1009 评论

近期安全动态和点评(2019年4季度)

  前一篇博文《时间与人生》看来还挺受欢迎,访问量和评论数都比较多。很多老读者来捧场,俺也回复了好几轮读者评论。上个周日一直回复到凌晨1点,但还是无法顾及每一个留言的读者。在此表示抱歉 :(


★隐私保护


◇2020年实施的《密码法》


  编程随想注:
  上一篇博文的评论区,好多读者在问此事,所以把这个放到本文开头部分。
  大部分网友对该法律产生【误读】,以为朝廷方面想通过这部法律来“收集用户密码(password)”。
  实际情况是——在颁布该法律之前,“有关部门”就已经能轻易拿到用户在【国内】网站的帐号密码。
  举个例子:
  假设你使用某款【国产】的 IM(聊天工具)。有一天,你被警方认定为犯罪嫌疑人。那么,警方就可以找到运营该 IM 的公司,拿到你的帐号密码。(必要的时候)警方人员甚至可以用你的密码登录你的帐号,然后冒充你的身份与你的联系人进行聊天......还美其名曰“办案需要”。

  某些天真的读者会想:“我又没干坏事儿,警方不会把我当成犯罪嫌疑人。”
  有上述想法的读者,不妨回想一下前不久的【华为李元洪案】。
  在天朝这个奇葩的国度,会发生很多奇葩的事情。生活在天朝,切莫太天真!

  至于那些从事敏感活动的网民(比如类似俺这种),尤其【不要】使用【国产】的网络服务进行敏感活动
  (上述观点,俺已经唠叨了很多年)

我的密码国做主? 中国新法元旦上路 @ 德国之声
(编程随想注:以下是此文的摘录,粗体是俺标注滴)
此「密码」非彼「密码」

根据《人民网》,密码法中的密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。主要功能是为了加密保护和安全认证。这与日常生活一般人用在电子邮件、社交媒体、手机上使用的「密码」不同。

对此台港科技媒体「科技新报」、「Unwire」都提到,这个法案主要是为了管理区块链,透过规范与整合加密技术,因应未来加密货币推广,和相关密码技术不会对国家安全造成影响。
报导中也提到,事实上,中国政府若要取得人民的资料,不需要《密码法》,直接引用2016年制定的《中华人民共和国网路安全法》,不需要密码就可以拿到。

◇【学习强国 app】的隐私问题


China's Study the Great Nation app 'enables spying via back door' @ BBC/英国广播公司

“学习强国”软件暗藏后门,可进行大规模监控 @ RFI/法广

中国疑透过「学习强国」监控用户,忌同一手机上存敏感资讯 @ RFA/自由亚洲电台

  编程随想注:
  “这个 pdf”是德国安全研究人员对“学习强国 app”的分析报告。

◇【面部识别】的隐私问题


美两党议员力推<面部识别技术授权法案>,限制联邦机构滥用 @ cnBeta

美国伯克利投票禁止面部识别 @ Solidot
伯克利成为加州第三个美国第四个禁止政府使用面部识别技术的城市。在得到广泛支持之后,市议会投票一致通过了议员 Kate Harrison 今年初提出的法规。
麻省的 Somerville 是美国东海岸第一个禁止政府使用面部识别的城市,西海岸的湾区有三座城市,旧金山和奥克兰以及现在的伯克利。
新的法规还遵守了加州的一项州法律——A.B. 1215,从2020年1月1日起,警察暂停三年在佩戴的摄像头上采用面部识别技术。

中国手机入网,强制实施人脸识别,引发用户忧虑 @ BBC/英国广播公司

调查显示:中国用户高度担忧面部识别 @ FT/金融时报
大型民意调查显示,大部分人希望选择传统的识别方法,而不是面部识别技术。这反映出世界第二大经济体对个人数据保护的担忧日益加剧。

中国已率先在全球推广面部识别,并在交通枢纽、学校、购物中心和居民区安装面部扫描器。
不过,根据北京的南都个人信息保护研究中心(Nandu Personal Data Protection Research Centre)周四公布的结果,虽然 60% 至 70% 的人认为科技让生活更安全、这些设置让生活更便捷,但用户担心自己的个人信息泄露,而且希望更多地掌控自己的数据。

这项调查突显出,中国面部识别的普及已产生广泛的担忧甚至抵触。该调查发现,74% 的受访者希望选择传统的识别方式,而非面部识别。
......

◇【抖音 & TikTok】的隐私问题


Tiktok 利用设备指纹跟踪用户 @ Solidot
对 Tiktok 应用和网站流量的分析发现,它会将用户数据发送给 Appsflyer 和 Facebook,会利用设备指纹跟踪用户。Tiktok 短地址被发现包含了安装 ID,可用于识别谁分享了视频。
它甚至还能跟踪谁观看了视频。它使用的跟踪技术包括了 Canvas Fingerprinting,在后台使用矢量图形命令绘制图形,保存图像到一个栅格化 PNG 文件,根据硬件和浏览器该数据在不同设备之间具有唯一性;它还使用音频指纹识别观看者,内部生成音频然后记录比特流,这一数据在设备之间也具有唯一可识别性。北京字节跳动称指纹被用于识别恶意浏览器行为,但研究者对此表示质疑。

字节跳动在美国被控收集儿童数据 @ Solidot
TikTok 母公司北京字节跳动在美国被控违反了儿童隐私保护法。字节跳动在 2017 年收购了面向青少年的对口视频应用 Musical.ly,将其重命名为 TikTok。诉状称,字节跳动未经父母明确同意从年龄低于 13 岁的 Musical.ly 用户收集数据,并将数据出售给第三方广告商。
儿童在线隐私保护法 COPPA 禁止社交媒体公司未经父母明确同意收集儿童数据。TikTok 发言人表示他们已经知道诉状中的指控,虽然他们不同意大部分指控,但正与各方合作去解决问题。

美国当局对抖音海外版 TikTok 展开国家安全调查 @ 路透社

美国参议员呼吁:追溯调查字节跳动收购交易 @ FT/金融时报

五角大楼发警告,美军多军种禁用 TikTok @ 纽约时报

◇【加密货币】的隐私问题


中国加密货币计划的强大盟友——“老大哥” @ 纽约时报

  编程随想注:
  俺一直习惯于【现金】消费,既不喜欢“刷卡”,也不喜欢“刷手机”。因为【现金具备匿名性】。
  请注意:“消费记录”包含的信息量非常大——它不光可以反映出你的财务状况,还可以精确地描绘出你的生活规律、活动轨迹、个人喜好......
  如今的【电子支付】,由腾讯与阿里巴巴两大 IT 巨头掌控。虽然朝廷可以从两巨头那里得到屁民的消费数据,但终归是【间接获取】,不太爽;看如今朝廷这架势,大概想要亲自上阵了。

◇【智能设备】的隐私风险


  编程随想注:
  如今【智能】的电子设备越来越多(比如:智能电视、智能音箱...),它们具备如下两个特点:
  特点1:丰富的外设——【智能】设备为了实现更好的“人机互动”,通常都有相关的外设(比如:摄像头、麦克风)。
  特点2:密切的互动——大部分智能设备与你有比较密切的互动。
  (基于上述这2条)在提供“便捷性”的同时,它们也成了潜在的【隐私收集工具】。由于大多数智能设备都能【联网】,它们当然可以把你的隐私数据汇总到背后的商业公司。

研究显示智能电视是数据收集机器 @ Solidot
普林斯顿大学的研究显示,联网智能电视加载了大量的跟踪程序。如果你使用 Roku 或 Amazon Fire 等设备,那么有很多公司能对你正在观看的内容构建相对全面的画面。
普林斯顿计算机科学副教授 Arvind Narayanan 和同事开发了一个机器人程序自动在 Roku 和 Amazon Fire 上安装了数千个频道,然后它模拟人类行为去浏览和观看视频,在播放广告时它会跟踪幕后的数据收集。设备类型、城市等信息对用户来说称不上唯一,但设备序列号、Wi-Fi 和广告 ID 则能跟踪到个人。某些频道甚至会向跟踪器发送未加密的电邮地址和视频标题。研究者在 69% 的 Roku 频道和 89% 的 Amazon Fire 频道上发现了跟踪器,许多跟踪服务商属于 Google 等知名企业,但还有许多鲜为人知。89% 的 Roku 频道发现了 Google 的广告服务 DoubleClick。搜索巨人在一份声明中表示它制定了保护用户隐私的行业准则。

Now even the FBI is warning about your smart TV's security @ TechCrunch

(下面这篇是上述 TechCrunch 文章的中文简介)

FBI 对智能电视的安全性发出警告 @ Solidot
智能电视正逐渐进入到千家万户,和许多能联网设备一样,厂商并没有将安全放在最重要的位置,它的安全漏洞为黑客打开了一扇窥视之窗,而很多智能电视还配备了摄像头和麦克风。
FBI 就智能电视的安全性向消费者发出了警告。FBI 称,除了电视厂商和应用开发者可能会监听和监视你之外,黑客也可能潜入进来。黑客可能不会直接访问你锁定的计算机,但不安全的电视可会其提供了方便之门。黑客可能会控制不安全的智能电视,而最糟糕的情况是会控制摄像头和麦克风进行监听和监视。

◇【云平台】的偷窥


国内云服务厂商可能会监控你的程序行为 @ Solidot
最近参加活动购买京东云服务器,为了测试 sock5 装上了 Shadowsocks,在随即的两小时之后,收到了京东云的短信和电话。提醒并警告我,尽快删除服务器上的违规软件。
此事实证明国内的云服务厂商是有能力且正在进行对用户服务器的内容监控的。

◇IT 公司【雇员】的可靠性


涉嫌为沙特充当间谍,推特员工受控 @ 德国之声

  编程随想注:
  既然 Twitter 的雇员会被沙特政府收买,那么,他们是否也会被中共收买?推而广之,其它欧美公司的雇员,会不会被朝廷收买?
  因此,对于真正高危的人士,【不要】把你的【身份信息】暴露给任何一家“商业公司”或“非盈利组织”。因为你【无法确保】该机构的雇员都是靠谱滴。
  更进一步,即使某个机构里面的每个雇员都很靠谱,还存在【服务器被入侵】的风险。


★高危漏洞


◇TCP/IP 协议栈高危漏洞——可劫持 VPN 连接


New Linux Vulnerability Lets Attackers Hijack VPN Connections @ Slashdot

New Linux Vulnerability Lets Attackers Hijack VPN Connections @ Bleeping Computer

  编程随想注:
  上述漏洞编号:CVE-2019-14899。由于问题出在【TCP/IP 协议栈】,影响面很广——受影响的操作系统至少包括:桌面 Linux、Android、iOS、macOS、BSD。受影响的 VPN 协议包括:OpenVPN、WireGuard、IPSec。
  该漏洞的高危人群——经常使用【公共 wifi 热点】的网民。“公共 wifi 热点”的危险性,俺已经在博文中聊过。【至少】包括两点:
1、架设该热点的人,可能是攻击者
2、与你一起使用该热点的人,可能是攻击者

  该攻击本质上是(某种形式的)【地址欺骗】。如果 TCP/IP 协议栈开启了【reverse path filtering】,有助于降低某些【地址欺骗】的风险。
  对于 Linux 用户,可以在 sysctl 的配置中添加如下配置项:
net.ipv4.conf.all.rp_filter = 1
  (注:关于 sysctl,俺在《近期安全动态和点评(2019年2季度)》简单聊过)

  除了“避免使用公共热点”个教训,该新闻还有另一个教育意义——再次体现出【多重加密代理】的优势。
  俺一直在强调【基于 Tor 的多重代理】。那些喜欢用 VPN 的同学,就可以组合 VPN 与 Tor(Tor over VPN)。这么干的好处在于【双保险】。即使其中一个协议出现安全漏洞(被攻破),你还有【另一重保护】。

◇Windows 漏洞


Windows 'BlueKeep' Attack That U.S. Government Warned About Is Happening Right Now @ Forbes/福布斯

Over Half of Fortune 500 Exposed To Remote Access Hacking @ Slashdot

BlueKeep 漏洞正被利用 @ Solidot
今年五月,微软不同寻常的向已终止支持的 Windows XP 和 Windows 2003 释出了安全更新,修复一个据称能像 WannaCry 蠕虫那样快速传播恶意程序的漏洞。该漏洞被称为 BlueKeep,位于远程桌面服务中。
微软以及美国 NSA 都先后发出警告,呼吁 Windows XP 及其它受影响版本的用户及时打上补丁。除了 XP,Windows 7、Windows Server 2008 R2 和 Windows Server 2008 也都存在该漏洞。安全研究人员现在报告,BlueKeep 攻击正在进行之中。目前攻击者主要利用该漏洞挖掘数字货币,未来可能将其用于其它恶意目的。至今仍然有70万台 Windows 系统没有打上补丁。

◇Android 漏洞


Android 0day 漏洞 Bad Binder @ Solidot
Google Project Zero 官方博客详细描述了一个 Android 0day 漏洞 Bad Binder 的发现和修复过程。补丁已包含在10月份 Android 的安全更新中,如果你的手机安全补丁程序级别为2019年10月,那么问题已被修复。
Project Zero 开发者称,在夏末他们收到情报称以色列间谍软件开发商 NSO 正在利用一个 Android 0day 漏洞在目标设备上安装间谍软件 Pegasus。这是一个内核提权释放后使用漏洞,影响 Pixel 1 和 2,但不影响 Pixel 3 和 3a,它在内核版本 Linux kernel 4.14 中已经修复。利用这些情报安全研究人员很快识别了漏洞。该漏洞最早是在2017年11月发现和报告的,2018年2月修复,在 Linux 4.14、Android 3.18、Android 4.4 和 Android 4.9 内核中修复,但没有包含在每月的 Android 安全通报中,因此很多已发布设备如 Pixel 和 Pixel 2 都没有打上补丁。

Android 0day 漏洞影响 Google、小米和华为等品牌手机 @ Solidot
Google Project Zero 安全团队成员披露,攻击者正在利用一个 Android 0day 漏洞完全控制设备,至少有18个型号的手机存在该漏洞,其中包括 Google 的 Pixel 1 和 2,华为 P20,小米的红米 5A 和 A1,三星的 S7、S8 和 S9 等。
Google 表示即将释出的 Android 10月安全更新将修复该漏洞。漏洞源于 Linux 内核,早在 2018 年初就被发现并修复,但出于未解释的原因,补丁没有整合进 Android 的安全更新。
安全研究人员称,该漏洞正被以色列公司 NSO Group 或其客户利用,而 NSO Group 代表则否认这一说法。

Android NFC 漏洞可被黑客拿来传播植入恶意软件 @ cnBeta
ZDNet 报道称,近期曝光的一个 Android 漏洞,导致黑客能够利用设备上的近场接触(NFC)功能,向受害者传播植入恶意软件。CVE-2019-2114 漏洞报告指出,问题源自一项鲜为人知的 Android OS 功能,它就是 NFC Beaming 。所有运行 Android 8 Oreo 及以上版本的设备,都会受到影响。
......
这项服务允许 Android 设备使用近场通讯(NFC)技术来替代 Wi-Fi 或蓝牙,将图像、文件、视频、甚至应用程序,发送到另一台设备上。
通常情况下,通过 NFC 传输的 APK 安装包会存储在设备上,并在屏幕上显示相关通知,询问用户是否允许安装未知来源的应用程序。

然而今年 1 月,一位名叫 Y. Shafranovich 的安全研究人员发现:在 Android 8(Oreo)或更高版本的系统上通过 NFC 广播来发送应用程序,并不会显示这一提示。
相反,该通知允许用户一键安装应用程序,而不发出任何安全警告。

Android 漏洞 StrandHogg 正被利用 @ Solidot
安全公司 Promon 的研究员披露了一个正被利用的 Android 漏洞 StrandHogg,恶意程序能利用该漏洞窃取用户的银行账号。漏洞存在于名为 TaskAffinity 的多任务功能中,它允许应用假定多任务环境中运行的其它应用或任务的身份。恶意程序可利用该功能设置它的一个活动去匹配信任第三方应用的包名字。组合其它欺骗方法,恶意应用可以劫持目标任务,请求权限去执行敏感任务如记录音频、拍摄照片、阅读短信,或钓鱼登录凭证。
安全研究人员发现了36个恶意应用正在利用该漏洞,其中包括了窃取银行账号的恶意应用,部分应用甚至进入 Google Play 官方市场。Google 在接到报告之后已经下架了相关应用,但影响所有 Android 版本的这一漏洞尚未修复。

◇iPhone 漏洞


“Checkm8”漏洞确认可被用来越狱运行 iOS 13.1.1的 iPhone X @ cnBeta
  编程随想注:
  该漏洞被称作“iPhone 史诗级硬件漏洞”;但从实际效果看,应该是被媒体夸大了。
  利用该漏洞进行越狱,一旦手机重启之后就【失效】了。对普通用户,其影响有限;但警方使用的【手机取证件】,或许会利用该漏洞。

◇Realtek wifi 驱动的高危漏洞


Realtek Wi-Fi 芯片驱动漏洞能触发内核的缓冲溢出 @ Solidot
内核的一个潜在高危漏洞允许附近恶意设备利用 Wi-Fi 信号触发崩溃或完整控制机器。漏洞位于支持 Realtek Wi-Fi 芯片的 RTLWIFI 驱动内,当一台有 Realtek Wi-Fi 芯片的设备在恶意设备的无线电范围内,漏洞能触发内核的缓冲溢出。漏洞利用可能导致操作系统崩溃或允许黑客完整控制计算机。漏洞可以上溯到 2013 年发布的 Linux kernel 3.10.1。只要你使用 Realtek(RTLWIFI)驱动并启用了 Wi-Fi ,无需受害者的任何操作,漏洞能近距离远程触发。开发者已经递交了补丁,预计会在未来几天或几周整合到内核。使用 Realtek Wi-Fi 芯片的 Android 设备可能也受到影响。

  编程随想注:
  请注意:这是一个很【老】的漏洞(源自内核的 3.10.x 版本);再加上 Realtek 网卡很常见,该漏洞的打击面很大。
  最近的几期《近期安全动态和点评》,俺一直在唠叨“wifi 的安全风险”。由于无线通讯本身的复杂性,从“协议设计”到“网卡驱动”,很多地方会成为潜在的攻击点。

◇Chrome 高危漏洞


Google Discloses Chrome Zero-Day Exploited in the Wild @ Slashdot

  编程随想注:
  上述漏洞编号 CVE-2019-13720,出现于 Chrome 的【音频模块】。攻击者可以利用该漏洞,玩【网页挂马】的招数。
  该案例的教训是——1、浏览器环境的隔离;2、浏览器的定制(功能裁剪)。
  俺长期唠叨的一个“上网招数”是:要把“重要帐号”限制在某个单独的浏览器环境里。也就是说——该帐号只在这个受限环境中使用;同时,该环境也只用于这个帐号。
  由于该“受限环境”很重要,你要定制浏览器,把【不】需要的功能全都【禁掉】——以此来【降低攻击面】,提升该“浏览器环境”的安全性,从而保护该“重要帐号”。
  关于“浏览器隔离”的讨论,参见《如何防止黑客入侵》系列的其中一篇。关于“浏览器定制”的教程,参见《扫盲 Firefox 定制——从“user.js”到“omni.ja”》。


安全研究员披露 Chrome 的 Magellan 2.0 漏洞 @ Solidot
腾讯安全研究员披露了 Google Chrome 的新 Magellan 2.0 漏洞。研究人员共发现了 5 个漏洞,位于 SQLite 中,统称为 Magellan 2.0,这组漏洞允许攻击者在 Google Chrome 内远程运行恶意代码。Google 与 SQLite 官方已确认并修复了漏洞。如果用户使用 2019 年 12 月 13 日前的旧版本 SQLite 或运行低于 Chrome 79.0.3945.79 并启用了 WebSQL 的设备,那么可能会受到影响。和 Magellan 1.0 类似,这组新漏洞是因为 SQLite 数据库从第三方接受 SQL 命令输入验证不正确导致的。攻击者可以制作包含恶意代码的 SQL 操作命令,当 SQLite 数据库引擎读取该指令时会执行恶意代码。

◇sudo 高危漏洞


Linux 曝出 Sudo 提权漏洞 受限用户亦可运行 root 命令 @ cnBeta
作为 Linux 中最常使用的重要实用程序之一,sudo 几乎安装在每一款 UNIX 和 Linux 发行版上,以便用户调用和实施核心命令。然而近期曝出的一个提权漏洞,却直指 sudo 的一个安全策略隐患 —— 即便配置中明确不允许 root 用户访问,该漏洞仍可允许恶意用户或程序,在目标 Linux 系统上以 root 用户身份执行任意命令。
......
据悉,该漏洞由苹果信息安全部门的 Joe Vennix 追踪发现(CVE-2019-14287)。且想要利用这个 bug,只需 Sudo User ID -1 或 4294967295 。

不见图 请翻墙

这是因为将用户 ID 转换为用户名的函数,会将 -1(或无效等效的 4294967295)误认为 0,而这正好是 root 用户 User ID 。
此外,由于通过 -u 选项指定的 User ID 在密码数据库中不存在,因此不会运行任何 PAM 会话模块。


★网络与 Web


◇DoH(DNS over HTTPS)开始普及


DNS-over-HTTPS Will Eventually Roll Out in All Major Browsers, Despite ISP Opposition @ Slashdot

  编程随想注:
  到2019年4季度,几大主流的浏览器都已经支持 DoH 方式。
  微软也宣布:将在未来的Windows 10 版本中增加对 DoH 协议的支持
  注:
  传统的 DNS,全程都是【明文】传输,既无法做到“保密性”,也无法做到“完整性”。而 DoH 协议可以同时确保这两点。
引申阅读:
扫盲 DNS 原理,兼谈“域名劫持”和“域名欺骗/域名污染”
对比4种强化域名安全的协议——DNSSEC,DNSCrypt,DNS over TLS,DNS over HTTPS

◇HTTPS 成为 Web 的主流


HTTPS 加密流量超过九成 @ Solidot

Chrome Promises: 'No More Mixed Messages About HTTPS' @ Slashdot

  编程随想注:
  从 Chrome 80 开始,将不再支持【混合内容】。
【混合内容】指“加密的 HTTPS 页面”中包含“以 HTTP 明文加载的元素”。【混合内容】会增加“网络嗅探”的风险,也会增加“恶意代码植入”的风险。

◇Delegated Credentials for TLS


Facebook, Mozilla, and Cloudflare Announce New TLS Delegated Credentials Standard @ Slashdot
Facebook, Mozilla, and Cloudflare announced today a new technical specification called TLS Delegated Credentials, currently undergoing standardization at the Internet Engineering Task Force (IETF).

