上一篇博文的评论数突破【一千】大关。感谢热心读者的捧场 :)
参与讨论的读者增多了之后,俺再次提醒大伙儿:网上的沟通要注意素质,理性讨论,避免过于情绪化。另外,要避免逻辑谬误的陷阱(参见《扫盲逻辑谬误》)。
评论数猛增也暴露出之前未发现的一个“评论区的 Bug”。经过几位热心读者的大力支持(帮俺测试),该 bug 已经在前天修复。在此,向这几位热心读者郑重地表示感谢!
★引子
前一篇博文《为什么桌面系统装 Linux 可以做到更好的安全性(相比 Windows & macOS 而言)》发出后,不出所料,引发了一些争议。
有些读者提的批评意见,指出了俺博文某些地方不严密,俺表示感谢,并且也在博文中加了补充说明(以免引起误解)。
但也有些读者的留言,给人感觉是替微软“洗地”的。
比如 131楼37单元 的评论说(下面是原话):
linux平均的漏洞寿命是5年(Kees Cook),COW漏洞更是存在了9年才被修复。很难想象windows会拖这么久。
当俺看到该评论的【最后一句】,不禁哑然失笑——Windows 的安全漏洞之多,在安全业界是有目共睹滴;Windows 安全漏洞潜伏时间之长,在业界也是有目共睹滴。
俺写上一篇博文的时候,主要是介绍 Linux(桌面系统)相对于 Windows 和 macOS 的安全优势。当时想给微软留点面子,所以没怎么狠批 Windows 的安全问题。如今有人跳出来洗地,俺就借这个机会,抖一下 Windows 的阴暗面。
★事先声明
为了严密性,避免有人抬杠,俺先说明一下:本文讨论的是用于【桌面】的 Windows 系统。
服务端的 Windows、手机端的 Windows、嵌入设备的 Windows,均【不在】本文讨论范围。
★预备知识
◇何为“漏洞”?
关于这个概念的解释,请参见《如何防止黑客入侵》系列的第4篇(链接在”这里“)。
◇何为“安全漏洞”?
(同上)
◇何为“补丁”?
(同上)
◇啥是“漏洞的潜伏期”?
从漏洞开始引入软件的这个时间点,一直到漏洞被曝光(被公开)的时间点,中间这个时期是“潜伏期”。漏洞一旦被曝光(被公开),软件厂商(开发软件的公司/组织)通常会发布补丁,用于修复此漏洞。
在潜伏期,由于漏洞尚未被公开,因此也就【没有】补丁;但是,有可能某些黑客/骇客已经发现了该漏洞,于是这帮人就可以在【没有补丁的情况下】,充分利用该漏洞。
可以这么说:可供利用的“未公开漏洞”(处于潜伏期的漏洞)是攻击者的天堂。
◇【不要】混淆“未公开漏洞”和“零日漏洞”
“零日漏洞”,洋文也叫:“Zero-Day 或 0-Day”。
“未公开漏洞”和“零日漏洞”,概念上是完全不同滴,危险性也是完全不同滴——“未公开漏洞”更危险。
关于这两者的区别,请看《如何防止黑客入侵》系列的第4篇(链接在“这里”)。
◇啥是“CVE”?
CVE 是洋文“Common Vulnerabilities and Exposures”的缩写。
通俗地说:这是全球最大、最权威、最有影响力的漏洞库。由美国的非营利组织 MITRE 负责维护和运营。几乎每一个曝光的操作系统漏洞(不论是 Windows 家族还是 Linux 家族、mac 家族、BSD 家族),通常都有对应的 CVE 编号。
在 CVE 漏洞库中,每一个漏洞都分配一个唯一的编号,形式如:CVE-YYYY-NNNN。其中的 YYYY 是四位数的年份,NNNN 是四位数的递增编号。
★Windows 安全漏洞举例——对最近2个自然年的统计
为了体现本文的说服力,俺以【事实说话】。
下面列出的漏洞,【全部来自微软官网】。也就是说,这些安全漏洞全部都是微软自己承认滴。这些漏洞波及(影响)的范围,也都是微软官方承认滴。
考虑到俺只是一介屁民,时间和精力很有限,俺不可能把微软官网历史上所有的安全漏洞都汇总一遍。所以俺挑选了最近的2个【完整自然年】,作为举例——分别是 2016 和 2015。
◇2016年
微软在该年度发布了【153个】安全公告(全部清单在“这个链接”)。
请原谅俺的耐心和精力有限,只列出【前20个】(算是抽样)。
注:
下面列出的安全公告是该年度的前20条,都是在年初曝光的。那年的最新版本是 Win 10。(“Windows Server 2016”要到2016年【下半年】才发布)
在2016年上半年,仍然提供支持的最老版本是 Windows Vista。
因此,下列的漏洞,如果影响范围是【从 Vista 到 Win10】,那么这个漏洞就是【全系列漏洞】——影响了(漏洞曝光时)所有的 Windows 版本。
微软安全公告 | 漏洞数 | 漏洞的 CVE 号 | 漏洞类型 | 漏洞所在模块 | 潜伏期 | 影响范围 | 描述 |
---|---|---|---|---|---|---|---|
MS16-001 | 2 | CVE-2016-0002 CVE-2016-0005 | 远程执行代码 | IE 浏览器 | 10年 | 从 IE7 到 IE11 (对应系统版本)从 Vista 到 Win8.1 | 攻击者构造特定网页,当受害者用上述版本的 IE 访问,就中招 |
MS16-002 | 2 | CVE-2016-0003 CVE-2016-0024 | 远程执行代码 | Edge 浏览器 | 1年 | Edge (对应系统版本)Win10 | 攻击者构造特定网页,当受害者用上述版本的 Edge 访问,就中招 |
MS16-003 | 1 | CVE-2016-0002 | 远程执行代码 | VBS 脚本引擎 | 10年 | 从 VBS 5.7 到 5.8 (对应系统版本)从 Vista 到 Windows Server 2008 R2 | 攻击者构造特定网页(嵌入特定的 VBS 脚本),如果受害者使用的 IE 含有上述版本的 VBS 引擎,就中招 |
MS16-004 | 4 | CVE-2016-0010 CVE-2016-0012 CVE-2016-0017 CVE-2016-0035 | 远程执行代码 | Office | 9年 | 从 Office 2007 到 2016 | 攻击者构造特定文档(Excel、PowerPoint),当受害者用上述版本的 Office 打开,就中招 |
MS16-005 | 2 | CVE-2016-0008 CVE-2016-0009 | 远程执行代码 | 内核的 GDI32 模块 内核的 Win32k.sys 模块 | 10年 | 从 Vista 到 Win8.1 | 攻击者构造特定网页,不论受害者用哪种浏览器访问,都会中招 |
MS16-006 | 1 | CVE-2016-0034 | 远程执行代码 | Silverlight | 5年 | Silverlight 5 | 攻击者构造特定网页,当受害者的浏览器安装了上述版本的 Silverlight,就中招 |
MS16-007 | 6 | CVE-2016-0014 CVE-2016-0015 CVE-2016-0016 CVE-2016-0018 CVE-2016-0019 CVE-2016-0020 | 远程执行代码 本地提升权限 安全特性绕过 | 内核的动态库加载 DirectShow RDP(远程桌面) | 10年 | 从 Vista 到 Win10 【全系列漏洞】 | 攻击者可以构造特定文件,当受害者打开该文件会引发 DirectShow 的堆溢出(缓冲区溢出)并执行恶意代码。 攻击者可以构造特定的动态库,当受害者的系统加载该动态库会中招,攻击代码可以提升到管理员权限。 攻击者可以利用 RDP 的漏洞在没有密码的情况下登录 |
MS16-008 | 2 | CVE-2016-0006 CVE-2016-0007 | 本地提升权限 | 内核 | 10年 | 从 Vista 到 Win8.1 | 如果攻击者有机会在受害者的系统中执行代码,就可以利用该漏洞提升到“管理员权限” |
MS16-009 | 13 | CVE-2016-0041 CVE-2016-0059 CVE-2016-0060 CVE-2016-0061 CVE-2016-0062 CVE-2016-0063 CVE-2016-0064 CVE-2016-0067 CVE-2016-0068 CVE-2016-0069 CVE-2016-0071 CVE-2016-0072 CVE-2016-0077 | 远程执行代码 本地提升权限 | IE 浏览器 | 10年 | 从 IE9 到 IE11 (对应系统版本)从 Vista 到 Win10 【全系列漏洞】 | 攻击者构造特定网页,当受害者用上述版本的 IE 访问,就中招。 这次公告包含大量 IE 浏览器的缓冲区溢出漏洞。 |
MS16-010 | - | - | - | Exchange Server | - | - | (这个是关于服务端软件的漏洞,与本文无关) |
MS16-011 | 4 | CVE-2016-0060 CVE-2016-0061 CVE-2016-0062 CVE-2016-0080 | 远程执行代码 | Edge 浏览器 | 1年 | Edge (对应系统版本)Win10 | 攻击者构造特定网页,当受害者用上述版本的 Edge 访问,就中招 |
MS16-012 | 2 | CVE-2016-0046 CVE-2016-0058 | 远程执行代码 | PDF Library Windows Reader | 3年 | 从 Win8.1 到 Win10 | 攻击者构造特定文档,当受害者用上述版本的 Reader 打开,就中招 |
MS16-013 | 1 | CVE-2016-0038 | 远程执行代码 | Windows Journal | 10年 | 从 Vista 到 Win10 【全系列漏洞】 | 攻击者构造特定的 Journal 文档,当受害者打开,就中招 |
MS16-014 | 4 | CVE-2016-0040 CVE-2016-0041 CVE-2016-0042 CVE-2016-0049 | 远程执行代码 本地提升权限 | 内核 | 10年 | 从 Vista 到 Win10 【全系列漏洞】 | 如果攻击者有机会在受害者的系统中执行代码,就可以利用该漏洞提升到“管理员权限” |
MS16-015 | 6 | CVE-2016-0022 CVE-2016-0039 CVE-2016-0052 CVE-2016-0053 CVE-2016-0055 CVE-2016-0056 | 远程执行代码 | Office | 9年 | 从 Office 2007 到 2016 | 攻击者构造特定文档(Word、Excel),当受害者用上述版本的 Office 打开,就中招 |
MS16-016 | 1 | CVE-2016-0051 | 本地提升权限 | WebDAV | 10年 | 从 Vista 到 Win10 【全系列漏洞】 | 如果攻击者有机会在受害者的系统中执行代码,就可以利用该漏洞提升到“管理员权限” |
MS16-017 | 1 | CVE-2016-0036 | 本地提升权限 | RDP(远程桌面) | 7年 | 从 Win7 到 Win10 | 如果受害者的系统开启了远程桌面服务,攻击者通过远程桌面登录到该系统之后,可以利用此漏洞提升到“管理员权限” |
MS16-018 | 1 | CVE-2016-0048 | 本地提升权限 | 内核 Win32k.sys 模块 | 10年 | 从 Vista 到 Win8.1 | 如果攻击者有机会在受害者的系统中执行代码,就可以利用该漏洞提升到“管理员权限” |
MS16-019 | 2 | CVE-2016-0033 CVE-2016-0047 | 拒绝服务 | dotNet Framework | 10年 | 从 dotNet Framework 2.0 到 4.6 (对应系统版本)从 Vista 到 Win10 【全系列漏洞】 | 攻击者构造特定的 XSLT 文档,当受害者打开会导致系统崩溃。 (.Net Framework 2.0 发布于2006年,漏洞的潜伏期从那年起算) |
MS16-020 | - | - | - | Active Directory | - | - | (这个是关于服务端软件的漏洞,与本文无关) |
◇2015
微软在该年度发布了【135个】安全公告(全部清单在“这个链接”)。
请原谅俺的耐心和精力有限,只整理出【前20个】(算是抽样)。
注:
下面列出的安全公告是该年度的前20条,都是在年初曝光的。此时的最新版本是 Win 8.1。(“Windows 10 和 Windows Server 2016”要到2015年【下半年】才发布)
在2015年上半年,仍然提供支持的最老版本是 Windows 2003。
因此,下列的漏洞,如果影响范围是【从 Win2003 到 Win8.1】,那么这个漏洞就是【全系列漏洞】——影响了(漏洞曝光时)所有的 Windows 版本。
微软安全公告 | 漏洞数 | 漏洞的 CVE 号 | 漏洞类型 | 漏洞所在的模块 | 潜伏期 | 影响范围 | 描述 |
---|---|---|---|---|---|---|---|
MS15-001 | 1 | CVE-2015-0002 | 本地提升权限 | 内核的 ahcache.sys 模块 | 6年 | 从 Win7 到 Win8.1 | 如果攻击者有机会在受害者的系统中执行代码,就可以利用该漏洞提升到“管理员权限” |
MS15-002 | 1 | CVE-2015-0014 | 远程执行代码 | Telnet 服务 | 12年 | 从 Win2003 到 Win8.1 【全系列漏洞】 | 如果受害者的系统启用了 telnet 服务,攻击者远程连上 telnet 的 TCP 端口后,可以利用该漏洞执行恶意代码。 |
