【规避】了你提到的这种攻击风险。

      删除
    3. 此评论已被作者删除。

      删除
  31. 我的是笔记本电脑,Linux系统去哪里找驱动?

    回复删除
    回复
    1. 在我的电脑->属性->设备管理器->某硬件->属性->详细
      这里可以查看硬件id。
      然后,你可以搜索这个硬件id,得到它的驱动。如果硬件厂家不提供驱动,就只有
      1.找找第三方制作的驱动。其实某些高级游戏玩家是具备写显卡驱动的能力的。找不到,那就花钱请人写驱动程序吧。
      2.通用版驱动(不能发挥硬件的某些性能,但用还是可以用)。

      一般是用通用版驱动较多。如果要玩某些游戏,那还是暂时别用linux; 或者干脆装双系统吧。

      删除
    2. 回复32楼
      linux自带的驱动很全的。双显卡的机器适配要困难些,linux最适合集成显卡的设备。
      linux基本就告别商业软件了,很多商业软件不发行linux版本(但也不是所有厂商都不发行),大多数都是自由软件,而且因为是免费、兼职制作的所以UI这些不是特别精致。

      删除
  32. 重庆晨报|擅自”翻墙”上境外网站 责令停止联网并警告(注:重庆晨报官网此文章已经被河蟹吃掉,下面的内容来自中国数字时代)
    昨日,市政府公众信息网发布了修订后的《重庆市公安机关网络监管行政处罚裁量基准》。自2016年7月27日起施行,有效期至2021年7月26日。
    对故意输入计算机病毒、有害数据的,初次违法,且未实际危害计算机系统安全的,处以警告。个人违法所得5000元以上、单位违法所得15000元以上,尚不够刑事处罚的,没收违法所得,并处以违法所得2至3倍的罚款;构成犯罪的,依法追究刑事责任。

    帮忙“翻墙”上外网赚钱最高罚1.5万
    违法行为:擅自建立、使用非法定信道进行国际联网;接入网络未通过互联网络接入国际联网;未经许可从事国际联网经营业务;未经批准擅自进行国际联网;未通过接入网络进行国际联网;未经接入单位同意接入接入网络;未办理登记手续接入接入网络。
    处罚措施:不以盈利为目的,初次实施上述违法行为,责令停止联网,给予警告。以盈利为目的实施上述违法行为,违法所得在5000元以下的,责令停止联网,给予警告,同时没收违法所得;以盈利为目的实施上述违法行为,违法所得在5000元以上10000元以下的,责令停止联网,给予警告,对个人可以并处5000元以下罚款,对单位处以5000元以上10000元以下罚款,同时没收违法所得;以盈利为目的实施上述违法行为,违法所得在10000元以上或责令停止联网后继续实施违法行为的,责令其停止联网,处以警告,并处10000元以上15000元以下罚款,同时没收违法所得。

    开网吧不登记身份证最高罚5000元
    违法行为:向上网消费者提供直接接入互联网的计算机;未建立上网服务营业场所巡查制度;不制止、不举报上网消费者违法行为;未按规定核对、登记上网消费者有效身份证件;未按规定记录上网信息;对未按规定保存上网消费者登记内容、记录备份;擅自修改、删除上网消费者登记内容、记录备份;上网服务经营单位未依法办理变更登记注册事项、终止经营手续、备案等违法行为。
    处罚措施:初次实施,尚未造成危害后果或社会影响的,给予警告,并处5000元以下罚款。因实施上述违法行为被公安机关行政处罚后又实施同种行为的,给予警告,并处5000元以上10000元以下罚款;实施上述违法行为,且符合相关规定,属情节严重,给予警告,并处10000元以上15000元以下罚款,责令停业整顿;停业整顿后再次违反的,建议文化部门吊销《网络文化经营许可证》。

    违规经营国际互联网络业务最高罚1.5万
    违规经营国际互联网络业务,不以盈利为目的,初次实施上述违法行为,给予警告;以盈利为目的实施上述违法行为,违法所得在5000元以下的,给予警告,可以并处5000元以下罚款,同时没收违法所得;以盈利为目的实施上述违法行为,违法所得在5000元以上10000元以下的,给予警告,可以并处5000元以上10000元以下罚款,同时没收违法所得;以盈利为目的实施上述违法行为,违法所得在10000元以上或因实施上述违法行为被公安机关行政处罚后又实施同种行为的,给予警告,并处10000元以上15000元以下罚款,同时没收违法所得。

    回复删除
    回复
    1. 40年前,中国有所谓的“收听敌台”罪,即公民收听政府没有准许他们收听的境外广播电台有罪。

      如今中国与时俱进,规定中国人翻越中国当局设置的信息封锁墙,登入“政府没有准许他们访问的境外互联网网站有罪。

      3月27日星期一,中国直辖市之一重庆市发布所谓的《重庆市公安机关网络监管行政处罚裁量基准》修订版,规定在重庆司法管辖区的人使用网络翻墙工具翻越中国当局设置的信息封锁墙访问墙外网站的人可以被处以罚款,“构成犯罪的,依法追究刑事责任”。

      重庆行政处罚量裁基准所针对的可处罚行为包括:“擅自建立、使用非法定信道进行国际联网;接入网络未通过互联网络接入国际联网;未经许可从事国际联网经营业务;未经批准擅自进行国际联网;未通过接入网络进行国际联网;未经接入单位同意接入接入网络;未办理登记手续接入接入网络。“