Delegated Credentials for TLS @ Cloudflare

  编程随想注:
  这个玩意儿主要针对“系统管理员”,与普通用户关系不大。


★安全工具


◇Linux 的安全优势


美国军方关键系统运行 Linux @ Solidot
美国政府已经广泛接受开源开发模式,并越来越多的使用开源软件。2016年8月8日,白宫 CIO 发布了联邦源代码政策(Federal Source Code Policy),要求新的软件开发用开源方式构建、共享和改造,以利用代码安全、可靠和有效的促进国家目标。
五角大楼已经认可开源开发所具有的优势,将 Linux 作为其信任的操作系统。美国陆军是 Red Hat Linux 的最大单一客户群,美国海军核潜艇编队运行 Linux,美国未来作战系统同样是基于 Linux,五角大楼最近还让 Red Hat 公司帮助其改进空军中队的运作和飞行训练。

  编程随想注:
  在桌面系统中,Linux 相比“Windows & macOS”的安全优势还是很明显滴!具体的分析,参见俺前几年的博文:
为什么桌面系统装 Linux 可以做到更好的安全性(相比 Windows & macOS 而言)

◇Tor Browser 9.0 发布


  编程随想注:
  在发布本文的前一天,俺已经把 Tor Browser 9.0.x 版本上传到【BTsync 网盘】。
  该网盘汇总了一些常见的翻墙工具,同步密钥如下:
BTLZ4A4UD3PEWKPLLWEOKH3W7OQJKFPLG
  近期 GFW 加大封锁力度。劝大伙儿多备几个翻墙梯子,以防万一。

  引申阅读:
关于 Tor 的常见问题解答
“如何翻墙”系列:扫盲 Tor Browser 7.5——关于 meek 插件的配置、优化、原理

◇Tails 4.0 发布


Tails 4.0 发布 @ Solidot
通过 Tor 实现匿名的隐私发行版 Tails 释出了 4.0 版本。Tails 4.0 是基于 Debian 10 (Buster),主要变化包括:更活跃开发的密码管理器 KeePassXC 替代了 KeePassX;OnionShare 从 0.9.2 升级到 1.3.2;Tor Browser 9.0;MAT 从 0.6.1 升级到 0.8.0;Linux 5.3.2;Enigmail 2.0.12;gnupg 2.2.12; Electrum 3.3.8;GIMP 2.10.8;LibreOffice 6.1.5;等等。Tails OS 设计作为 Live CD 或 Live USB 使用,不在主系统留下痕迹,会话结束之后所有痕迹就抹掉了。

  编程随想注:
  下面这篇写于6年前(2013年12月),有点老。
  如果关注 Tails 的读者比较多,俺可以考虑——针对新发布的 4.0 版本再写一篇教程。
扫盲 Tails——专门强化隐匿性的 Linux 发行版

◇Mozilla 社区选择【Matrix 协议】作为 IRC 的替代


Mozilla 官网的声明
Matrix 官网的声明

  编程随想注:
  在《近期安全动态和点评(2019年2季度)》一文中已经介绍过 Matrix 这个新兴的协议。

◇WireGuard 正式进入 Linux 内核


WireGuard VPN Is On Its Way To Linux @ Slashdot

WireGuard 将合并到 Linux 5.6 @ Solidot
WireGuard 作者 Jason A. Donenfeld 在邮件列表上宣布,WireGuard 合并到了 Dave Miller 的 net-next 树,这意味着当 Linus Torvalds 开启 Linux 5.6 合并窗口,Miller 会发送 pull request,而 WireGuard 将进入到 Linux 5.6 主线。
WireGuard 是一种新兴的 VPN 实现,比 OpenVPN 和 IPSec 速度更快、攻击面更小,配置更简单。进入内核主线对这个开源项目而言是一个重要的里程碑。


★言论审查与网络屏蔽


◇天朝对 VPN 的刑法定性


北京网络行业协会组织讨论 VPN 相关问题 @ Solidot
北京网络行业协会和中国政法大学网络法学研究院联合组织召开了“VPN 相关违法行为刑法定性问题研究”闭门研讨会,主要研究探讨了 VPN 技术合法与违法的界线;VPN 相关犯罪行为涉嫌罪名的定性分析;
......
最近几年有多起销售 VPN 翻墙软件并提供后续服务的行为被以刑法第 285 条第 3 款定罪。
该条款规定,
提供专门用于侵入、非法控制计算机信息系统的程序、工具罪是指提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。

与会专家一致认为,VPN 以刑法 285 条第 3 款定性,并不准确。......

  编程随想注:
  为啥天朝要把“使用 VPN”上纲上线到【刑法】的高度捏?
  关键在于——朝廷一直都【不】承认 GFW 的存在(不信的话,可以去围观“外交部发炎人最近几年的各种忽悠”)
  既然不承认 GFW,就没办法用“翻墙”这个罪名,于是只好在 VPN 上做文章。

◇很多国家开始喜欢【断网】这招


伊朗上调油价引发民众抗议,当局实施镇压切断互联网 @ BBC/英国广播公司

伊朗当局的断网行动可能会成为常态 @ RFI/法广

伊拉克示威加剧,政府断网 @ 联合早报

继印度之后,俄罗斯成功断开全球互联网 @ 新西兰信报

断网成为全球流行病 @ 德国之声


★网络攻击


◇香港连登论坛(LIHKG)遭到“网络大炮”的 DDOS 攻击


  编程随想注:
  “网络大炮”这招已经是【老】招数啦——
早在2015年,GFW 就用这招来对付 Github。当年俺还专门发了一篇《每周转载:关于 GitHub 和 GFW 的 PK(第2季)
到了2017年,使用这招对付《明镜新闻网》(相关技术分析参见 StackOverflow 网站的“这个链接”)

  2019年,香港爆发大规模政治抗议之后,抗议者使用【连登论坛】作为网络交流平台,该网站自然就成了朝廷的眼中钉。于是 GFW 故计重演。
  12月初,AT&T 的安全研究人员发了一篇博文,专门分析了此次攻击的技术细节,文章如下:
The “Great Cannon” has been deployed again @ AT&T Labs


★硬件


◇CPU 的“Zombieload 漏洞”


Intel's Cascade Lake CPUs Impacted By New Zombieload v2 Attack @ Slashdot

英特尔芯片被爆出现新漏洞 ZombieLoad,苹果,微软,谷歌都跑不了 @ 搜狐

为防止 Zombieload v2 攻击,Windows 和 Linux 引入选项关闭英特尔 TSX @ cnBeta

◇CPU 硬件漏洞的【长期性】


Top Linux developer on Intel chip security problems: 'They're not going away.' @ ZDNet

(下面这篇是上述 ZDnet 文章的中文简介)

英特尔芯片安全问题将会存在很长时间 @ Solidot
稳定版内核维护者 Greg Kroah-Hartman 在欧洲开源峰会上发表主题演讲时指出,英特尔芯片的安全问题将会存在很长时间。这些被称为 MDS、RDDL、Fallout 和 Zombieland 的芯片漏洞从某种程度上说都是相同的问题或者说是相同问题的不同变种,但解决方法各不相同。举例来说,RIDL 和 Zombieload 漏洞能跨应用程序、虚拟机和安全区域(secure enclaves)窃取数据,讽刺的是:英特尔软件防护扩展(SGX)在芯片内本是保护数据安全的,结果本身却有很多漏洞。
Kroah-Hartman 称:为了修复每一个曝出的问题,你必须同时给 Linux 内核、CPU BIOS 和微码打上补丁。这不只是 Linux 的问题,任何操作系统都面临相同的问题。他承认 OpenBSD 给出了解决此类漏洞的最近解决方案:关闭英特尔处理器的超线程,克服带来的性能损失。Kroah-Hartman 称,你必须选择性能还是安全,而这里不存在好的选择。

  编程随想注:
  类似的观点,俺在《近期安全动态和点评(2019年1季度)》中也提到过,当时的原话如下:
一年前(2018年初)曝光的 Spectre 和 Meltdown 在信息安全界可以称得上是【划时代】滴!因为其利用的是 CPU 的【设计缺陷】(而且还是【根本性】缺陷)。
......
由于这两个漏洞涉及到 CPU 的【根本性】缺陷,极难搞定(就像两个幽灵,会在未来几年不断困扰 IT 行业)。

  上述这些 CPU 硬件的安全漏洞,本质上都源自【预测执行机制】(speculative execution)。最近20年,Intel & AMD 为了在“性能竞赛”上压倒对方,在【预测执行机制】上做了很多文章。性能是提升了,但祸根也埋下了。
  在这方面,Intel 芯片的问题比 AMD 严重得多。

◇植入硬件中的间谍芯片


Planting Tiny Spy Chips in Hardware Can Cost as Little as $200 @ Wired/连线
不见图 请翻墙

(下面这篇是上述 Wired 文章的中文简介)

在硬件上植入微型间谍芯片只需 200 美元 @ Solidot
在本月晚些时候举行的 CS3sthlm 安全会议上,安全研究员 Monta Elkins 将展示他的微芯片植入硬件的概念验证版本。使用 150 美元的热空气焊接工具,40 美元的显微镜,以及从网上订购的 2 美元芯片,Elkin 能以绝大多数 IT 管理员难以注意到的方式修改思科防火墙设备。
他的编程芯片在防火墙启动时执行攻击,模拟管理员访问防火墙配置,触发密码恢复功能,创建新的管理员账号,访问防火墙配置。在恶意芯片能访问防火墙配置之后,就可以为攻击者远程访问打开方便之门。

◇硬件的【可信度】


我们能构建可信赖的硬件吗 @ Solidot
软件有签名哈希值等方法验证其完整性,但你如何能验证硬件,确保它们是可信赖的没有被纂改?著名硬件黑客黄欣国(Andrew 'bunnie' Huang)在上周末举行的混沌计算机俱乐部会议(36C3 )上讨论了这个问题YouTube)。
数年前,黄欣国和朋友构建了开源笔记本电脑 Novena,在此过程中他们意识到构建一个完全可信的开源硬件非常困难,即使你能制造自己的 CPU 和 SSD,你也无法确保它们是值得信任的,因为你没办法确保供应链的每一个环节你的硬件没有遭到纂改。甚至在产品送到客户手中前,送货的司机、海关的官员以及仓库的工人都可能接触硬件,有机会纂改硬件。
他的结论是开放硬件和闭源硬件的可信度没什么差别。软件有近乎完美的信任转移机制,比如验证哈希值,但硬件没办法采用这些方法。他描述了构建可信任硬件的三个原则:复杂性是验证的敌人;不能只验证元件而要验证整个系统;赋权终端用户去验证和密封硬件。他和朋友发起了 Betrusted 项目去实践这三个原则。

◇利用【激光笔】入侵“语音助手”


With a Laser, Researchers Say They Can Hack Alexa, Google Home or Siri @ 纽约时报
Researchers in Japan and at the University of Michigan said Monday that they had found a way to take over Google Home, Amazon's Alexa or Apple's Siri devices from hundreds of feet away by shining laser pointers, and even flashlights, at the device's microphones.

In one case, they said, they opened a garage door by shining a laser beam at a voice assistant that was connected to it. They also climbed 140 feet to the top of a bell tower at the University of Michigan and successfully controlled a Google Home device on the fourth floor of an office building 230 feet away. And by focusing their lasers using a telephoto lens, they said, they were able to hijack a voice assistant more than 350 feet away.

Opening the garage door was easy, the researchers said. With the light commands, the researchers could have hijacked any digital smart systems attached to the voice-controlled assistants.

They said they could have easily switched light switches on and off, made online purchases or opened a front door protected by a smart lock. They even could have remotely unlocked or started a car that was connected to the device.


★移动设备


谷歌 Pixel 4面部解锁存重大漏洞——闭眼也能解锁 @ 网易科技
谷歌的 Pixel 4系列已于几天前推出,但现在外媒已经发现了新设备面部解锁功能的一些问题。BBC发现,用户即使闭着眼睛也可以使用面部解锁来解锁 Pixel 4。
这显然是一个漏洞,会使攻击者无需得到手机主人的许可即可轻松地解锁该设备,例如用户在睡觉或是被束缚,Pixel 4都能被解锁。

New 'Unremovable' XHelper Malware Has Infected 45,000 Android Devices @ Slashdot

难以移除的恶意程序 xHelper @ Solidot
安全公司 Symantec 和 Malwarebytes 报告过去半年一种新的恶意程序 xHelper 缓慢感染了4.5万 Android 设备,新感染用户主要位于印度、美国和俄罗斯。这种恶意程序目前还比较“温和”,主要是弹出广告和垃圾信息,引诱用户安装其它应用程序。
xHelper 主要通过捆绑在非官方应用感染用户设备,它的特别之处是会作为一个独立服务安装在系统中,用户卸载原捆绑的应用并不会卸载 xHelper,即使用户直接卸载 xHelper 它也会自动重新安装,恢复到出厂设置也无法移除 xHelper。安全公司还不清楚在恢复出厂设置后它如何生存下来的机制。

NSO 被指入侵 WhatsApp,监视美国盟国的高官 @ Solidot
路透社援引知情人士的消息报道,多个美国盟国的高级官员被通过 WhatsApp 遭到监视。熟悉 WhatsApp 内部调查的知情人士称,受害者包括了至少20个国家的政府和军方高层,有许多国家是美国的盟友。
WhatsApp 本周对以色列间谍软件公司 NSO 提起了诉讼,指控它在2019年4月29日到5月10日之间利用 WhatsApp 服务漏洞帮助客户入侵了至少1400名用户的手机。遭到入侵的 WhatsApp 用户的实际数量显然会更高。部分受害者来自于美国、阿联酋、巴林、墨西哥、巴基斯坦和印度。NSO 在一份声明中称,它不能披露谁或谁不是客户,或者披露其技术的特定用途。WhatsApp 本周早些时候称它已经向受影响的用户发去了警告。


★安全编程


微软的 Rust 实验进展良好 @ Solidot
今年夏天,微软宣布它将尝试用 Rust 语言取代 C 和 C++ 开发 Windows 底层组件。微软称它过去十年为 Windows 系统释出的安全补丁有七成以上是为了修正与内存相关的错误,而 Rust 语言就是为了解决此类问题而开发出来的。
四个月后,微软公布了实验的初步结果。Hyper-V 团队工程师 Adam Burch 称,他接受任务用 Rust 实验性重写了一个系统底层组件,他不能指出是哪个组件。虽然项目尚未完成,但他对 Rust 的总体感觉是积极的。总体而言,新的组件或用干净接口的现有组件最容易移植到 Rust。但并非所有事情都如期望的那样顺利。


俺博客上,和本文相关的帖子(需翻墙)
为啥朝廷总抓不到俺——十年反党活动的安全经验汇总
如何保护隐私》(系列)
如何防止黑客入侵》(系列)
如何隐藏你的踪迹,避免跨省追捕》(系列)
为什么桌面系统装 Linux 可以做到更好的安全性(相比 Windows & macOS 而言)
扫盲 DNS 原理,兼谈“域名劫持”和“域名欺骗/域名污染”
对比4种强化域名安全的协议——DNSSEC,DNSCrypt,DNS over TLS,DNS over HTTPS
关于 Tor 的常见问题解答
“如何翻墙”系列:扫盲 Tor Browser 7.5——关于 meek 插件的配置、优化、原理
扫盲 Firefox 定制——从“user.js”到“omni.ja”
每周转载:关于 GitHub 和 GFW 的 PK(第2季)

版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2020/01/Security-News.html

1,009 条评论

  1. 这篇文章我等了很久了,之前准备了一堆安全相关问题等着博主回答,下面开始提问。

    回复删除
    回复
    1. 1. 博主曾经在之前的《安全动态点评》中分享过 Host OS 的选择经验。在保证软件够用的前提下(比如只需要浏览器或者播放器),用某些非常【小众】并且【开源】 OS 是否会更安全?(针对很多人认为的 Linux 病毒少的原因之一)比如 React OS,Haiku OS,Redox OS,OpenIndiana,Dragonfly BSD,Minix 等。还是应该使用【成熟】的 OS,或者是专门的虚拟机隔离发行版(Qubes OS,Subgraph OS)?是否应该避免使用主流 Linux 发行版?对于有一定技术水平的老手,应该选择其中之一,还是定制某个安全强化的 Linux(如 Debian)或者 BSD(如 OpenBSD)?从安全角度来看,要不要安装虚拟机增强驱动?