MS15-003 | 1 | CVE-2015-0004 | 本地提升权限 | User Profile 服务 | 12年 | 从 Win2003 到 Win8.1 【全系列漏洞】 | 如果攻击者有机会在受害者的系统中执行代码,就可以利用该漏洞提升到“管理员权限” |
MS15-004 | 1 | CVE-2015-0016 | 本地提升权限 | WebProxy 模块 | 9年 | 从 Vista 到 Win8.1 | 如果攻击者有机会在受害者的系统中执行代码,就可以利用该漏洞提升到“管理员权限” |
MS15-005 | 1 | CVE-2015-0006 | 安全特性绕过 | NLA 服务 | 12年 | 从 Win2003 到 Win8.1 【全系列漏洞】 | 当攻击者与受害者处于同一个网络(domain),攻击者可以利用此漏洞进行 DNS/LDAP 欺骗。 |
MS15-006 | 1 | CVE-2015-0001 | 安全特性绕过 | WER(错误报告) | 3年 | 从 Win8 到 Win8.1 | 攻击者需要先登录到系统中,然后利用此漏洞可以读取任何进程的内存。 |
MS15-007 | - | - | - | Network Policy Server | - | - | (这个是关于服务端软件的漏洞,与本文无关) |
MS15-008 | 1 | CVE-2015-0011 | 本地提升权限 | 内核 mrxdav.sys 模块 | 12年 | 从 Win2003 到 Win8.1 【全系列漏洞】 | 如果攻击者有机会在受害者的系统中执行代码,就可以利用该漏洞提升到“管理员权限” |
MS15-009 | 41 | 涉及的漏洞太多 不逐一列出 CVE | 远程执行代码 拒绝服务 | IE 浏览器 | 14年 | 从 IE6 到 IE11 【IE 全系列漏洞】 (对应系统版本)从 Win2000 到 Win8.1 | 攻击者构造特定网页,当受害者用上述版本的 IE 访问,就中招 |
MS15-010 | 6 | CVE-2015-0003 CVE-2015-0010 CVE-2015-0057 CVE-2015-0058 CVE-2015-0059 CVE-2015-0060 | 本地提升权限 远程执行代码 | 内核 Win32k.sys 模块 | 12年 | 从 Win2003 到 Win8.1 【全系列漏洞】 | 攻击者构造特定网页,内含特定的 TrueType 字体。不论受害者用哪种浏览器访问,都会中招 |
MS15-011 | 1 | CVE-2015-0008 | 远程执行代码 | Group Policy | 12年 | 从 Win2003 到 Win8.1 【全系列漏洞】 | 如果攻击者掌握了某个“主域控制器”,可以通过构造特定的“域策略”并下发,所有加入该域的主机都会中招。 |
MS15-012 | 3 | CVE-2015-0063 CVE-2015-0064 CVE-2015-0065 | 远程执行代码 | Office | 8年 | 从 Office 2007 到 2013 | 攻击者构造特定文档(Word、Excel),当受害者用上述版本的 Office 打开,就中招 |
MS15-013 | 1 | CVE-2014-6362 | 安全特性绕过 | Office | 8年 | 从 Office 2007 到 2013 | 该漏洞可以让攻击者绕过 ASLR(地址空间布局随机化),有助于后续进行“远程执行代码”的攻击 |
MS15-014 | 1 | CVE-2015-0009 | 安全特性绕过 | Group Policy | 12年 | 从 Win2003 到 Win8.1 【全系列漏洞】 | 攻击者可以利用此漏洞进行“中间人攻击”,篡改“主域控制器”下发的组策略,使得“域成员主机”收到的组策略变得缺乏安全性。 |
MS15-015 | 1 | CVE-2015-0062 | 本地提升权限 | 内核 | 8年 | 从 Win7 到 Win8.1 | 如果攻击者有机会在受害者的系统中执行代码,就可以利用该漏洞提升到“管理员权限” |
MS15-016 | 1 | CVE-2015-0061 | 信息泄漏 | 图形组件 | 12年 | 从 Win2003 到 Win8.1 【全系列漏洞】 | 攻击者构造特定的网页或文档(其中嵌入特定的 TIFF 图片),当受害者打开该网页或文档,就中招(攻击者可以获取某些进程的内存) |
MS15-017 | - | - | - | VMM Server(虚拟机管理服务器) | - | - | (这个是关于服务端软件的漏洞,与本文无关) |
MS15-018 | 9 | CVE-2015-0056 CVE-2015-0099 CVE-2015-0100 CVE-2015-01622 CVE-2015-01623 CVE-2015-01624 CVE-2015-01625 CVE-2015-01626 CVE-2015-01634 | 远程执行代码 | IE 浏览器 | 14年 | 从 IE6 到 IE11 【IE 全系列漏洞】 (对应系统版本)从 Win2000 到 Win8.1 | 攻击者构造特定网页,当受害者用上述版本的 IE 访问,就中招 |
MS15-019 | 1 | CVE-2015-0032 | 远程执行代码 | VBS 脚本引擎 | 12年 | 从 VBS 5.6 到 5.8 (对应系统版本)从 Win2003 到 Windows Server 2008 R2 | 攻击者构造特定网页(嵌入特定的 VBS 脚本),如果受害者使用的 IE 含有上述版本的 VBS 引擎,就中招 |
MS15-020 | 2 | CVE-2015-0081 CVE-2015-0096 | 远程执行代码 | WTS(文本服务) 内核的动态库加载 | 12年 | 从 Win2003 到 Win8.1 【全系列漏洞】 | 攻击者构造特定的网页或文档,当受害者打开该网页或文档,就中招 攻击者可以构造特定的远程共享目录或者USB盘,当受害者用“资源管理器”访问该共享目录或U盘,就中招 |
★关于 Windows 安全漏洞的“潜伏期”——实际情况比统计表中看到的更长
在微软官方的安全公告中,明确指出:生命周期已经结束(已经终止支持)的 Windows 版本,是【不会】出现在安全公告中的。
考虑到这点,所以俺上面列出的“潜伏期”总是【偏小】滴。
为啥捏?俺来解释一下:
假设有一个 WinXP 的安全漏洞,一直遗留在 Windows 内核中,一直到 2016年 才被发现。此时,微软的安全公告列出的受影响系统,只会包含:从 Windows Vista 一直到 Win10。而不会有 WinXP 和 Win2003。因为在 2016年,这两个系统已经终止支持。
对该漏洞,俺如果根据微软的安全公告计算潜伏期,(由于微软公布的信息不足)俺只能从 Vista 开始算起。得出的计算结果是 10年(Vista 是2006年发布);但实际上,这个漏洞的潜伏期是 15年(应该从 2001年 发布 WinXP 开始算起)。
但即使这样(由于信息不足而导致计算出的“潜伏期”偏小),你也会发现:Windows 的安全漏洞,潜伏期都很长。
为了方便跟漏洞列表中的“潜伏期”作对照,俺列出各个 Windows 版本的生命周期。
操作系统版本 | 发布时间 | 终止支持时间 |
---|---|---|
Windows 2000 | 2000年2月 | 2010年7月 |
Windows XP | 2001年10月 | 2014年4月 |
Windows Server 2003 | 2003年4月 | 2015年7月 |
Windows Vista | 2006年11月 | 2017年4月 |
Windows Server 2008 | 2008年2月 | 2020年1月 |
Windows 7 | 2009年7月 | 2020年1月 |
Windows Server 2008 R2 | 2009年7月 | 2020年1月 |
Windows 8 | 2012年10月 | 2023年1月 |
Windows Server 2012 | 2012年10月 | 2023年10月 |
Windows 8.1 | 2013年10月 | 2023年1月 |
Windows Server 2012 R2 | 2013年10月 | 2023年10月 |
Windows 10 | 2015年7月 | 2026年10月 |
Windows Server 2016 | 2016年9月 | 2027年1月 |
★为啥 IE 浏览器的漏洞特别危险?
浏览器相关的漏洞,特别危险——因为攻击者可以构造一个“挂马的网页”,当你访问这个页面就会中招。
这种情况下,很多安全工具是【无法】帮助防范的,原因如下:
1. 因为你的浏览器总是要上网的,所以你的防火墙,不论设置了多么严格的规则,也【无法】防范这类“基于 Web 的攻击”。
2. 如果攻击者利用的是【未公开】漏洞,你安装的杀毒软件很可能【无法】防范。因为杀毒软件是基于【事后收集】来形成杀毒软件的特征库。针对未公开漏洞的攻击代码,尚未进入它们的特征库。
3. 很多杀毒软件吹嘘他们具有“基于行为识别的防范机制”。这大部分都是用来进行市场营销宣传的噱头,其效果令人怀疑。
★(在 Windows 上)改用其它浏览器上网,并【不能】消除 IE 的危险性
很多读者看了上面一段,吓坏了。他们肯定在想,要换一个浏览器,别再用 IE 了。
但是俺想提醒你一下:(在 Windows 上)IE 是无处不在滴,即使你改用其它浏览器(比如 Chrome/Firefox),依然存在 IE 的风险。
下面俺来解释一下——为啥【IE 是无处不在滴】。
从上世纪90年代的 Win98 一直到 Win10(2015年发布),IE 都是内置(捆绑)到 Windows 中的。你【没办法】从 Windows 中【彻底移除】IE。没法移除也就算了,但是有很多软件会依赖 IE 的组件来处理 Web 内容。这种情况下,能针对 IE 的攻击代码,通常也可以攻击这些“调用了 IE 的软件”。
举个“邮件客户端依赖 IE”的例子:
当你用 Outlook 或 Outlook Express 收邮件,如果你收到的邮件内容是基于 HTML 的(这很常见),那么 Outlook/Outlook Express 会调用 IE 相应的组件来渲染这些含有 HTML 内容的邮件。不光是 Outlook 或 Outlook Express,其它一些【第三方】的邮件客户端软件,也会依赖 IE 的组件来渲染 HTML 内容的邮件。这种做法很普遍,因为 IE 是 Windows 的标配,对那些开发邮件客户端的程序员来说,这么干是最省事儿的(俺也做过 Windows 程序猿,很清楚这种玩法)。
在这种情况下,如果 IE 存在未公开漏洞,攻击者就可以通过给你发(HTML 格式的)邮件,来利用这个漏洞,从而让你中招。
再举个“Office 依赖 IE”的例子:
用 Windows 的同学,俺相信 95% 以上都装了 Office。不管你平时是否需要文字处理,反正 Office 基本上是 Windows 的标配。
假设 IE 的 Web 引擎存在某个【未公开的】缓冲区溢出漏洞,可以导致“执行代码”。那么攻击者可以在网上提供一个 Word 格式(doc/docx)的文档(或者通过邮件/IM 等方式分发这个文档),文档中包含基于 HTML 的 Web 内容。这段 HTML 是精心构造的,可以利用 IE 的上述漏洞。那么,当你拿到这个文档并双击打开,此时 Windows 会启动 Word 来加载该文档,Word 发现文档中有 Web 内容,会调用 IE 的引擎来渲染,于是你就中招了。由于这个漏洞可以导致“执行代码”,那么攻击者可以在你的系统中安装一个木马。之后就可以玩很多花样啦 :(
★更要命的是——IE 浏览器的安全漏洞还特别多
某个专门研究 IE 的御用骇客说过一句话(大意是):IE 的漏洞之多,就像筛子一样。
看完俺下面的统计数字,你就能体会——此话一点不夸张。
在俺整理的这40个公告中,累计漏洞数 129 个,“浏览器相关”的漏洞占了很大比例:
65个是 IE 浏览器本身的漏洞
6个是 Edge 浏览器本身的漏洞
6个是 其它模块的漏洞(但可以通过 IE 或 Edge 触发)
也就是说,在俺抽样的40个安全公告中,浏览器相关的漏洞(77个),占了漏洞总数的比例是 59.6%。而这些浏览器相关的漏洞,类型是【远程执行代码】又占了很大比例。这种类型的漏洞是最危险的(没有之一)。
可能有些同学会怀疑:俺抽样的这40个安全公告,在统计学上有偏差。
那俺还可以再告诉你另一批数据(更吓人)——几乎每一个月,都会有 IE 相关的安全公告,而且 IE 的公告披露的漏洞往往很多(通常在十个左右)。下面拿 2016年 来举例:
安全公告编号 | 发布时间 | IE 漏洞数 |
---|---|---|
MS16-009 | 2月 | 13个 |
MS16-023 | 3月 | 13个 |
MS16-037 | 4月 | 6个 |
MS16-051 | 5月 | 5个 |
MS16-063 | 6月 | 10个 |
MS16-084 | 7月 | 14个 |
MS16-095 | 8月 | 9个 |
MS16-104 | 9月 | 10个 |
MS16-118 | 10月 | 11个 |
MS16-142 | 11月 | 6个 |
MS16-144 | 12月 | 8个 |
看完上述表格,你是否联想到——像筛子一样多的漏洞?而且这还只是 IE 相关的漏洞,Edge 还【没有】算在内哦。
在安全圈混了这么多年(20年大概有了),俺的印象是:IE 总是不停地不停地曝光高危漏洞(远程执行代码)。
★八卦一下:为啥 IE 这么烂?
