961 评论

近期安全动态和点评(2020年1季度)

  最近两周,没在评论区出没,某些读者以为俺静默了。其实俺这段时间还是很活跃滴——陆续更新了一批电子书到网盘。那些细心的读者,观察俺 Github 页面的更新历史,会意识到这点。


★隐私保护


◇全球疫情导致的隐私问题


疫情下各国强化监控,健康与隐私不可兼得? @ 纽约时报
为了对抗现在的大流行病加强监视,可能会为今后进行更具侵入性的窃听打开永久性的大门。公民自由专家说,这是美国人在2001年9月11日恐怖袭击之后学到的教训。
9·11事件发生将近二十年后,执法机构如今掌握着更强大的监视系统,例如细致精确的位置跟踪和面部识别——这些技术可能会被重新用于反移民政策等进一步的政治议程。公民自由专家警告说,公众几乎没有办法挑战这些由国家实施的数字行动。
曼哈顿的非营利组织监控技术监督项目(Surveillance Technology Oversight Project)总干事阿尔伯特·福克斯·卡恩(Albert Fox Cahn)说:“我们很容易陷入这样的情况,即我们授权地方、州或联邦政府采取措施应对流行病,而这一举措从根本上改变了美国公民权利的范围。”
......

大流行病的迅速传播促使各国政府以自身利益为名,制定了一系列数字监视措施,而对其合理性或有效性缺乏各国协同的评估。
在中国的数百个城市,政府要求市民在手机上使用一种软件,可以自动用颜色代码——红、黄、绿——给每个人分类,以显示感染风险。这个软件决定哪些人应该被隔离,或是可以进入地铁等公共场所。但官员们并没有解释系统如何做出这样的决定,市民们也觉得无力挑战它。

新冠疫情在全球催生独裁和滥权? @ 纽约时报
在美国,司法部要求国会赋予其更多权力,包括取消对寻求庇护者的法律保护,以及在未经审判的情况下无限期拘禁人民。在共和党和民主党的阻挠下,司法部做出了让步,提交了一份较缓和的提案。
人权组织称,在公民被分心的情况下,政府可能会继续吸收更多权力。他们担忧人们可能意识不到他们让出的权利,等到想收回时已经来不及。
一些紧急法案通过得如此之快,以至于议员和人权组织都没时间阅读,更不用说讨论它们的必要性了。人权活动者也质疑了各国起草冗长立法的速度。
联合国特别报告员奥蕾茵表示,某些政府已为紧急或危机情况“准备好了”一整套所需的权力。他们提前起草了法律,就等“危机出现的机会”,她说。
目前还不清楚危机过后,这些紧急状态法案将何去何从。以往仓促颁布的法律,如9·11袭击后的《爱国者法案》(Patriot Act),在它本来要应对的危机结束后仍然存在着。
随着时间推移,紧急法令会渗透到法律结构中,并成为常态,位于华盛顿的非营利法律国际中心(International Center for Not-for-Profit Law)总裁道格拉斯·鲁岑(Douglas Rutzen)表示,该机构正在追踪大流行期间的新立法和政令。
“塑造紧急权力真的很容易,”鲁岑说。“拆解它们就很难了。”
  编程随想注:
  再次提醒大伙儿:
  不论是在成熟的民主国家,还是在高度专制的国家,都要防范政府滥用公权力。
  对任何国家的官僚系统(从高层的政客到基层的公务员),都要保持警惕——因为他们手中握有【公权力】。
  借用启蒙思想家【孟德斯鸠】的名言:一切拥有权力的人,都有滥用权力为自己谋求私利的倾向。
  除了“滥用权力的倾向”,很多政客在滥用权力时,还会为自己找一个非常冠冕堂皇的理由。
  当年中共夺权后,毛腊肉说:“为人民服务”
  911事件之后,小布什说:“为了反恐”
  如今,各国领导人说:“为了防控疫情”
  ......

◇Chrome 的隐私风险


Google To Phase Out User-Agent Strings in Chrome @ Slashdot

  编程随想注:
  简而言之,Chrome 从 v81 版本开始减低对“User Agent”的支持;到 v85 版本完全不支持 UA 字符串。
  (注:关于“User Agent”的讨论,可以参见《如何保护隐私》系列教程的其中一篇)
  从表面上看,取消“User Agent”有助于降低“浏览器指纹”的信息量。因此,Chrome 的这个举动是值得表扬滴。
  有些同学会感到奇怪:Google 作为一个【在线广告巨头】,为啥会这么好心捏?因为 Google 有了【更好的】追踪手段。请看——