      Tor 和 VirtualBox 是必须使用的,其他软件尽可能装到虚拟机里。另外还要考虑到 Host OS 对于硬件的要求等因素。
      更新:OpenBSD 没有 VirtualBox 和 VeraCrypt,FreeBSD 由于内核支持 Linux 兼容层,可以运行 VirtualBox(只有 ose 开源版,而且版本是 5.2,我担心有【虚拟机穿透】漏洞)。

      删除
    2. 2. 如果在【虚拟机】里面完成所有的电脑操作,为了尽可能降低【攻击面】,Host OS 是否应该安装 GUI?如果安装 GUI,应该用 DE 还是 WM?在电脑性能较好的情况下,应该选择 LXDE/LXQT/XFCE 这样的【轻量级】DE 还是一般的 DE(KDE/Gnome 等)?如果不安装 GUI,光靠命令行是否能完成虚拟机的管理?我目前知道 QEMU 和 VirtualBox 支持 console,但没有实际测试过。

      如果把身份的【颗粒度】分得非常细,某些情况下只需要上特定网站,因此只需要安装【浏览器】,然而 Chrome OS 依赖 Google 账号,Mozilla 没有对应的【桌面】OS,因此现阶段没有更好的选择。
      吐槽一下,很多主流 Linux 发行版由于面向“新手”,往往自带大量软件(至少包括:LibreOffice,GIMP,Thunderbird......),数量远超 Windows / macOS,非常占空间。其中大部分是不常用的,攻击面可以说很大。
      吐槽一下,为了安全,原本可以在一个 OS 完成的事情,被拆开成 N 个虚拟机完成 N 个用途,冗余是不是太大了?

      还有一个问题:如果在虚拟机 A 注册账号,用虚拟机 B 收邮件,怎么在 A 打开验证 URL?要不要开启剪贴板共享?

      删除
    3. 3. 两大虚拟机软件 VMware 与 VirtualBox 相比,前者收费但很容易找到序列号,不用额外破解;后者虽然开源免费,但它不是【自由软件】,某些特性(如 USB 2.0)需要安装【闭源】的扩展包(个人使用免费)。如果安装 Linux(作为 Host 或者 Guest),后者问题更多。
      当然,前者功能明显比后者多,模拟的硬件强大,对 3D 支持更好,支持 USB CD/DVD 光驱(包括用 Android app 模拟出来的)。
      VMware 不如 VirtualBox 的地方是无法直接指定硬件型号和介质类型,有的硬件甚至需要手动改配置文件。另一个缺点就是不支持 Internal Network(貌似 macOS 版支持)。博主能不能简单说一下怎样手动创建 Internal Network,以及它与 Host-Only 模式的区别?

      我发现之前“空椅子”读者也不看好 VirtualBox:
      [quote]
      virtualbox的优势就跨平台,其他地方比较一般,甚至很烂(uefi bios的支持跟一坨屎一样,图形性能也很差劲)。

      遗憾的是,博主从未聊过qemu、kvm、xen。
      [/quote]

      还有一个选择是 KVM,有一个 GUI管理工具 virt-manager。

      删除
    4. 4. 如果需要进行一些对显卡或者其他硬件有较高要求的操作,如【图像处理】,【影视后期】,【三维渲染】等,是否应该准备一台专门的电脑,安装 Windows / macOS,进行【物理隔离】提高安全性?
      由于这些事情都需要使用【专业软件】, Linux 下的同类开源软件往往比不上(比如 LibreOffice,GIMP,inkscape,FreeCAD 等,真正能与专业软件相提并论的开源软件,我只知道 Blender),因此 在【物理机】安装 Windows / macOS 也是无奈之举 :(
      (即使是“看视频”“听音乐”等一般用途,虚拟机的延迟往往也较高,如果是高品质无损音乐或者高码率视频,大概会卡成 PPT)

      删除
    5. 5. 关于“黑客”使用的 Linux 发行版,除了“众所周知”的 Kali 和相对小众的 BlackArch,还有一个基于 Debian 的发行版——Parrot OS。界面非常漂亮,即使是 home 版本也附带不少安全相关工具。从附带软件数量来看,最多的是 BlackArch,达到惊人的 8GB。
      不知博主有没有用过这些发行版?感觉怎么样?打算自学【信息安全】,在“黑客攻防”偏向于“防”方面(比如【安全加固】,而不是像很多菜鸟玩 Kali 却只会破解 WiFi 密码),用哪个发行版更好?应该作为 Host OS 还是 Guest OS?据说 Parrot OS 有“匿名模式”,强制所有网络流量经过 Tor / I2P。

      我在某国外论坛看到有人说:
      [quote]
      Well, I can tell you that Kali isn't secure. I'm not sure so much about the other two. I'm pretty sure that Parrot is way more secure than Kali. I've never used BlackArch, so I'm not sure.
      [/quote]

      删除
    6. 6. 关于 Linux 内核编译与【安全加固】,Linux 内核有很多版本和分支(比如:LTS),不同的分支侧重点也不同,选择哪种内核比较好?在编译时应该怎样选择?(很多人不知道怎么选,因为非常复杂,需要对计算机有深入了解才能看懂所有选项)我只知道不选择不同的 CPU(Intel 不用选 AMD 相关选项,反之亦然)

      删除
    7. 7. 建议博主发几篇关于“信息安全与隐私”的文章,下面列出几个主题,如果博主觉得太高深,可以只在评论区分享。
      1. 蜜罐的分类,搭建,开源项目;
      2. Google 推出的 QUIC 与 HTTP/3;
      3. Solid 与隐私保护。
      4. OWASP 的项目
      5. Linux 系统和内核裁剪

      删除
    8. 8. /dev/random vs /dev/urandom,据说后者是【密码学安全】的随机数发生器,但是有人建议用前者生成更安全的密码。这是怎么回事?

      删除
    9. 9. VeraCrypt 目前加入了 Camellia,Kuznyechik(俄罗斯的)块加密算法,这两个算法安全性怎么样,与 AES 相比哪个更好?两三种算法多次加密是否比一次加密安全?那个毛子的加密算法我不是很放心。
      另外,博主那篇介绍 VeraCrypt 的文章里面,官网已经改了,希望博主更新一下。

      还有,关于 TrueCrypt KeyFiles 的文章末尾应该加上应对警方“刑讯逼供”的文章链接。

      删除
    10. 10. 博主想过开发【翻墙软件】吗?开发翻墙软件不仅需要扎实的【密码学】和【计算机网络】知识,还对开发者的【隐匿性】有很强的要求,Shadowsocks 和 V2Ray 都有开发者被请喝茶的案例。博主符合这两个条件,唯一缺乏的是时间。

      删除
    11. 11. 博主是否使用剪贴板历史管理软件?这类软件会不会影响到安全,比如泄露密码?应该怎样防范此类风险?虚拟机之间是否要启用剪贴板共享?

      删除
    12. 12. 博主说过“在安全角度,(软件)版本并非越新越好”,但我认为,根据【软件生命周期】,小版本更新往往会修复 bug(当然也有可能引出新的 bug)。如果某个软件没有所谓的 stable 版本,这个观点是否成立?
      最典型的例子是 RHEL,包括内核在内,软件的版本都远低于其他发行版,不断发布补丁,为什么很多人认为这样会更安全?
      极端例子是:有的软件出现过影响之前所有版本的(严重)漏洞,一旦出现这种情况,在开发者发布修复后,各大发行版立即跟进,第一时间把有漏洞的软件更新到最新版。

      删除
    13. 13. 博主之前写过文章批评 Google Chrome 的隐私问题,最近我发现一个项目 [url=https://github.com/Eloston/ungoogled-chromium]Ungogled Chromium[/url],请问这样的 Chromium 浏览器是否满足博主对隐私的要求?

      删除
    14. 14. 目前的自由/开源软件许可证都是限制【别人】的行为,但是基本没有限制【开发者】自己的行为,如果有开发者在编译 binary 时,在源代码做了手脚,我们将无法得知。不过目前有【自动构建】应该可以避免这个问题。

      删除
    15. 15. 软件开发有一个【层级】的依赖关系:操作系统,编程语言,标准库,第三方库,应用程序。越底层的软件越复杂,开发难度越大,使用人数越多,安全隐患也越大。
      另外还有其他相对“抽象”的东西,如协议,文件格式等,虽然不是软件,但对软件开发也有较大的影响。

      删除
    16. 16. Demo /玩具与生产级代码有多大差距?如果称之为软件的“成熟度”,怎么判断开源项目的代码“成熟度”?怎样才能写出生产级代码?

      删除
    17. 我个人喜欢尝鲜各种 OS,1 单元提到的这些 OS,估计大伙儿很多人都没听说过吧,不知博主是否体验过?如果把它们作为 Guest OS,给不同身份使用,一定能规避【单点故障】风险。另外有的开源 OS 不支持 x86 架构,因此我没有提到,比如 AROS,RISC OS 等。

      顺便一提,illumos 与 Linux 一样是个内核,基于 OpenSolaris,现在有好几个发行版了(比如 1 单元介绍的 OpenIndiana,OmniOS 等),不过软件还不够多,官方网站有列出 port 计划表。

      吐槽一下:Linux 的 binary 是通用的,也就是说编译之后可以在其他发行版运行。但是 BSD 几大分支却不能,甚至低版本不能运行高版本编译出来的 binary。不知 Solaris / Illumos 分支发行版的 binary 是否通用。

      删除
    18. [b]怎么我的部分评论被右侧显示的评论列表判断为“刷屏”?希望博主修复这个 bug。[/b]

      删除
    19. 我听说微软用 Rust 好像是 fork 一个自己的版本?
      另外,Gnome 也开始用 Rust 重写自带软件,比如 Podcast,Vino 等。

      删除
    20. 不仅“连登”被 DDoS,同一时间“品葱”也被 DDoS 了。

      删除
    21. 国内 VPS 检测是否安装梯子代理,早就不是什么新闻了,阿里云,腾讯云这些服务商早就这么干了。所谓的“安全盾”进程应该就是干这个事情的,之前有个阿里云客户经理还教某用户规避方法,后来他被炒了。

      删除
    22. 关于 Twitter 上面很多人被请喝茶,前几天武汉有一例案件。而且据说之前 help form 有问题,导致可以查到用户绑定的手机号。
      另外,根据那个国安透露的信息,国外公司都有可能会“蓝金黄”,俗话说[b]有钱能使鬼推磨[/b]。

      删除
    23. [b]下面针对本文进行提问:[/b]
      这个 sudo 漏洞是否影响到 BSD / Solaris / macOS?
      为什么最近今年爆出这么多的 CPU 漏洞?
      TCP/IP 协议的漏洞会不会被 GFW 利用?QUIC 是否更安全?

      删除
    24. 国外流行但功能不够强大的 IRC 终于被 Matrix 代替了,希望 Mozilla 开发一个好用的客户端(现在的 Riot 不好用) :)

      删除
    25. 这是上一篇文章对 Native vs Web 开发 GUI 程序的总结(合并两个单元):
      Electron 还有一个明显的缺点——【体积太大】,不仅每个软件自带 Chromium 浏览器,也自带 Node 环境,这样会造成不必要的【冗余】空间。其他跨平台的 Web 开发技术还有 React Native,Hybrid,PWA,Apache Cordova,Ionic,Flutter 等,这些技术我不太了解,不知它们有没有上面提到的这些缺点,暂不评论。

      总结一下 Native 和 Web 开发 GUI 程序的优点:
      Native——偏底层,体积小,性能高,跨平台和跨架构支持更好;
      Web——成本低,容易开发,维护方便,权限限制严格。
      WASM 虽然解决了渲染 DOM 的性能问题,但在对性能要求非常高的场景下表现怎样?3D 建模,影视后期渲染这类软件只能用 Native 开发。
      用一句话概括:[b]一个是让用户更爽,另一个是让开发者更爽。[/b]

      另外,更正前面的一个错误,那个 FreeBSD 移植的 Electron 已经成为官方版,开始有一些软件(比如 VSCode)移植到 FreeBSD 平台了。

      删除
    26. TO V2EX(1单元):
      非传统的小众OS有一个问题:代码审查不足。
      虚拟机隔离发行版相对传统的成熟OS,能够节省一些配置的时间,也能够部分地防止新手的配置疏忽。
      至于主流 Linux 发行版,我个人认为可以放心使用——除了 Ubuntu。
      从安全角度来看,不建议安装虚拟机增强驱动——毕竟这个驱动会增加攻击面。

      删除
    27. TO V2EX(2单元):
      1. 既然已经有了虚拟机和虚拟化管理软件,为何还要在意轻量级的 DE/WM 的攻击面呢?
      2. 身份的【颗粒度】非常细、只需要浏览器的情况下,可以尝试只使用 TOR Browser,视具体情况决定是否在虚拟机内运行。

      针对第二个吐槽,其实有这么一句话:安全和便捷是一对反义词。
      以及,我也有个吐槽:出现“虚拟机 A 注册账号,用虚拟机 B 收邮件”这样的情况,也许是您的身份颗粒度实在太细 :)
      如果真要这么干,可以用 Internal Network。

      我已经开始怀疑,V2EX 是不是某位像返送中策划者那样的高度敏感人士了 :)
      注意安全!

      删除
    28. TO V2EX(4单元):
      你真的需要在保持匿名的情况下“看视频”“听音乐”吗?
      【物理隔离】是个重量级解决方案——前提是记得给摄像头贴上黑胶带 :)
      另外,博主本人(声称)本人不看视频。用 Tor 看视频几乎是在自找苦吃 :(

      删除
    29. TO V2EX(8单元):
      /dev/random 是「真随机数」发生器,其原理是计算机在现实世界中正常运行是也可以产生随机比特。
      依照个人理解,随机性可能来源与噪声/热运动。

      删除
    30. TO V2EX(9单元):
      AES 主要好在实现相对容易、并且久经检验。
      依照我个人理解,「单次加密」密文的信息熵与「两三种算法多次加密」密文的信息熵大致在通一数量级。
      以及,安全取决于短板。

      删除
    31. TO Anony Kagamine(26 单元)
      主流 Linux 发行版的问题在于预装软件太多,增加了【攻击面】,在 2 单元有提到这个问题。
      另外,关于“虚拟机增强驱动”,我前面只是提到【剪贴板共享】可能会带来安全风险,不知【共享目录】会带来多大的安全风险?

      删除
    32. TO Anony Kagamine(27 单元)
      1. 我在这里说的 DE / WM 是在【Host OS】安装的;
      2. 博主的建议是双虚拟机方案,专门搞个【网关】虚拟机运行 Tor 和前置代理,其他虚拟机用 Host-Only / Internal Network,可以直接用 Firefox 等浏览器。这样所有虚拟机流量都会经过 Tor。

      相比博主来说,我当然不是什么高危人士,只是我对安全有很高的要求而已。

      删除
    33. TO Anony Kagamine(28 单元)
      我忘了说明,主要看的是【本地】的媒体文件,网络只是次要的。(我不在网上听歌,最多听 Podcast,看 YouTube 视频是为了学习外语)

      你提到了“摄像头”,只有笔记本和手机有这个风险,台式机很少有安装摄像头的,尤其是注重个人隐私的人 :)

      删除
    34. TO Anony Kagamine(30 单元)
      AES 的主要优点是【速度快】,也足够安全。不过好像有的补码方式(忘了是 CBC 还是哪个)不太安全。
      博主的介绍 TrueCrypt 的文章里面说,多重加密算法的好处是,即使其中一个加密算法被破解,也不会影响到加密盘。

      删除
    35. 前面提到了“摄像头”,顺便说说我认为的理想移动设备:
      没有 GPS 等危险传感器;
      没有前置摄像头;
      不能插卡(或者只能插物联网卡上网);
      没有基带;
      ROM 没有电话,短信 app;
      更极端的,不支持 WiFi,但是可以插网线。

      删除
    36. 博主还可以写一些关于【硬件安全】的文章,不过这种话题可能过于小众了 :(

      删除
    37. 补充 2 单元:
      其实这个单元应该拆开来问。
      除了“注册账号”,还有“找回密码”也需要点击邮件链接。
      说到“密码存储”,如果使用【密码管理器】软件,应该安装在 Host OS 还是对应的 Guest OS?如果安装到 Host OS,估计需要启用虚拟机的【剪贴板共享】;如果安装在 Guest OS,未免太分散了,管理主密码和 keyfile 又不方便。

      删除
    38. 10 一个人写的代码能透露的东西太多了。而且随想开发能力再如何强,一个人开发终归有极限(软件规模、安全性检查、测试和质量保证等)。我反对让随想写这种相对规模较大的软件的想法,哪怕不考虑时间因素。

      12 生产环境需要把软件版本fix掉,如果要升级到更新的版本是需要开发人员额外花工夫的,不是普通用户upgrade一下就完事了。

      删除
    39. To V2EX: 我觉得你问的问题太散了,很多你的问题其实更适合去zhihu quora一类的问答网站上提问,那样也能得到更多方面和专业的回答。我的意思不是说博主的回答不专业,只是你这样做的单纯效率太低。

      另外你说你打算自学信息安全,那么有一些你的问题是可以通过学习找到答案的。

      删除
    40. 贴在这里的那位老铁注意,这系列文章在中共狗腿子网站被断章取义掐头去尾的表示某种古怪的意思,和老铁表示的意思有那些区别呢。两极分化的民国印象
      作者:老老王字数:4372更新时间:2015-10-25 11:59:48
      上一章 投推荐票 回目录 标记书签 下一章

      删除
    41. 【转载】为什么很多人向往和怀念民国?【转载】



      长毛兔
      发帖
      1
      评论
      64
      粉丝
      5
      关注私信
      长毛兔
      昨天 16:27
      【转载】为什么很多人向往和怀念民国?【转载】
      一、两极分化的民国印象
      按照我们在传统教科书上读到的信息,从1912年清朝覆灭到1949年新中国成立的民国时代,是中国近代史上最黑暗的时期——主权沦丧、积贫积弱、灾祸不断、饿殍遍地、军阀混战、列强横行、日本入侵……
      在《包身工》、《白毛女》、《三毛流浪记》、《茶馆》、《骆驼祥子》等脍炙人口的革命主流文学名著之中,都从各自不同的角度,反映了民国时代社会动荡、剥削残酷、民不聊生、朝不保夕的悲惨现实。
      但是,在改革开放之后,随着台湾和海外的现代文学作品流入大陆,张爱玲、周作人、胡适等人的作品也被从故纸堆中翻出来,让我们似乎又从另外的视角,看到了另一个截然不同的民国。
      尤其是一系列以民国时代为背景的琼瑶小说,例如《情深深雨蒙蒙》、《水云间》、《苍天有泪》等 等,在大陆受到追捧,并且翻拍成电视剧之后,我们更是看到了一个充满小资情调的民国时代——教会学校出身的贤淑小姐、出国留洋的文雅少爷、主仆情深的狡黠 丫鬟、善良宽厚的豪门太太、持重仁爱的乡下老爷、爱国爱民的商会老板……总之思想是进步的,恋爱是自由的,生活是悠闲的,情调是小资的,求爱是浪漫的,官 府还算是勉强过得去的,洋人都是彬彬有礼的,还有各式各样的舞会、酒会、书画比赛、文娱活动、慈善活动,感觉完全是一个文明进步的摩登社会嘛!
      嗯嗯?原来教科书上那个黑暗残酷、民不聊生的旧社会,竟然也有如此和谐美好的一面?
      等到进入21世纪之后,在某些网站和杂志上,更是掀起了一阵又一阵的历史翻案风,一位位民族英雄被拉下神坛,还要踩烂批臭,扣上破坏民族和谐的帽子;一位 位汉奸国贼则是被重塑金身,变得光明磊落,成为了忍辱负重、维护国家统一的典范……正义与邪恶、光明与黑暗,在历史观上竟然可以发生180度的大逆转,令 人不由得产生出“这个世界正在天翻地覆”的荒诞感觉。