      删除
  33. 重庆晨报|擅自”翻墙”上境外网站 责令停止联网并警告(注:重庆晨报官网此文章已经被河蟹吃掉,下面的内容来自中国数字时代)
    昨日,市政府公众信息网发布了修订后的《重庆市公安机关网络监管行政处罚裁量基准》。自2016年7月27日起施行,有效期至2021年7月26日。
    对故意输入计算机病毒、有害数据的,初次违法,且未实际危害计算机系统安全的,处以警告。个人违法所得5000元以上、单位违法所得15000元以上,尚不够刑事处罚的,没收违法所得,并处以违法所得2至3倍的罚款;构成犯罪的,依法追究刑事责任。

    帮忙“翻墙”上外网赚钱最高罚1.5万
    违法行为:擅自建立、使用非法定信道进行国际联网;接入网络未通过互联网络接入国际联网;未经许可从事国际联网经营业务;未经批准擅自进行国际联网;未通过接入网络进行国际联网;未经接入单位同意接入接入网络;未办理登记手续接入接入网络。
    处罚措施:不以盈利为目的,初次实施上述违法行为,责令停止联网,给予警告。以盈利为目的实施上述违法行为,违法所得在5000元以下的,责令停止联网,给予警告,同时没收违法所得;以盈利为目的实施上述违法行为,违法所得在5000元以上10000元以下的,责令停止联网,给予警告,对个人可以并处5000元以下罚款,对单位处以5000元以上10000元以下罚款,同时没收违法所得;以盈利为目的实施上述违法行为,违法所得在10000元以上或责令停止联网后继续实施违法行为的,责令其停止联网,处以警告,并处10000元以上15000元以下罚款,同时没收违法所得。

    开网吧不登记身份证最高罚5000元
    违法行为:向上网消费者提供直接接入互联网的计算机;未建立上网服务营业场所巡查制度;不制止、不举报上网消费者违法行为;未按规定核对、登记上网消费者有效身份证件;未按规定记录上网信息;对未按规定保存上网消费者登记内容、记录备份;擅自修改、删除上网消费者登记内容、记录备份;上网服务经营单位未依法办理变更登记注册事项、终止经营手续、备案等违法行为。
    处罚措施:初次实施,尚未造成危害后果或社会影响的,给予警告,并处5000元以下罚款。因实施上述违法行为被公安机关行政处罚后又实施同种行为的,给予警告,并处5000元以上10000元以下罚款;实施上述违法行为,且符合相关规定,属情节严重,给予警告,并处10000元以上15000元以下罚款,责令停业整顿;停业整顿后再次违反的,建议文化部门吊销《网络文化经营许可证》。

    违规经营国际互联网络业务最高罚1.5万
    违规经营国际互联网络业务,不以盈利为目的,初次实施上述违法行为,给予警告;以盈利为目的实施上述违法行为,违法所得在5000元以下的,给予警告,可以并处5000元以下罚款,同时没收违法所得;以盈利为目的实施上述违法行为,违法所得在5000元以上10000元以下的,给予警告,可以并处5000元以上10000元以下罚款,同时没收违法所得;以盈利为目的实施上述违法行为,违法所得在10000元以上或因实施上述违法行为被公安机关行政处罚后又实施同种行为的,给予警告,并处10000元以上15000元以下罚款,同时没收违法所得。

    回复删除
    回复
    1. 1.5万可是俺省吃俭用半年的工资,共匪要是罚翻墙者的钱,俺只好申请难民去。

      删除
    2. 要是ss有某种协议特征,让人鉴定用来翻墙了,各位不就有了把柄,可被恶警抓了吗?

      删除
    3. TO cocaine
      (你的这条留言被 Google 【误判】为垃圾广告,已经被俺恢复出来了)
      首先感谢分享了翻墙相关的报道。

      关于这个报道,俺觉得朝廷方面重点还是要打击“提供翻墙途径”的人。
      至于翻墙的网民,数量太多,法不责众,暂时无需担心。

      删除
    4. TO 2单元的网友
      关于你的担心,请参见俺在 3单元 的说明

      删除
    5. 此评论已被作者删除。

      删除
  34. 我现在用的就是Ubuntu16.10,这个号称适合新手,但是我觉得有一些小问题如果不是老手很难解决完善~Linux要普及太难

    回复删除
  35. Waiting for your update on the topic of .

    回复删除
  36. 已经用赛风做为 TOR 的前置代理,tor的端口用privoxy转发到了虚拟机,虚拟机中如何用tor提供的端口作为赛风的前置代理呢?需要如何设置?

    回复删除
  37. [quote]如果攻击不知道你用的是哪个发行版[/quote]
    似乎少个【者】字

    回复删除
    回复
    1. TO 38楼的网友
      多谢你的细心,指出笔误。
      刚才已经更正。

      删除
  38. 来晚了

    参考 :https://cybermagicsec.github.io/privacytools-zh/

    关于deepin Linux :https://plus.google.com/u/0/+dlimuratdjdil/posts/S1s2PeTCqt4

    回复删除
    回复
    1. TO dl1mur4tdj ଙ
      多谢老熟人捧场,并分享文章。

      前一个链接(关于隐私包含的),内容非常丰富,

      删除
  39. 有视频显示印度尼西亚摩托车骑手发现个小矮人视频比较模糊,里面的语言不清楚是什么意思,

    回复删除
  40. 喜迎随想更新,然而本文有草草赶制的嫌疑
    纠正一下:
    [quote]此事的根源在于:因为苹果公司官方的 Mac App Store 被 GFW 封锁,很多国内的程序员无法从 Mac 官网下载 Xcode[/quote]
    这次限速是某带馅面食搞大月饼弄得:
    [url=https://program-think.blogspot.com/2015/08/Technology-and-Freedom.html]“对抗专制、捍卫自由”的 N 种技术力量[/url]
    这里【并非】xcode从app store的下载被GFW【封锁】,而是被【严厉限速】,apple在大陆有如神助般从未被墙(甚至可以从【美国appstore】下载shadowsocks!,所谓"依附的自由")。