(本章节是八卦,不想看八卦的请自行略过)
凭良心说,微软是一家不错的公司;微软的程序员,平均素质也不算差。那为啥 IE 这么烂捏?
考虑到篇幅已经很长,下面俺简单聊一下:
◇1. Web 引擎本来就很难写
Web 浏览器需要依靠 Web 引擎来渲染网页。网页是用 HTML 编写的。HTML 的语法很灵活,本来就很难处理;而很多网站的写手(Web 程序员)写出来的网页甚至都没有严格遵循 HTML 语法。浏览器的引擎需要尽量智能地处理这些不规范的 HTML 语法。
HTML 还允许嵌入样式表(CSS)和脚本(JavaScript)。而 JS 脚本的语法又是出了名的灵活。因此,写一个浏览器的 JS 引擎也是蛮有难度滴(Google 的 V8 引擎能获得如此高的赞誉,就是因为 JS 引擎难写)
◇2. IE 的开发团队曾经出现长期断档
如果你观察 IE 版本的历史,会发现 IE6 之后停滞了长达 5年 才发布了 IE7。
据说 IE6 发布之后,微软把整个 IE 团队都解散了,只留少数几个人负责改 bug。因为当时的微软领导层觉得 IE6 作为浏览器已经很完善了,而且浏览器这个产品本身没有利润,不值得投入太多人。
(这是微软领导层的严重失策)
这个决策造成了整个团队严重的断档。等到后来重启 IE7 的开发,新加入的程序员,很多都没有经手过前面的开发,完全不知道原有的代码中留下哪些“坑”(技术陷阱)。
(如果你曾经管理过程序员团队,对上述这种情况应该深有体会)
有些天真的同学会问:老团队虽然解散了,应该还会有文档留下来啊。新团队可以通过文档了解情况嘛。
这么问的同学,多半属于“图样图森破”。当软件项目复杂到一定程度,你就不要指望文档是完备的。在这种软件项目里,有相当比例的文档,要么不全,要么不够新(与代码脱节),要么是错的。这不是一两家公司的个案,这是整个软件行业的通病。
◇3. 过于陈旧的架构
目前 IE 使用的 Trident 引擎是在 1997年 引入 IE4 的(20年之前哦)。1997年是什么年代,年青的程序员可能没体会。俺正好借这个机会倚老卖老一下。
(据说 IE 是用 C++ 写的,俺就拿 C++ 来举例)那时候,C++ 尚未标准化(第一次标准化是 C++98)。以现在的眼光看,那年头简直就是 C++ 的洪荒年代。
虽然俺没有看过 IE 的源代码,但是可以合理地猜测:在那么久远的年代,设计一个全新的软件(浏览器在当时算是新事物),而且这个软件的需求又超复杂(参见前面提及的“Web 引擎复杂度”),设计出来的架构,其水平会好到哪里去?
◇4. (对旧架构)只敢修修补补,不敢大改
在长达二十年的时间里,硬件环境有了巨大变化(多核多CPU),Web 标准也有了巨大的变化(更灵活更复杂了)。为了适应环境的变化,IE 的 Trident 引擎早就应该动一些“大手术”,对架构作一些大的调整。但是前面说过,IE6 之后,开发团队出现长达5年的断档(团队被解散)。IE7 之后的那帮 IE 团队的程序员,全都是新人(此处的“新人”是指:对老代码不熟)。所以俺猜测:他们只敢在旧的架构上修修补补,不敢动“大手术”。(如果你在大公司待过,一定明白:多做多出错,少做少出错,不做不出错)
★IE 这么烂,那你能指望 Edge 吗?
前面费了这么多口水聊 IE,下面用三句话概括一下:
从 Win98 到 Win10(甚至下一代的 WinXX),IE 都是无处不在滴(很多软件会调用 IE 组件);
从 Win98 到 Win10(甚至下一代的 WinXX),IE 都是【无法】彻底移除滴;
IE 的代码很烂,相关的漏洞非常多。
前几年,微软高调推出全新的浏览器“Microsoft Edge”。为啥微软要另起炉灶?除了外部的因素(市场营销策略),内部因素恐怕就是俺刚才分析的原因——IE 已经老朽不堪,难以维护了。
估计有些同学在默默指望着:用 Edge 彻底替代老朽不堪的 IE。俺劝这些同学别抱太大期望。
前面已经提到:很多 Windows 上的应用软件(包括微软自己的软件以及第三方软件)重度依赖 IE 组件。出于兼容性的考虑,微软不可能在短期内彻底抛弃 IE。也就是说:在很长时间内,IE 会与 Edge 并存(Win10 就是一个例证)。
★最后,稍微聊一下:Windows 的【树大招风】
最后来提一下“树大招风”引发的风险。
在【桌面系统】的市场份额中,Windows 是毫无疑问的老大。所以,各种黑客与骇客,都会花很多精力来研究如何去入侵 Windows 系统。这就是所谓的——树大招风。
关于“树大招风”这点,应该没有太大争议。俺之所以单独写这个章节,是想【反驳】前一篇博文的某条读者留言。
该读者认为:御用骇客针对的是高价值目标,而高价值目标用 Linux 的比较多,所以御用骇客会花更多精力研究 Linux 的漏洞,这就导致——使用 Linux 反而容易碰到”被利用的未公开漏洞“。
下面是俺的【反驳】:
上述这个推理过程,第一个前提(“御用骇客”主要针对“高价值目标”),是正确滴。错误发生在第二个前提(高价值目标用 Linux 的比较多)。
这个读者混淆了两个不同的概念:“高价值目标”&“技术高手”(“高价值目标”不一定是“技术高手”,“技术高手”也不一定是“高价值目标”)
俺借此机会给大伙儿介绍一下,天朝御用骇客心目中的高价值目标,大概是哪些:
重要的外国政治人物上述这些高价值目标,难道他们会去玩 Linux?NO,他们的桌面系统依然是以 Windows 为主,其次是 macOS。所以很自然的,朝廷的御用骇客,也是以 Windows 漏洞的研究为主,macOS 为辅。(当然也有御用骇客在研究 Linux 漏洞,但他们在 Linux 上的投入,远不如 Windows,也不如 macOS)
重要的民运人士、政治异议人士
外国政府机构(尤其是涉密机构)的雇员
国外敏感企业(尤其是军工企业)的雇员
从事“分离运动/独立运动”的少数民族组织
★结论
所以俺早在 N年前 就一直劝周围的同事和朋友,把日常使用的系统切换成别的(Linux、BSD、macOS 都要【远远好于】Windows)。
切换系统并没有你想象的那么困难。得益于虚拟化软件,你可以先在某个虚拟系统中使用 Linux 或 macOS,慢慢适应,然后慢慢过渡。接下来,俺会写一些关于 Linux 的扫盲教程,帮助技术菜鸟在虚拟机中玩转 Linux。
俺博客上,和本文相关的帖子(需翻墙):
《如何防止黑客入侵》(系列)
《为什么桌面系统装 Linux 可以做到更好的安全性(相比 Windows & macOS 而言)》
《扫盲 Linux:新手如何搞定 Linux 操作系统?》
《扫盲 Linux:如何选择发行版?》
《在线查毒工具 VirusTotal 的 N 种玩法——从“误报/漏报”聊到“攻击者对它的利用”》
沙发
回复删除来这一年多了,第一次抢到沙发,很高兴,等了好几天新博文,终于等到了。
回复删除板凳
回复删除评论数过一千是好事啊。不过我倒有一个疑问:博主身为公司领导,日常事务想必已经是日夜辛劳。又不停地网罗知识,在博客上又写技术又聊政治,还要给网友们义务答疑解惑,丝毫没有技术大牛的架子。这奉献精神也太强了吧。。。难道真的有一个团队支持?
删除愚弟相信编程兄身后没有团队,若真有一个团队,那团队便是我们这些读者!😁
删除我相信博主背后没有团队,人不应该以自己的能力水平来衡量别人。在这样一个觉得上清华北大的人也没什么了不起的时代,人与人的差距被很多人无视了或者不愿意承认。
删除就算真的有团队,那只要这个团队在致力于解决读者们的技术问题,提升人们的心智水平,为何不能承认?难道相比于单枪匹马,多人合作是可鄙的?☺
删除建议层主看博主开头推荐的 扫盲逻辑谬误 ,你的回答有转移话题和稻草人谬误之嫌。
删除看着拖更的样子,应该没有团队。而且博主对于保密是很上心的,团队里面有叛徒怎么办。
删除博主的能力水平,我是毫不怀疑,在这里的读者有相当一部分都是从事计算机方面工作的。博主也写过这方面的博文,大家都能理解,只要善用现在信息化的工具,采集信息,归档,调用等等的效率会比普通人高一个量级都不止。只要有写作的意愿,博主的效率是可以达到的。我只是觉得,这个意愿有些强烈了,对读者们未免有些太过热心了。我也是普通读者,是这份热心的受益人,但我就是感到疑惑啊。
删除博主说了,这两天debug去了。。。
删除我倾向于把这种热情归结于兴趣和信仰。
删除抱歉,看前面两层回复对团队有嫌弃之情,我不这么认为,但在回复中不小心抛出个稻草人
删除哈哈,博主是:
删除在黑夜里梦想着光
心中覆盖悲伤
在悲伤里忍受孤独
空守一丝温暖
博主的信仰是无底深海!!!
TO world_economic_herald
删除你没看俺经常在抱怨,时间不够用。
比如说:
前几年,俺就不太回复读者来信了;
如今连评论也只能选择性回复一部分。
对比“刚开博的头几年”
俺每一个读者来信都回复,每一条读者留言都回复。
因为那时候读者少,还处理得过来。
另,
公司的管理岗位,并不一定就要花很多时间。
有些管理者陷入“微观管理”,自己忙死,但效果未必好。
俺更倾向于:
首先,在招聘环节把好关,找到靠谱的人(俺写过好几篇博文,谈招聘的经验)
其次,对靠谱的人,充分授权;
于是,俺就不会太忙于公司事务啦 :)
TO world_economic_herald
删除关于你在 7单元 提到的
可以参考俺的一篇旧博文:
《[url=https://program-think.blogspot.com/2013/04/why-write-blog.html]为啥俺要写这个博客——动机的自我分析[/url]》
TO 9单元的网友
删除兴趣是一方面,另一方面是:俺持有某种观点,这种观点跟很多人的想法【相反】。
在咱们天朝,大多数人持有一种类似于“零和博弈”的观念。
在这种观念之下,他们会觉得:帮助别人,就意味着自己吃亏。
但是,
很多情况下是可以实现某种【双赢】滴。
完全有可能做到——帮助别人的同时,也让自己获益。
俺维护这个博客,写了很多不同领域的博文,帮助了很多读者;
同时,在写这些内容的过程中,俺也获益匪浅。
俺很享受这种双赢的状态 :)
博主把《太子党关系图》开源出来,显然是【双输】的博弈。
删除其实双赢的情况有很多,比如购买东西,售卖东西。
删除有些人可能会觉得,卖家把我的钱赚走了,我是亏损的一方,卖家才是赢的一方。其实,只有在买家不了解行情、买了后又没好好使用的情况下,才会出现一输一赢的情况。
补充:
删除1.特权和垄断经营;
2.承诺售后服务,但又不好好履行诺言的。
TO 东方九木
删除同意你的分析 :)
俺在博客上干的事儿,那可是正宗的“煽动颠覆政权”。
像俺这种小屁民,万一身份暴露了,说不定就被“人间蒸发”了。
连俺家人都不知道“编程随想”这个身份,俺怎么可能背后养一个团队?