      删除
    42. 而对于民国时代的百姓生活,也出现了越来越多的“新思维”,以及种种令人“耳目一新”的“新发现”。例如“1927年的武汉纺织女工月薪30多块大洋,可 买 6000~9000个鸡蛋,养活一家四口毫无压力”;“旧社会学徒工待遇远比现代血汗工厂优厚,每年带薪休假72天”;“民国时期的‘温饱’早已不是问 题,‘员工福利’大大超过新中国的任何时期”;“新中国60年,中产阶级收入水平还没有达到民国贫困线” ……
      于是,在看过上述这些“新发现”之后,就有人感到纳闷了,既然解放之前的旧社会是如此美好,社会福利是如此的先进,地主和资本家是如此有良心,为什么当初 中国的工人农民,还有许多知识分子在内,全都鬼迷心窍地要跟着共产党闹革命,连命都不要,非得埋葬这个旧社会不可?莫非是集体中邪了?
      对于这个显而易见的问题,自然会有很多“公共知识分子”跳出来,异口同声地叫嚣道:全都是因为不学无术,沐猴而冠的共产党在苏联人的帮助之下,学习邪 教大搞宣传鼓动,欺骗这些“无比幸福”的工人、农民和学生们起来造反,硬是捣毁了精英们建立的国民政府,毁掉了自己自由民主的美好生活。从而让中国迎来了 漫长的悲惨年月,以及一场场骇人听闻的灾祸,例如“饿死三千万”、“十年浩劫”等等。
      ——感情在他们的眼里,共产党就等同于奥姆真理教?如此这般搞到最后,根据一个微博上流传的段子,当代“公共知识分子”对中国近现代历史的基本观念,大致上可以归纳如下:“……现在有几个人知道这样一个伟 大的政府:它推翻了腐朽的封建王朝,建立起了多党制的两院制民主政府,拥有一支堪比发达国家的现代化军队,创办了很多自由而现代大学,为民族工业带来了黄金时代,依靠自己的实力收复了外蒙,但却被一只外国人出枪出钱出顾问武装起来,实行一党专制的野蛮军队所消灭!”
      ——唉,实在是让人无语了……
      为什么这一前一后的描绘口径,竟然存在着如此巨大的差异?究竟哪一边在胡说八道?
      怎么说呢?这两边的说法,都不能算是绝对的胡说八道,只不过是彼此的阶级立场迥然相异罢了。
      ——民国时代的旧中国,对于不同阶级的观察者来说,确实是有着两副截然不同的面孔。区别只在于由什么人持什么立场,从什么角度去看待那个社会。
      要知道,每个人的内心都是自私的,通常只会从个人利益的角度去考虑问题。
      简单来说,就是屁股决定脑袋,也决定了每个人的思路。
      举一个比较极端的类似例子,在西藏叛乱被平定之后,许多旧西藏奴隶主贵族流亡印度。由于得到了欧美反华势力的财力支持,他们的后裔们有一部分混得不错,在那些“海外人权组织”里面充当宣传喉舌。
      前几年,曾经有一位身为旧西藏农奴主后裔的女作家,在接受西方记者采访的时候,拿出自己的一本作品进行宣传,回忆自己幼时养尊处优的生活,大谈特谈旧西藏 的精神生活是如何的崇高淳朴,喇嘛们是何等的圣洁无私,奴隶主们是多么的温和仁慈,贵族少爷们是如何的英俊潇洒,有情有义。而庄园里的那些农奴,在她的笔 下总是又懒又馋,整天不肯好好干活,就知道琢磨着如何偷吃农奴主仓库里的食物。—看到这里我就纳闷了,既然旧西藏是如此的幸福和谐,为什么这些“仁慈”的奴隶主们,在庄稼收获之后,按户头分配给农奴的口粮,总是这么少,以至于每年冬天都要饿死一堆人?
      至于那些剥人皮、点天灯、杀人祭天和用少女腿骨做法器的猎奇传闻,这位女作家总是避而不谈,实在避不开了,就说这是多少年传承下来的宗教习俗,要大家“区别看待”,“尊重地方传统”!
      ——按照这种说法,日本是否还应该尊重古代盖房子要埋人柱祭神的传统,每盖一座摩天大楼就往地基里活埋一个少女下去?
      在她的书里,还写了一个反映农奴“忘恩负义”的故事。大致上就是在某一年的冬天,有一个奴隶女娃的家里没有了粮食,全家都快要饿死了,只好偷偷潜入到她家 的庄园,偷吃仓库里的食物,结果手脚不够敏捷,被庄园里的打手们给发现和逮住了——于是,她的爹娘兄弟都被活活打碎了脑袋喂狗。
      轮到她的时候,被这位当时还是贵族小姐的女作家(或者是她的姐妹之类,记得不太清楚了)给发现了,由于看着这个预定被打死喂狗的小姑娘实在可怜,所以就下令饶了她一条命,让她在庄园里干杂活,也算是赏了一口饭吃。女作家还为此颇为自得,以为这已经是天大的恩德了。
      谁知过了没多久,西藏叛乱爆发,一队解放军打到了庄园外边。这个奴隶女娃不但没有誓死抵抗来报答“大恩”,反而带头砸死了一个管事,打开大门“投敌”……在这位女作家看来,可真是十恶不赦啊!总之,以大陆读者的眼光来看,在这位藏族女作家的笔下,基本上就是满篇的颠倒黑白——不劳而获的奴隶主永远都是正义高尚的完美圣人,而辛苦卖力的农奴和汉 人则都是卑鄙阴险的无耻恶鬼。硬是把一个土地贫瘠、环境恶劣、残酷血腥、愚昧野蛮的人间地狱,描绘成了如天堂般美好幸福的“香格里拉”!
      而如此荒唐的文字,在西方世界居然还广受吹捧,并且被认为是真理!
      没办法,经过美国和西欧各国的长期宣扬,“西雪山小京巴立的正义性”已经成了西方学术界和新闻媒体不可抵触的雷区。正如在中国大陆绝对不可以发表言论支持台独一样,在西方世界也是绝对不能否认,西藏人正强烈渴望着回归农奴制,继续给那些流亡在外的老爷和喇嘛们效劳——在这里就不谈民主只讲传统了!
      总之,请大家明白一件事,这个世界上主要媒体的话语权,目前依然掌握在美国华尔街的大财团手中。华尔街的大财团们认为你幸福,你就是天天挨炸弹、饿肚皮、 住难民营、把女儿卖去当雏妓,也是幸福!华尔街的大财团们认为你悲惨,你就是人人住洋房、开小车、吃满汉全席,也是悲惨!华尔街的大财团们认为你是民主, 你就是搞终身执政制、世袭君主制甚至奴隶制,也是民主!华尔街的大财团们认为你是独裁,你就是全国一人一票选出来,任期四年不得连任,也是独裁!千万莫要 忘记了!
      事实上,西方的媒体霸权涉及许多方面,不仅是在国际政治上如此,甚至还包括自然科学的范围!例如在丹麦哥本哈根的世界气候会议上,就捅出过这样荒诞的篓子——美英两国说世界气候在变暖,这世界气候就一定是在变暖。哪怕这些从某个三流大学拿出的 “科学数据”被证明都是捏造的,哪怕大家在百年未遇的严寒之中都快冻死了,这个世界的气候依然一定在变暖!否则就是这个世界错了!
      (讲到这里,我不由得想起一个笑话,传说在美国独立战争胜利,英国战败之后,乔治三世国王看到宫里居然还在用富兰克林这个逆贼发明的避雷针,顿时大为恼 怒,下令把避雷针的尖端改成圆球状。学者们苦劝说这不符合科学定理,乔治三世怒骂道:我是国王,一切科学定理在英格兰都得听我的安排!如果把这句话改成“我是美国,一切科学和历史在地球上都得听我的安排!”会不会很贴切?)

      删除
    43. 回到正题,无论这位流亡者女作家写得再怎么煽情感人,再怎么天花乱坠。青藏高原上那些好不容易翻身得解放的奴隶娃子,不管是否有分裂国家的倾向,恐怕都不 会愿意让这些“仁慈的”主子们重返高原,继续将他们剥皮抽筋点天灯,每年饿死一堆人,然后再流几滴怜悯的眼泪,念几句超度的经文的。
      ——奴隶社会是奴隶主的天堂、奴隶的地狱。而笔杆子则被掌握在奴隶主的手里……放到民国时代,也是一样:对于劳苦大众来说,那是地狱;而对于少数“精英”来说,那是天堂!
      有人说,这已经是几十年前的旧事了。那就说一个最新的例子:印度的新德里有个女教授,家里很有钱,雇了很多个仆人。她在博客日志上写了一篇附有照片的短 文,吹嘘自己家对待仆人是何等的仁慈宽厚——具体来说,就是允许仆人在不当班的时候,和她一起在客厅里看大屏幕液晶电视上播放的美国肥皂剧。
      但问题是,在看电视的时候,女教授她自己独自坐在沙发上,仆人却必须跪在地板上。而那张长沙发最起码可以坐得下四五个人,旁边还有几张靠背椅……可仆人们却不能坐,因为他们是低种姓族群。
      这要是放在我们中国,简直是无法想象的事情——你让你家里的保姆有凳子不许坐,只能跪在地板上跟你一起看电视试试看,人家不气死才怪!
      然而,就算是这样的人格侮辱,在当今这个号称“民主自由”的印度社会,都已经算是宽容的表现。
      中国的老板们或许会对这种不平等的社会氛围很喜欢,但是放在普通人身上,恐怕会愤怒得要爆炸了!
      所以说,民国有民国的好,新中国有新中国的好,这就要看每个人身处的社会地位和个人收入而定。
      二、是谁在怀念民国时代?
      上面已经说过,就整个社会的各阶层而言,民国有民国的好,新中国有新中国的好,具体就要看每个人的社会地位和个人收入而定,不能一概而论。
      那么,究竟是哪些人,在怀念那个“无比美好”的民国时代?
      请大家在这里先看两份工资单:
      1918~1919年,青年时代的毛主席在在北大图书馆担任管理员,而著名海归学者胡适则在北大当教授。
      ——毛图书管理员的月薪不过8大洋,胡教授的月薪却高达240块大洋,两者相差30倍!
      事实上,当时的胡适虽然从海外镀了一层金归来,但在北大参加工作的时间还不长,名声也远不如后世,月薪还不算最高的。同一时期,北大中文系主任陈独秀的月 薪为400块大洋,相当于毛管理员的50倍——再过几年,北大教授的月薪还要再翻一倍,平均达到500块大洋,而图书管理员的月薪却没怎么上涨。
      而更要命的是,胡适教授的280块大洋,一般来说每个月都能按时发放。而毛管理员的8块大洋月薪却总是被拖欠,直到离职也没能全部拿到手。据说他先后干了半年,最后却只拿了三个月的薪水,相当于减薪一半 ——我突然明白传闻中毛主席仇视知识分子的原因了……
      嗯,此外还有陈独秀主席在日后为什么会右倾投降,而胡适又为什么坚持反共立场,也可以从这份工资单上看出一点倪端——他们都是那个时代的既得利益者嘛!
      事实上,真正的问题还不止于此。
      平心而论,假如我们工薪阶层能够拿到2000~3000元的工资,基本满足温饱、接近小康,那么就算看到某位高级白领能拿十几万的月薪,是自己的几十倍,大家最多也就在私下羡慕一番,只要自己的日子还过得去,就不至于会发展到阶级仇恨的程度。可问题是,毛图书管理员的8块大洋月薪,在当时的实际购买力,到底有多少呢?
      由于民国时代战乱频繁,各地物价的变动幅度极大,光是米价就经常上下波动好几倍。基本上是越到后面的年代,通货膨胀就得越厉害。而且城市与乡村、南方与北 方的物价水平相差也很大。如果在比较的时候,有意无意地张冠李戴,用上海的收入去比山西的物价,用20年代的物价去比40年代的收入,用乡下丰收时节的粮 米收购价去比大城市工人的收入(可参考《多收了三五斗》),就很可能得出一堆非常荒谬的结果——而这也是当代“历史发明家”们常用的一种移花接木之术。
      举个例子来说,前些年,河南乡下的白菜收购价一度跌到一毛钱一斤,让农民们赔本得欲哭无泪。可我们有谁在城里买到过一毛钱一斤的白菜?光是运费就有采购成本的好几倍了啊!
      同理,如果现在让人拿着上海的收入到青海的西宁去生活,也绝对会非常宽裕,但问题是根本办不到。
      回到正题,当毛主席进北大担任图书管理员的时候,民国才建立了六七年,尚未进入最黑暗的年代,大洋的币值还算坚挺。根据《民国经济史》提供的数据,在1919年的北京消费市场上,一块大洋应该可以买20斤米,8斤猪肉,购买力最多相当于如今的40元人民币。
      而毛图书管理员的8块大洋月薪,只能折合如今的320元,还不够当代很多城市的低保标准。更要命的是,首都北京又是全国仅次于上海的物价高昂之地,毛管理员的8块银元月薪在湖南老家已经算是高薪,可在北京却实在是不经花——虽然这8个银元可以 买到160斤米,可是他在北京除了吃饭,还要吃菜,要买衣服,要交水电费,要买煤球做饭,还要买报纸和火柴、香烟,尤其是还要交房租……
      当今的“北漂一族”,想必都对北京的房租之高昂深有体会。而毛主席当年的北京房租水平,虽然没有眼下这般夸张,但同样也不会便宜到哪里去。
      ——现在的320元人民币,在不少地方应该也可以买到160斤米,可有谁能用320元的收入过日子?不信的话,让你到北京拿320元招募一个图书管理员试试看?恐怕就算是兼职的也招不到吧!
      而胡教授的240块大洋月薪,却可以折合为当今的9600元人民币,完全够得上现代大学的标准。若是放到那个烽火四起、饿殍遍地的民国年代,更是已经要归为富豪一类了!

      删除
    44. 很显然,让劳动人民们拿着3000元工资看教授们月入96000元,与拿着300元工资看教授们月入9600元,绝对会导致两种完全不同的心情——前者还只是一般的羡慕,而后者就是恨得眼睛都要红了。总之,在民国年间,大学教授是一个非常体面的职业。而上世纪二三十年代,也是知识分子的黄金时代,大学教授们的工资水平远高于社会的平均工资,过着非常优越的物质生活。高薪之下,大学教授和讲师们有很多钱来逛琉璃厂,买书籍报刊,买古玩字画,生活充满了小资情调。
      北洋政府的那些军阀们,虽然外表看起来颇为粗野鲁莽,彼此之间总是打来杀去的,但对知识分子倒是十分的客气。哪怕在财政上捉襟见肘,也从来不曾亏欠这些专家学者们的薪水。就算是鲁迅这样总喜欢与执政当局闹别扭的刺头儿,教育部门也不曾扣了他的每月300银元高薪。
      而这些教授们的职位通常又很稳当,既不像商人那样可能因为投资失败而破产,也不像官员那样随时可能因为政权更迭而被无故罢免,还居住在治安相对良好的大城 市里,不像乡下地主们那样要担心农民抗租、土匪劫掠、军阀勒索,堪称是铁饭碗中的铁饭碗。所以,他们的幸福生活常常让后人感叹不已。
      再回过头来看看当代,在如今国内的沿海一线城市,大学讲师的月薪通常在6000元上下,副教授8000元,教授10000元。而门卫、勤杂人员的薪水,最起码也有2000元左右。两者仅仅相差3~5倍而已。对于这样被大幅度缩小的收入差距,广大劳动人民认为是理所当然,甚至觉得这些教授的收入已经够高了,更何况在教育机关的编制内,很可能还有分房子之类平常人享受不到的优厚福利。
      如果把大学门卫、勤杂人员这些人的收入,压缩到民国年代的标准,也就是原来的10%,月薪只有200元左右,而物价指数不变,福利待遇全无,此外还要时常 拖欠薪水……我想他们应该就可以充分体会到当年毛主席在北大图书馆里干活时的心情了——“……我对政治的兴趣继续增长,我的思想越来越激进……我在李大钊 手下在国立北京大学当图书馆助理员的时候,就迅速地朝着马克思主义的方向发展。”(摘自斯诺的《西行漫记》)
      所以,劳苦大众们就算对当今社会有很多不满,也绝对不会怀念那个拿320元薪水的民国年代。
      而当今的很多“砖家叫兽”们回顾历史,却觉得心里非常不平衡——在他们看来,时代在进步,知识应该更受尊重,知识分子的薪水也更应该与时俱进,跟愚民们拉开差距才对!
      哪怕是按照民国时代的“落后标准”,他们最起码也该拿2000元的30到50倍,也就是月薪6万到10万才算是合理啊!可现在政府才肯给民国标准的1/10!!真是太不尊重知识分子了!!!