    这更加说明了GFW的可耻——这相当于搞[b]有罪推定[/b],就是我国的法律都不可能【公开】这么做(所以GFW【在法律上】不存在)。

    再有就是,你忽略了【中国特色】:中国"【不】沉默的少数"基数【远小于】欧美国家(因为"公共意识缺乏"和"政府资本打压"以及"教育问题 ")
    [b]这反而让"windows"在【对抗审计】方面有linux难以比拟的优势[/b]具体就是下面俺说的"二难问题"
    或者举例子,是
    i2p反而不如tor安全:
    [quote]I2P目前 面临的最大问题是[b]网络规模太小[/b],其流量特征很容易被识别。[/quote]

    第三
    [b]真正适合【广泛】使用的,有良好社区和文档的,只有debian、ubuntu、arch这三个发行版,社区太小,参与会暴露(俺甚至看到中文arch社区的管理员居然组织起了minecraft服务器!)[url=https://bbs.archlinuxcn.org/viewtopic.ph

    另,说到linux

    俺最近的研究正在接近你的网络配置,即"双虚拟机"
    但俺发现了一个【二难问题】,即
    "安保性和难以辨识性的冲突"
    具体而言有两点:
    1.如果使用你的"firefox在虚拟机经由Tor【网关】上网",在
    panopticlick.eff.org这里就会检测到诸如"UA"、"字体"、"canvas特征"等等。但如果在宿主机或者虚拟系统上使用Tor Browser,那么js要不然就要禁用(太困难),要不然就有可能被恶意网页js攻击等等。
    2.俺的家临时安在北京宋家庄,这里算是个穷人呆的地方,[b]没几个人会下载linux用[/b],如果大量连接各主要软件镜像,尤其是【经由墙内的云服务下载tails([b]幸而验证了签名[/b])】和从墙内的源下载Tor Bundle,会不会被特别盯上?



    在俺们公司要组织去西藏玩,期间【如何翻墙】?(据说西藏有"墙内墙")

    回复删除
    回复
    1. @编程随想
      你把我【重复】的那条删了吧,保障评论区信噪比

      删除
    2. TO 膜法师
      (你的2条留言被 Google 【误判】为垃圾广告,已经被俺恢复出来了)

      关于 XcodeGhost 事件
      对于事件起因,当时俺参考了维基百科的页面,其中提及:[quote]中国大陆访问Mac App Store有连接困难[/quote]
      所以俺在博文中写成”苹果公司官方的 Mac App Store 被 GFW 封锁“
      你提到的说:实际原因是”限速“。
      为了表达的严密性,刚才俺把博文稍微修改了一下措辞。
      感谢你的提醒 :)

      删除
    3. TO 膜法师

      关于你提到的”二难问题“
      你认为:”安全性 和 难以辨识性 存在冲突“
      俺觉得:
      问题没有你想得那么严重。
      下面是俺的分析:
      ========

      首先,你提到的”难以辨识性“的需求,俺觉得大体上等价于”隐匿性的需求“。
      可能会对隐匿性产生风险的,大致有如下几个

      风险1:有人监控你的流量(比如运营商),导致你的上网行为暴露了
      解决方法:全程加密
      举例:俺访问任何网站(包括国内网站),都是经过多重代理

      风险2:网站可能会记录你的访问者 IP
      解决方法:代理(此处的”代理“是广义的,含 VPN)
      解释:用了代理之后,网站看到的”访问者 IP“就不再是你的”真实公网 IP“

      风险3:代理服务器会【可能会】看到你的上网流量,从而了解你的上网行为
      解决方法1:尽量使用那些全程支持 HTTPS 的网站
      解决方法2:组合 TOR
      解释:组合了 TOR 之后,前置代理看到的是 TOR 的加密流量(这就没关系了)。对于 TOR 的节点,只有最后一跳(也就是”出口节点“)能看到你的真实流量。而出口节点是频繁变化的(10分钟一次)

      风险4:浏览器指纹导致的身份关联
      解决方法:对浏览器进行隔离(隔离措施有很多种,参见《[url=https://program-think.blogspot.com/2010/06/howto-prevent-hacker-attack-0.html]如何防止黑客入侵[/url]》)
      解释:分隔了几个浏览器环境后,每个环境的浏览器指纹不同。然后在每一个环境中【单独使用】某个网络身份。这样就不会被关联。


      分析完上述几个风险之后,再来看你所说的”二难问题“。
      其实没啥冲突啊。
      比如你很纠结于”要不要禁用 JS“
      俺的建议是:
      搞个白名单,只允许那些你觉得非常可信的网站;
      对于陌生网站,默认【不启用 JS】。
      万一某个陌生网站非常依赖 JS,禁用了就无法正常显示。咋办捏?
      你可以搞个独立的(隔离的)浏览器环境中,专门用来看这类”需要 JS 的陌生网站“——此环境中你可以启用 JS。
      因为这是一个隔离的环境,就算被攻击了,没啥损失。
      而且你可以把这个环境中的浏览器做一些特殊处理,使之与你的其它浏览器环境完全不同(于是也【不存在】浏览器指纹的相似性)

      删除
    4. (接上一单元)
      关于你担心频繁下载 Linux 软件,会被盯上

      首先,
      俺认为这种可能性不大。

      其次,
      如果你想规避,也有办法。
      你可以在公司里面升级软件包。
      通过公司的公网 IP 升级软件包,就显得比较正常了。
      因为很多公司内部是有 Linux 服务器的。