都说是烟雾弹专家,那个知道是不是吾尔开希,王丹或者方励之的学生搞的,可能是中美合作所,现代渣滓洞在台北凯达格兰一个机密地下室发的 ,达赖一个团队甚至美国互联网军的根目录团队搞的都有可能,如果一个人那里会明白说是一个人,
删除在网上找了一下Youtube hosts的信息,终于搞定了直接观看Youtube视频的问题。
删除一般在网上找到的Google hosts文件要么IP已经失效,要么因为缺少Youtube服务器域名条目,导致无法直接观看视频。后来找到一个Youtube服务器域名列表,用有效的IP替换原IP,将之加入hosts文件,基本上搞定了直通Youtube的问题,分享一个。
https://raw.githubusercontent.com/sy618/hosts/master/y
PS:如果你的IP有效,编程博客也可以直通哦。一般现在使用https的墙外网站,如果没有被GFW屏蔽IP,也都可以通过将域名加入hosts文件实现直通。如博谈网(https://botanwang.com/)即使有https加密,但因为IP地址被封锁,也无法直通;而墙外楼(https://www.letscorp.net/)暂时则还可以直通。
还有几个新加入使用了https的知名海外中文网站也可以直通。
ping域名找IP
https://whoer.net/ping
https://www.ipip.net/ping.php
http://ping.chinaz.com/
TO 15单元的网友
删除为啥你认为:
[quote]博主把《太子党关系图》开源出来,显然是【双输】的博弈。[/quote]
对俺而言,可能吃力不讨好。
不过捏,说不定将来会有一个类似俺这样的人,愿意花时间和精力去曝光权贵家族,那么对这个人而言,GitHub 上的 zhao 项目是很有好处的。
哈哈,随想君是本博客最大的“不可恢复单点故障”,假如哪天随想君被六扇门缉拿归案,该怎么办呢?随想君被逮住以后,读者将怎样知道这一不幸的消息呢?随想君可否考虑把本博客登陆账号和密码交给可以信赖的老读者,比如meek或者steven_ho,这样就可以达到规避“随想君是本博客最大的‘不可恢复单点故障’”这个麻烦。
回复删除此评论已被作者删除。
删除博主,把密码给我。
删除这篇博文有点短啊,不过看了后让我觉得还是换成linux吧。后天开始搞虚拟机,换系统,博主或者网友可以推荐一下吗,虽然博主以前写过这方面的博文,不过现在可能有变化,如果有变化,博主请说一下。
回复删除请教一下随想君如何看待近期中国的楼市呢?我在一线城市感觉泡沫太大了,请问短期内有破灭的可能吗?
回复删除编程兄,川普政府大规模驱逐美国所有有色人种(不管是非法,绿卡还是公民)的概率有多大?
回复删除0。那儿有国会和最高大法院撑着呢,白宫哪有这么大权限。已经成为正式法律条文而不是施政方向的问题,是很难再更改的。
删除[quote]0。那儿有国会和最高大法院撑着呢,白宫哪有这么大权限。[/quote]
删除那愚弟就放心了。😎😎😎
编程兄,前一篇博文里Overthrow CPC兄提出了不少好的建议,希望兄抽空能看一下他的留言,谢谢!愚弟posclegom敬上
回复删除TO Zeroth Posclegomer
删除关于评论区的功能性建议,俺正在搞。
这几天应该会加点小功能。
这次出现超多评论(总数上千条,以及200多单元的楼层),正好可以用来测试性能,也可以暴露出原有的功能是否有啥缺陷。
太好了!👍👍👍👍👍👍👍👍👍👍👍👍👍👍
删除一直搞不清edge与ie有什么区别
回复删除编程兄,似乎兄的评论版的bug并未完全解决,请兄有空的时候看一下前篇文章里Overthrow CPC兄以及meek兄就bug的后续解决留下的很多报告和评估,谢谢!愚弟posclegom敬上
回复删除TO Zeroth Posclegomer
删除多谢老熟人反馈 :)
前天改 bug 没改彻底,惭愧 :(
刚才又改了一下。
这两个 bug 是同一个根源,都是由“读者自删除评论”引发的。
blogspot 的 feed API 在输出这类评论时,没有包含精确时间戳,导致俺需要靠其它方式(挺迂回挺蛋疼的)去还原时间戳,然后就引出这2个 bug :(
bug修复不易,同为程序猿的愚弟非常能体会兄的蛋疼!🍆🍆🍆🍆🍆🥚🥚🥚🥚🥚🐔🐔🐔🐔🐔
删除TO Zeroth Posclegomer
删除俺主要是抱怨 feed API 的设计,为啥对这种评论,没有包含时间戳。
否则,代码就很简洁,也少了很多折腾。
[quote]俺主要是抱怨 feed API 的设计,为啥对这种评论,没有包含时间戳。[/quote]
删除愚弟觉得最有可能的解释就是Blogger对于谷歌来说并不是一个重要的项目,所以懒懒散散不到位的设计很多。而G+或者Gmail里这种问题就应该少得多。
兄应该意识到现今的世界已经不再是博客的世界了。就像金刚狼说的那样“世界不同了,变异者都消失了”。
如果用时间戳就有2038年漏洞问题,如果不用时间戳虽然容易引起时区问题,但过了2038年还可以用。
删除TO 5单元的网友
删除以目前评论区的代码实现,确实有 2038年 的溢出问题。
不过 2038年 还早 :)
如果到时候真的碰上了这个溢出,反而是好事儿。
这说明:
1、Google 的 Blogger 平台居然运营到 2038年
2、俺博客居然坚持到 2038年
TO Zeroth Posclegomer
删除博客确实不如十年前那么流行了。
不过俺认为:短期内,Google 还不会放弃 Blogger 这个平台。
毕竟博客平台也为 Google 的在线广告创造了利润。
最近半年,Blogger 的管理界面还在加新功能。
这至少是个好迹象 :)
[quote]
删除不过俺认为:短期内,Google 还不会放弃 Blogger 这个平台。
毕竟博客平台也为 Google 的在线广告创造了利润。
最近半年,Blogger 的管理界面还在加新功能。
这至少是个好迹象 :)[/quote]
赞同兄的推理!短期内谷歌应该不会放弃Blogger,尤其是当Blogger还能为谷歌带来利润的时候。
[quote]1、Google 的 Blogger 平台居然运营到 2038年
删除2、俺博客居然坚持到 2038年[/quote]
愚弟坚信上面两条☝️☝️都将在2038年得到应验!
博主工作水平高,
删除挖坑和拖更的水平也是一流。
TO 10单元的网友
删除多谢批评 :)
关于俺“挖坑不及时填”,已经臭名远扬了,搞得俺现在都不敢随便开一个新的系列
另外编程兄,前一篇文章中一个名为kopatu的老读者拼命论证Linux没有视窗安全,兄在解决完bug之后可以考虑驳斥一下kopatu的言论,谢谢!愚弟posclegom敬上
回复删除TO Zeroth Posclegomer
删除俺也看了 kopatu 的某些留言。
今天这篇博文,开头引用的那个读者评论,就是来自此人。
老实说,俺还要感谢此人 :)
如果没有他/她那句 [quote]很难想象windows会拖这么久。[/quote]
也就没有今天这篇博文
关于前一篇博文评论区的另外一些谬论(包括替微软洗地),俺如果有空,再另外汇总一篇。
太棒了!这下子kopatu被驳斥的体无完肤了!这让Overthrow CPC和愚弟都感觉大快人心,酣畅淋漓!
删除我觉得 Windows 一年 100 多个漏洞都是过少了,比如可能有 500 个,但微软只修了 100 多个。
回复删除相比之下 Android 系统比 Windows 出来晚很多,权限控制和灵活度比 Windows 要收紧很多,这种情况下 Google 每个月修复 Android 的安全漏洞都有一二十个,一年算下来 200 个是有的。
Android 的安全漏洞里面几乎半数都是和驱动相关的,照此看来作为硬件系统更加复杂的 Windows,驱动方面的安全性问题会严重很多。
漏洞集中在驱动层面,估计原因是原理问题,因Android本身就是沙盒环境中运行应用,这和Windows确实有所不同。如果拿root过的Android那就不好说了。
删除据说Win10也引入了Android 6引入的权限开关,你不想某个软件拥有某个权限的话,可以关掉这个权限。
【界面 bug 反馈专用楼层】
回复删除请大家把关于界面bug的讨论请集中在此楼回复,避免污染其他楼层,谢谢!
博主,你好几天不上线,也不去处理下评论就突然就发了新博文。
删除上一篇的评论区,这两天都炸锅了!!!
一堆人报告bug,bug很严重!!!
而且随想你的时区暴露了(我还发邮件提醒你呢)!!!
请随想先去处理下上篇博文的 bug 问题,主要在 154 楼 177 楼。
删除TO Overthrow CPC
删除多谢提醒 :)
俺这就去前一篇处理一下。
因为最近2天在准备新博文,就没去看前一篇的评论区。
前天 bug 修复之后,俺想:应该没啥大问题了吧?
To 随想
删除好的。
不过当时你找到 bug 时还说“疑点尚未完全消除——为啥这个 bug 表现出浏览器的差异性?”,看来随想可能是太忙了后来忘记这事了。
还有,一点点个人建议,每次发新文之前,先看下旧文评论区,有没有比较重要的报告。
博主果然是倚老卖老,你的评论区代码像筛子一样,不知哪来的自信
删除TO meek
删除这两天暴露的 bug,应该是同一个问题。
还算不上“筛子” :)
(俺正在前一篇回复)
博主果然是倚老卖老,你的评论区代码像筛子一样,不知哪来的自信
删除没有做充分的验证、询问,就大言不惭地说bug已解决。
TO meek
删除多谢老熟人批评 :)
刚才已经在前一篇博文回复了一下,描述了 bug 的根源。
关于测试不彻底
首先,俺表示惭愧 :(
这方面还需要靠几位老熟人帮忙,俺一个人忙不过来。
另外,俺一个人的浏览器环境,太过于单一,缺乏多样性。
另外扯远一点:
根据软件开发心理学,自己开发的代码,如果是自己测试,肯定不客观也不彻底。(这里面有人性的弱点)
软件工程有一条经验,俺非常认可:
========
开发人员与测试人员是不能由同一人兼职。
软件开发流程中,很多岗位都可以由同一人同时担任(比如产品人员兼做测试)
但“开发和测试”不行。
To 随想
删除不要告诉我 bug 这就处理完了?前一篇提到的 bug 不仅仅是时区、楼层错乱的问题。还有,你也提到自己经历有些,测试不完善,能否考虑我在前一篇就提到的迁移 github 的建议?