Google 能通过 Chrome 安装 ID 跟踪用户 @ Solidot
Google 想要封杀第三方 cookie,想要替换 User-Agent 字符串...Google 会提供很多理由。但最主要的理由它未必会说出来:它有更多的方法跟踪用户。当竞争对手的可用跟踪方法少了之后,它的竞争优势会更大,而 Google 的 Android 和 Chrome 都有无数用户在使用。
在 W3C Technical Architecture Group 上,Google 工程师提出了 User-Agent 的替代。在讨论中,有用户指出 Google 能通过 Chrome 安装 ID 跟踪用户。Chrome 在首次安装运行时会生成 Chrome-Variations 消息头,使用随机选择的种子数生成,如果浏览器禁用了使用统计和崩溃统计,种子数会在0~7999之间选择。Google 称这个消息头不包含任何身份信息,但它可以组合收集的其它信息创造一个独特 Chrome ID,即使用户使用隐身模式,这个 ID 也不会发生变化。
  编程随想注:
  关于 Chrome 的问题,俺已经聊过很多次了。比如这篇《弃用 Chrome 改用 Firefox 的几点理由
  对于重度的 Google 用户,再次唠叨一下:
  你越是 Google 的重度用户,你就越【不应该】使用 Chrome 作为你的日常浏览器。对于 Google 的重度用户,Google 已经能通过网站服务,收集到你的很多个人信息。而 Chrome 作为【本机软件】,又可以从【操作系统】层面进一步收集信息。
  这两者结合起来,Google 对你的了解就太多了。

◇Brave 浏览器对隐私的保护——浏览器指纹【随机化】


確保用戶隱私,Brave 提供隨機瀏覽器指紋技術 @ iThome

  编程随想注:
  由于隐私意识的提升,对 cookie(尤其是“第三方 cookie”)的限制越来越严格。因此,商业网站和广告商越来越多地依赖【浏览器指纹】来追踪用户。
  为了对抗“浏览器指纹”,Firefox(以及 Tor Browser)已经做了很多努力——尽量降低浏览器指纹的【信息量】。
(注:关于“浏览器指纹的信息量”,在《如何保护隐私》系列教程的其中一篇有专门介绍)
  而另一款专注于隐私保护的“Brave 浏览器”计划在未来版本提供【浏览器指纹随机化】。这是一个完全不同的思路——它不是为了降低“指纹的信息量”,而是每次都产生【随机的指纹】。该功能会在每一个浏览器会话(session)产生不同的“浏览器指纹”。因此,当你多次访问同一个网站,网站服务端收集到的“浏览器指纹”会完全不同。如此一来,网站端就搞不清楚:是不是同一个人 :)
  俺估计,不久的将来,Tor Browser 也会有这方面的举措。
  关于“浏览器指纹”的小知识:
  网站之所以能通过“浏览器指纹”来追踪用户,关键在于“浏览器指纹”具有如下两个特点:
其一,独特性
其二,稳定性
  降低“浏览器指纹”的【信息量】是为了破坏其“独特性”;而随机化“浏览器指纹”是为了破坏其【稳定性】。
  关于“随机化”这招,当年俺写《如何保护隐私》系列的时候,提到过类似的思路——随机化伪装 User-Agent 字符串。

◇新浪微博5亿用户数据泄漏


Hacker Selling Data of 538 Million Weibo Users @ Slashdot

5.38亿微博用户信息泄露,暗网只售不到1万元 @ InfoQ

工信部就新浪微博 App 数据泄露问题开展问询约谈 @ 人民网


★高危漏洞


◇Windows 加密组件的高危漏洞


微软提前释出补丁修复加密组件高危漏洞 @ Solidot
微软本周二将释出例行安全更新,而 KrebsOnSecurity 援引知情人士的消息报道,微软将释出补丁修复一个影响所有版本 Windows 的加密组件高危漏洞。而在例行更新释出前,微软就悄悄向美国军方机构和管理互联网基础设施的高价值客户释出了补丁,为防止漏洞信息泄露,微软还要求这些机构签署了保密协议。消息源称,漏洞存在于加密组件 crypt32.dll 中,该模块用于处理 CryptoAPI 中的证书和加密消息函数。它存在高危漏洞将会影响到许多 Windows 重要功能,包括 Windows 桌面和服务器之间的验证,敏感数据保护,以及第三方应用和工具。
  编程随想注:
  该漏洞(CVE-2020-0601)位于“验证椭圆曲线加密(ECC)”的函数中。ECC 算法本身【没】缺陷,是 crypt32.dll 这个模块对 ECC 算法的实现没做好。漏洞由 NSA(美国国安局)发现,然后上报给微软。
  攻击者可以利用这个漏洞,伪造一个貌似合法的数字签名。比如说:把某个木马伪装成带有合法数字签名的安装包,或者利用这个漏洞对加密通讯进行“中间人攻击”,或者搞一个钓鱼网站 ......