      最后,
      可以有一些技术上的技巧,来对付流量的旁路监控。
      比如说:你可以基于 HTTPS 方式更新软件包,然后找一个”包含多种发行版的镜像“。
      这样一来,就算有人监控你的流量,顶多知道你从某个 Linux 镜像网站进行升级。
      因为这个镜像同时提供多种发行版,监控者无法知道你用的是哪个发行版。
      其次,因为你基于 HTTPS 升级,监控者也无法知道你升级了那些软件包。

      删除
  41. (前面被谷歌吞了)
    喜迎随想更新,然而本文有草草赶制的嫌疑
    纠正一下:
    [quote]此事的根源在于:因为苹果公司官方的 Mac App Store 被 GFW 封锁,很多国内的程序员无法从 Mac 官网下载 Xcode[/quote]
    这次限速是某带馅面食搞大月饼弄得:
    [url=https://program-think.blogspot.com/2015/08/Technology-and-Freedom.html]“对抗专制、捍卫自由”的 N 种技术力量[/url]
    这里【并非】xcode从app store的下载被GFW【封锁】,而是被【严厉限速】,apple在大陆有如神助般从未被墙(甚至可以从【美国appstore】下载shadowsocks!,所谓"依附的自由")。

    这更加说明了GFW的可耻——这相当于搞[b]有罪推定[/b],就是我国的法律都不可能【公开】这么做(所以GFW【在法律上】不存在)。

    再有就是,你忽略了【中国特色】:中国"【不】沉默的少数"基数【远小于】欧美国家(因为"公共意识缺乏"和"政府资本打压"以及"教育问题 ")
    [b]这反而让"windows"在【对抗审计】方面有linux难以比拟的优势[/b]具体就是下面俺说的"二难问题"
    或者举例子,是
    i2p反而不如tor安全:
    [quote]I2P目前 面临的最大问题是[b]网络规模太小[/b],其流量特征很容易被识别。[/quote]

    第三
    [b]真正适合【广泛】使用的,有良好社区和文档的,只有debian、ubuntu、arch这三个发行版,社区太小,参与会暴露(俺甚至看到中文arch社区的管理员居然组织起了minecraft服务器!)[url=https://bbs.archlinuxcn.org/viewtopic.ph

    另,说到linux

    俺最近的研究正在接近你的网络配置,即"双虚拟机"
    但俺发现了一个【二难问题】,即
    "安保性和难以辨识性的冲突"
    具体而言有两点:
    1.如果使用你的"firefox在虚拟机经由Tor【网关】上网",在
    panopticlick.eff.org这里就会检测到诸如"UA"、"字体"、"canvas特征"等等。但如果在宿主机或者虚拟系统上使用Tor Browser,那么js要不然就要禁用(太困难),要不然就有可能被恶意网页js攻击等等。
    2.俺的家临时安在北京宋家庄,这里算是个穷人呆的地方,[b]没几个人会下载linux用[/b],如果大量连接各主要软件镜像,尤其是【经由墙内的云服务下载tails([b]幸而验证了签名[/b])】和从墙内的源下载Tor Bundle,会不会被特别盯上?



    在俺们公司要组织去西藏玩,期间【如何翻墙】?(据说西藏有"墙内墙")

    回复删除
    回复
    1. TO ALL
      42楼 与 41楼 重复了。
      要参与讨论的,请去 41楼。

      删除
  42. Secure #USB boot with #Debian
    http://vb75uj2ap3hyyava.onion/

    回复删除
  43. http://receivefreesms.com/
    据说是个伪造现实手机专门供注册用的管理网站,如果有其他类似的在网站专门放个位置让初学者使用吧

    回复删除
  44. 嵌入式的风河系统,航天器使用的一个嵌入操作系统,卡巴斯基的新操作系统学习了能预防袭击吗?提供电子书可以吗

    回复删除
    回复
    1. 卡巴斯基有RUSSIA木馬吧..
      而RUSSIA和支共是同盟..

      删除
  45. 前几天看见加拿大的柜员机重启, 赫然看见了一只linux企鹅。

    回复删除
  46. 千言万语总结成一句话,
    linux 大法好, 退win 退mac 保平安 。

    回复删除
  47. To 随想
    虽然很少发评论,但一直有关注博文。改成另开新楼我感觉效果拔群啊。另外有一些问题想提一下:
    一、关于28日美国众议院投票废除FCC网络用户隐私权保护法案。对我们这边隐私权的抗争会造成怎么样的影响呢?想听听您的看法。
    二、一带一路对所谓的产能过剩转移,到底有没有作用,比如这些“过剩”产能的投入,是否可能比起让生产设备‘闲置’来得要更坏呢?
    三、关于“辱母案”,一开始我觉得于欢的行动比较符合近年来朝廷仇恨教育想要的行动模式,二审可能改判无罪。但又感觉国内媒体似乎有意识的把“民意”推向了“法律”的对立面。表面上支持于欢应该轻判,但理由却总是“法律”应有容情,说得好像原判才是“法律”的,而轻判是因为要“容情”。
    我现在的判断是:二审只会给“民意”作有限的‘让步’以平息此次事件的影响。甚至维持原判,让屁民的注意力从放高利贷的黑社会上转移走了再让步。
    不知博主是否准备为此事件再开一篇博文呢?