      删除
    45. ——民国时期的大学教授,可以很轻松地在北京买一座四合院。而现代的大学教授,想要在北京弄个100平方米的三室一厅,都要几乎买到通州那边的地界上去了!
      对于这些人来说,当代社会给他们提供的待遇,远远不如民国年间的高标准,自然要满腹牢骚,并且无限怀念那个“美好的年代”。而他们又都是高级知识分子,也是最擅长玩笔杆子的一类人,自然有本事在笔下“发明”出无数描述民国时代美好之处的“新思维”、“新发现”了。
      ——正如我们在政治课本上学到的那样,一切问题从根本上讲都是经济问题!
      三、什么是“民国范儿”?
      好了,对于当代某些知识分子怀念民国的深层次根本原因,在上一部分已经有了初步的描述。那么,他们有关于提高自身经济待遇的要求,到底有没有一定的合理性呢?
      ……这个……该怎么说呢?尊重知识分子这个说法,应该是绝对没有错的。
      但有一点请大家先弄清楚,我们到底应该尊重怎样的知识分子?
      或者说,究竟是哪一类的知识分子,才能给我们这个社会真正地创造出财富和价值?
      近年来,国内学术界有个很时髦的名词,叫做“民国范儿”。大概意思就是说,民国时代虽是社会政治上的动荡乱世,却是人文精神上的蓬勃盛世——大师辈出、精英 涌现,一个个都有着独特的人格魅力,自由的生活方式和高昂的精神气质,把这些民国时代的节操和风骨归纳起来,就是所谓的“民国范儿”。
      总之,从清朝上溯整个中国古代的那种士子之气,那股“以天下为己任”的博大胸怀,于民国时代的教育界和学术界犹有遗风。可惜随着眼下的社会风气日益浮躁,在 如今我国的大学里,已经几乎没有那种清高不凡的氛围了。所以,过去那些充满古典中华士人风骨,又结合了近代西方进步思想的“民国范儿”,实在是我辈信仰空 虚的现代人,应当仰慕和借鉴的经典对象!嗯, 这番论述不能说没有道理。但不知大家有没有注意过一点,这些“很有范儿”的“民国时代精英人物”,如章太炎、蔡元培、陈寅恪、梁漱溟、梅兰芳、徐志摩、闻 一多、鲁迅、张爱玲、梁启超……虽然确实是名声如雷贯耳,令人高山仰止,肃然起敬,可他们基本上都是搞社会科学的文化人,学的和研究的都是教育、文学、外 语、历史、哲学、艺术之类,却很难找到什么工科和理科的人才。
      而我们比较熟悉的老一辈科学家,例如钱学森、李四光、竺可桢等等,几乎都是从国外留学回来,因为国内没有培养和扶持优秀科学家的条件,在民国时期也看不出什 么很特别的“范儿”——这就有些奇怪了,以北洋军阀时代的教授待遇之优厚,大学经费之充足,难道就盖不起一个实验室吗?要知道,20世纪早期的科学研究, 其所需经费还远没有后来那么庞大啊?
      事情的真相是这样的,在民国前期,北洋军阀统治时代的中国各所大学里,文科生和理科生的比例极度不平衡——学习文法艺术的文科生独占鳌头,竟然达到了学生总数的90%以上!
      而与之相对应的是,在大学里攻读工科、农科的学生却寥寥无几,连商科都没啥人,讲这些课程的教授也很少。只有医科稍微强一点,但也好得有限。
      唉,在当年北 京的那些大学里,第一是文科,第二是文科,第三还是文科!除了医学和外语之外,如果你还要想学一点实用的先进技术,就只能到国外去留学了。而且在学成之 后,也很难归国找到专业对口的工作,只能留在海外谋生——旧中国的工业实在是太落后,海归的工程师和科学家除非是自己办厂创业,否则简直是毫无用武之地。总之,在民国前期的大学里,理科的情况真是叫做一个悲剧!据说就连学家政的女孩子都要比学工程技术的人更多!哪怕是在日后以“理科第一”而闻名全国的清华大学,当时的教学内容居然也还是以政法、文学和神学为主,每年的理科毕业生从来都不曾超过100人!
      上帝啊,民国时代的旧中国,明明最缺的就是现代化工农业,最落后的就是现代科学技术,但却偏偏只培养了这么少的一点儿理科大学生,其中很多最优秀的人才还要移民出国,对一个好几亿人口的大国来说有啥用啊!民国的工业要能发展得起来,那才是有鬼了!
      那么,民国时代的大学教育,为什么会办得如此不科学?明明国家在工业和科技上全面落后,急需建设现代化产业的科学技术人才。可是在大学里却把经费向文科极度倾斜,反而对理工科毫不重视?
      民国的大学教育之所以会出现如此怪诞的状况,自然是有着多方面的原因。
      事实上,在经历了新文化运动和“五四”运动后,民主与科学的观念,已经在中国的知识界深入人心,社会上一直都在强烈要求发展实用科学,培养实用人才。
      但问题是,当时的中国经济落后,人才匮乏,尤其是研究自然科学的人才更是奇缺。而且,文科大学只要有图书馆和教室,再凑齐了教师即可招生开办。理工科大学却必须购置大量昂贵的教学仪器设备(国内基本不能生产,进口则需要天价)、教育经费要求更高,教师的聘请也极度困难。
      因此,在当时想要办一所兼具文科和理工科的综合性大学,实在是难上加难。于是,很多办学者不得不降低大学设置标准,先把耗资较少的文科学院创办起来。
      上面说了在中国兴办理工科大学的客观困难,而另一个最关键的因素,则是由于主观方面的不重视。——在传统上,中国就是一个由文官统治的国度。而所谓的文官,在很多时候就是文化人的另一副面孔。在我国的古代历史上,那些知名的文人们无论是否出仕,总是与统治阶层有着千丝万缕的关系。
      所以,在封建科举体制之下的高等教育,例如“国子监”、“太学”之类,其实就是高级官僚的专门培养机构。而北大的前身“京师大学堂”,同样也是如此。一定要 做个类比的话,基本相当于如今的党校。因此自然会更注重于政治、法律、财政乃至于传统礼仪道德方面的教育,最多再加一些外语、国际政治和世界历史之类的 “新式”内容进去,就已经算是符合时代潮流了。
      而当时的学生们之所以要去读大学,大部分人的最终目标也跟过去封建社会的读书人类似,就是为了当官——所以自然要学法律和行政,没有多少人愿意去学习跟仕途无关的理科。
      至于西方人在中国开办的大学,最初的目标是培养一批亲近西方的中国本土政治精英。在民国年代,每年都有上千名甚至几千名大学生,从英美教会和民间教育机构在中国创办的大学毕业,然后进入政府或工商业领域就业,而他们的政治观点自然普遍倾向于亲美、亲英。为了适应这一需求,这些学校的课程也是以文科和神学为主——前者用于渗透上层建筑,后者则向底层民众传播影响力——最多再办一些医科课程,却并不怎么愿意为中国培养出工业和科技人才,从而为自己本国的企业在中国市场上制造竞争对手。
      唯一的例外就只有德国,或许是因为德国人的心眼儿比较实,在割占了青岛之后,于1909年开办了一所当时亚洲第一的理工学院——德华大学。并且以德国式的严 谨,为中国培养了一批相当优秀的工程技术人员。可惜这所学校仅仅办了5年时间,就随着日本在1914年攻占青岛,而从此灰飞烟灭了。外国人在中国的办学,有着各自不可告人的政治目的。而民国初年那些主持大学教育的中国人,尽管在一轮又一轮西方坚船利炮的猛轰之下,已经明白了西方科学的重 要性。但出于传统士大夫的理念,对这些“奇技淫巧”仍然多少有些抵触,不怎么愿意把它们放进相当于“国子监”的大学校园之中。
      例如民国时代的教育界泰斗蔡元培先生,在早期就认为大学不应该开办理科,只要有文科、医科和艺术类的内容就已经足够。至于理工之类的科学技术人才培养工作,则应当由专科职业学校来承担。
      他的观点也不能说是全错,毕竟近代的德国就曾经这么搞过(后来改了)。但问题是,当时北洋政府拨下来的非常有限的一点教育经费,几乎都给了诸位耍笔杆子的大师们去钻研传统国学,顺便教导诸位未来的官老爷们各种传统文化,实在是没钱再办各类理科的专科职业学校了
      同样的道理,在民国初年,那些北洋军阀之所以对待大学校园里的师生们十分客气,也不是因为他们思想进步、重视教育,而是恰恰相反——在他们的脑子里,依然延 续着过去清朝的旧思维,普遍把北京城的那些大学,看成是“太学”、“国子监”之类的高级官僚预备队,自然要待遇优厚,态度客气才行。
      —— 在中国的封建王朝时代,那些读书人,尤其是身具功名的士子们,就和民国年间的大学生一样,经常做一些集体请愿或者集体抗议的事情,甚至还有骂皇帝的,很类 似现代西方国家的示威游行。例如康有为这位广东举人,就在甲午战争期间搞过“公车上书”,一度拉起了上千名进京赶考的举子共同行动。
      而对待这些未来的官僚成员生力军,不管是再怎么专制腐朽的朝廷,也都总是表现得异常的宽容,一般都会派出重臣耐心劝解,最多就是惩处几个带头的人,几乎从来 没有过查封国子监,把师生尽数下狱的疯狂举动——因为这些人就是未来的朝廷官员,如果过分地得罪了,岂不是就要担心在日后被秋后算账?相反,要是闹事者并非身份特殊的士人,而是一般草民……那么通常就是血腥镇压没商量了!

      删除
    46. 于是,就在民国初年的动荡岁月之中,面对着遍地的文盲和失学儿童,一片空白的民族工业,这 些充满了“民国范儿”的大师们,却心安理得地挥霍着仅有的一点儿教育经费,悠然自得地研究着历史、哲学、书画艺术之类缺乏实际意义的“传统国学”,或者翻 译一些西方文学名著,同时对落后愚昧的国民视而不见,还自诩为国家柱石、社会脊梁……这究竟应该说他们是没良心呢?还是说他们没头脑?
      有人看到了这种现象的荒诞,比如说鲁迅;有人却认为这才是知识分子应当享受的待遇,例如说胡适。
      在过去,我们认为鲁迅是对的。现在却有越来越多的人,在推崇胡适的理论。
      大家在这里不妨设想一下,假如在百废待兴的建国初期,我党不肯花钱搞现代化建设,构筑自己的独立工业体系,而是富有超前意识地组织了大批国学宗师和考古学家,去搞“夏商周断代工程”,号称要以此来提高民族荣誉感……不知老百姓会怎么想?恐怕只会大骂政府昏了头本末倒置吧!
      所以说,北洋政府投入仅有的经费,养了一群窝在大学象牙塔里的“国学大师”和“留洋高材生”,却无视了遍地的文盲和一片空白的科研领域……这样只重视“贵族教育”的“民国范儿”,难道就很好?

      删除
    47. 至于西方人在中国开办的大学,最初的目标是培养一批亲近西方的中国本土政治精英。在民国年代,每年都有上千名甚至几千名大学生,从英美教会和民间教育机构在中国创办的大学毕业,然后进入政府或工商业领域就业,而他们的政治观点自然普遍倾向于****、亲英。

      删除
    48. 楼上这位朋友,干嘛在这楼复制粘贴无关文章?你应该自己开一楼复制粘贴这些文章

      删除
    49. 张贴的意思是士大夫一早预料到理工劳动阶层最终会自相残杀而避免设立理工大学自己也禁止所有有联系的亲朋好友学习理工知识学位,共产党认为这是称赞共产党重视理工而粘贴但是掐头去尾,避免毛最终不得不要求理工学校大学相互残杀,杀到剩下党校那样的学校,教的和民国文科大学,古代太学那样只能是仁义道德那样的非理工科学文学知识

      删除
    50. 同意对Linux自带大量软件的吐槽,要求博主挖一个Linux裁剪的坑,或者提供一些相关资料也行。(像书籍,网站生么的)

      删除
    51. 当然,挖坑最好。

      删除
    52. TO V2EX(11单元)

      俺的观点是,跨虚拟机剪贴板能不用就不用。

      TO V2EX(13单元)

      那个Chromium版本就算没有 Google 的隐私问题,还可能有其他问题,比如耗电,耗内存...

      还有俺同意39单元网友说的,某些问题完全可以上品葱,Stack overflow去问。那边的答案出的比博主快,说不定还更高质量。

      删除
    53. 本文提到了《密码法》,重新发一下我的看法:

      [quote]
      我们通常使用的密码,准确来说是【口令】。
      国内网站如此危险,博主最好在文章里面提醒大伙儿(包括《为啥朝廷总抓不到俺》)。
      天朝搞【区块链】果然没有安好心,肯定要用“国产加密算法”,国内的区块链和加密货币市场算是完全废了。
      [/quote]

      删除
    54. 虚拟机增强驱动?指的是vmware tools和Guest Additions一类的东西吗?博主在扫盲虚拟机的文章里都提到要安装,不然很多功能不能用,分辨率也不能自动变化,不知道不装是不是还会使系统变卡。
      但博主确实又提到过这些驱动可能会有漏洞

      删除
    55. TO 38 & 39 单元的网友 & 挪威森林猫
      像知乎,品葱,quora 这类问答网站【不】适合问 IT 方面的技术问题,尤其是这种比较【阳春白雪】的专业问题。
      知乎是墙内网站,不仅要【自我审查】,还要面临“喝茶”风险。上面的提问大多数不是技术问题,回答里面有很多在“抖机灵”;
      品葱是个政治社区,虽然偶尔有人讨论技术,但总体来说,他们的技术水平没有高到哪里去,大概是不懂我这些问题;
      Quora 虽然也有一些 IT 问题,回答也比知乎的质量高,但我这些问题放上去,很难得到像博主这种高度的回答。另一个问题是我的英文水平有限(Stack Overflow 同理)。

      删除
    56. (接上一单元)
      博主的姿势水平是我目前见过最高的,除了 Linus,斯托曼这些资深元老之外,国内所谓的“大佬”与博主相比简直是【天壤之别】。
      博主的安全措施也是做得相当好的,像他这样的人是极少数,因此直接问博主,能迅速得到专业的回答,比 Stack Overflow 不知高到哪里去了。因此直接问博主是效率最高的方式。

      删除
    57. TO 挪威森林猫
      我在 13 单元问的仅仅是【隐私】方面的问题,没有问 Chromium 有什么缺点。而且我主要用的是台式机,不需要关心是否耗电的问题。

      删除
    58. TO 48 单元的网友
      感谢你的反提醒 :)
      这个转发垃圾信息的家伙确实很烦,严重降低楼层的【信噪比】。

      删除
    59. 又不小心出现了 typo,多打了一个字 :(

      删除
    60. TO 50 单元的网友
      自从看了博主的文章,知道了【攻击面】这个词之后,我就想到了这个问题。

      删除
    61. TO Momo
      虚拟机增强驱动包括【显卡驱动】,不安装当然会很卡(只有系统自带的通用显卡驱动)。当然,安装了驱动,显卡性能也没提高多少。
      至于驱动的漏洞,这是无法避免的,所有软件都可能会有漏洞。我担心的是会不会带来安全隐患,比如剪贴板共享,文件夹共享,文件拖放等。一般来说,开源的驱动问题不大,闭源驱动要小心了。

      删除
    62. 吐槽一下,Gboard 的首字母自动大写怎么关闭?太 SB 了。

      删除
    63. TO V2EX

      https://security.stackexchange.com/ 估计符合你的口味,你可以去溜溜

      gboard关闭首字母大写, 不知道你用的是不是英文系统, 进入 设置 在text correction下有一个auto-capitalization, 关闭即可

      删除
    64. TO 丸子
      感谢分享 Tips :)
      这个网站我有时会在搜索结果中见到,以前也注册过 Stack Overflow 的账号,不过我问了个问题,一个月都没人回答。:(

      删除
    65. 继续吐槽:
      fcitx,iBus 这些开源输入法的词库功能都很弱,在处理中文输入方面远不如 Windows 10 自带的输入法,也不如 Android 上的 Google 拼音/Gboard。连 macOS 自带输入法都比它们好用。严重影响打字速度 :(
      可惜的是,Google 拼音的 PC 版早就停止开发了,因此我有时会用手机在评论区留言。
      当然,不得不承认,做得最好的中文输入法是“搜狗”这类国产流氓公司的输入法。

      删除
    66. 前面那俩是输入法引擎,锅不能全让它们背(小声),像是 ibus-libpinyin 比 ibus-pinyin 就稍微好一点儿。(嘛,咱在用 rime (fcitx 和 ibus 都支持,以及手机上有相同引擎的 TRIME)

      至于词库,不想联网就只有自己练咯……

      删除
    67. TO ホロ
      Rime 我也用过,比前面两个好一些,但还是不太好用。
      比如 macOS 的“鼠须管”配置起来比较麻烦。

      删除
    68. (那就大概是个人问题了,反正咱觉得还 OK )

      删除
    69. [b]顺便提几个关于评论区的建议:[/b]
      1. 一键折叠/展开所有楼层;
      2. 复制某个留言(之前有读者提到过);
      3. select 加上所有楼主的昵称(之前我提到过,这样做方便大伙儿【一次性】看到【所有】楼主的昵称,方便查找);
      4. 回复某个单元时,自动在最前面加上 TO 昵称 XX 单元;
      5. 增加某些常见图床的名称,比如 sm.ms,upload.cc,web.archive.org,archive.is 等。

      删除
    70. TO ホロ
      我的要求仅仅是找一个词库不太差的开源输入法,打字顺手,不影响打字速度就行。现有的这些开源输入法没有一个满足要求的 :(
      可能是我以前习惯了国产输入法以及 Windows 10 自带输入法,不过从某种程度来看,这些开源输入法确实不够方便。

      删除
    71. TO V2EX(57单元)

      哦,是这样。
      Github [url=https://github.com/Eloston/ungoogled-chromium/issues/640]这个页面[/url]有关于 ungoogled-chromium 的讨论。摘录如下这段(粗体俺标注滴):

      [quote]

      Elsewhere on the Internet, there is a large number of people treating ungoogled-chromium as a browser for dealing with privacy issues, and are comparing it to other Chromium or Firefox derivatives like Brave or Waterfox. However, [b]ungoogled-chromium does not have much in terms of privacy; I leave a lot of that to the user.[/b]

      [/quote]

      TO V2EX(55,56单元)

      英文水平有限,这些墙外的问答网站(Quora, Stack)就是一个锻炼读写英文的好机会嘛 :) 俺当年的三脚猫水平英语也是这么硬着头皮过来滴。

      博主只是个凡人,而且评论区问他/她问题也不是及时答复(有时候等好几天)。万一哪天博主故意“玩失踪”,你上哪儿找“牛人”问问题去 :)

      删除
    72. 1 单元可能没有说清楚,使用【小众】的 OS,分两种情况:
      作为 Host OS 使用,由于自带软件很少,又是小众系统,是否能降低【攻击面】?
      作为 Guest OS 使用,由于自带软件很少,而且每个虚拟机的【颗粒度】非常细,能节省很多系统资源。相比主流 OS 是否会更安全?

      删除
    73. TO 挪威森林猫
      同意你的观点,多看这些英文网站可以逐渐提升英语水平。

      删除
    74. 补充 69 单元:
      加上一条建议:在 PC 端可以选择“按楼层排序”。

      删除
    75. 17. 关于【跨平台】的 GUI开发,哪个框架更好?
      目前主要的三个选择:Qt,Gtk+,wxWidgets 。条件是:
      支持的平台越多越好(包括 1 单元提到的这几个 OS);
      支持的语言绑定越多越好;
      支持的扩展功能越多越好。

      目前我知道的是:
      Qt 支持 FreeBSD 和 Haiku OS,版本也很新,但是 Solaris 好像没有,illumos 里面好像有“发行版”有移植(但版本不是最新的),其他几个 OS 不清楚;
      Gtk+ 我没用过,应该支持所有 Gnome 支持的平台,至于 Haiku OS 我不确定是否支持(好像 Haiku OS 社区有人移植成功了);
      wxWidgets 我没用过,完全不清楚是什么情况。

      一般来说,如某个 OS 的软件源里面有用这个 GUI 框架开发的软件,一定是支持这个 OS 的,即使这个 GUI 框架的官网没有列出这个 OS。
      比如:Solaris 源里面没有 vlc,因此可能不支持 Qt。

      删除
    76. TO V2EX (65单元)
      我的方案是单独开个断网 Win xp 只装谷歌拼音,然后共享剪贴板,效果还不错,也不怎么占用内存。
      各位觉得此方案如何?

      删除
    77. TO Stinker
      Windows XP 还是算了,现在的软件很多都不支持,漏洞多得不敢想象,即使断网我也不放心。
      还不如用 React OS,虽然不够成熟,但至少是【开源】的,多少能让人放心一些。

      删除
    78. 18. jQuery 是否已经过时了,应该淘汰?博主写的前端代码用了 jQuery。现在用 Vue.js / React 都是不错的选择,我个人喜欢前者,至于 Google 的 ng 太重了,不推荐。

      删除
    79. [quote]我发现之前“空椅子”读者也不看好 VirtualBox[/quote]
      跟“我的朋友怎么怎么样”是一个道理,因为你就是空椅子本人!