TO Overthrow CPC & meek
删除刚才解决了时区的 bug
但是俺的环境比较单一,还需要大伙儿帮忙再看一下。
之前 meek 报告说一些评论数较多的旧博文,加载评论失败。
俺复现了这个现象。
刚才俺改完 bug 后重测,已经正常。
TO Overthrow CPC
删除关于开源到 GitHub
说说俺的几点担心
之前俺整理那个《太子党关系网络》,一堆人建议俺开源到 GitHub 上。
说是大伙儿可以利用 GitHub 一起完善这个文档。
结果俺开源之后,几乎没啥人提交 pull request 或 issue
很多人口头上承诺起来,很爽快,但是需要自己动手干活了,大部分人就退却了。
当初为了让这个 zhao 项目降低门槛,俺还花了好多时间,把原先用来描述关系图的 graphviz 文件,拆分成几百个 yaml 文本文件,以方面大伙儿进行增删改。
如今感觉:俺做了无用功 :(
老实说,
评论区的 JS 代码,还是稍微有点复杂度的。
而《太子党关系网络》纯粹就是:补充或修改文本格式的文件。
这两者的难度,差异很大
(评论区项目的门槛远远高于《太子党关系网络》)
如果门槛低的项目,都没啥人参与;
门槛高的项目,可想而知。
时区暴露不怕吧,都知道博主在北京啊
删除博主别灰心, 您搞 BT Sync 的那事儿, 咱不挺积极么。。。?主要是您那绘图技术门槛儿太高, 俺又没什么劲爆猛料爆, 所以就只能没事儿上去骂骂五毛了。
删除赵家人这么机密的事情外人难以得知,俺不能拖中国解放大业的后腿,提供假情报事小。误解放中国灭亡共产党大事才要紧
删除俺倒是觉得博客的 CSS 代码可以迁移到 GitHub 上。
删除参与难度不高,且本博客的界面显示确实还有不少改进空间。
To 随想
删除关于 github 的赵家人项目,一是门槛并不低,他需要的更多是信息搜集方面的门槛,很多人并不知道赵家人的信息,二是在国内被屏蔽,需要翻墙才能知晓,三是安全风险系数大,若要提交 pull request 还要先注册新帐号,很麻烦。
我之所以建议随想将代码提交 github ,并不仅仅是期待他人提交 pull request ,而是更方便测测试。我的建议:随想可以把改造代码提取出来做到一个 user.js 中,然后通过一个 flag 进行控制,当存在 user.js 时候博客页面中的代码自动停用。这样随想修改代码时候只需修改 user.js ,不用反复发布,同时 user.js 托管到 github 或者是 greasyfork.org 这种网站,让老读者帮忙测试。这样,新代码在测试前不发布到博客,可以不影响一般读者的正常阅读。简而言之,就是测试环境与生产环境分离,避免目前这种,还没测试的代码直接发布到生产环境,万一有 bug 则影响所有读者。所以,仅仅从测试的角度就已经值得尝试了,即便没有人提交 issue 或 pull request 也是值得的。
当然,以上仅仅是我个人建议,如果随想觉得并不值得的话 (投入产出不成正比) 就算了。
删除TO 老犊子密可
删除首先,感谢你曾经的支持 :)
当初俺开源了 zhao 项目
已经把绘制关系图的技术壁垒消除掉了。
俺把原先很复杂的 graphviz 描述文档拆分成几百个 yaml 文件
(每一个权贵是一个 yaml 文件)
yaml 格式很接近自然语言,打开一看就明白。
里面无非就是:姓名、性别、出生年月、官职的描述
俺推测:
另一个门槛是【资料难找】。
因为容易找的,俺都已经放进去了。
随想,你是不是回错人了?
删除TO Overthrow CPC
删除多谢老熟人继续提建议 :)
关于“生成环境与测试环境分离”
确实很重要。
【俺原先的做法】
通过 URL 的参数维护一个“测试标识”
当俺增加新功能的时候,会把新的代码块包含在某个条件语句中。
只有激活了这个“测试标识”,才会执行这个条件语句。
前几天,老熟人 meek 大概看了俺的代码,已经猜出了“测试标识”:
就是网址中的 querystring 参数,参数名 test 参数值 true
这个做法的好处是:
对测试的人而言,浏览器无需任何改变,无需安装第三方扩展
以前都是俺一个人自测。
如果今后人气多了,有足够多的热心读者愿意帮忙测试,或许可以考虑这个方式
【另一个思路】
还有一招:就是在界面定制中增加一个选项:
“是否启用 beta 测试”
只要勾选了,就自动激活上述的“测试标识”
TO Overthrow CPC
删除俺在 18单元 没回错人。
老犊子密可 在 13单元 抱怨说:“绘图技术门槛儿太高”
To 随想
删除那也好,这样测试环境不影响生产环境。愿意帮忙测试的可以开启“beta选项”,不影响一般人阅读。
To 随想
删除我发现是因为我这里,“老犊子密可”的评论没有加载出来,参见截图:
[img]https://pageshot.net/8XwplWIPq2WCUwdo/program-think.blogspot.com[/img]
现在,我还需要确认,这个问题,是我这里的偶然问题(比如网络问题),还是代码 bug 问题。
楼上图片贴错地址,再来:
删除[img]https://pageshot.net/images/5389af3e-e30e-4d92-a16a-ec9bf2c0b55a.png[/img]
"老犊子密可"本来应该是13单元,但在我这里缺失了,重新加载后便正常。
【你可以先在某个虚拟系统中使用 Linux 或 *macOS*】
回复删除windows想在虚拟机中使用mac os,太难... 以前我还想装个虚拟机使用osx10.6,最后以失败告终。
vmware装osx本身就是需要破解补丁的。自从OS X升级10.10之后,基本就可以放弃虚拟机玩Mac的想法了,爆卡无比,跟幻灯片似的,10.9的时候还相当流畅的,不知道苹果给搞了什么鬼
删除此评论已被作者删除。
回复删除小时候用win98,觉得微软好牛逼,这么漂亮又强大的系统(我们小学一开始用的dos命令行)。之后是xp黑屏门事件,那个时候开始讨厌微软。后来上大学学了.net,觉得这么好上手,想着毕了业就吃这碗饭吧,再后来才发现,微软总是喜欢自己搞一套,接口跟posix各种不兼容,虽然上手难度确实低。感觉微软就是想把所有程序员变为微软工具依赖者为我所用然后一统天下
回复删除TO 博主
回复删除为防止界面被恶意评论破坏,不妨增加CSS如下:
.comment-block {
overflow: hidden;
}
只有安装了某些字体,才会看到你的昵称往上“冒烟”的奇观,估计博主没安装那些字体所以没看到
删除谁方便抓屏的可以截个图给他看
我来!
删除[img]https://vignette3.wikia.nocookie.net/khchina/images/c/c2/Screenshot_2017-04-10_11.28.51.png/revision/latest?cb=20170410152920[/img]
删除博主的笔误之多,就像筛子一样。
删除[quote]在种情况下[/quote]
[quote]在那么久远的年代设计,设计一个全新的软件[/quote]
确实,换了Chrome、FireFox、Tor Brower都无法避免层主昵称发烟的奇景。
删除手机党表示同样有“发烟”现象。
删除在mac上显示层主的昵称有好多行,每一行只有一个符号其余空白。
删除mac党也可以截屏表示一下
删除不会添加图片。。。我怀疑这是恶意刷屏,建议博主清理下
删除Zeroth Posclegomer别整天刷屏赞美之词,赶紧让博主来看这17楼才是当务之急!
删除meek兄:编程兄能做这么多事已经着实不易了!我们大家应该多多赞美编程兄,以让他有继续奋斗下去的动力。😎😎😎
删除TO 17楼的网友
删除多谢分享 CSS :)
刚才已经添加了,大伙儿再帮忙看看
非常高兴报告编程兄冒烟发烟情况已经修复!👍👍👍👍👍👍👍👍👍👍👍👍👍👍
删除TO Zeroth Posclegomer
删除多谢老熟人反馈 :)
最好简单说一下:你的浏览器环境是啥?
TO 4单元的网友
删除出了2处笔误,惭愧 :(
感谢你的举报,刚才已经修复 :)
此评论已被作者删除。
删除TO Zeroth Posclegomer
删除其实不用说这么详细,小心隐私分风险。
主要的几点:
一个是操作系统,一个是浏览器类型
多谢兄提醒,以后只汇报操作系统和浏览器类型。
删除笔记本型号都出来了。。。如此不注重隐私
删除愚弟的浏览器环境是:视窗10的64位版本(版本1607,模号14393.953),谷歌Chrome版本57.0.2987.133(32位)。
删除一直是在控制面板里把ie关闭的,这有多大的效果?
回复删除赛风的界面是调用IE显示的,你想想。
删除如果你只是切换默认浏览器为火狐,那此举效果有限。因为软件可以随意调用ie内核,在软件里显示网页。
删除只有嵌入式系统,有望能彻底阉割掉ie,但是这又会导致很多软件不能用。
IE和整个windows系统的耦合关系不弱,这是导致windows安全问题的一个大定时炸弹。也许微软哪天能解耦掉就好了。
删除但解耦掉之后,某些软件还是得按依存关系来安装,比如A软件包依存与B软件包,那装上去之后就和没解耦一样。
TO daoyou ltr
删除这么干,效果不明显。
俺在博文中说了:
很多软件(包括微软自家的,以及第三方的)都是依赖 IE 内核来处理 Web 内容
TO 3单元的网友
删除同意你所说。
Windows 自身要想解耦 IE,就已经很难;
第三方软件,就更难。
对前者
比如说“资源管理器”就严重依赖 IE
用 Windows 的人,谁能彻底规避 资源管理器?
对后者
找个进程工具(比如:Process Explorer)看一下系统中的进程,大多数都挂载了与 IE 相关的 dll
Edge好不到哪儿去,黑客大赛被集火的产品http://tech.feng.com/2017-03-23/Microsoft-Edge-hacking-contest-was-black-5-times-The-Google-Chrome-is-unbreakable_673666.shtml
回复删除PS总感觉有些人想要套随想的个人信息,还是多小心为好
ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้
回复删除ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้
删除ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้
ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้
ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้
删除ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้
ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้
ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็
ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้ ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้
ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็็็็็้้้้้็็็็็้้้้้้้
博主评论区这些符号评论是bug还是恶意刷屏啊?删了吧。
删除这些符号评论在桌面版本博客上已经被博主修复,移动端由于博主不使用移动设备所以永远不会被修复,建议楼上使用本博桌面版本。
删除怎么看待社区维护的 Ubuntu 的衍生版? (比如 Ubuntu MATE, KUbuntu, XUbuntu, LUbuntu等) 这几个发行版都不是 Canonical 维护的,感觉应该要比原生的 Ubuntu 靠谱,但考虑到之前 Mint 官网被黑的事情,是否还需要关注社区本身的整体水平? 另外 Debian 对于显卡的驱动支持个人感觉明显没有 Ubuntu 好,如果遇到硬件太新的机器,不一定能找到合适的驱动,有什么较好的解决办法吗?
回复删除首先不得不承认Ubuntu是驱动支持最完整的系统,但是同样带来一个问题,你负责的代码量越多,则你保证它不出漏洞的难度就越大。不得不说,幸亏是商业团队才有这么多驱动支持。
删除如果从安全角度看,Ubuntu的驱动多根本就是一个累赘。如果从娱乐角度看,就有大用了。
但娱乐角度的Ubuntu又远不如macOS 和windows,
还有一个蹩脚的Office用起来经常卡死崩溃,bug超多,就算办公起来也远不如macOS 和windows
解决办法是:专事专办。
删除对于需要安全的事情,用Debian来干。
对于一般娱乐,用其他系统。
对于只支持windows和ie的网银、支付工具等,较好的做法是直接拒绝使用,或者不向卡里多充钱。
ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้ฏ๎๎๎๎๎๎๎๎๎๎้้้้้
回复删除博主应该会把这贴删了吧?
博主看不到这贴,因为博主的字体不显示这种冒烟的场景。
删除TO 22楼的网友
删除俺通常【不】删留言。
只有两种情况是例外:
其一,明显的垃圾广告;
其二,恶意刷屏(对这种,俺会删除到只剩下一条)
TO 1单元的网友
删除俺能看到 22楼,只不过显示不太正常——都是些方块字符
这位兄弟,你发了好几个这种冒烟帖子,反馈bug的话,能不能发到一个楼里面去?不然会很乱
删除test
回复删除这位兄弟,你发了好几个这种冒烟帖子,反馈bug的话,能不能发到一个楼里面去?不然会很乱
删除冒烟冒烟,移动版chrome是这样的,和楼上抓屏的那个差不多😂😂
回复删除几天没来没想到上一篇评论区炸锅,尽管暴露了时区,依旧希望博主安好!
暴露了么?是东八区吧,使用东八区国家有Brunei Darussalam , China (includes Hong Kong ), Indonesia (Bali, Nusa Tenggara, South & East Kalimantan, Sulawesi only), Malaysia , Mongolia , Philippines , Singapore , Taiwan , Western Australia
删除东八区博主可以在新加坡,台湾,博主一直说自己在中国,这根本算不上暴露吧。
你遗漏了一种情况: 就算博主的host系统设置为美帝的时区,博主也会把虚拟机内的时间设置为东8区。
删除TO Benny Think.