    回复删除
    回复
    1. 关于一带一路博主写过一篇博文,可以自己去翻翻。
      为什么会失败,因为投资大部分会亏损,收不回来。等于无偿援助亚非拉铁路,而政治上的收获微乎其微。
      如果是为解决产能过剩问题,那么就该从源头上处理,减少产能,过剩产能送到国外,算是头疼医脚,并且过剩产能输出有限,作用不大。
      实际上一带一路主要考虑还是政治目的,并不是完全为了经济目的,与走出国门政策相呼应。
      不过想要解决产能过剩问题很难,中国船大难调头,too big to save,这也是体制问题之一。

      删除
    2. 本法案虽名为“隐私法案”但它只针对ISP而不针对网站,其实只要网站方启用HTTPS,那么ISP能获取的信息,大概包含以下几个方面:
      1.你访问网站/服务的时间
      2.被访问网站的域名
      3.你在多重代理下的某些ip

      法案生效时,ISP对这些信息只能获取而不能泄露(但可以在黑市泄露),法案废除时,这些信息可以光明正大的泄露来卖钱。

      废除的原因,猜测是因为它针对ISP而不针对网站。那么是否有可能对网站也一视同仁的进行限制,不准分享或售卖个人隐私呢?不太可能,现在互联网时代处于【免费】当道时期,如果不靠收集隐私赚钱,这些免费的产品很可能要倒闭不少。既然免费是多数人的选择,那么为此牺牲隐私,这没办法。必须要大部分互联网产品都回归到付费时代才有可能“在不收集隐私的情况下盈利”。而中国尤其在这条路上越走越远。

      不论该法案存在与否,和tor的使用者关系应该不大。
      以上是本人看法。

      删除
    3. 主张于因为“辱母”、因为“仇恨”而激情杀人事实上对他是很不利的,毕竟后果是一死三伤。

      此案事实焦点一是于是否受到直接人生安全威胁,一是出警警员是出门询问情况还是直接离开。

      至于高利贷黑社会什么的,首先此案中涉及的借贷利率没有超过法定的36%上限,然后中国的黑社会跟外国同行比起来简直弱爆了。

      删除
    4. so你主张暴力催债合法,个人自我防卫非法,逼债行为不严重涉及黑社会性质?

      删除
    5. 如此挑战中华道德底线事件,五毛还能洗白了?这个民族道德已经是个笑话了。

      删除
    6. 外国那点黑社会和中国比起来简直就是过家家~
      你国黑社会不但建立政权了,还有理论基础,还高度组织,还在联合国有合法席位呢

      删除
  48. 對於LINUX用NORTON ANTIVIRUS有甚麼意見?
    SORRY舊POST難找..

    回复删除
  49. 對於OPENBSD有甚麼意見?
    不裝ANTIVIRUS的話我覺得這個更加好..

    回复删除
    回复
    1. TO 50楼的网友
      OpenBSD 是特别强调安全性的。
      除了 OpenBSD,另外的几款 BSD,口碑也不错。
      但是,(相对于 Linux)BSD 的缺点也比较明显
      1、
      BSD 缺乏 Linux 的“发行版”这种概念。
      Linux 的发行版很多,差异化很大。
      于是可以满足各种不同的需求。
      2、
      参与 Linux 的人明显比 BSD 多。
      因此,相关的文档和技术支持会更全面。
      出现了奇怪的问题,也比较容易搞定。
      3、
      Linux 上的软件比 BSD 要丰富。
      比如说:
      在 Linux 上搞虚拟化,应该比 BSD 有更多的可选项

      删除
  50. 博主的翻墙观察,为何那么多期都不写了呢?
    最近无界用不了了,赛风3一直都不能用,你都没写。感觉越来越和你的博客主旨相反的路子了。
    我觉得该博客最传统的路子,应该是:最近某款翻墙软件无法使用了,分析原因(来源国家哪个事件?或者某情况)。某地无法上网/翻墙的原因。再引出来另一个文章,一些所谓的政治。
    现在都大篇大篇谈政治,那种经典(classic style)风格不见了,要么就是忙导致很少发文。
    我只是有点怀疑,最近一两年,博主是不是被收买了。

    回复删除
    回复
    1. 自泔奴开始自来熟了,以为这样就能掩盖你前几篇评论里流露出的nc气息了么
      还“...经典风格...最近一两年....”,说的好像自己是老读者一样
      博主写什么,和你个自泔奴有个毛的关系

      删除
    2. 这是一种人身攻击的评论,你的很多言论恕我直言不是为了讨论和述说,而是为了激怒和挑逗,而且你会时不时的说一些伪装自己不是为了来激怒的话混淆一下自己的真实目的。你缺少宽容和理解,你大部分的回复都是否定态度+些许攻击。正常角度来看,即便是极端的反对派都不可能所有观点都否定和批判,也总有同意某些方面某些观点的时候。真正的对手对对方的回复是有观点上的赞许,否认,但是你夹杂了太多的人格,情绪上的负面评论。虽然许多人的回复也是怒气咒骂,其实你的手法要高一点,你虽然不说很脏的话语,但是你的无赖和阴险程度比光咒骂你的人要高一个档次。你可能会给刚来的一些人造成一些误导,但是你的目的其实没有达到。看似讨厌但是其实很脆弱。我不反对你的发言,言论自由是你的权力,但是你的发言在这歌论坛目前为止没多少深度,没多少认同感,多数的发言都激起了人们的愤怒和厌恶感。辩论能力不如你的会扔几个脏话给你,素质高一些的刚来的和你会比较有涵养的理论一番,可喜的是,大部分人还是会笑你两句,通过言论告诫刚来的人,帮助他们有一个稍微好的判断力。

      删除
    3. 回复1单元2单元
      在公知眼中,全世界都是粉红色,因为他们本身戴着粉红色镜片的眼镜。
      看图说话
      http://ww3.sinaimg.cn/mw690/3dc1022ejw1f0f9y6dbpoj20go5sx7wh.jpg
      http://ww4.sinaimg.cn/mw690/3dc1022ejw1f0f9y8l0dyj20go5sxb29.jpg