      删除
    80. to [url=https://program-think.blogspot.com/2020/01/Security-News.html?comment=1578642564021]69单元[/url]
      [quote]回复某个单元时,自动在最前面加上 TO 昵称 XX 单元[/quote]
      而且自动加上的这段字符应该要能链接到对应回复的楼层,如上所示

      请不要推荐sm.ms图床,那是沦陷区的开发者所设的,有审查,而且主页写的很清楚:
      [quote]请勿上传违反中国大陆和香港法律的图片,违者后果自负。[/quote]

      删除
    81. TO 40单元
      无关文章别转载,特别是这种一眼能看出毛病的
      我挑几个:
      1,[quote]这个世界上主要媒体的话语权,目前依然掌握在美国华尔街的大财团手中。华尔街的大财团们认为你幸福,你就是天天挨炸弹、饿肚皮、 住难民营、把女儿卖去当雏妓,也是幸福!华尔街的大财团们认为你悲惨,你就是人人住洋房、开小车、吃满汉全席,也是悲惨!华尔街的大财团们认为你是民主, 你就是搞终身执政制、世袭君主制甚至奴隶制,也是民主!华尔街的大财团们认为你是独裁,你就是全国一人一票选出来,任期四年不得连任,也是独裁!千万莫要 忘记了![/quote]
      别的我不知道,反脆弱的作者猛批华尔街的人,导致被人恐吓,为啥他的书还能出版,为啥他还活着?
      2,[quote]传说在美国独立战争胜利,英国战败之后,乔治三世国王看到宫里居然还在用富兰克林这个逆贼发明的避雷针,顿时大为恼 怒,下令把避雷针的尖端改成圆球状。学者们苦劝说这不符合科学定理,乔治三世怒骂道:我是国王,一切科学定理在英格兰都得听我的安排!如果把这句话改成“我是美国,一切科学和历史在地球上都得听我的安排!”会不会很贴切?[/quote]
      无效对比,个人与国家无法对比;另外,美国的科学家和其他国家的科学家一样,各个学派都有自己的不同看法,拿国家来区分,属于偷换概念
      3,[quote]那就说一个最新的例子:印度的新德里有个女教授,家里很有钱,雇了很多个仆人。她在博客日志上写了一篇附有照片的短 文,吹嘘自己家对待仆人是何等的仁慈宽厚——具体来说,就是允许仆人在不当班的时候,和她一起在客厅里看大屏幕液晶电视上播放的美国肥皂剧。但问题是,在看电视的时候,女教授她自己独自坐在沙发上,仆人却必须跪在地板上。而那张长沙发最起码可以坐得下四五个人,旁边还有几张靠背椅……可仆人们却不能坐,因为他们是低种姓族群。[/quote]
      注明来源,另外,中国也有这种情况哦,有钱人找没钱的麻烦,有权人找没权的麻烦,比跪着还惨,比如251
      4,[quote] ——毛图书管理员的月薪不过8大洋,胡教授的月薪却高达240块大洋,两者相差30倍!
      事实上,当时的胡适虽然从海外镀了一层金归来,但在北大参加工作的时间还不长,名声也远不如后世,月薪还不算最高的。同一时期,北大中文系主任陈独秀的月 薪为400块大洋,相当于毛管理员的50倍——再过几年,北大教授的月薪还要再翻一倍,平均达到500块大洋,而图书管理员的月薪却没怎么上涨。
      而更要命的是,胡适教授的280块大洋,一般来说每个月都能按时发放。而毛管理员的8块大洋月薪却总是被拖欠,直到离职也没能全部拿到手。据说他先后干了半年,最后却只拿了三个月的薪水,相当于减薪一半 ——我突然明白传闻中毛主席仇视知识分子的原因了……[/quote]
      这段话可以看出来一个事实:
      图书管理员的薪水极低,这代表技术含量也极低,很有可能是体力活(搬书之类的)
      另,
      工资拖欠问题,目前中国也有,只是被"和谐"掉了
      胡适到底是不是镀金,看看他读什么专业就知道了,印象中是读当时很少有人读的某个文科,具体是啥记不清楚了,
      如果你说学这玩意没用,学了就是镀金,实际上胡适刚开始是先学种田的,然后想了想,咬咬牙,最后才去读文科,这些都在"我的四十自述"里有记载

      删除
    82. 5,
      [quote]在1919年的北京消费市场上,一块大洋应该可以买20斤米,8斤猪肉,购买力最多相当于如今的40元人民币。[/quote]
      你现在去北京拿40元人民币 买这些这些试试?
      6,
      [quote]让劳动人民们拿着3000元工资看教授们月入96000元,与拿着300元工资看教授们月入9600元,绝对会导致两种完全不同的心情——前者还只是一般的羡慕,而后者就是恨得眼睛都要红了。[/quote]
      为何举例只举毛泽东?
      另,我花了几分钟,其实大部分上海工人的月收入都在十元以上,[url=http://www.zgjjsyj.org/UploadFile/SiteContent/FJList/gb1zf2f1.pdf]近代上海工人阶层的工资与生活[/url],我觉得北京也差不多
      还有,那时的教授少数,现在教授人多了,水平也低了,自然工资少,这导致现在的中国学术作风远远不及民国
      7,
      [quote],这些“很有范儿”的“民国时代精英人物”,如章太炎、蔡元培、陈寅恪、梁漱溟、梅兰芳、徐志摩、闻 一多、鲁迅、张爱玲、梁启超……虽然确实是名声如雷贯耳,令人高山仰止,肃然起敬,可他们基本上都是搞社会科学的文化人,学的和研究的都是教育、文学、外 语、历史、哲学、艺术之类,却很难找到什么工科和理科的人才。[/quote]
      正常,理科生不具备政治素质,几乎都没在文革中活下来
      另,文科就只需要纸和笔,而当时又是抗战,又是内战,哪有闲余时间盖实验室啊,盖了如果被炸毁,有些东西还会造成二次污染
      8,
      [quote]在民国前期的大学里,理科的情况真是叫做一个悲剧!据说就连学家政的女孩子都要比学工程技术的人更多!哪怕是在日后以“理科第一”而闻名全国的清华大学,当时的教学内容居然也还是以政法、文学和神学为主,每年的理科毕业生从来都不曾超过100人!
      上帝啊,民国时代的旧中国,明明最缺的就是现代化工农业,最落后的就是现代科学技术,但却偏偏只培养了这么少的一点儿理科大学生,其中很多最优秀的人才还要移民出国,对一个好几亿人口的大国来说有啥用啊!民国的工业要能发展得起来,那才是有鬼了![/quote]
      谁说的?站出来! 学工科的人大把在,我了解的胡适,当初就是选择做工科,印象中,和他一个班的就有十几个人了
      9,
      [quote]于是,就在民国初年的动荡岁月之中,面对着遍地的文盲和失学儿童,一片空白的民族工业,这 些充满了“民国范儿”的大师们,却心安理得地挥霍着仅有的一点儿教育经费,悠然自得地研究着历史、哲学、书画艺术之类缺乏实际意义的“传统国学”,或者翻 译一些西方文学名著,同时对落后愚昧的国民视而不见,还自诩为国家柱石、社会脊梁……这究竟应该说他们是没良心呢?还是说他们没头脑?
      有人看到了这种现象的荒诞,比如说鲁迅;有人却认为这才是知识分子应当享受的待遇,例如说胡适。
      在过去,我们认为鲁迅是对的。现在却有越来越多的人,在推崇胡适的理论。[/quote]
      胡适的理论哪里错了?你告诉我[url=https://zh.wikisource.org/wiki/%E5%A4%9A%E7%A0%94%E7%A9%B6%E4%BA%9B%E9%97%AE%E9%A2%98%EF%BC%8C%E5%B0%91%E8%B0%88%E4%BA%9B%E2%80%9C%E4%B8%BB%E4%B9%89%E2%80%9D]多研究些问题,少谈些“主义”[/url],这篇文章指出:
      [quote]現在中國應該趕緊解決的問題,真多得很。從人力車夫的生計問題,到大總統的權限問題;從賣淫問題到賣官賣國問題:從解散安福部問題到加入國際聯盟問題;從女子解放問題到男子解放問題;……那一個不是火燒眉毛緊急問題?

        我們不去研究人力車夫的生計,卻去高談社會主義;不去研究女子如何解放,家庭制度如何救正,卻去高談公妻主義和自由戀愛;不去研究安福部如何解散,不去研究南北問題如何解決,卻去高談無政府主義;我們還要得意揚揚誇口道,我們所談的是根本「解決」。老實說罷,這是自欺欺人的夢話,這是中國思想界破產的鐵證,這是中國社會改良的死刑宣告! [/quote]
      你还有脸骂胡适???
      251不解决,996不解决,各地强拆不解决,工资拖欠不解决,言论管制不解决,一党专政不解决,人家胡适可是到处启明智哦,和现在的编程随想差不多,唯一的不同点在于他不戴面具:)

      删除
    83. 鉴定完毕,40单元转载的是垃圾文章

      不小心把整个文章都批了一遍:(

      删除
  2. 有预感博主今晚会发博文,没想到真发了。先评论后看,有问再提!

    回复删除
    回复
    1. TO 博主:
      问题一:Firefox的国际版,设置成中文后,和中国版的区别,因为长得几乎一样,所以特地问问。

      删除
    2. TO 博主:
      博主怎样看待Ubuntu和openSUSE这2个系统,我知道这个评论博主可能不愿意回答,但是我希望博主或者其它网友看到后能给一些比较好的文章的链接,我自己抽空去看。还是感谢了!

      删除
    3. TO 博主:
      vm虚拟机,不同版本之间的安全性差别是否很大。我看身边和网上很多程序员群体使用的是12版本,而我比较喜欢用最新的版本。不知道为啥这么多人喜欢vm12的版本,是因为更安全吗?

      删除
    4. TO 博主:
      chrome等浏览器使用的“油猴脚本”,是否安全。如果是有的脚本安全有的不安全,应该如何辨别,如何防范。

      删除
    5. TO 博主:
      以上问题可能提的不太好,但是我确实很想弄懂。不管怎样,还是先谢谢博主了!

      删除
    6. TO 小蜘蛛
      针对你的问题,统一回复如下:
      1 单元:
      源代码不同,即使外观一样,实际上你用心看还是能找到区别的;

      2 单元:
      前者是商业公司维护的,后者是社区维护的,一般建议选择社区维护的 Linux 发行版;

      3 单元:
      我个人总是使用最新版的软件,不清楚为啥有些人总用某个固定版本;

      4 单元:
      是否安全,取决于 userscript,安装脚本之前先看用户评论。

      删除
    7. TO V2EX:
      感谢您的回答!

      删除
    8. TO 小蜘蛛 (1单元)
      我也碰到过这种情况。如果 Linux 系统语言是汉语,自带的 FF 竟然有百度,吓死我了,从此我只用英语系统。但英语系统坑人的是自带的汉语字体十分诡异,奇丑无比,后来我竟然看习惯了。
      现在想想,我当初是不是太多疑了?

      删除
  3. 伊朗美国的冲突,博主打算开一篇这方面的博文吗

    回复删除
    回复
    1. 按照博主的习惯,他大概已经开始构思文章了。
      只不过,博主要等到我们即将忘记这件事情时,再来个每周转载。

      话说,博主还有许多坑没填……

      删除

    2. 伊朗不是说“采取了成比例的自卫措施并且已经结束,不寻求事态升级或战争”吗?

      基本上就是知道真打死美国人,绝对会开战的,所以就提前宣布攻击伊拉克基地,然后等美国人准备好了再攻击吧,所以美国无人伤亡
      对伊朗国内也可以有个交代了,他们不是在国内宣布打死80多个美国人吗?

      昨天看到有国内媒体还说什么,“用"战果"平息国内愤怒”,给国内民众传递虚假的信息,是“巧妙聪明”的表现,简直三观净毁

      删除
    3. 如果美国不继续报复确实就是认怂了啊。
      这可是美军海外基地遭受直接攻击,卫星照片上看一栋楼整个被摧毁,还有消息说损失了一架黑鹰,按美帝的一贯尿性,怎么也得再来一次黄金峡谷才算完吧,结果川普憋了一天最后还是照着稿子念了一堆软话。
      另外伊朗的导弹打得还挺准的,直接命中了基地内一幢大楼,精度比多年前的飞毛腿高多了,了解军事常识的人应该明白这真不是件容易的事。
      现在最慌的估计是以色列了,按这次伊朗展示的能力,如果能赞个几十上百枚核弹头进行饱和攻击,真的会被核平的。

      删除
    4. TO 3楼的几位

      这次伊朗事件,德黑兰除了不少蠢事,简单评价一下:

      1.空袭美军基地。美军没多少人死亡。苏雷曼尼可是伊朗实际【二把手】哦,就值两个军事基地?
      2.葬礼【踩踏】死了五十多人。就当是为苏雷曼尼殉葬吧。
      3.乌克兰民航客机坠毁。原来以为伊朗倒血霉,现在看来越来越向伊朗军方的【误操作】。

      美国:1 伊朗:-220

      删除
    5. 美利坚何等人也,号称蓝星最强超级大国,从来只有它欺负别人的份,这次海外基地被别国政府发动的军事打击摧毁,结果只是口头上强烈抗议就完了,你真觉得这无所谓?

      删除
    6. 楼上立场反美,能理解,但是要注意不要让自己的立场干扰到对事物的理性判断。
      你想象的这种国际关系是很典型的“小市民”式逻辑(无意贬损,想不到更合适的词),从“认怂”“欺负”等用词能看出来。然而在国家间的外交博弈中代入这种逻辑,你没试着想过国际外交的行动动机真的全部是这些吗?
      博主经常提到,最难的“强批判思维”是放下自己的固有思维,对自己的观点进行反省和批判。如果在议论中是为了驳倒别人的观点而不是驳倒自己的观点,那自己永远也不会有进步。
      一不留神就扯远了。这终归只是我个人的建议,听取与否则是你的自由。如果你能看到,希望或多或少有所帮助。

      删除
    7. 美国如果不能对另一个主权国家的军事打击做出对等回应,往小了说影响驻外人员的士气,往大了说影响盟国对美国履行安全承诺的信心。

      删除
  4. 感谢博主上两篇关于日本和择偶的看法。 IT类的博文不感兴趣就不看啦 期待 灭绝支那贱畜网友 忙完线下的事后,过来发言交流哦!超喜欢灭绝同学的发言

    回复删除
    回复
    1. 山西煤矿小老板编程随想2020年1月9日 下午10:46:00

      灭绝兄和博主约了线下互草屁眼,暂时没空和大伙讨论

      ——正享受爆菊快感的灭绝兄和博主对俺如是说

      删除
  5. 动植物的习包,都是有习包膜的。但习暴毙惟植物习包才有。习菌也有习包膜。习包膜内部是习包子,习包子含有丰富养分。

    回复删除
    回复
    1. 简介:“倒霉”的level0高中生上条文贵在自家阳台上发现了共青团少女茵蒂蛤丝,茵蒂蛤丝脑子里存了十万三千本中国禁书,比如<><>这类的,是从中国共产党驻英国党支部“必要之恶”党支部中逃出来的,正在被中共训练的魔法师特工追杀,上条文贵帮助茵蒂蛤丝打倒了“必要之恶”党支部和中共驻日本党支部“天草式”的人,拯救了茵蒂蛤丝,后宫+1。后来,上条文贵还邂逅了初中生少女御坂明泽,御坂明泽是level5的超能力者,她被制作了两万多个克隆人“妹妹”,用于活摘器官,这些被活摘器官的妹妹还将被用于给学院都市顶级强者“长者通行”续命,帮助他升级为level6,上条文贵又帮助御坂明泽打倒了“长者通行”,后宫+1。

      删除
    2. 五河勇武本来只是一个普通高中生,生活在被中共全面统治的世界下。当时的全球总书记陈全国正预谋发动第二次文革毁灭全球文明。五河勇武发现自己有个神奇的能力:键盘勇武,只要自己冲塔就能神奇地煽动起舆论,阻止第二次文革发动。一天,他意外地与一名身穿盔甲手持大剑的神秘少女相遇。这名少女的正是所谓的“支乎管理员”,由于怕被网警发现,支乎管理员决定亲自查一查五河勇武的水表。但后来支乎管理员神奇地与五河勇武相爱了,并且放宽删帖禁言标准支持更多人冲塔。五河勇武找到了拯救世界之道,决定继续在微博、微信、贴吧上冲塔,攻略那里的管理员,这样她们就会帮助自己。五河勇武踏上了用魅力拯救世界的伟大道路。

      删除
    3. 明泽大小姐要向我告白2020年1月9日 下午10:58:00

      红黄蓝贵族高中是赵家天才少年少女的聚集地,这里的学生会会长是薄瓜瓜,他本来过着开红色法拉利的放荡生活,但是由于其父进了秦城,生活一落千丈,他不得不发奋努力,重振家业。学生会副会长是习明泽,不仅家境优渥,自身也很优秀。学生会书记是少女栗多习,她是习明泽的好友。会长和副会长一直暗中相恋,但是他们知道,在恋爱中谁先告白谁就处于吃亏地位,于是他们都想方设法让对方告白,他们之间展开了斗智斗勇的爱情喜剧。

      删除
    4. 加了书名号就打不出来?这两本书是《他改变了中国》《他又改了回去》

      删除
    5. 小粉红也要谈恋爱2020年1月9日 下午11:10:00

      男主角富樫反贼曾经是一个坚定的反贼,号称“漆黑人权使者”,由于遭受了赵家铁拳的无情打击,他决定隐藏自己的反贼身份,进入高中后拼命与过去的自己撇清关系,不让大家发现反贼身份。但没想到的是,他遇到了同班同学、还和他住同一个公寓的粉红少女小鸟游五毛,号称“华夏真眼”,小鸟游五毛非常中二,她有以下中二台词:
      1、“爆裂吧,美帝!粉碎吧,港独!Banishiment this world!”
      2、“阿中哥哥是最强的”
      不仅如此,小鸟游五毛还总是幻想有“美帝国主义者”在追杀她,她的姐姐小鸟游一块常常制止她的脑残行径,但她却指责她的姐姐是“公知带路党”,拿出雨伞当作机关枪与“带路党”战斗。小鸟游五毛总相信存在一个不可见的“星辰大海”,她犯中二病时总是寻找“星辰大海”,想带着中国前往那里。
      富樫反贼还有一个女同学丹生谷华夏,她曾经是一个粉红,曾经声称自己是“活了500岁的共产主义小战士”,还在网上发表过<>,后来她意识到自己行为的羞耻,停止粉红。
      小鸟游五毛和富樫反贼接触后,发现了富樫反贼的反贼本质,二人不打不相识,在数次"天诛国贼"的战斗中,两人竟然慢慢走上了恋爱之路。。 。。

      删除
    6. 2022年,中共武统日本,日本迅速新疆化。但由于外国势力始终乐于干涉内政,所以中共采用了一种人道的方式——推行一款超现实模拟游戏叫做《Sword Artwork Online》,强迫所有被认为反动的日本年轻人玩,他们一旦进入这款游戏,就必须通关才能退出,如果在游戏中死了,他们在现实中就要被活摘。高中生桐谷和人在这混乱的情况下,比其他人更早认识到现实,利用自己丰富的游戏经验迅速变强,还尽量帮助其他玩家一起取得胜利。在这过程中,还邂逅了少女亚丝娜。二人一路战斗、相爱,最后打倒了混入游戏中的大boss日共总书记茅场晶彦,带领所有人胜利脱离游戏。

      删除
    7. 光乳包不膜蛤是不行滴,我来发个膜蛤段子。

      hf最外层电子,能量水平很高,比其它电子不知道高到哪里去了!经常处于“excited态”,而能量越高,速度越快,这有一个好,就是跑得比其它电子都要快。根据不确定性原理,速度越快空间不确定性越大。但一个电子的轨道,要做到能量最低,还要考虑泡利不相容原理,所以原来的轨道也实在不是谦虚,就另请高明,重新杂化吧。这个+1s的的过程也被称为“安轨”。

      删除
    8. 蛤蛤,看来大伙儿果然都喜欢“膜蛤”和“乳包” :)

      删除
    9. 暖气水里加大粪2020年1月10日 下午5:31:00

      这个暖气一突开,溅得我满脸喷粪啊...不,溅得我满脸是温暖的沼气啊,这股温暖一下子传递全身,仿佛把脸贴在了刁大犬的屁股上那么温暖~

      删除
    10. 某知乎专栏教大家选择钱包,里面有一段话是:
      [quote]
      钱包的类别:
      Breast Wallet(胸口钱包,长款钱包,理论上叫乳包也没问题)
      [/quote]
      什么包?你再说一遍?

      删除
  6. 博主您好!
    说到VPN,您是否听说过「酷鸟浏览器」?
    酷鸟浏览器,自称是中国首款“合法”翻墙神器,结果两天就一命呜呼。
    资料链接:
    https://pincong.rocks/question/11071
    https://www.voachinese.com/a/mysterious-censorship-evading-web-browser-banned-in-two-days-20191115/5168494.html

    回复删除
    回复
    1. TO Anony Kagamine

      很多新出来的梯子很快就撞墙了。所以博主写博文介绍过的梯子大部分都是一直坚挺的。
      另外,俺注意到这几天墙架高了,手头的几款翻墙工具时不时掉线

      删除
    2. TO 挪威森林猫
      我用的网上分享的免费 V2Ray 还是比较稳的,除了特殊时期。最近发现的新翻墙软件 geph (迷雾通)更是【岿然不动】 :)

      删除
    3. TO V2EX(2单元)

      恭喜老熟人翻墙梯子稳定 :)

      俺也分享一下俺的翻墙状况:

      1. 赛风 == 抽风。从去年底就不稳定。
      2. 无界 == 无能(同上)
      3. 自由门还可以。就是网速慢,浏览网页还差不多。
      4. VPN Gate 十个服务器只有一两个成功。但是连上之后速度,稳定性都比较满意。
      5. TOR + meek 说真的还不错,估计俺本省的运营商网开一面...