删除多谢老熟人捧场 :)
俺一切安好 :)
关于 bug 暴露了时区
俺觉得这是好事儿 :)
刚在前一篇博文讨论了这个问题([url=https://program-think.blogspot.com/2017/03/Why-Linux-Is-More-Secure-Than-Windows-and-macOS.html?comment=1491899643383]链接[/url])
考虑到前一篇的评论太多(破千),加载太慢。
俺把那条留言重新贴出来。
========
关于前几天的 bug 暴露了俺在东8区
这是个好事儿啊 :)
俺之前一直说自己在国内,但是有些读者不信,认为这是俺的烟雾弹。
这次暴露时区,虽然无法完全证实俺在墙内(东8区的国家有好几个),但是至少“人在墙内”的可信度有所上升。
为啥俺要承认自己在墙内?
如果读者们相信俺在墙内,而俺又一直没有被捕,那至少说明俺使用的隐匿手法,不算太差吧 :)
希望能让大伙儿明白:
网警没有想象中那么牛逼。只要掌握必要的隐匿手段,网警定位的难度会急剧上升。
当然,“绝对的安全”是不存在滴。关键是成本的问题。
但如果有足够多反党的网民,掌握并使用这些隐匿踪迹的手法,那么就可以更好的利用互联网进行反党活动。
当隐匿踪迹的人足够多,而且大家采用的隐匿手段都还不算太差,那么,网警进行追踪定位的(人力物力)【成本】会急剧上升,终将超出维稳系统的承受能力。
TO 1单元 & 2单元
删除当然,两位的分析都有道理。
此次的“暴露”,并没有增加太多信息量。
大伙儿不必担心!
To 随想
删除有时候我就很好奇,随想到底是用什么措施来保障“最后的安全”的。
场景一,随想正在电脑上发贴,六扇门伪装成查水表的敲门,然后等随想开门时候马上将其制服,这样随想连关机的机会都没有,什么全盘加密、虚拟机统统无用。
如果我是随想的话,我想不到太好办法,只能是,只要外面有人喊我,我就先关机再出去,这样会很麻烦。
场景二,随想被六扇门强制带走,然后六扇门观察之后博客是否还有更新。我实在想不出来随想会如何应对这一情况。
如果是将密码交个一个信的过的人,让他在特殊时候代为发贴,则无法保证:此人是否会因利益出卖自己?此人是否会在平时说漏嘴?此人是否有足够匿名安全技术?此人能否模仿的足够像?
或者也可以把个人信息预先填写,交由程序自动程序处理,超过一定时间就自动披露,好让大伙施压、营救。但是这样风险也很大,比如说操作失误不慎暴露?比如说车祸住院自动超时暴露?
总之,我完全想不出来完美解决办法。
当然,随想是肯定不会正面回答这个问题的,我仅仅是跟大伙聊聊罢了。
昵称冒烟的请自觉别再玩了,一次两次还有点意思,玩多了就属于恶意刷屏了
回复删除趁着大家活跃,请教一下,能评价下raspbian这个发行版吗,
回复删除手头有几只raspberry pi,除了官网介绍的几个发行版,请问还有什么安全可靠的选择
1.建议博主单独开一个帖子反馈bug。
回复删除2.现在有硬加密U盘,配备字母数字键盘,使用单词或数字组合锁定闪存盘,输错10次密码就会自动格式化,闪存盘从设备移除时会激活自动锁定功能,就是价格有点贵。
博主可用把密匙文件存放在此u盘上提高安全性。
怎么买是个问题,实体店里不会有这玩意吧,网上买?简直作死
删除用mac os里的chrome safari firefox仍可看见乱码评论,其中chrome最严重,都是一行一个符号,占去大量篇幅。
回复删除近期,有很多海外不法网站大量散播反党反华及淫秽色情内容,严重危害国家安全,违背社会主义核心价值观,对青少年健康成长带来恶劣影响,广大网民反映强烈。
回复删除针对群众所反映的内容,国家网信办相关负责人表示,互联网服务提供者要依照《互联网信息服务管理办法》,应认真落实主体责任,对于违反内容自动屏蔽,要积极弘扬正能量,传播健康向上、导向正确的内容。对于违法违规行为,一经发现要依法立即上报,绝不姑息。国家网信办近期将进一步加大监督执法力度,把日常管理与专项治理相结合,继续深入查处网民反映强烈的突出问题。
国家网信办的负责人表示,广大群众要擦亮眼睛,自觉抵制发党反国、淫秽低俗内容,紧密团结在以习近平同志为核心的党中央周围,营造良好网络生态,坚定不移地沿着中国特色社会主义道路前进,为全面建成小康社会、为中华民族伟大复兴而奋斗。
近期,有很多海外不法网站大量散播反党反华及淫秽色情内容,严重危害国家安全,违背社会主义核心价值观,对青少年健康成长带来恶劣影响,广大网民反映强烈。
回复删除针对群众所反映的内容,国家网信办相关负责人表示,互联网服务提供者要依照《互联网信息服务管理办法》,应认真落实主体责任,对于违反内容自动屏蔽,要积极弘扬正能量,传播健康向上、导向正确的内容。对于违法违规行为,一经发现要依法立即上报,绝不姑息。国家网信办近期将进一步加大监督执法力度,把日常管理与专项治理相结合,继续深入查处网民反映强烈的突出问题。
国家网信办的负责人表示,广大群众要擦亮眼睛,自觉抵制发党反国、淫秽低俗内容,紧密团结在以习近平同志为核心的党中央周围,营造良好网络生态,坚定不移地沿着中国特色社会主义道路前进,为全面建成小康社会、为中华民族伟大复兴而奋斗。
博主不妨把口出恶言者也列入删帖范围。
回复删除这个不断假冒别人的家伙,危害甚于“风中的小伞”本尊。
请楼主讲一下,如果重度依赖微软的OFFICE工具来工作,又想通过LINUX来获取安全,该如何搭配?用WIN10的机器做HOST,然后用什么工具来虚拟,装哪个版本的LINUX?我现在也算是虚拟机用户吧,在WIN7下通过XP MODE虚拟了一个XP环境,在上面跑一个老应用;
回复删除你装反了:虚拟机装linux并不能给你带来安全性,只是方便你学习它而已。
删除你应该在host装linux,然后把win10塞进虚拟机;但win10在虚拟机可是十分笨重臃肿的,用啥软件都会卡半天。
如果注重win10的速度而不想装虚拟机的,你只有装双系统,或者使用双物理电脑。
谢谢答复!我确实是不懂。如果HOST装LINUX,估计电脑的声卡、显卡驱动都不太好找吧?那就是说,把所有要用的WINDOWS产品都装进虚拟机里去?
删除在WIN7里面虚拟的XP MODE里面跑XP时代的程序,确实是有点卡。对于硬件配置,有什么建议?必须上SSD硬盘?内存16G?
我是因为wifi 经常掉弃坑了。
删除经查, 是因为使用了一款 RTL 系列的网卡, 好像叫RealTek的, 具体是什么型号忘了,在Win 里面工作得好好的, 但在什么版本的 Linux 都用不了。。。
删除别买了台超级电脑, 因为个破网卡, 像我一样退回用windows.(摔)
TO 31楼的网友
删除对你的需求而言,有个好消息:可以考虑 wine
它可以在 Linux 上运行 Windows 软件。
据说 Office 也可以跑起来。
老版本的 Office 据说是没问题的,新版本的 Office 俺不太清楚。
因为俺不太用 Office
TO 31楼 & 1单元
删除两种不同系统的虚拟机玩法
既可以是 Windows 下装 Linux VM
也可以是 Linux 下装 Windows VM
用哪一种,要看具体情况。
如果是:
技术菜鸟、Linux 新手
俺建议:
Windows 下装 Linux VM
(至少是一个过渡方案)
这样可以避开驱动的问题,分区的问题、双引导的问题
VM 里面随便折腾,搞坏了无所谓(回退 VM 快照)
反之,
如果是:技术老鸟、Linux 老手、很看重安全性
俺当然建议:
Host OS 就用 Linux,然后根据需求决定是否在 VM 装 Windows
TO 4单元的网友
删除多谢分享你的经历以及你碰到的坑
确实有很多 Linux 用户(尤其是新手)在驱动方面碰到障碍
我认为博主的论据有待补充,避免增强其说服力。
回复删除首先说说自己观点,windows的问题,其实是有苦衷的:
1.windows死死抱住兼容性不放;这和用户期望有关。
相比linux中比较激进的版本,就好像不太照顾兼容性。
2.支持时间太长;这也和用户期望有关。
某些软件不可能只用个1年2年的就换吧,用户的期望是买了一套软件可以终身用。有些人至今还在用XP,用的是office 2003之流。
如果windows只支持个2-3年之类的就支持,并在下一版本中放弃兼容,那xp的市场肯定没有这么好。
再加上windows功能多,可算臃肿,结合以上几个特点,是造成漏洞潜伏期这么长的原因。
其次,本人同意IE的确是一个大败笔。
然后说说可能用于反驳博主的观点:
其一:
假定某个系统支持期是20年,如果你故意在最后2年的官网漏洞列表中挑漏洞,那肯定容易找出潜伏期长达18年的漏洞了。
其二:
【官网上公布的漏洞少】,有时候并不等同于【漏洞真的很少】,这俩概念是不同的。反驳者甚至可以辩护说:博主用的是微软官网自己公布的漏洞,这其实正是因为微软查bug的人多、全职8小时工作制的查,因此发现的漏洞也多,如果要与之比较,那么,有些版本的linux根本没有多少人维护,人少,而且很多人都是在社区半职在维护(除了红帽),自然发现的漏洞也少。这个【漏洞发现得少】,和【树小不招风】的是同时存在的,既是优点又是缺点。
请问博主如何反驳上述观点?
错别字:避免增强其说服力——>以便增强其说服力
删除错别字:如果windows只支持个2-3年之类的就支持——>如果windows只支持个2-3年之类的就停止支持
删除给新手学习linux 的建议:
回复删除如果是学习linux更重要,安全问题放在其次,那你应该
1.选择比较激进的发行版,而不是比较保守的debian;直接研究新技术,其带来的好处要多;也能推进开源事业发展。
2.多装软件,而不是少装软件。虽然少装软件可以提升安全性,但问题是你毕竟是新手,装系统的时候一次性提前把软件都装了,这样你的学习速度更快。
上述两个方法都属于【牺牲安全,换学习效率】的策略,因为操作系统只是工具,小白遇到再好的系统,如果不会好好使用,安全也是白搭。
如果做不到1,你还是可以选择文档较齐全的debian或者centOS,现在Debian 8也不是太旧。但技术更新换代快,旧知识终归是要慢慢变质过期的。
像博主这种已经学得差不多了的级别,的确是可以直接上debian,这十分适合。
后排留言支持,看了两期,决定虚拟机弄个Linux用用,之前只是用过tails,觉得tails越做越复杂了~不知道安全性是不是降低了
回复删除世界信息互通聯盟~暢連全球,互訊無限!
回复删除https://freedominfonetweb.wordpress.com/
终于把随想等到了。
回复删除不同的领域,有不同的应用。
回复删除Windows、Linux,都是如此。但是,绝对没有最。要找最好?进党。
Linux无疑安全性更好,通俗的说,重技术,但自身也不能做很多娱乐性的工作。
Windows可以说安全性问题很糟糕,但他自身也可以做很多娱乐性的工作。
可以说,Windows更重家庭娱乐,也不可能发展成像Linux那样,程序员偏爱。要知道在娱乐应用范围,Linux都不如MAC。
最近看中国记载唐代贞观华阴市云台观有个刘法师遇到莲花峰的仙人,因为没有答应留下来而失去成为仙人的机会,这个事实依据在那里的
回复删除等了这么久,随想君居然发了一篇吐槽window的文章。
回复删除宛如被钓上的鱼
window还用吐槽吗。(滑稽
虽然我也离不开它。(逃
to 博主,
回复删除有空麻烦谈下泸州、聊城, 好像都是个挺大的新闻。别给bug 挤掉了。
还没正式开始啊,估计要到明年还写不完了。。。
回复删除转到ubuntu了, BT Sync共享也在Linux上了,每日更新强外文章,欢迎加码:
回复删除BTVJ4CKR2PFM2D7F7UQAWPS6K3VMJFW4Q
编程随想,现在的博主还是你吗?