◇Windows 字体模块的高危漏洞


微软警告黑客正在利用一个 Windows 0day 漏洞(Adobe Type Manager) @ Solidot
微软警告黑客正在利用一个 Windows 0day 漏洞去执行恶意代码。漏洞存在于 Adobe Type Manager Library 中,这个 DLL 文件被应用广泛用于管理和渲染 Adobe Systems 的字体。它由两个代码执行漏洞构成,可以通过不正确处理 Adobe Type 1 Postscript 格式的恶意主字型触发。攻击者诱骗目标打开恶意文档或在 Windows 预览面板浏览文件来利用该漏洞。在补丁释出前,微软建议用户禁用 Windows Explorer 的 Preview Pane 和 Details Pane,或禁用 WebClient 服务,重命名 ATMFD.DLL。采用这些权益方法可能会导致其它问题。
  编程随想注:
  这个漏洞的危险之处在于——它可以通过“Windows 资源管理器”的【预览】功能触发。
  假设攻击者通过某种方式(邮件、IM、网站下载 ......),给了你一个恶意的【数据文档】。当你在“资源管理器”中选中该文件,“资源管理器”就会在右侧的“预览窗格”显示该文件的内容。这时候,漏洞就已经触发了。
  换句话说,你仅仅只是【选中】该文件,还没有用任何软件打开它,攻击代码就已经激活了。
  提醒一下:
  很多网民有个【误解】——误以为只有“可执行文件”才可以发动攻击/入侵。实际上【数据文件】也可以。前提是,处理数据文件的软件本身有漏洞(尤其是“可执行漏洞”),然后攻击者就可以针对该漏洞,精心构造一个特殊的数据文件,从而人为触发这个漏洞。
  类似的案例,俺在《如何防止黑客入侵》系列教程的其中一篇介绍过(当时俺举了“浏览器渲染图片”的例子)

◇Windows SMB(Server Message Block)模块的高危漏洞


Microsoft Patches SMBv3 Wormable Bug That Leaked Earlier this Week @ ZDNet

微软释出紧急补丁修复 SMB 漏洞 @ Solidot
本周早些时候,微软披露了 Server Message Block(SMB)v3.1.1 协议中的一个漏洞 CVE-2020-0796,允许攻击者在目标服务器和终端用户计算机上远程执行代码。SMB 服务被用于在本地和互联网上共享文件、打印机和其它资源,漏洞影响 Windows 10 v1903 和 v1909,以及 Windows Server v1903 和 v1909。漏洞涉及到一个内核驱动的整数溢出和下溢,攻击者可利用特质恶意包去触发整数溢出或下溢。微软现在释出了紧急补丁 KB4551762 修复该漏洞。
  编程随想注:
  很多 Windows 用户喜欢通过【共享目录】的方式跨主机传输文件,这个习惯不好。
  “共享目录”这个功能是由 Windows 的某个服务(service)提供滴。这个服务本身就以【管理员权限】运行,而且它在历史上已经曝光了很多高危漏洞。这次曝光的 SMB 漏洞只不过是其中之一。也就是说,未来很可能还会再爆别的漏洞。
  如果这个服务出现了【代码执行】的漏洞,攻击者攻击之后就能获得【管理员权限】(然后就可以干很多事情)。

◇Firefox 高危漏洞


Mozilla Foundation Security Advisory 2020-11 @ Mozilla

  编程随想注:
  Mozilla 在本月初(注:4月初)发布 Firefox 74.0.1 & Firefox ESR 68.6.1 版本,修复两个高危 0day 漏洞(编号:CVE-2020-6819CVE-2020-6820)。
  Mozilla 没有公布太多漏洞细节,但两个漏洞已经被用来发动针对性攻击。因此,那些使用 Firefox 的同学要尽快升级。

OpenBSD 建议 Firefox 用户切换到 ESR 版本 @ Solidot
Firefox 本周早些时候(注:1月初)紧急释出更新 Firefox 72.0.1 和 Firefox ESR 68.4.1,修复了一个正被利用 0day 漏洞。OpenBSD 开发者表示他们不会更新稳定版分支,建议其用户切换到 ESR 版本(扩展支持版)。
OpenBSD 开发者给出的理由,由于依赖问题(如 cbindgen 和 rust),给 Firefox 打补丁太复杂了,所以稳定版本不会得到更新,因此正被利用的漏洞仍然存在,但 ESR 版会得到更新,开发者建议用户切换到 ESR 版本。
  编程随想注:
  俺在如下博文中建议:注重安全性的 Firefox 用户,应该使用【ESR】版本。并分析了 ESR 的安全优势。
基于安全考虑,如何选择及切换 Firefox 版本?

◇sudo【又】爆出高危漏洞


Sudo 漏洞让非特权用户获得 root 权限 @ Solidot
UNIX 和 Linux 操作系统广泛使用的工具 Sudo 又发现了一个高危漏洞,这个漏洞在启用了 pwfeedback 的系统中很容易利用。漏洞编号 CVE-2019-18634,是一个堆栈缓冲溢出 bug,影响 v1.7.1 到 v1.8.25p1,能通过管理员权限触发,而在启用了 pwfeedback 的操作系统中,该漏洞让非特权用户很容易通过缓冲溢出获得 root 权限,不需要攻击者有 Sudo 使用权限。在 Sudo 上游版本中,pwfeedback 没有默认启用,但在下游发行版如 Linux Mint 和 Elementary OS 中,pwfeedback 被默认启用了。Ubuntu 不受影响。该漏洞是在2009年被引入到 Sudo 中的,直到2018年释出的 v1.8.26b1,受影响的系统应尽可能快的更新到 v1.8.31。
  编程随想注:
  3个月前(2020年1月)的那篇《近期安全动态和点评》,俺已经聊过 sudo 的另一个高危漏洞。
  在不到半年时间内,sudo 连续爆了两个非常致命的漏洞——对攻击者而言,这2个漏洞很容易利用,而且都能实现【提权】。
  这样的苗头挺危险,很可能预示着——sudo 这个软件包内部还有其它一些高危漏洞没被发现。
  有鉴于此,你或许要考虑:【不装或卸载】这个软件包。在需要切换用户权限时,改用 su 命令。当然啦,sudo 命令在很多场合比 su 命令更方便。因此,你需要作出一些取舍。