      博主说得对,是要多准备准备梯子。

      删除
    4. TO 挪威森林猫
      免费的梯子其实也不是非常稳定,算是能用的程度,收费机场的支付方式有喝茶风险。
      你提到的几个,除了 Tor,对其他平台的支持都不太好,赛风早就不行了;VPN Gate 有少数 VPN 能脸上但很容易断开;Tor + meek 看运气;其他两个能用也太慢。
      另外,我认为不开源的翻墙软件都不靠谱。

      删除
  7. 火狐有一个比较危险的快捷键,我经常中招。
    "Ctrl+v+Enter"
    我经常粘贴一些名词在地址栏上搜索,操作顺序是首先"Ctrl+T"新建标签,然后"Ctrl+V"粘贴名词,最后按"Enter"执行搜索。有时候"Ctrl+V"没松手就按"Enter",这时就变成"Ctrl+v+Enter",结果是完全不同的。
    例如搜索"翻墙"就变成访问"www.翻墙.com",通常这种网站都是不存在的,但是ISP或者代理服务器会知道我想搜索这个词,如果经常搜索敏感词的话我怕被列入黑名单甚至喝茶。
    我还以为中了什么奇怪的病毒,重装了几次系统。

    回复删除
    回复
    1. 我之前在 Firefox 设置自定义主页,打了"https:"之后就去设置别的选项了,结果每次打开 Firefox 就导航到 https.com。我开始还以为打开了上次关闭的选项卡,后来才找到原因。

      删除
  8. 香港究竟发生了什么,下一刻又将发生什么?
    【Key:BATJLFPGI2J76ZPKBDNJVMCOJ3D77FIFN】

    回复删除
  9. 前排!!!随想哥真是太厉害了,可以说是我的政治启蒙!希望博客能越办越好!

    回复删除
  10. 博主,想问一下,大陆这边一些地方会强制往手机里安装审查app,那个app似乎会收集用户信息,目前github有一个项目fuckmfs来应对这种app,我不知道它有没有用,自己也不懂安卓编程,不知道博主和大家有没有什么方法来防范。

    回复删除
    回复
    1. 关键是开发者连账号都消失了,这才是最可怕的。

      删除
    2. TO 11楼的网友

      有条件就弄两个手机。一个平时在外面用,不敏感的。装朝廷的app也无所谓。
      另外一个才是真正重要的。平时放家里。

      删除
  11. 大家有什么简短有力的语句用来否定土共的执政合法性吗?
    我想了几天,没想出来。
    主要是想针对 中国是共产党打下来的天下,土共让你活着你就得感恩 的 奴隶心态。
    想要简短点是因为长篇大论太浪费精力了,而且这也可以进行快速的筛选,进行脑残程度的辨认,重度脑残就放弃啦 :D

    回复删除
    回复
    1. Max Weber将政权合法性划分为三类:法理型权威,传统型权威和卡里斯玛(个人魅力)型权威。中共现在算是第二种和第三种的混合体,而一般的民主国家则是第一种。详细可以看维基百科,或者博主分享的电子书也是有的。

      删除
  12. 之前在博主的某篇博文看到过一个评论,大体如下:
    如果发言没用的话,他们为什么要删帖
    如果____没用的话,他们为什么要____

    有哪位老哥找的到原文吗,我搜不到

    回复删除
  13. 最近对GFW的研究,Shadowsocks是如何被检测和封锁的: https://gfw.report/blog/gfw_shadowsocks/zh.html

    “这篇报告是我们对中国的防火长城(GFW)是如何检测和封锁Shadowsocks及其衍生翻墙软件的初步调查结果。通过网络测量实验,我们发现GFW会被动的监视网络流量从而识别出疑似Shadowsocks的网络流量;然后对对应的Shadowsocks服务器进行主动探测已验证其怀疑的正确与否。Shadowsocks的封锁程度可能受人为因素在政治敏感时期的控制。我们提出一种规避方法,即改变网络数据包在Shadowsocks握手阶段的大小。这种方法被证明可以在现阶段有效减少主动探测。我们会继续与开发者合作让Shadowsocks及其衍生工具变得更加难以封锁。”

    回复删除
  14. 非常期待的博文,前排就座,先顶后看

    回复删除
  15. 中共内部分裂 分析指习不得不借人民名义压制党内不满


    图为2019年4月4日,美国总统川普在白宫接见中共副总理刘鹤。 (Chip Somodevilla/Getty Images)

    【字号】 大 中 小
    更新: 2020-01-10 6:45 AM 标签: 川普, 第一阶段贸易协议, 中共, 签署, 贸易战
    【大纪元2020年01月10日讯】(大纪元记者张顿综合报导)美国总统川普公开说,美中第一阶段贸易协定将于1月15日在白宫签署,但中共官方直到1月9日才确认刘鹤访美签约的计划,出奇低调。同时,中共对写在协议上的执行机制也闭口不谈。中共的这些反常作为,背后到底藏有什么秘密?


    1月9日,中共官方首次公开回应第一阶段贸易谈判的签约时间与地点。中共商务部新闻发言人高峰在例行发布会上称,中共副总理、中美全面经济对话中方牵头人刘鹤,将于本月13日至15日率团访问华盛顿,与美方签署第一阶段经贸协议。

    川普推特喊话 北京一直低调
    此前,美国总统川普(特朗普)2019年12月31日发推文说,美中1月15日将在白宫举行第一阶段贸易协议签署仪式,他会亲自参加,中方高层代表也将出席。

    但中共官方一直对此低调。在1月2日的中共外交部例行记者会上,有记者问中方是否会派代表团前往华盛顿签署协议时,发言人耿爽建议记者“向商务部询问”。

    此前,多家媒体披露,刘鹤将在1月4日赴美、签署协议。《南华早报》1月5日又说,刘鹤将于1月13日前往华盛顿,签署中美第一阶段协议。

    这个消息最终在1月9日被中共商务部证实。

    中共至今未透露执行机制详情
    去年12月13日,美中双方同天宣布达成第一阶段贸易协议。

    尽管中共提及协议内容包括知识产权、技术转让、食品和农产品、金融服务、汇率和透明度、扩大贸易、双边评估和争端解决(执行机制)的内容,但对何时签署协议、争端解决机制等问题至今含糊其辞。

    美方除确定签署时间外,还把执行机制机制说得非常清楚。

    美国贸易代表莱特希泽(Robert Lighthizer)12月17日接受福克斯采访时表示,“第一阶段的中国贸易协议是完全可以执行的。”

    白宫贸易与制造政策主任彼得‧纳瓦罗(Peter Navarro)12月15日对福克斯表示,自己最喜欢的协议内容是“执行机制”,如果中共违反贸易协议,“我们能够在90天内单方面报复,而他们什么都做不了。”

    如果纳瓦罗此说为实,这将和中共以往的做法大相径庭,因为过去每次川普提升关税,中共基本都会跟进。

    有分析指,北京避谈1月15日签贸易协议,是因为“关键条款太丢人”。这样一个“一面倒”的协议,北京当然不希望国人了解详情,更怕被体制内的强硬派骂“软骨病”,甚至骂“卖国贼”。所以希望尽可能缩小影响面,把人们的关注度降低。

    中共内部分裂 分析:习以人民名义压制党内不满
    12月26日至27日,中共政治局召开民主生活会。官方通稿显示,习近平获得“人民领袖”的称号。

    前清华大学政治学讲师吴强认为,习近平被冠以“人民领袖”的称号,“从某种程度上讲,习近平是在以人民的名义来压制党内的不满情绪。”

    有中共官媒英文版在6日深夜,还发表题为“中美不应急于签署第一阶段协议”的文章,理由是“美国先前曾在贸易谈判中反悔”,且美方单方面披露相关讯息,都未得到中共官员公开确认。

    此文引发外界议论。

    主管文宣系统的部门以及中共的左派,早就对中共当局与美国达成第一阶段贸易协定不满。中共大外宣在双方公布达成协议后,反而唱衰协议,称其落实不了;而左派更是攻击中共当局这是“与狼共舞”。

    总部在北京的多维新闻网,12月14日连发两篇文章“贸易战重构中国农业供应链 中美第一阶段协议面临落实困局”、“特朗普推文暴露软弱实质 中美贸易谈判或成‘泡沫’协议”,看衰美中贸易协议,认为该协议落实不了。

    其中后一篇文章提到,表面上美中双方均表示,双方达成了第一阶段经贸协议文本,然而,更多的不信任和勉强却溢于言表。并称,美中贸易谈判第一阶段或将仅是一份建立在“泡沫”基础上的短暂共识。

    而大陆左派网站“乌有之乡”,12月16日刊发《美国丧心病狂搞中国,中国却与狼共舞》的文章,更是攻击第一阶段协议从某种意义上,“无异于再一次挽救美国,拯救美国,让美国起死回生,让美国可以继续在世界上称王称霸”云云。

    文章指责中共当局与美国达成这样的协议,是没有“骨气”、“民族气节”,“软弱懦弱”,让“中国老百姓觉得窝囊,窝囊透了”。

    以控制言论、删帖著称的中共,至今没有删除该文,该文仍挂在“乌有之乡”网站,并在社交媒体上传播。

    早在2018年刘鹤率团到美国谈判时,大陆毛左网站就纷纷炒作所谓的“不平等条约”,还给刘鹤扣上所谓“投降派”、“汉奸”、“卖国贼”的帽子。

    中共对川普态度大变 分析:亲中共的美国民主党“不争气”
    川普上任后,结束美国数十年对中共的绥靖政策,在香港、台湾、科技、经济、人权等各个领域遏制中共。

    在民主党基本无望在2020年美国总统大选中击败川普后,中共对川普的态度,发生了显着的变化。

    去年12月18日,白宫经济顾问库德洛(Larry Kudlow)向美媒透露,习近平会见基辛格时表示,他更愿意与川普打交道,而不是民主党。

    习近平去年11月22日在北京刚会见包括美国前国务卿基辛格在内的2019年“创新经济论坛”外方代表。

    与此同时,中共学者们也开始“唱好”川普。

    中共社会科学院政治学所所长张树华,12月21日在一场论坛上公开表示,自己比较喜欢川普。原因是他“率真”,好过“老牌”、“充满着腐朽气味”的民主党员。

    中共国防大学教授、军方少将乔良说,民主党如果在弹劾过程中拿不出更硬的招数,川普明年很可能连任。他还说,“我们宁愿他当选。”并建议中共当局应在贸易谈判上给川普“一些甜头”,助他连任。

    香港《经济日报》分析说,如果说习近平“喜欢”川普,是不合逻辑的。毕竟,美中贸易战是川普发起的,可以说,川普是30年来让中共吃到最大苦头的美国总统。

    文章认为,习近平称更愿意与川普打交道,是因为川普“连任可能性很高,将无奈地要继续与他角力”;而亲中共的民主党“不争气”,胜选机会不高。

    这与一年多前美国中期选举前,中共挑唆美国农民反对川普,企图让川普无法连任形成鲜明对比。

    2018年9月23日,《中国日报》购买了爱荷华州的最大报纸《得梅因纪事报》(Des Moines Register)四页广告,抨击川普总统打贸易战,让该州农民损失惨重。而爱荷华州是美国农业大州,也是共和党重要的票仓。

    广告中还援引美国大豆协会会长戴维·斯蒂芬斯(Davie Stephens)的话说:中国是美国大豆最大进口国,中国市场很有活力且很重要,我们丢不得。

    法广当时报导称,美国中期选举将于2018年11月6日举行,曾在总统大选中支持川普的几个美国农业州,仍然是川普和共和党赢得中期选举的关键州。

    文章指出,中共官媒的广告具有挑唆意味,试图令川普在农业州遭农民反对而败选,从而迫使川普停止美中贸易战。

    经济学者何清涟也有类似的观点。她2019年8月在《大纪元时报》上刊文指,中国明明需要美国的优质农产品,却宁可舍弃美国而从他国寻找替代货源。这种根本不计利害的战斗方式,已经不是美中两国之间的持久战,而是中共当局对川普的超限战,“不管付出什么代价,只要让川普无法赢得连任,为达此目标不惜代价

    回复删除
    回复
    1. 大纪元的就别发了,都是娱乐新闻

      删除
  16. http://www.chinaaffairs.org/gb/ArticleImages/2020/1/2(23)-ss.jpg

    回复删除
  17. 人脸识别真的就是维持治安保护人身安全最好的办法吗?每年天价的维稳费就为了掏钱请他们监视我和其他屁民?民众交税是为了让政府给民众服务的,不是为了让政府像防贼一样防范民众的。如果我为了自己的安全交税请他们监视我,那我也真是够贱的。每次在地铁站之类的地方看到比工作人员还要多上几倍的摄像头就不寒而栗地往:“老大哥正看着你”这个方向想,让人感觉社会的控制力度实在让人喘不过气来。更何况,收集面部这种无法更改的生物特征的信息,总得需要我同意吧?裆中央成天吹嘘自己高度自信代表人民(赵家)最广大的利益,怎么会需要搞诸如网络实名制或者大规模监控民众这种破坏隐私的事情?伟光正在政治改革上就天天摸着石头在河里爬来爬去做圆周运动,一有可以增加监控力度的技术和制度就开启了中国高铁一样快速。就如梁启超所说的一般:“我国万事不进步,唯独防民之术突过于先进国。”天朝真是一个奇葩国度,等以后天亮了一定要去把街上那些人脸识别的摄像头跟柏林墙一样全拆了

    回复删除
  18. 回复
    1. 1.不得不说,反脆弱这本书确实对俺的生活启发很大,经常使我产生新的思考。比如:反脆弱的价值如何衡量?

      《反脆弱》的副标题为Things that gain from disorder. 这里的thing就是反脆弱了,那么反脆弱是否比失去的东西更加有价值呢?或者没法用现有的价值观念去评估它?

      举个栗子,如何我投资损失了100万,当然我是伤心欲绝的,但是如果我挺了过来,那么我就获得了[b]能承受100万损失的大心脏[/b],拥有了大多数人没有的坚韧,能更好地应对打击。

      那么问题来了,这种获得的反脆弱是否比失去的100万更有价值呢?也许100万能更好地提高生活质量,反脆弱有又什么用呢?

      删除
    2. 2.关于人生不同时期的价值取向。

      人生不同阶段每个人所追求的价值是不同的

      幼儿时期 我们追求的是生理上的满足, 吃喝拉撒.
      青少年时期 更多的是同伴的认同,集体融入感.
      青年时期 走入了工作, 我们对金钱的需求逐渐强烈.
      中年时期 家庭的幸福,事业的成功.
      老年时期 身体, 家庭是主要精神依托.

      在青年时候, 金钱的诱惑对于年轻人十分之大, 以致于可以抛弃信仰和家庭. 在急功近利的情况下, 有时候会让人看不清更远的路,老了才发现很多金钱无法衡量的东西都失去了.

      那么我想问的是: 钱当然重要, 年轻人没钱根本抬不起的头. 但是如何在金钱与更大的价值之前寻找平衡点, 不被金钱蒙蔽, 真的做到[b]不忘初心[/b]呢?

      删除
    3. 建议你占楼之后立即开始提问,我都想抢 1 单元了 :)
      上次在你的楼层转发垃圾评论的家伙现在到我的楼层捣乱了 :(

      删除
    4. 3.人类希望自己能够了解这个世界, 但目前科学所做的显然还不足以使我们完整认知它, 因为它太复杂了.引用冯诺依曼的一句话:

      [quote] If people do not believe that mathematics is simple, it is only because they do not realize how complicated life is.[/quote]

      特别是当我了解了混沌理论后,俺对已有的是非判断体系已经产生了动摇. 比如俺小时候干过很多当时的人, 甚至包括现在的我, 都觉得不可救药, 极度顽皮的事. 俺的每个老师基本都说我 [b]相当调皮[/b]:(

      但是现在我回头想想这些事对现在的我的思想基础也产生了极大的影响(俺的心理年龄比同龄人还是大不少), 甚至帮助了我的学习和身体健康!

      但但是,难道我当年干的就是好事了吗? 不. 我想每个个体都是极其独特的, 我的"顽皮"不代表顽皮对于大多数人就是有效的, 俺曾经可是不折不扣的网瘾少年xD.

      所以我现在对于世界有相当一种"无力"感, 很多事俺也就顺其自然了, 我实在是不敢判断"是非"了.

      如果用混沌理论解释一下,大概就是每个人的[/b]初始条件[/b]都不同, 相同的事也能产生相当大不同的影响.

      不知道随想是否能帮我理一理这种 无力感 ?

      删除
    5. TO V2EX
      时间有限, 抱歉:)

      俺提的都是一些人畜无害的问题, 五毛还真是无孔不入啊!

      删除
    6. 4.关于金钱观

      引用一下"金钱乃万恶之源"的原文
      [quote]For the love of money is the root of all evil: which while some coveted after, they have erred from the faith, and pierced themselves through with many sorrows.[/quote]

      金钱本质上是资源. 人不可避免的会喜欢钱. 当然,这有时候也是危险的.

      随想的金钱观能否分享一下?

      删除
    7. 5.关于反共

      事实上随想这几个月越来越少写反共的文章了, 俺相当喜欢这个趋势.

      各地抗议(广东茂名, 武汉)的人不一定看过你的文章, 但是涉及自身利益, 大家都懂的:)

      TG现在就是烂泥, 之前我估计2050年是大限, 现在看来我有点乐观了:)
      咋们别和这烂泥过不去, 而且真正的困难也绝不止TG, 而是中华民族从来没有过思想解放, 俺们还是活在三纲五常之下, 无法自拔.

      随想应该帮助中国人提高心理素质(这也是你在做的), 为人类做贡献:)

      删除
    8. 6.关于马斯洛需求层次理论

      俺觉得中国大陆人的安全需求还没有得到保障, 食品安全, 空气质量, 社会主义铁拳...

      随想是怎么做到可以追求最高层: 自我实现追求滴?

      删除
    9. 7.问一下随想更喜欢哪种读书习惯?

      1.同时读两三本书
      2.一次只读一本书

      俺更喜欢两种方式结合一下, 一次只读一本大部头的书. 如果看到特别喜欢的短小精悍的书, 则会在网上看看摘要,总结. 不影响主要的读书节奏.

      删除
    10. 8.关于微软软件

      随想不喜欢apple的封闭系统, 估计也不喜欢微软系臃肿的软件, 比如windows office VS. 动辄几十个G!

      最近的office2016和2019 没有一点定制化的空间了, 好恶心啊!

      删除
    11. 9.最后推荐 战后欧洲史 (postwar) 这本书.

      俺不敢看这种历史书的中译本, 即使是甲骨文系列最高分的 野蛮大陆 (savage continent) ,也不符合中文的行文顺序. 推荐大家看原版.

      此书对于欧洲战后生活描述的非常详尽, 章节划分合理, 唯一缺点就是每一章没有分subchapter, 导致日后检索不方便.

      欧洲从1500年后就影响了全球秩序的形成, 俺们中国人也基本上西化了( 服装, 建筑...) 1945年后也不例外(美国影响更大:互联网), 目前很多问题: 难民, 福利, 经济政策 大都不是现在才有的, 只是经过时间的累积后显现出来的. 看此书对当代很多欧洲政策都能有更深入的思考.