回复删除对比前几年,直觉上总觉得哪里不像。
但又说不出是哪,想请你总结自己的变化。
其实Windows很多设计都非常先进,但是由于结构过于庞大,有很多历史遗留的难以快速升级/维护/重构的模块,要系统性地修复同类bug显得非常困难。再者因为Windows不开源,缺少社区的力量进行维护,使得发现bug和修复bug的速度相对较慢。
回复删除但和很多业外人士想象的不一样,Windows确实是一个相当优秀的系统。而防护自己被入侵的最好方式,是良好的上网习惯,依赖一个“安全”的操作系统是不靠谱的。
通常我们都不会对系统的优越性进行比较,因为它们都有部分比对方先进很多的技术和设计。就安全性也是一样,很难说谁比谁更安全。
删除因为你不喷windows,怎么显得你逼格高与众不同啊。桌面操作系统链应该是这样的:FreeBSD→Gentoo→Arch→RedHat→Debian→其他发行版→Ubuntu→macOS→Windows10→其他Windows。
删除Linux用户凑一起黑Windows用户,这是族群认同感。
https://i.imgur.com/yp1dRuG.png
回复删除进入那个1000多评论的博客就有这东西
300多条的也是
评论卡在20-40% 加载不出来
Chrome 和 Firefox 都这样,iPad上也是
右击“审查元素”,切到“网络”选项卡,能看到一分钟两三个请求
本人在北美,网速特别快,一定不是网的问题
We got the same problem, man.
删除Even the school laptop cannot load them very well. I reported this problem many times before, but nobody gave a shi*.
linux确实有很多好处,博主很多观点都支持。
回复删除-----
但是,有几点还是要提一下:
1.杀毒软件,也是在不断提升当中。特征码虽然还在充当基本的查杀力量,但是1.行为判断、2.启发式杀毒、3.云杀毒(每个用户电脑连入云处理器,实现整个网络是个大杀毒软件,只要全球有1户发现毒,全球用户立刻能查杀)都是很厉害的。在厉害的人眼中,使用4.hips(主动防御)是非常有效的安全措施,因为每个软件都会有行为产生,自己根据hips显示这个行为的动作来判断,能够杜绝。而且如果觉得容易中毒,还可以使用5.虚拟机和6.沙盘,沙盘使得程序(特别是浏览器)处于一个虚拟世界,而不会对计算机产生实际伤害和窃取。
2.不使用ie内核浏览器仍然是一个很好选择。像邮件系统,可以使用雷鸟,他使用的是火狐浏览器的内核。
3.黑客不一定是攻破用户个人电脑来窃取数据,线路中就可以窃取。比如黑掉前置服务器,比如黑掉路由器,,比如攻破邮箱,等等,不一定在终端上做文章。所以,从这个角度来说,终端无论怎么样,都是枉然。当然VPN可能有些用处,因为通讯加密了。
4.用户资料现在更多是在服务器,而不是本地。比如,很多人爱玩推特微博、各种网站注册资料和储存,甚至你办证明用的电话号码也被窃取,那些地方的信息很便宜,甚至到处都可以买的到。只要把所有服务器的信息挖掘出来,可能价值比本地内容更高。(那些“民主人士”想抗天朝,这些资料官方很容易掌握)
5.据本小伞了解,各种线路的服务器貌似都安装了窃取信息来反恐反分裂的装置,电脑用什么系统还真不是事。
6.黑客的守则第一句就应该是“这个世界没有任何系统是找不出漏洞的”吧?高价值的服务器一般是UNIX系统的,而linux一般属于中端和民间使用,windows服务器可能是有人偏爱或者与微软有合作的来使用。
7.手机更容易被盗取信息,而这和电脑系统使用什么无关,因为不会有人因为用电脑就不用手机。
--
综上所述,我个人觉得系统是什么,只是一个初阶,而且如果弄不成一个体系,那短板真的多的是。linux如果了解不深透,弄成服务器,说不定供应商就会三天两头给你说被攻击了(参见《鸟叔的私房菜》这本书作者的自述经历)
关于46楼主所言【高价值的服务器用UNIX】,请问:
删除楼主所见到的高价值服务器,都在用第七版UNIX吗?
另外,【windows服务器可能是有人偏爱或者与微软有合作的来使用】,
我想不出国内用ASPX站的各个网站以及 Exchange Server 等等和微软能有什么合作。
对于第三条,我认为使用靠谱的服务商可以在【一定程度】上避免被攻破(被黑,被迫交出数据),例如 Sigaint.org 或者博主所用的 GMAIL。个人计算机的安全永远是最重要的,对于【终端无论怎么样,都是枉然】这种观点,可以去参考DCM木马,那是百分百针对终端下手的。
[b]这位小伞又来搅混水了。严重怀疑你跟 kopatu 是一伙的。[/b]
删除1.
杀毒软件:
我一直跟别人说,这玩意就跟机器翻译一样,就是个聊胜于无的东西罢了。机器翻译对于完全不懂外语的人有一点点作用,但对于懂外语的人则完全无用。我就问你,我造一个病毒,随机删除一些用户文件,你杀毒软件怎么可能知道该行为是用户主观目的,还是软件自作主张的恶意行为?
2.
博文中反复强调 ie 与 windows 高度耦合,不仅仅是一个邮件客户端的问题。也不知你到底有没有认真读完原文就来开喷,说一些避重就轻的洗地言论。
3. 4. 5.
小伞好一个强盗逻辑。现在满大街摄像头(就好比服务器/路由器上已经被监控/被黑),是不是你就可以裸奔了(个人电脑终端无论怎样都是枉然)?
6.
造谣之前请先好歹查下资料
7.
本文本来就不是讨论手机的,你拿这个来批判实在太 S* 。
最后,说两句不好听的话(我脾气不好,还请谅解):
你这种人,明显不是来讨论问题的。看看你以前的发言,错误一堆,别人指出你的漏洞,你往往不正面回答,而是胡搅蛮缠、转移话题、毫无逻辑。
你这种人,我们不欢迎,请有多远g*多远,谢谢!
TO 真正的小伞
删除你大概是前一篇博文中,引发众多辩论的那位读者吧?
感谢你的继续捧场。
关于你提到的几点,俺逐一回复如下:
1. 关于杀毒软件
1.1 关于“行为判断 和 启发式杀毒”
这2种有很大的误报概率。
而且这2点,在某些厂商那里,是光说不练滴。
1.2 云杀毒
这个有很大的隐私风险。
1.3 关于沙箱
在每年的黑客大赛上,经常听说浏览器沙箱被突破。
1.4 操作系统虚拟机
这个是俺认为还比较靠谱的手段,也是俺经常推荐读者的。
可以看俺的系列博文:
《[url=https://program-think.blogspot.com/2012/10/system-vm-0.html]扫盲操作系统虚拟机[/url]》
2. 关于邮件客户端
(Windows 上)不依赖 IE 的邮件客户端,市场份额非常小。
绝大部分人(尤其是企业用户)用的是 Outlook
3. 关于通讯加密
这是俺常年唠叨的。
而且俺甚至建议用【多重代理】,教程参见
《[url=https://program-think.blogspot.com/2010/04/howto-cover-your-tracks-0.html]如何隐藏你的踪迹,避免跨省追捕[/url]》系列的其中一篇
4. 关于云存储
虽然很多资料存储在云端,但是本地还是有【要害】的数据。
比如自动登录的凭证(登录 cookie)
另外,不仅要防官方骇客,也要防民间骇客。
有些服务端数据,虽然官方容易拿到(不需要通过本机入侵)。
但是民间骇客,要想拿到服务器上的数据,先本地入侵再盗帐号,是很常见的手法。
对大部分网民而言,民间骇客的风险是主要风险;
只有极少数人(比如俺)才需要防范官方的御用骇客
5. 关于服务器监控
你说的这个,俺在《[url=https://program-think.blogspot.com/2010/04/howto-cover-your-tracks-0.html]如何隐藏你的踪迹,避免跨省追捕[/url]》早就提到了。
如果关注隐私安全,不要使用【国产】的那些流氓软件(各种IM、各种安全管家,各种杀毒)
另,
服务器监控属于“信息泄漏”,跟本文强调的重点,是【不同层面】的。
本文更多谈得是:对本地的入侵
6. 关于服务器操作系统类型
从你这段,看出你【不是】专业的 IT 技术人士。
对业界太不了解了。
早在 N 年前,高价值服务器都已经纷纷从 Unix 迁移到 Linux 了。
后来有段时间,还流行过【去 IOE】的说法,你可以去 Google 一下。
7. 关于手机
本文讨论的是【桌面系统】,手机是另一个话题
继续假装老读者呀,继续“我也挺喜欢这个博客的”啊,你会发现,你平时用的那一套话语术,在这个博客里没有一点卵用
删除回复1单元
删除我说的,要理解到,肯定不能说“unix全是大公司,linux全是中公司”这样,以前看过网上有统计的。
unix,一般是算unix系,比如出名的BSD系统,就算unix类,还有免费的open BSD,这之类等等挺多的。苹果电脑系统也算进unix类。
windows服务器嘛,有人图好管理,有人菜鸟觉得图形界面好用,常见的“学校的刷卡消费”就是用windows sever。还有(https://www.zhihu.com/question/56530204#answer-55382226)里提到的地铁系统也用windows。与微软合作的,肯定还是有的,至少微软自己用windows sever。帖子里也有一些程序员对windows sever挺友好的。我贴的链接地址也讲了一些windows服务器的应用例子。
----
linux这类服务器系统,虽说是免费的,但是厉害的就在于强大的定制性,可以说普通用户的Linux和专人维护的linux之间相差甚远、天差地别。这也是为什么红帽这企业是靠linux赚了很多钱,它是靠为用户提供服务来收费的,包括一些培训。IBM把一些硬件部门卖给联想之后,也是靠服务来赚钱,其中就有linux的部分。
我以前曾经听到一个说法,【特定条件下】,用linux的开支可能高于windows sever,因为运维的费用、服务的费用。
-----
顺便一说,2单元真的没什么好讨论的,你自己看下你2单元的发言,我不信你没有觉得不对。你如果真的觉得没什么不对,那就更没有讨论的意义了。你和其它人讨论的氛围也不是很好。
这里下载电子书《人月神话》的时代就有IBM和7个小矮人的说法,那个时代完全通过纸带输入输出,工资高什么都要学习,电影《奇爱博士》的美国核武器电脑管理系统你不做自然有人做,电脑历史都不熟悉来这里胡扯
删除作为个体 编程兄 已经很 成功(如,现代版鲁迅),但想 真变革 还需要很多,如 框架路线、团队 等。编程兄 为何不再 激进点呢?
回复删除编程大使写了那么多,俺最感兴趣的是这句话:"接下来,俺会写一些关于 Linux 的扫盲教程,帮助技术菜鸟在虚拟机中玩转 Linux"。为什么呢.俺的机子有点老,母体配置是2core,2.5G内存,xp的笔记本,想在虚拟机vmware中安装轻量级的slax或archlinux到硬盘,尤其是slax,死活都不知道咋操作.Because俺是一只很菜很菜的鸟!!最后,望随想大使时时刻刻要注意自身言行保持隐身,因为各种监控无处不在!
回复删除博主, 能不能简评一下美联航暴力对待亚洲乘客的事件
回复删除https://twitter.com/ajplus/status/851594200529346560
这一定是假新闻。这种事只可能发生在专制独裁的中国,怎么会发生在自由民主的灯塔国呢。
删除那个鹦鹉笑被扔下飞机的乘客说你不会飞别在飞机闹事笑话没有听说过,飞机上机长有特权,驱逐不合适乘坐的乘客。演员王姬儿子出生时母亲演戏受寒成为弱智儿童不得乘飞机,控诉无效,拖下飞机怕他有闹事倾向,如果在飞行必须打麻醉,正常医生遇到天气不好马上购买其他公司机票改火车才正常。
删除每周轉載還有多久!!!!!
回复删除好长时间没见博主发布博文了,我这几天天天刷新,终于看到更新了,好激动!