◇OpenWRT 的高危漏洞


OpenWRT 使用 HTTP 连接传输更新 @ Solidot
安全研究员报告,流行的路由器发行版 OpenWRT 容易受到远程代码执行攻击,原因是它的更新是通过未加密渠道传输的,其数字签名验证很容易绕过。OpenWRT 被广泛用于路由器和其它嵌入式系统,安全研究员 Guido Vranken 发现它的更新和安装文件是通过 HTTP 连接传输的,容易受到中间人攻击,攻击者可以用恶意更新文件去替换合法更新文件。除此之外,它的数字签名检查和验证也很容易绕过,验证函数 checksum_hex2bin 存在 bug,在输入字符串前加空格可绕过检查,该 bug 是在2017年2月引入的。组合这两个弱点攻击者可以向设备发送恶意更新并自动安装。OpenWRT 维护者已经释出了更新部分修复了问题。
  编程随想注:
  上述安全漏洞会影响到那些玩“路由器翻墙”的同学。
  OpenWRT 以【明文】的 HTTP 协议进行升级,这已经很冒险了;然后“验证机制”还存在缺陷 :(
  如果攻击者能监控你的网络传输,以上两点堪称完美组合。

◇Tomcat 的“Ghostcat 漏洞”


Ghostcat 漏洞影响过去13年发布的所有 Apache Tomcat 版本 @ Solidot
Ghostcat 漏洞影响过去13年发布的所有 Apache Tomcat 版本,该漏洞允许攻击者控制系统。Ghostcat 是中国安全公司长亭科技发现的,存在于 Tomcat AJP 协议中,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。此外在目标应用有文件上传功能的情况下,配合文件包含的利用还可以达到远程代码执行的危害。
  编程随想注:
  这个主要影响 Web 服务端。与普通用户没啥关系。


★网络与 Web


◇WebAssembly 的安全问题


  编程随想注:
  不晓得“WebAssembly”的同学可以先看维基百科的“这个页面”。
  这玩意儿已经在去年(2019)成为 W3C 的标准。也就是说,它成为继“HTML、CSS、JS”之后的第4种“标准化的 Web 语言”;也是继 JS 之后的第2种“标准化的 Web 编程语言”。
  有了它,程序员可以使用其它编程语言编写 Web【前端】应用,然后使用编译器把代码编译成 WebAssembly 并部署到网站上。
  它的【好处】至少包括:
1. 要想编写(标准化的)Web 客户端应用,可以使用各种语言(以前只能用 JS)
2. WebAssembly 类似于某种“字节码”,浏览器执行它的速度比执行 JS 要快很多
  有好处当然也有坏处:因为 WebAssembly 是面向机器,而不是面向人。要理解某个页面上的一坨 WebAssembly 代码是用来干啥,就很困难——“理解 WebAssembly 代码”比“理解混淆后的 JS 代码”还要难。
  因此,某些动机不良的人,就会使用 WebAssembly 来干一些动机不良的事情。具体参见如下这篇报道:

Half of the websites using WebAssembly use it for malicious purposes @ ZDNet
two categories of Wasm code stood out as inherently malicious.

The first category was WebAssembly code used for cryptocurrency-mining. These types of Wasm modules were often found on hacked sites, part of so-called cryptojacking (drive-by mining) attacks.

The second category referred to WebAssembly code packed inside obfuscated Wasm modules that intentionally hid their content. These modules, the research team said, were found part of malvertising campaigns.


★移动设备


◇Bruce Schneier 谈 5G 的安全性


  编程随想注:
  Bruce Schneier 是信息安全领域的大牛(搞密码学的应该都知道他)。他发了一篇博文《5G Security @ Schneier》,谈“5G 网络的安全问题”。开篇就点到了咱们天朝(中国公司会迫于政府压力,在网络设备中内置后门)。然后他又说:即使完全禁止中国公司参与 5G 网络,依然是【不够】滴。
  在文章的后续部分,他指出了 5G 网络可能会有如下三大问题:
问题1——5G 标准太复杂
首先,这会导致软件的实现也太复杂,软件代码一旦复杂,潜在的漏洞就更多,也更难发现/修复。
其次,这会导致软件对标准协议的实现不够完全(只是【部分实现】了协议),同样会导致安全问题。
问题2——向后兼容性
熟悉网络攻击的同学,应该听说过【降级攻击】。这类攻击经常出现在“TLS/SSL、Wi-Fi、移动通讯网络”之类的场景中。
由于 5G 网络必须大量兼容 4G 协议,攻击者可以采用某种技巧,诱导设备降级到 4G 协议,然后再利用 4G 协议的弱点。
问题3——5G 标准中,很多“安全选项”不是强制滴
这个要由“标准委员会”来背锅。由于标准中的一些安全选项属于【可选】选项(非强制性),设备制造商通常不去实现它们。
(对设备制造商而言)实现的选项越少,开发就越简单,开发成本也越低。另外,很多设备制造商还面临竞争压力,为了让产品尽快上市,他们倾向于不完成那些【可选】的协议选项。

◇不靠谱的指纹解锁


Attackers Can Bypass Fingerprint Authentication With an 80 Percent Success Rate @ Slashdot

Fingerprint cloning: Myth or reality?
What's new? 3-D printing technologies made it possible for anyone to create fake fingerprints. But not only that it also made it possible, with the right resources, to be done at scale. Moreover, with the democratization of the usage of fingerprint authentication, the impact of biometric data copies is even bigger than in the past. We applied our threat models to mobile phones, laptops, padlocks and USB pen drives.