      删除
    4. 看不了3单元的图的,请点“切换到原始图”

      删除
    5. 你无法激怒我,也无法在获得我更多的严肃的回复,如果你就事论事,说些观点,那么看你表现,你要是态度端正,我或许以后会回复你。不要一上来就该帽子,下定义,人的正常交流不是这样的。我说你是红粉了吗,我给你定义了嘛?很显然是没有的。你这次的回复又一次的证实了我的观点,你的回复不太寻常,一上来无论如何先讽刺挖苦和反击,而且奇怪的是无论什么样的帖子都是你自己一定要往政治上面走,虽然不是全部,但是也是非常明显的。你可以针对我的言论否定,然后给一个你的论据和逻辑推理,要说能有应用最后形成一个完整的链条,那就更棒了,这样的否定我喜欢。可是你干巴巴的,气呼呼的盖一个大帽子,再用个微博的讽刺漫画,你让我感觉我在和一个不懂事的小孩子吵嘴。我没给你定义,你也不应该给我定义,当然这是你自己的自由,我尊重你的表达。不过我尝试和你正常说话,你自己往极端方向走,你听不明白别人要说的话,也不明白如何有涵养的表达自己,和你说话确实没什么意思。

      删除
    6. 回复5单元
      既然你说你不是,说我扣帽子,好,我承认(对你来说)我扣帽子了。
      1.我并没有对博主人身攻击。
      博主的确最早是把这博客作为翻墙博客的,这博客还有一个镜像网站,叫功夫网与翻墙。你订阅那个网站,就会跳转到这里。
      2.前几年博主的确经常发“翻墙观察”和“翻墙快报”,而且都是大篇幅讨论翻墙,技术讨论非常多。你可以自己博客里翻翻往期。即使讨论政治,也是和翻墙有联系。政治相对较少。
      3.这个世界每个人都在变化之中。博主一直对TG持消极态度,读者都知道。但是现在一进博客,和以往的确是不一样了,政治篇太多。的确有怀疑是被收买的理由啊。这个不能说吗?
      这个有什么人身攻击?每个人选择的道路不一样啊。
      4.看到我的发言了吗?我后面的跟帖。帮人翻墙被说成是好心故意引导;说个和本博客的读者们主流价值观不一样的话,就是五毛;我解释了这个网站有五毛的不可能性,然后被说是自干五。分析了个站内流量,被说是站长。
      5.我觉得我解释的很清楚了。没有人身攻击。但是我要说的是,我说(关于公知)的话,可能不是针对你。但是这博客里,有的人很明白他自己扮演的什么角色,无非是在社会碰壁导致心里容易被煽动。绝症就是迫害妄想症。

      删除
    7. TO 风中的小伞
      先纠正一下:
      俺原先写的那个是《翻墙快报》,【不是】你说的《翻墙观察》。

      另外,你提到说:
      [quote]
      我觉得该博客最传统的路子,应该是:最近某款翻墙软件无法使用了,分析原因(来源国家哪个事件?或者某情况)。某地无法上网/翻墙的原因。再引出来另一个文章,一些所谓的政治。
      [/quote]

      你描述的这种风格,跟俺的风格不太相符。
      俺这几年写的翻墙相关的博文,大致有两种情况:
      1、单独介绍某款翻墙工具(那些比较常见的梯子,俺都单独写过教程)
      2、当 GFW 加大封锁力度,导致很多常见的梯子都失效了。然后俺会发一篇《翻墙快报》,说说应对的措施(算是救急)

      最近一年多没有发《翻墙快报》,是因为 GFW 不给力 :)
      最近一年多,任何一个时期,都有至少3种以上的常见翻墙工具可以稳定工作

      俺猜测:
      有可能你把其它博客的《翻墙观察》误以为是俺博客的内容了。
      比如 GFW BLOG 就有一个《翻墙观察》的栏目

      删除
    8. 回复7单元
      好吧,可能是我记错了。我还记得你写翻墙快报那时,你说习近平在阅兵。然后那时各种网络工具失效。不知道我记错了没。
      还是比较喜欢你的博客。

      删除
    9. to 小伞

      首先,你的交流开始不太攻击和该帽子了,这是很好的,真的是应该表扬的。我呢也没必要条条都回复你,我就挑选一两个来说吧。

      楼主被反华势力收买了,和小伞是共产党的五毛,你看,这两个推论是不是一个类别的,我想,别人这么说你的时候你会发怒,那么你或许知道了这样交流带来的压力和不悦,那么你就不要用同样的方法回复回去,你说呢?其次你说楼主反对TG,那个是他个人价值观,人生观,世界观形成的观点。你不应该怕一个人的价值观和一个人价值观的表达,无论如何言论自由是繁荣的基础,我的观点是言论自由能够一定的平衡人类社会的不平衡天性。你害怕的应该是你自己才对,为什么这么说?如果你认为自己是有道德的,有一定的社会责任感,有拯救大众的意识,那么你害怕的是自己的责任感无法对应相应的知识层次,你应该努力学习,去传播你的思想。有了这样的境界的人是不会去攻击他人个人的人格的,也更不会在意他人对自己的攻击和发难,这样的价值观的人会多放时间说观点,不做情绪上的纠缠。我想在楼主这里我看到了,他并没有攻击一个具体的人,他/她通过一些事件,论据来讨论我们目前政府的不作为和这样一个社会制度下一些人群受到的灾难,我们且不说太大的事情,作为一个人,如果反对你的人受到迫害,你能站出来用法律捍卫他的权力,那么我认为你这样的人起码在道德层次上有了公民意识,我觉得楼主一定程度上宣传了这样的思考方式。也有可能我没关注过你太久,我目前没有在你身上看见,所以也要给一点时间。我通过读楼主的这些文字:1我没有绝对崇拜和迷信楼主,我没有极端崇拜搂住否认共产党的绝对态度,我只是结合我自己的经历和阅历我同意他的大部分观点,但是我更喜欢的是搂主的价值观和思考方式2我学到了很多以前没有接触到的知识3我感觉楼主没有攻击个人4我目前感觉很多人在攻击你,想攻击你,而且讨厌你,但是你以同样的方式回击了回去,所以我想说一个你可能会不高兴的话,你表达出来的希望人们不要被搂主过于极端的思考方式给迷惑的道德态度和你的言语行为有些差距,起码你没做到温和表述。我想你一开始的印象在我眼里确实不太好,既然你喜欢这个博客,就变的更加理性和智慧些,你说呢。翻墙不易,先说到这里了