回复删除其实,单论数量,Linux的CVE也并不少。
回复删除刚才去查了一下,https://www.cvedetails.com/product/47/Linux-Linux-Kernel.html
注意到,仅2016年一年,Linux Kernel就有217个CVE,这数目不可谓不多。但是在这217个CVE中,有153个仅是DoS,危害是有限的。Code Execution漏洞只有5个,但是Gain Privileges有52个。
另外2017年的形式不容乐观啊……这才几个月,就236个漏洞了,其中134个都是Code Execution。
这个事情,还是要从多方面讨论。
首先Windows这些漏洞是包括系统全系列组件的。刚才那个只是Linux Kernel,如果把glibc,coreutils之类的关键组件加上,只怕数目还会更多。
但是呢,确实Linux的这些漏洞,很多是只针对特定平台和内核版本的。比如貌似2017年有不少漏洞是在Android驱动里发现的,还只是某几个版本的kernel,把他们都算到桌面平台头上也不合适。
还有就是Linux Kernel由于ABI不兼容,所以鼓励厂商把驱动全放到kernel source tree之下,这样一来驱动的事情也归到kernel了。
如果再细致调查每一个漏洞就比较麻烦了,这样说,主要还是希望博主能够也分析一下GNU/Linux近几年来的安全状况,有比较,才会显得比较客观。
还有就是,关于Linux和Windows哪个“树大”,其实还真是不好说的。服务器领域Linux的市场占有率还是很高的。像博主所说的国外政治人物、民运人士,他们自己的机器大概是Windows/Mac居多吧,但是很多邮件、资料,依然存储与对应组织的服务器上,去攻击这些目标也很有价值。
删除至于说国外的敏感科技企业,Linux使用率不见得会低,毕竟在科学计算之类的领域,Linux还是有一席之地的,比如MATLAB就支持Linux。而且这些敏感技术企业的数据、运算服务器,不也很可能是Linux么?
Windows其实是在个人电脑上用的最多,问题是个人电脑上,除了银行账户,大概并没有太多高价值目标,剩下的主要也就是拿来当DDoS的肉鸡了吧。不过最近不是流行拿IoT设备搞DDoS了么(Mirai DDOS事件)。所以整体来说,Linux这棵树也并不小。
另外个人觉得,树大,攻击者多,但是关注其安全性的厂商也会增加,不见得是很大的坏事。
把Twitter(trend) 和谷歌地圖結合起來,會不會是一個很好的組織上街散步的軟件?
回复删除共匪不等于中国, 反对共匪更不等于反对中国, 共匪就是地球的毒瘤, 你们这些反人类的共匪全家死绝!
回复删除[/b]【为防止冒名顶替,营造良好评论氛围,设了名字的匿名老读者们,最好公布下你们的验证方式。】[/b]
回复删除上篇博客的 [url=https://program-think.blogspot.com/2017/03/Why-Linux-Is-More-Secure-Than-Windows-and-macOS.html?comment=1491049238344]62楼59单元[/url] terminal 曾提出使用 sha 算法进行验证。关于这一算法,不明白的同学请看维基百科的词条 [url=https://zh.wikipedia.org/wiki/%E5%AF%86%E7%A2%BC%E9%9B%9C%E6%B9%8A%E5%87%BD%E6%95%B8]密码散列函数[/url] 、 [url=https://zh.wikipedia.org/wiki/SHA%E5%AE%B6%E6%97%8F]SHA家族[/url] 。
其步骤是,你先选择一个密码字符串 A , A 经过 sha 运算后得到明码 B ,知道 A 就可以知道 B ,但知道 B 无法知道 A 。你把 B 公布出来后,今后若遇到冒名顶替者,你可以质疑他让他公布密码 A ,他无法公布,于是冒名顶替的者便不攻自破,或者也可以你自己主动公布密码 A ,然后声明前面某某楼是假冒的,别人验证之后就知道你才是真身,然后你需要再选择一个新的 A' ,并将对应的 B' 公布。
关于如何进行计算, Linux 、 Mac 用户可以使用命令行 sha1sum 、 sha256sum 、 sha512sum 等。 Windows 用户可以使用 [url=https://www.google.com.hk/search?hl=zh-CN&q=sha+online]在线网站[/url] 。
我本人的明码已在上篇博客的 [url=https://program-think.blogspot.com/2017/03/Why-Linux-Is-More-Secure-Than-Windows-and-macOS.html?comment=1491416387328]62楼172单元[/url] 公布。
删除TO Overthrow CPC
删除俺也看到前一篇博文中,terminal 提出的:基于散列算法的身份证明。
俺在考虑:
是否有某种方式,更好地整合这个机制?
这个需要大伙儿集思广益。
比如说:
这个散列串,是只公布一次?还是每次都附带?
如果为了证明身份而公布原始串,那么就需要同时公布另一个新的散列串。
这个操作如果出现多次,(对某人而言)就会有多个公开的散列串。
如何在界面上把这些不同的散列串关联起来?
(暂时先想到这些)
关于是否需要在界面上提供功能,关键看需求的人多不多。如果需求的人很少,暂时可以搁置。
删除个人看法,这个散列身份验证,不需做到万无一失,每次都附带,而是一种威慑手段。类似核弹,轻易不用,只是威慑。有了散列身份验证,对恶意假冒者形成威慑,使之大大减少即可。不必每次发言都使用。
TO Overthrow CPC
删除同意
linux 新建一个名为see 内容为see 的文档,
删除# sha1sum see
结果是: 7539e40b90e9c27226d1eec9272c02d8a9d86515
但是在线网站中 see 的 sha1计算的结果是:
3d637fc604995b51a048db0058a7c210e57a38cc
终端下如何计算"字符串"而非"文档"哈希码?
ps;年前我在评论区留言 提到过利用哈希证明身份,但是没有发生"风中的小伞"事件,未被关注:(
那位老兄倒是和我心有灵犀:)
我当时建议用脚本生成若干个(比如100个)哈希值作为 辨识符(下称为 id_XXX),上一个的计算结果是下一个的内容.
sha512(id_x)=id_(x+1) ,(x<100).
注意:发言时 第100个要作为第一条回复的id,第九十九条作为第二个回复id.若sha512(99_id)=100_id则是同一人.
第一百条回复用 id_001,接下一组id_100......
如果冒名顶替,原评论者报告博主,然后删除。
隐私方面
最好结合加密卷存储辨识符文件 。被有心人看到就是铁证:(
(为防顶替本人辨识符利用在线网站计算的的sha512为 :1b3501d93d1d07aad8179875c74c7eb1e8cb243385950b9bd3d17184a9bf86e041685d1652a73959f34f2025d2fb4c4419fed21b65abd4045d9b2af4f01d420b)
To 楼上
删除[code]echo -n "see" | sha1sum[/code]
结果跟你用在线网站算的一样。
用文本文件计算也是没问题的,但要保证:没有 eol 、没有 bom。
提醒一下: gedit 在保存文本时候会自动在最后一行加 eol
请换用其他文本编辑器!
To 托马斯维德
删除你这个 100 次 hash 的建议真不错。避免了每次公布密码就需要选择一个新密码的麻烦,密码太多不好管理。你这法子只需记住一个密码即可。至于“最好结合加密卷存储辨识符文件”,根本不需要,因为你只需记住一个密码。
另外,你提到的,假冒的评论要被删除,我觉得可以有。
+1
回复删除随想君多更新啊,非常喜欢看,这些个漏洞啥的没意思,还是多说说天朝的事情。
回复删除To 随想 & All
回复删除我曾在上篇博客 [url=https://program-think.blogspot.com/2017/03/Why-Linux-Is-More-Secure-Than-Windows-and-macOS.html?comment=1491592854728]62楼254单元[/url] 提到评论区管理问题:
我建议应该规范一下评论区,一是营造良好评论氛围,二是(有可能的话)模拟一下论坛的效果。
[b]【举措一】:[/b]
每篇博客发出来之后,预先发布几个“话题”楼层,然后之后的讨论都集中在相关的话题楼层中,避免出现前一篇的超高楼层(近300单元),一个讨论政治的楼层,转换无数话题之后,最后变成了讨论界面 bug 。
一些预设楼层建议与举例:
界面反馈专用楼
博文纠错专用楼
下篇博文选项专用楼
时政文章转载专用楼
关于翻墙软件的讨论
关于博文某段内容的讨论
关于论坛建设的讨论
如何评价近期某某热点事件
如何评价某某等
linux、windows斯逼专用楼
这样,每个人在发布前应先查询一下,看看是不是已经有了专用楼层。如果没有的话,看看自己准备发布的内容是不是有一般性,如果具有一般性,则在开新楼时,先发布一个话题楼层,然后再在1单元发布自己本来就要发布的东西。举例,我想吐槽一下山东辱母案,如果已经有了此楼,直接发布在此楼,否则就开新楼。我先预判一下,聊这个话题的人可能会很多,于是我开新楼,内容为“如何评价山东辱母案”,然后再在1单元发布我本来就要发布的吐槽。
[b]【举措二】:[/b]
39楼讨论的散列身份验证
[b]【举措三(界面上的配合改造)】:[/b]
1. 一键折叠所有子楼层,这样可以一眼看出所有话题,也方便在不同话题间跳转。
2. 跳转上一个/下一个热贴按钮。
3. 实现类似知乎“查看对话”功能。例如,如果每个人发言第一句是“@UserID”(或者是“#单元数”“#楼层好.单元数”),则可以悬浮提示两人间对话(或者是跳转到某单元)。
总之:
这些举措可能要求大家改变使用习惯,我不清楚到底能否成功,是否具有可操作性。
若果真能成功的话,则可以模拟论坛、知乎、quora的效果,从而吸引更多人前来、吸引大家发布高质量帖子。
我想的是,既然在可预期的将来论坛根本没影,我们就永远憋死吗?当然,如果在可预期的将来,论坛能够搞定,以上文字都可以忽略。
TO Overthrow CPC
删除老熟人,你好:
非常感谢发长篇留言,给出评论区的管理建议 :)
1、关于“预设楼层”
这个建议也有人提过,应该有用。
关键点在于:
谁来发布“预设楼层”?
是俺来做,还是让读者自由组织?
如果是俺来做
优点:
会比较规范。而且可以在新博文发布之后就创建“预设楼层”
缺点:
俺对评论区的干预过多。
刚才 30楼 也提到过:
[quote]
俺的想法是:
尽量构造一个类似于【公共空间】的讨论环境,最大化地确保言论自由。
[/quote]
再补充一下:
这个类似于公共空间的讨论环境,最好是【自组织】的,俺的干预越少越好。
如果能做到,就很理想了。
2、基于散列算法的身份验证
这个可以在 54楼 继续展开讨论
3、界面改造
(这个是重点)
3.1 折叠
俺有一个想法:是否可以默认全部折叠?
想看的再点击“展开”。
但是这样的改动太大,可能会引发大量抱怨
如果是加2个按钮(“折叠全部楼层”和“展开全部楼层”),俺没意见。
3.2 楼层间跳转
这个正在准备搞。
上次引入“热点排名”之后,加了一个“电梯”。
但是电梯还是有点不方便,无法直接进入(排序后的)上下楼层。
引入电梯之后,本来想搞这个。
但是俺比较懒又比较忙,时间一长就没下文了 :(
3.3 显示对话
这个显然很高大上,但是要想清楚如何实现。
这个需要从长计议
3.4 单元跳转
“显示对话”估计一时半会儿搞不出来。
可以先搞一个改良版本——更方便地跳转到某条留言
俺的想法是:
如果评论正文中出现了 “XX楼” 或 “XX单元” 或 “@XX”
就变为超链接。
楼层和单元,实现比较简单。
如果是 @XX
该超链接要跳转到哪里捏?
因为 XX 留言的条数可能不止一条
我提几点看法,
删除1. 随想先花一段时间慢慢完善“论坛模拟”的功能(例如查看对话)
2. 在完善功能的时间内,属于“预备期”。在此期间,大家要多在评论区讨论这个问题,集思广益,并使之被更多人看到。在此期间,就可以就开始尝试“预设楼层”,使得知道的人越来越多。
3. 等功能完善之后,知道“预设楼层”的人多了,可以单开一个博文进行介绍,并同时开启新功能(比如默认折叠)。
4. 新功能(比如默认折叠)仅针对从此之后的博文,旧博文保持原有状态。
(当然,最好的情况是,论坛能够很快有眉目,这样就不用折腾评论区了)
另外,如果“默认折叠”,要保证:点击右侧最新评论某一条后,能自动展开。总之,这些界面的改动,要读者帮忙测试,保证稳妥。
删除TO consolas
回复删除俺反对人身攻击。
但是对人身攻击的言论,俺依然【不】删除。
目前俺只删除两种留言:
1、垃圾广告
2、恶意刷屏(对这种,俺会删除到只剩下1条)
俺的想法是:
尽量构造一个类似于【公共空间】的讨论环境,最大化地确保言论自由。
对于人身攻击或者脏话
大伙儿直接无视之,不要与这类人纠缠。
由于评论区有【热度排名】
没人理会的留言,自然就沉底了。
用LINUX對話你們應該
回复删除