How did it work? We created copies using three different methods, which were defined according to the defined threat profiles. A mold was created using a 3-D printer, which was then used to recreate the fingerprint with textile glue.

So what? Fingerprint authentication is now in common usage, on all kinds of devices. However, its reliability is not the same on all devices. Organizations need to be aware that the security of fingerprint authentication is not secure, despite common assumptions. This means that depending on the threat profile of each user, it may not be advisable to use it. In reality, some companies have the same reliability as they had six years ago. This means that with the advances of technologies like 3-D printing, it's now even easier to defeat them.
  编程随想注:
  不光是“指纹解锁”不靠谱,“刷脸解锁”也不靠谱。更进一步,汽车的“无线钥匙”也不靠谱(已经有很多破解的案例)。
  这几样技术的共同点在于——它们都提供了“便捷性”,而代价是牺牲了“安全性”。
  很多时候,你需要进行某种【取/舍】。

◇Google 开始打击“对Android 地理位置的滥用”


Google 将限制 Android 应用在后台访问地理位置数据 @ Solidot
Google 宣布打击滥用系统权限访问不必要地理位置数据的 Android 应用。从今年五月开始,Google 将要求所有 Android 应用开发者更新应用,Android 应用只有在需要地理位置信息的情况下才能请求访问此类信息。Google 将逐个审查每一个应用,如果应用请求访问地理位置数据但不在应用中立即使用 Google 会将其从应用商店 Play Store 下架。Google 表示会审查自己的应用。此举旨在打击悄悄收集地理位置数据的应用,此类的后台地理位置数据在收集后会出售给分析公司和广告商。从8月3日起,Google 计划评估每一个新递交的应用,检查是否请求访问后台地理位置数据,是否确实需要这一数据才能工作。


★言论审查与网络屏蔽


◇从“屏蔽”到“传输质量劣化”


政府如何限制互联网网速 @ Solidot
相比切断互联网,限制互联网网速更隐秘更难以察觉和确认。印度去年切断了克什米尔邦的互联网接入,至今没有完全解除。此事广为人知。
但没有多少人知道的是约旦政府限制了 Facebook live 直播服务,如果它屏蔽 Facebook 那么确认起来很简单,如果它让网民难以直播视频,那么网民可能只会以为某个线路发生了故障。
政府有很多方法去限制网速:带宽管理/流量控制和策略;QoS(Quality of Service) 可以有效的降低特定通信协议的流量;Inline DPI(Deep Packet Inspection) 可用于引入延迟;NIC (Network Interface Card) /端口分区 可用于影响所有流量;路由寻径可路由流量通过更长或容量更低的网络端点去限制网速。
  编程随想注:
  如今朝廷对付 Github 的手法也类似。前几年俺在博文及评论区聊过:GFW 会故意产生“传输质量劣化”的效果。
  另外,当年还没有彻底封杀 Gmail 之前,GFW 也用这招来对付 Gmail。

◇俄罗斯政府 PK Telegram


俄罗斯和 Telegram 之间的封锁和反封锁 @ Solidot
在混沌俱乐部年会上,软件开发者 Leonid Evdokimov 回顾了俄罗斯政府和流行消息应用 Telegram 之间史诗性的封锁和反封锁。
2018年4月,因为 Telegram 拒绝遵守法庭命令交出加密密钥,俄罗斯政府下令对其进行屏蔽,第一天有400万 IP 被封,第二天有1600万 IP 被封,最多有1900万 IP 被封。俄罗斯封掉了云服务商如 Amazon、Google、Microsoft、DigitalOcean 和 Hetzner,涉及了 0.5% 的 IP 地址空间,试图向施压云服务商,让 Telegram 成为这些企业不受欢迎的人。俄罗斯还不小心封掉了本国互联网服务如 VKontakte 和 Yandex 的 IP 地址。
尽管政府否认,但附带损伤是巨大的。到4月底封杀力度开始减弱,到6月8日封杀的 IP 地址减少到400万,而在期间 Telegram 一直能在俄罗斯境内工作。俄罗斯被观察到使用主动探测去识别代理服务器,主动探测已经日益成为一种常用的监测和识别代理服务器的方法。