      删除
    10. 刚开始有人说你五毛,现在没人说你五毛了吧
      基本上都知道你是自泔奴,还是流水线量产型的
      你还是活在中国梦里比较好,外面的世界不适合你

      删除
    11. 读点博文再来装老读者,你的很多脑残问题博主早就分析透了,你读过的话肯定不会有这么多脑残言论
      你在这一边发布脑残言论,一边假装自己老读者,真正的老读者都在看你笑话你还不自知

      删除
    12. 对共产党剥皮抽筋是唯一正确的做法

      删除
    13. 1、这个博客长期被御用黑客和官方五毛蹲点,你不知道还出来“理智分析”
      2、按你的思路,假如你是站长,你肯定觉得开色情网站牛比,人家流量大啊
      3、翻到前篇帖子去读下,你那叫信口开河,不叫分析,你分析个屁

      删除
    14. 4、摆脱洗脑,你就说是社会碰壁被煽动,那你是体制内?人生赢家?
      实际上就你这种逻辑混乱缺乏思维能力的人容易被煽动
      只怕你的小玻璃心不能接受现实,又发些李屌吧之流图聊以自慰
      5、你自称读过很多书,那么tg搞迫害的手段,你肯定是知道的,
      还说别人迫害妄想症,你说你是不是揣着明白装糊涂,其心可诛

      删除
    15. 弱智铁定不会来这里,共产党屠杀读书人夹边沟都死的差不多了,只能是共产党的爪牙胡扯,会翻墙的不可能是那种傻子

      删除
    16. 博主被不被收买还轮不到你这条自干五说话,你这条狗倒是叫得挺欢的。博主写政治博文多又怎么样?你维稳压力大了?呸!

      删除
    17. 回复14单元
      5.是是是。TG随时都在迫害你,周围的任何事绝对是TG在间接迫害你、影响你。
      4.没被碰壁的人多着呢,生活好的人不一定是政府党内人士。
      1.对对对,思想居中、居左的人一律被你们视为官五毛。我不解释的话,我还当了一回官五毛。对嘛,要把阶级斗争贯彻到底。

      删除
    18. 昨天华裔被法国警察在家中开枪打死了,这绝对不是民主自由的法国政府干的事,这绝对是TG潜伏在法国、妄图以社会主义侵蚀民主国家的阴谋,绝对是跨国追捕华人制造的恶性案件。
      法国华裔华侨抗议的绝对不是法国政府,要么是被TG欺骗了,要么是假新闻,他们抗议的是TG。
      开枪不打身躯、只打头,就是不能给跨国追捕的华人生存机会。

      删除
    19. 脑残就是脑残,自干五自己脑残罢了,还想别人也跟着脑残,真是可惜,一生就这么废了,当老了回想起来一定会感慨当年不那么脑残就好了。

      删除
    20. A:这篇新闻绝对是造谣,这新闻最早是由"global times"报道的,global times是啥?就是环球时报的英文版,环球时报是啥?是人民日报社出的,党的喉舌,这种辣鸡怎么能信?
      B:原来如此,说的对啊。可是其他媒体也报道呢。
      A:法国是民主自由的国家,曾经英法战争打了300多年,出了民主英雄圣女贞德,光辉的历史,不屈的意志,怎么可能被TG给抹黑。
      B:可是圣女贞德不是被奸人所害吗?体现了中世纪腐朽的统治和宗教的黑暗。
      A:她肯定是被TG害的,宗教领袖中有TG潜伏。而且TG擅长文化控制,修改历史书,扰乱大众。再说说那么久远干嘛?TG害人谁不知道?
      B:呀,看来真的好可怕,我们的生活都被TG包围了耶。我可要摆脱洗脑,免得被精神控制,到时候就完蛋了。

      删除
    21. 1、没有说你官五,你这水平赵老板不会收的
      只是发现你是自带泔水的奴才,简称自泔奴
      2、这个博客留言是有被水表的风险的,没人说过tg时时迫害
      你辩论,总共就这点歪曲原话然后反驳的伎俩,还反复用,看着都好笑

      删除
    22. 我提议,把雨中小伞选做站宠,严肃之余总需要人来搞笑嘛。

      删除
  51. 所以在 DOS 时代以及 Win9x 时代,病毒的流行程度很广;到了 NT 时代(Win2000 之后),开始普及 NTFS 文件系统(支持文件权限),病毒的流行程度就一下子少了很多。

    其實當年VIRUS還是很多..
    而且NTFS沒人用的..XP還是用FAT吧?
    到了VISTA WINS才迫大家用NTFS?
    另外NTFS不是無敵
    如果只用ADMIN權限還是一樣..
    而WINS那個很煩人的RIGHT CONTROL也只擋到3成病毒..