      删除
    12. TO 丸子(7 单元)
      我觉得这不是好事 :(
      正是因为博主少写“反共”文章,国安认为他的威胁很低,煽颠程度还不如著名推友“变态辣椒”。
      上次我就建议博主多号召读者“搞事情”,给党国添乱,之前也有读者建议博主多写群众抗议活动的文章。

      删除
    13. TO 丸子(10 单元)
      微软在【隐私保护】方面还不如苹果做得好,跟苹果比封闭是“五十步笑百步”。
      Windows 的漏洞多得跟筛子一样,我宁愿用 macOS 也不用 Windows。

      删除
    14. TO 丸子(1 单元)
      提醒一下,你这里第一人称夹杂了“我”和“俺” :)
      前一篇文章评论区你有一次回复我,也出现了类似情况。

      TO ALL
      我不用【俺】这个称呼是因为——用“俺”虽然接近博主的文字风格,但是会显得过于特别,而“我”这个称呼虽然更大众化,但是更容易隐藏自己。
      而且博主最早写文章时也用“我”(不信可以看看 09 年最早的那些文章)。还有一个原因是因为我不是北方人。

      删除
    15. TO 丸子(2 单元)
      这里有同样的问题,建议你发之前先用脚本之类的统一替换一下。
      另外,你这个粗体字标出的几个字,在小学博士的号召下,已经变得恶 (man) 臭 (lian) 不 (pen) 堪 (fen),最好换成其他词语。

      删除
    16. TO V2EX
      我觉得两者混搭还挺好哒:) 不必可以模仿博主的风格,而且我肯定不是朝廷要犯,隐匿性不必像博主一样小心。

      不忘初心我也是故意说出来恶心五毛滴:) 就是应该加上双引号XD

      删除
    17. TO 丸子
      建议还是统一用其中一个人称,强迫症看着不爽 :(

      在评论区留言非常安全,即使透露个人信息被网警看到,他们也不会查水表。评论区有个别人喝过茶,原因应该不是在这里留过言。

      删除
    18. 很多人不敢在评论区留言,他们担心有喝茶的风险,最早我也这样认为,后来才放心下来,因为完全可以匿名留言。
      只要不透露个人信息,这里比“品葱”要安全很多,那里人气比较高,SEO 做得好,影响力虽然比不上本博客,但至少超过评论区。而且那里各种主张的人都有,鱼龙混杂,危险性更高。

      删除
    19. TO V2EX
      原来你有强迫症|:)

      对于大多数网民,只要不在墙内发内容就能规避很多喝茶,因为查一个墙外的价值不大的人对于警察来说不值得。更不要说用匿名了,网警没那么多功夫,微信上寻衅滋事的还抓不过来呢。

      删除
  19. TO 博主

    辛苦博主收集第四季度的安全新闻 :)

    俺注意到很久没有分享电子书博文了,博主的书库也没有专门的“科普”大类。所以先分享几本书。都是通过【Libgen】。

    [url=https://libgen.is/book/index.php?md5=8A79AF353F6B4975E95CB8B72612DC15]Why Beliefs Matter: Reflections on the Nature of Science[/url]

    [url=https://libgen.is/book/index.php?md5=AC81A05D9EBBC178D19F2F40A682EA06]Things to Make and Do in the Fourth Dimension: A Mathematician's Journey Through Narcissistic Numbers, Optimal Dating Algorithms, at Least Two Kinds of Infinity, and More[/url]

    [url=https://libgen.is/book/index.php?md5=59F223482492F1644B1023FCCD4968F1]The Pea and the Sun: A Mathematical Paradox[/url]

    回复删除
    回复
    1. TO 博主

      另外,建议博主收藏的新闻网站加几个:

      立场新闻:https://www.thestandnews.com/
      澳广中文网: https://www.abc.net.au/news/chinese/

      收藏的网站链接很多都是http,博主要改成https吗?

      删除
    2. 我在上一期电子书分享的评论区也推荐了几本【自然科学】类的书籍。
      https://program-think.blogspot.com/2019/09/share-books.html?comment=1570169479376

      删除
  20. 发现编程随想有时候看事情也看不全,最近在翻旧博文的时候,发现编程随想一直吹巴菲特,其似乎对巴菲特很崇拜,我就觉得他没什么了不起的,巴菲特之所以股市牛逼是因为美国这个外部大环境,如果要往本质上说巴菲特其实和炒股没多大关系,他崇尚和提倡价值投资,而不是炒股,这在中国根本不可能的,而且巴菲特如果在中国炒股早就被以操纵市场的罪名抓起来了。

    回复删除
    回复
    1. 我同意你的部分观点,随想的观点也是部分同意。
      先讲一个众所周知的故事:随机挑一万个人,让他们预测足球比赛的结果,假设每次比赛都是一半预测一方,另一半预测另一方。对了的就进入下一轮,重复以上过程10次,最后剩下的人就是十发十中的预测大师。
      懂的人应该知道我想表达什么意思了:巴菲特并不是(或至少80%不是)因为他的价值投资理论而取得现在的成果,而更大程度上是概率的表现。当然巴菲特自身的教育背景保证了他拥有能够深入解读公司财务报表、经营状况等信息的能力,这的确是他的优势,但这个优势并没有那么大的作用。
      投资讲究的是“投资组合”(洋文叫portfolio),通过多样化的投资组合来对冲非系统性风险。但哪怕如此也无法消除市场的系统性风险。更进一步的,在充分对冲非系统性风险的情况下,很多时候投资是一个收益率和风险的权衡取舍,收益越高,需要承担的风险越大。另外,资金规模、人脉等都会影响可选择的投资组合,使得现实中其实非系统性风险并无法完全对冲。
      你说的“炒股”,我的理解是通过短期交易套利(比如高频交易),这又是另一个话题了。但是,不论是短期投机者还是长期的基金经理,这两者是并存、且广泛存在的。我不倾向于支持任何一方,因为这两种形式都是客观持久存在的。

      删除
  21. https://github.com/boycott-fuck-xuexiqiangguo/Boycott-Fuck-XueXiQiangGuo
    博主看下这个,看完可以笑一整天

    回复删除
  22. https://github.com/fuck-xuexiqiangguo/Fuck-XueXiQiangGuo/issues/445
    又少了个大佬,太可惜了

    回复删除
    回复
    1. 现在在 GitHub 反党的风险越来越大了,看 11 楼提到的这个 Xposed 插件,作者连账号带项目一起 404 了。
      国内很多 GitHub 用户都没有做好匿名(比如使用国内邮箱注册,提供真实的城市,公司等信息),因此我才在 1 楼 10 单元建议博主开发翻墙软件。

      删除
  23. 关于tor有几个问题请教

    回复删除
    回复
    1. 1.你在https://program-think.blogspot.com/2018/04/gfw-tor-browser-7.5-meek.html 提到优化掉tor浏览器的bat命令。这段命令这么久了是否过时失效了呢

      .\TorBrowser\Tor\tor.exe --defaults-torrc .\TorBrowser\Data\Tor\torrc-defaults -f .\TorBrowser\Data\Tor\torrc DataDirectory .\TorBrowser\Data\Tor GeoIPFile .\TorBrowser\Data\Tor\geoip GeoIPv6File .\TorBrowser\Data\Tor\geoip6

      删除
    2. 2.如果不使用tor浏览器,只使用没浏览器的裸tor或你说的bat命令,还有什么别的方法用普通firefox看自己的tor线路走的是哪3个节点?

      博主推荐过 https://check.torproject.org 裸tor使用检测下来显示是绿色的,但我还是有点担心,万一我裸tor的设置错误,tor只走了一个出口节点,怎么办?不知道有没有这种可能性。

      检测的链接只有一个ip,就怕只走了一个节点

      删除
    3. 3.tor 9.0版本以后的选项里常规拉到最下面,高级下面有一个【该计算机的防火墙仅允许特定端口的互联网连接】。勾选后,下面是【允许的端口】一栏,80,443.

      这个选项什么意思,浏览器跟防火墙的80,443端口有什么关系?也不知道是连接出去还是连接进入?

      测试后勾不勾都不影响使用。既不影响隔离机的tor对外连接到网关机,也不影响网关机的tor被别的软件使用9150端口。
      此选项要不要勾选?

      删除
    4. 4.我用裸tor,是为了省虚拟机的内存,但是如果每个64位的guest os只设置2G内存,再运行浏览器和翻墙软件会不会导致某些安全性的服务功能被关闭?
      另外用32位系统,也可以省内存,但32位系统似乎已经要被微软抛弃了,是不是也会有安全上的危险,还是用64位系统比较好?

      删除
    5. 5.由于翻墙软件等因素,必须用到windows软件,而关于win10,版本很多。根据博主之前推荐firefox esr的原则,使用win10 LTSC 2019版本是不是最佳选择?
      LTSC版本功能更新少,主要是安全更新。再把一些隐私选项关了就行了

      删除
    6. 6.你的博客经常出现这个【(此评论太长,已截断,展开评论全文)】,有什么办法一口气全部展开?
      不然不便浏览,并且ctrl+f的搜索功能有些文字都搜不到,而你的右边的站内搜索功能也很差,搜索起来很慢。并且如果一篇文章内的文字搜索都要用这个选日期来搜索就太麻烦了。

      删除
    7. 除tor外,又想起了几个问题,但也都是IT方面的,都是博主懂的,且问别人都不太容易找到答案的

      删除
    8. TO wttor(4 单元 & 5 单元)
      Windows 本来就很占内存,又没有【软件包管理器】(需要第三方),漏洞也很多,因此【不】建议用 Windows。
      什么破翻墙软件只支持 Windows?这样的翻墙软件还是别用了,不支持其他平台的翻墙软件都是辣鸡。开源的这几个翻墙软件全部都跨平台。

      删除
    9. TO wttor(7 单元)
      有问题直接提出来,我就提了十几个问题,我也认为这些问题只有问博主才能在短时间内得到博主的【专业】解答。

      删除
    10. TO wttor (24单元)
      可以试试 arm,上一篇我问过类似问题。
      这个软件 debian 仓库就有。顺便吐槽,我常用的发行版身为主流发行版之一,竟然连裸 Tor 和 VeraCrypt 都没有,气煞我也。

      删除
    11. TO Stinks
      这楼哪来的 24 单元?
      你用的是 Debian 吧?官方仓库有 Tor,没有 VeraCrypt,需要去官网下载 deb 安装包。
      另外,Debian 官方仓库没有某些 nonfree 的开源软件,比如 VirtualBox。

      删除
    12. TO Stinker
      这个辣鸡输入法,害得我又双叒叕打错了 :(

      删除
    13. TO V2EX (11单元)
      抱歉哪我也不知道咋打的24 :(
      我最喜欢 openSUSE,要说 openSUSE 名气挺大的呀,咋连 Tor 都没有。去年他们要改名还给否决了。

      删除
    14. TO Stinker
      刚刚看了下,openSUSE 官方仓库有 Tor 和 VirtualBox,VeraCrypt 需要去官网下载安装包。官方仓库里面有的发行版好像只有 Arch Linux(我没用过 Gentoo,不知道有没有)。另外 FreeBSD 官方仓库也有 VC。

      删除
    15. TO 8单元
      翻墙软件只是其一,很多别的软件都需要windows,目前我还做不到完全使用linux。而且很多翻墙软件虽然支持linux,但在linux上连接成功率更低,支持协议也更少。博主推荐的vpngate,psiphon也不支持linux

      TO 10单元
      你回复的是我的2单元吗?但是arm不支持windows。由于某些需要,某些时候tor要和其他windows软件放在一个系统里运行

      删除
    16. TO V2EX
      实在抱歉,原来我一直搞错了,当初我在安装 Tor 的时候,一并把那个 torbrowser 一大套装上了。我这个傻子还以为 openSUSE 只给了个 TBB 的下载器……对自己的智商感到无语……
      现在赶紧去配置一下。

      删除
    17. TO wttor (15单元)
      赛风是开源的哦,你去官网看看,有源代码。
      但 VPN Gate 我也不会用,而且我还需要 Windows 运行轮子的翻墙软件。

      删除
  24. 这次我提问量很少。

    回复删除
    回复
    1. 1.先说说政治上“左/右”的问题。
      博主上次建议说,不能用“左右”笼统表述,那么我下面这种表述方式是否妥当?

      紫红色:共产主义
      鲜红色:民主社会主义、社会民主主义
      黄色:自由主义,各种少数人团体(比如 LGBTQ+)
      绿色:环保、动物保护等
      蓝色:各种保守

      这样描述能否做到“多元”评判?比如英国绿党既“绿”又“红”
      但是,我觉得社会主义也是支持比如 LGBTQ+ 社区的权益的。因此,我这种表述还是有所欠缺。

      求高人指点我这个翻墙好久才来看博主博客的懵懂少年。

      删除
    2. 2.今天我终于体会到了被挡在高墙之外的绝望与悲愤。平时常用的公共 SSR 全部超时,一直很稳的 meek 废了,轮子的两个坏掉了,赛风连不上,VPN Gate 几乎都卡在验证证书这一步(难道GFW瞄准了 VPN 服务器的证书来批量封杀?),前不久推出的迷雾通秒断,网上抓的公共代理比 I2P 正常时还慢,唉,最后的 I2P 也不行了,所有隧道都是 ready 状态,但只能上暗网。
      万般悲痛之下,我试了试旧版本赛风,竟然连上了!速度还很快。这是啥情况?按道理说新版不总要比旧版好吗?
      客户端版本是150,直接下载自官网的 Windows 版。

      删除
    3. 3.印度抗议新公民法的行动没有人关注吗?简直比反送中还激烈。各位对此有何看法?
      而且,让我愤怒的是,同样是针对穆斯林少数群体,共匪对东突厥斯坦的镇压遭美国制裁,而对印度“民主”政府的残暴之举美国官方至今没吭声。

      删除
    4. 4.接下来说说反洗脑。
      我身边有个同学数学能力很强,但就是对赤匪那一套“哲学”理论深信不疑,怎么破?各种中共黑料都听不进去、坚信“党和政府”是民主的那种。
      还有一种情况是,有些同学宁可 gossiping,看毫无营养的小说,都不想看新闻,找各种理由——没时间、英语不好、学校不让带手机(但有几个晚上开放的机房啊)……唉,这可是省重点高中的重点班哪,怎么都这个样子哩?而且,不说政治内容,就是练练英语阅读也行啊。(反正我这次期末就碰到了 NYT 的原文,看来体制内也有不少醒着的人) :)

      上面的都是失败案例,我说个半成功的。我首先给某位同学讲清各种逻辑错误(就用的博主的“鸡蛋论”),然后给TA看党媒的各种自相矛盾之处,和外媒客观、冷静的新闻报道。但是,我给TA灌了各种共匪的罪恶行径后,人家竟然有点抑郁了。感觉我做了错事 :( ……我是不是灌得太猛了?

      删除
    5. 5.I2P 怎么添加前置代理?我想到的一种方法就是设置系统代理。
      6.我发现 NYT 官网解封了(我启用了 DNS over HTTPS),好开心哪。博主觉得看这种高度敏感内容有无被捕风险?
      但是同样常年抹黑党国的 BBC 自从2019.11后就一直被封 :(。让我不解的是,《卫报》有时也曝光中共无耻行径,却至今从未撞墙,为什么呢?
      还有,GFW 好像只对中文和英文的反共媒体下手,对法语、德语等的新闻网站不管不顾。

      删除
    6. TO Stinker(2 单元)
      【不建议】用 SSR,早就不更新了,即使 SS 也已经能被 GFW 识别了(见 14 楼)。
      我分享了用梯子的经验,见 7 楼 4 单元。

      删除
    7. TO Stinker(5 单元)
      5. 个人建议用 Tor,I2P 虽然很稳,但是实在太慢了。如果你的网络带宽,前置代理的速度和 Tor 出口节点的速度都很快,那么 Tor 不会慢。我这里下载文件都有 300kb/s 的速度。
      6. 用 DNSCrypt/DoH 才能直连的网站,仍然算被墙。好像 GFW 对某些无害网站加强了封锁,之前我这里配置了 DoH 能打开 Pixiv,现在直接 RESET。

      删除
    8. 忘记了一个问题
      7.怎么让 BT 客户端走 Tor?有些高敏感纪录片只能通过有个 BT 社区获取。
      话说我很好奇,为啥 Tor 禁止 torrenting, 却能用来进行 BT sync 传输?不都是 P2P 吗?

      删除
    9. TO Stinker(1 单元)
      这个颜色划分,可以参考[url=https://www.politiscales.net/zh_CN/]PolitiScale 在线政治测试[/url]。如果英文很好,也可以切换到英文版。

      删除
    10. TO V2EX (9单元)
      刚去测试了一下,结果称我既支持资本主义,又支持 regulationnism,难不成我真是个“社会主义者”?我一直觉得我更倾向于 Liberalism 的观念。

      [url=https://sm.ms/image/UX2cNE1pxdKqLYh][img]https://i.loli.net/2020/01/10/UX2cNE1pxdKqLYh.png[/img][/url]

      这个网站很不错啊,测量标尺全面,看来我自己的判断标准还是太过单一了。

      删除
    11. TO Stinker(4单元)
      这位数学能力很强的同学,应该是不具备心理素质和政治素质,这两个素质你可以在博主的"谈革命"系列中看看
      那位抑郁的同学,知道真相后会有三种选择,参考博主的博文:[url=https://program-think.blogspot.com/2014/02/brainwash-and-idiot.html]聊聊洗脑和脑残——分析“脑残的起源”和“脑残的觉醒”[/url]
      [quote]★脑残的觉醒

        所谓的“觉醒”,指的是某人意识到“被灌输的思想体系有问题,并抛弃思想体系的【某些部分】”。为啥俺使用“觉醒”一词?这个过程就好比你做梦做到一半醒来,然后就意识到刚才的梦境全都是虚幻的。觉醒之后的人通常会有一定的免疫力——不再【全盘相信】党国的各种忽悠了。
        很多人把“觉醒”等同于“摆脱洗脑”,这是非常错误滴!“觉醒”只是抛弃灌输的思想体系,而“摆脱洗脑”是在觉醒的基础上,重建自己【正常的】思想体系。所以,“觉醒”只是摆脱洗脑的第一步而已。
        一个人在觉醒之后,会选择不同的道路。俺来逐一介绍。

      ◇觉醒,重建思想体系

        有些人在觉醒的过程中,同时也想办法培养自己的思维能力,然后利用自己的思维能力重建自己的思想体系——这才算是摆脱洗脑。在整个社会中,这类人的比例是很低的。
        举例:
        比如知名作家王小波(别跟“刘晓波”搞混了),也曾经被洗脑,也曾经是狂热的红卫兵。他后来不但觉醒了,而且重建了自己的思想体系,并写出了批判文革的作品,影响了很多人。

      ◇觉醒,陷入迷茫

        还有些人虽然觉醒了,但无法培养自己的思维能力(尤其是批判性思维能力),也就难以重构自己的思想体系。
        对这些人而言,原有的思想体系崩溃,而新的又无法建立。于是这些人可能会沦为:拜金主义者 或 犬儒主义者 或 斯德哥尔摩综合症患者 或 ......
        (关于“斯德哥尔摩综合症”,俺之前写过一篇《天朝民众的心理分析:斯德哥尔摩综合症》;今后俺会抽空再写一篇谈谈“犬儒主义者”)

      ◇觉醒,继续装睡

        “装睡”是一个很形象的词儿。所谓的“装睡”是指某人其实已经意识到党国灌输的思想体系是扯蛋,但自己依然装作很相信的样子。
        为啥会有人“装睡”捏?因为对某些人而言,“装睡”可以获得更大的个人利益。比如网上知名的毛粉骨干孔庆东和司马南。这俩家伙其实很精明的,早就觉醒了(孔庆东还曾经是“六四运动”的学生领袖,请看“这篇博文”的照片)。他们不断地在网上吹捧毛泽东,吹捧马列主义,只是演戏而已。这种表演可以帮他们积累更多人气,捞取更多政治资本。
        判断一个人是“装睡”还是“真睡”,不要看他在【公开】场合【说】什么,要看他在【私下】场合【做】什么。比如司马南把亲儿子送到美国去留学(他儿子在美国学校的照片遭人肉搜索曝光)。他如果是真睡,应该把他儿子送到北朝鲜留学才对嘛。[/quote]
      你那同学会选哪种,就看他的造化了,我之前给一个同学看过抗战时党国教科书上的篡改,结果这人把我告了:(

      删除
    12. 语病,不是"抗战时党国教科书的篡改",是党国教科书在抗战部分的篡改:(

      删除
  25. 大佬,请问下哦,文科生好不容易翻墙出来看个油管视频,看下异见新闻,需不需要搞这么复杂的安全措施啊?

    回复删除
    回复
    1. 不需要,只浏览不传播没关系,最多警告你而已

      删除
  26. 能填一下996的坑吗?很期待

    回复删除