◇字节跳动旗下的 TikTok 进行歧视性审查


TikTok 告诉内容审查团队过滤“丑人/穷人/残疾人”上传的视频 @ Solidot
The Intercept 援引内部文件报道,流行短视频应用 TikTok 明确指示内容审核团队过滤“丑人、穷人和残疾人”上传的帖子。文件还要求内容审核团队审查直播中的政治言论,惩罚损坏国家荣誉或被禁止直播的国家机构如警察的用户。
今天的社交平台都会向新用户推荐内容,但内容推荐算法通常是一个秘密。TikTok 文件的原始版本是中文,之后翻译到英文,这些指示与内容推荐有关。它建议审核团队移除体型异常、过胖或过瘦、面部表情丑陋或面部畸形的用户内容,因为人长得难看视频也没有多少吸引力,不值得推荐给新用户。文件还建议:移除拍摄环境简陋不吸引人的视频。
TikTok 发言人承认文件的真实性,但表示大部分指示要么不再使用要么从未真正使用过。直播政策文件是在2019年创建的,至少在2019年使用过。


★网络攻击与网络战


◇利用【软件下载站点】传播木马


国内下载站提供的开源编辑器被发现捆绑了恶意代码 @ Solidot
安全公司报告,国内下载站西西软件园提供的开源编辑器 Notepad++ 被发现捆绑了恶意代码,而这个恶意脚本代码与勒索软件 WannaRen 有关联,该勒索软件可能通过国内下载站进行传播。在中文搜索引擎百度搜索 Notepad++,排在前几位的都是下载站,而不是官网 notepad-plus-plus.org,如果下载站的版本存在恶意代码,那么可能会有很多中国用户受到影响。

2345旗下的下载站被发现传播木马 @ Solidot
安全公司火绒报告:
2345旗下“多特下载站”的下载器(所谓的“高速下载”)正在实施传播木马程序的恶意行为。用户下载运行该下载器后,会立即被静默植入一款名为“commander”的木马程序,该木马程序会在后台运行,并根据云控配置推送弹窗广告和流氓软件。即使用户关闭下载器,“commander”仍然会一直驻留用户系统。同时,该下载器还会释放病毒劫持用户浏览器首页,用以推广广告程序。
截至目前,被“commander”木马程序静默推广的软件共有9款,包括趣压、拷贝兔、小白看图等,且这些被静默安装的软件与“commander”木马程序系同源流氓软件。它的一个模块被发现还检测当前 IP 所在城市,被检测的城市包括:北京、上海、广州、珠海、杭州、西安、马鞍山、苏州、武汉、天津、合肥。
  编程随想注:
  那些使用 Windows 的同学,如果你想用某款第三方软件,要注意如下几点:
  1、只用那些成熟度足够高,而且口碑足够好的;
  2、总是从【官网】下载;
  3、(即使从官网下载)下载完成之后,再校验一下 exe 的数字签名。
  有些软件虽然 exe 没有自带数字签名,但会在官网公布该 exe 的散列值(哈希值)或者 exe 文件对应的数字签名文件,以让你进行校验。
  如果某个软件既没有自带数字签名,官网页面也没提供任何校验信息,你就得怀疑它是否符合“第1条”(成熟度是否足够高)
  引申阅读:
  《扫盲文件完整性校验——关于散列值和数字签名

◇针对 Shadowsocks 的攻击


奇虎360研究员披露:Shadowsocks 流密码重定向攻击 @ Solidot
奇虎360的一位安全研究员披露了流行 SOCKS5 代理 Shadowsocks 的流密码重定向攻击漏洞。流密码是一种对称加密算法,加密和解密双方使用相同伪随机加密数据流作为密钥,明文数据每次与密钥数据流顺次对应加密,得到密文数据流。流行的流密码算法包括 ChaCha、RC4、A5/1、A5/2、Chameleon、FISH、Helix 等。
研究人员发现 Shadowsocks 协议存在漏洞,会破坏流密码的保密性。利用重定向攻击,被动攻击者可以轻松解密所有 Shadowsocks 的加密数据包。中间人攻击者还能实时修改流量,就好像加密根本不存在。受影响的版本包括 shadowsocks-py、shadowsocoks-go 和 shadowsocoks-nodejs;shadowsocks-libev 和 go-shadowsocks2 不受影响,研究人员还建议使用 AEAD 加密算法。漏洞是在2018年12月发现的,2019年3月发布了概念验证攻击。
  编程随想注:
  看到这个新闻,俺又要再次唠叨【基于 Tor 的双重代理】(关于这招,俺已经唠叨了不止5年)。
  以 Shadowsocks 为例,如果你使用 Tor over Shadowsocks 的方式,即使 Shadowsocks 的协议本身出现某种漏洞(比如上述这种),导致攻击者破解了 Shadowsocks 的流量;攻击者看到的也只是【强加密】的 Tor 流量。换句话说,攻击者依然【看不到】你真实的上网流量。
  另,
  某些网友猜测:去年(2019)六四前后,很多人抱怨 Shadowsocks 失效。可能与上述漏洞有关。
  引申阅读:
  在《如何隐藏你的踪迹,避免跨省追捕》系列教程的其中一篇,介绍了【多重代理】的玩法。

◇SIM 卡劫持攻击


SIM Swappers Are Using RDP To Directly Access Internal T-Mobile, AT&T, and Sprint Tools @ Slashdot