    Linux 有更严格的“文件权限”
    WINS那麼強大卻不把權限改為LINUX版..

    而近期的几个 Windows 版本(Win7、Win8、Win10)再怎么裁剪也还是有几百兆。
    沒那麼誇張吧..但數十GB就有了..

    就拿前几个月的新闻来说——高通的芯片存在一个 QuadRooter 漏洞,可以被攻击者用于“提升权限”。据说影响全球几亿部手机(相关报道在“这里”)
    QUAD根本是和支那合作..

    攻击面的确定性..单点风险..想起無線USB MOUSE的USB PORT可以給人HACK拿到電腦的所有權限..
    解決辦法 用最新的藍牙版本設備
    但BLUETOOTH也可以被HACK
    最好用有線設備

    其實LINUX也很受歡迎
    這樣BSD會更安全吧?

    为了加深大伙儿的印象,俺拿 Windows 来作为反例——因为 Windows 基本上完全是【闭源】的。
    WINS MARKET應會審一審..但問題怕WINS裝木馬..

    ◇缺乏“软件包管理机制”的风险
    官方網站也可以被HACK

    缺陷3:没有及时升级新版本
      大部分软件本身是不提供“自动升级”功能
    自動升級也可以由官方自動升級加木馬
    看看兩大手提系統一堆APPS甚麼權限也拿..
    有些電筒APPS也拿所有權限..

    缺陷3:没有及时升级新版本
      大部分软件本身是不提供“自动升级”功能的
    大部份大軟件都有自動升級

     很多年以前,Windows 上就流行一个低劣的骗术——把一个 exe 的可执行文件内置一个 jpg 的图标,然后再通过适当地修改文件名,伪装成一个吸引人的图片文件(此时该文件的扩展名依然是 exe,但是菜鸟通过资源管理器看这个文件,会以为是个图片)。
    無腦M$永遠都預設HIDE副檔案名..

    原來REDHAT投共了..這公司不能信任..
    柱我那麼喜歡REDHAT..

    另外能更新留言區的GOOGLE驗證器嗎?
    已出了V3
    方便很多..


    回复删除
    回复
    1. TO 52楼的网友
      首先感谢你写了这么长的留言,分享你的观点 :)

      针对你所说的其中几条,俺逐一回应一下。

      1、
      博文中提到说:[quote]病毒的流行程度就一下子少了很多[/quote]
      俺这句话指的是”减少的量“,而【不是】指”变少了“
      所以,这句话与你所说的:[quote]其實當年VIRUS還是很多[/quote]
      并不矛盾

      2、
      你提到说:
      [quote]XP還是用FAT吧?到了VISTA WINS才迫大家用NTFS?[/quote]

      你的理解有误。
      Windows 早在1993年的 Windows NT 3.1 就开启了【NT 系列】。NT 系列的内核与 Win9x 完全不同。
      (注:Windows NT 3.1 【并不是】Windows 3.1)
      NT 系列一开始就引入 NTFS 文件系统(看两者的名称)
      所以,早在1993年,某些版本的 Windows 就有 NTFS 的支持了。
      另,Win2000 都已经支持 NTFS 了,更不用说 WinXP 了。

      3、
      你提到说:[quote]這樣BSD會更安全吧?[/quote]
      俺认为:
      BSD 与 Linux,在安全方面各有千秋。
      BSD 的内核,在某些方面比 Linux 内核要好。
      但是,
      BSD 没有”发行版“的概念。BSD 的分支,也就只有那少数几款。
      因此,用了 BSD 之后,”攻击面的确定性“太大。
      这是 BSD 的劣势。
      另外,
      俺在 50楼1单元 还提到了 BSD 的另外几个劣势。

      4、
      你提到说:[quote]大部份大軟件都有自動升級[/quote]
      俺不赞同。
      你可能忽略了小软件。
      那些不起眼/不知名的小软件,占了总数的大头。

      5、
      关于你询问”留言區的GOOGLE驗證器“。
      发布留言时出现的验证器,俺是【无法】定制的。
      调用验证器的 JS 代码位于域名 www.blogger.com 之下
      而俺只能定制 program-think.blogspot.com 域名下的内容

      删除
  52. 很不爽WINS自VISTA開始投共
    想轉用MAC..
    WIN10更強迫看ADS..
    8也有ADS但可以HIDE..

    回复删除
  53. 其实Google内部默认使用系统就是ubuntu的一个衍生版Goobuntu,Google对它进行了安全性的定制,可惜是内部专用的。其实对大多数网民来说,洁身自好远比用啥安全操作系统重要,远离XX卫士XX助手XX安全高速浏览器XX输入法,实在要用的话,可以在win10装个uwp版的,简陋但基本功能都有。桌面Linux的普及之路还是太遥远,本人之前一直使用ubuntu的LTS版,但也经常被包冲突库依赖什么的搞的很头疼,先能像Mac一样不依赖终端吧

    回复删除
  54. linux精简后可以降低攻击风险。

    有一个不好听的例子:
    一个患前列腺癌的男性,可以使用持续服用雌性激素来治疗。
    同时,一个正常男性,如果服用雌激素,则会增加患乳腺癌的风险。

    回复删除
  55. 隨想辛苦了 建議隨想列個坑的list
    然後讀者們可以多人協作完成這個文章
    這樣一週可以來一個隨想親筆的文章和讀者貢獻的文章

    回复删除
  56. 第N次留言,博主终于要说Linux操作系统了,作为一个刚刚成长的新晋读者,表示懵逼。完全看不懂,有没有入门的教程系统了解一下这伟大的系统?(鸟哥的博客在看)

    回复删除