Academic Research Finds Five US Telcos Vulnerable To SIM Swapping Attacks @ Slashdot

PayPal and Venmo Are Letting SIM Swappers Hijack Accounts @ Slashdot

一文看懂巨鲸被盗2亿元数字货币始末,找回几无可能 @ 36氪

  编程随想注:
  在半年前(2019年3季度)的博文,俺已经提到过这种攻击手法。当时 Twitter CEO 的推特帐号被劫持,攻击者用的就是这招。从上述几篇报道来看,如今这种攻击越来越普及(越来越危险)。
  这类攻击的危险性在于——如今很多帐号都绑定手机,并且可以通过手机来【重置密码】。因此,攻击者一旦实现了【SIM 卡劫持】,就可以控制你的【手机号】,进而控制所有绑定到该手机的网络帐号。
  关于这种攻击手法的【原理】,请参见博文《近期安全动态和点评(2019年3季度)

◇Github 又被朝廷盯上了


微软 Github 疑被中间人攻击 @ 月光博客
今天(注:3月26日),有很多中国网民反馈,从中国的 IP 访问知名代码托管平台微软 Github.com、Github.io、Github Pages 等网站会加载一个无效的证书,使用国外的 IP 访问则加载正常的证书,疑似该域名遭到了中间人攻击。
......

目前经测试 DNS 系统解析是完全正常的,例如,pages.github.com 的 IP 地址解析并未出现问题,从中国地区解析的 IP 为185.199.111.153,是属于 Github 的 IP 地址。受影响的主要是部分地区用户但涉及所有运营商。
由于攻击者使用的自签名证书不被所有操作系统以及浏览器信任,因此用户访问这些网站时可能会出现安全警告。
  编程随想注:
  “中间人攻击”洋文称作“MITM”,维基百科的介绍在“这里”。
  根据某些网友当天的网络分析,这次事故很大可能是 GFW 搞的。类似的情况已经不是第一次出现了(前几年也有,也是短暂出现了一下)
  不排除 GFW 在进行某种 MITM 的技术尝试,或者在尝试的过程中出现了某种失误,导致上述现象。
  这次事件给大伙儿敲了警钟——
很多使用 Github 的网民发现异常是因为——浏览器显示“证书警告”。
浏览器显示“证书警告”是因为——这次攻击使用的是一个随便生成的 CA 证书(浏览器当然不认可这种证书)
  试想一下:
如果 GFW 真心要搞 MITM 攻击,它会使用一个很逼真的(看起来合法的)CA 证书;如此一来,浏览器就【不】显示警告信息。基本上很难察觉。
对于普通网民而言,应该尽量把操作系统中(以及浏览器中)那些【不靠谱的 CA】颁发的证书清理干净。所谓“不靠谱的 CA”,除了俺之前专门写博文点名批评的两个老流氓(CNNIC沃通/WoSign),至少还包括:【所有】位于朝廷具有司法管辖权的地区的 CA 机构。也就是说:处于“大陆、香港、澳门”的 CA 机构都【不能】信任。
  “清理流氓 CA”的招数有个缺点——容易漏网。因为每隔几年,可能又会有某个天朝的 CA 机构的根证书被加入到“Windows 或 Android 或 iOS 或 Mozilla”的信任列表中。如果你对安全性的要求【非常高】,应该采用俺在《近期安全动态和点评(2019年1季度)》中介绍的【证书白名单策略】。考虑到某些读者比较健忘,俺把当时的招数再重新贴出来:
  你在某个【专用】的浏览器实例中操作特别重要的帐号(也就是说,这个实例只操作这个帐号,不访问其它网站)然后在该实例中采用【证书白名单策略】——只留下这个帐号对应网站所需的 CA 证书,其它证书全部禁掉。当然啦,你还需要保留一个【通用】的实例,用来进行日常的上网浏览。如此一来,假设你有 N 个重要帐号,需配置 N + 1 个实例。
  浏览器的选择:
  Chrome 和 Firefox 都可以创建“多实例”,但 Chrome 有个【缺点】——它用的是操作系统的证书。因此,Chrome【无法】使用刚才介绍的招数。
  相比之下,Firefox 使用的是【自带证书】。因此,你可以创建多个 Firefox 实例,并通过配置让每个实例的证书都采用各自的【白名单策略】。

◇“俄罗斯电信”也开始玩【流量劫持】


俄罗斯电信劫持了 Google 和 AWS 的流量 @ Solidot
上周,两百多家 CDN 和托管商的流量遭到了国有的俄罗斯电信公司的劫持。受影响的公司包括了 Google、Amazon、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner 和 Linode。俄罗斯电信公司是通过 BGP 路由通告劫持了不属于它的网络流量。BGP 劫持未必都是恶意的,很多时候都是因为人为失误导致的。同一机构频繁发生路由劫持则视为可能有恶意。最大的电信公司中国电信频繁发生过 BGP 路由劫持事故。俄罗斯电信也发生过多次。
  编程随想注:
  在《近期安全动态和点评(2019年3季度)》中,俺正好介绍“中国电信劫持美国国内的互联网流量”。如今“俄罗斯电信”的手法与“中国电信”如出一辙。
  关于“流量劫持”的【原理】,当时俺分享了一篇文章。把那篇文章以及中文翻译,再次贴出(如下)
China Telecom's Internet Traffic Misdirection @ Oracle dyn
甲骨文:中国电信误导国际互联网流量(译文) @ Submarine Networks

◇跨太平洋光缆的变迁


美已视中港为“一体”,禁止美台高速网缆与香港连通 @ RFI/法广
根据《华尔街日报》报道,美国官员准许 Alphabet Inc 旗下的谷歌(Google)启动与台湾连接的高速互联网光缆,但不能与香港连通,理由是存在国家安全隐患。报道指这项决定凸显出美中之间越来越紧张的关系。
......

报道指出,这项决定可能会终结香港作为美国互联网电缆首选目的地的主导地位,并危及正在进行的几个项目,其中包括一条由面书(Facebook)支持的连接洛杉矶和香港的光缆,以及一个由谷歌支持的连接香港和美国关岛的项目。
《华尔街日报》的报道指,美国司法部周三宣布决定时说:“许可美国和香港直接连通光缆存在重大风险,有可能严重危害美国国家安全和执法利益。”这一决定得到了美国国土安全部和国防部的支持。

中国政府部门禁止包括面书和谷歌在内的一些美国公司在中国大陆运营,但香港却可以不受限制地接入互联网,从而成为想和中国大陆建立联系的跨国公司的中转站。
华尔街日报指出,然而随着北京方面对香港的立场趋于强硬,美国官员对香港的态度也发生了变化。几个月以来,香港人一直在抵制北京方面推动香港与大陆融合的努力。
华盛顿正在转向台湾这个自治岛屿,虽然北京方面宣称台湾是中国的一部分,但美国通过军售和非官方政治联系向台湾提供支持。
  编程随想注:
  这条光缆原计划要从美国加州一直铺设到香港,如今只到台湾。
  结合刚才提到的“流量劫持”以及最近几年越来越升温的“中美对抗”,你或许能理解——为啥美国佬禁止新的太平洋光缆部署到香港和大陆。


★硬件与物理安全


◇冷战时期的物理安全


苏俄如何监听美国大使馆的打字员 @ Solidot
最近出版的一本新书回顾了冷战期间美国和苏联之间的谍报战,讲述了一段尘封已久的供应链攻击案例:神秘的苏联工程师巧妙的替换 IBM 打字机零部件去监听美国大使馆打字员的打字内容,而 NSA 的电机工程师费了多年时间揭开了这一秘密。
1970年代末有多名美国间谍遭到逮捕,但美国情报界不知道他们的身份是如何曝光的。首次突破来自于在(美国驻)莫斯科大使馆无意中发现的假烟囱腔内的八木天线,但天线的用途和无线发射机的下落仍然不明。NSA 工程师 Charles Gandy 对此展开了多年的寻找,他得到了里根总统的授权,将大使馆内的所有电子设备都安全打包运回美国。每个设备都被拆开,用 X 射线进行扫描。在进行了数万次扫描之后,技术人员在一台 IBM 打字机的 on/off 开关内发现了一个小线圈,Gandy 认为它充当了降压器为打印机内的东西供应低电压电。他最终发现,打印机内的有多个零件被替换了,一个外形相同的固体铝棒里面是空的,被放入了一个电路板和六个磁强计,磁强计能感知按键的移动,按键的信息被储存加密然后发送出去。
  编程随想注:
  上述这个已经是陈年往事。分享它是为了让大伙儿意识到【物理安全】的重要性——如果攻击者能够接触到你的电脑,并且在上面动手脚;那么,软件层面的任何防范都形同虚设。
  在之前的《近期安全动态和点评(2019年2季度)》中提到了【邪恶女佣】(evil maid attack)的攻击场景。这个术语就是用来描述此类攻击手法。

◇Intel 芯片的“CSME 漏洞”


Intel CSME bug is worse than previously thought @ ZDNet

英特尔 CSME 漏洞比想象中的要严重 @ NOSEC
这个漏洞被标记为 CVE-2019-0090,影响了英特尔的 Converged Security and Management Engine 安全管理引擎,以前称为 Management Engine BIOS Extension(Intel MEBx)。
CSME 是所有最近的英特尔 CPU 都具有的一个安全特性。它被认为是在基于英特尔的平台上所有其他英特尔技术和固件的“加密基础”。
......

CSME 是机器中最早开始运行的系统之一,负责对基于英特尔的计算机上装载的所有固件进行密码验证和授权。
例如,CSME 负责加载和验证 UEFI BIOS 固件和 PMC 固件(电源管理控制器)以及管理芯片组电源的组件。
CSME 也是其他 Intel 技术的“加密基础”,如 Intel EPID(增强隐私 ID)、Intel 身份保护、任何 DRM(数字版权管理)技术或基于固件的 TPMs(可信平台模块)。
换句话说,CSME 是运行在英特尔芯片组上的所有其他技术的“可信之本”。
......

在新发表的一项新研究中,Ermolov 表示,攻击者可以利用这个漏洞来恢复芯片组密钥,这是 root 加密密钥,可以让攻击者访问设备上的一切。
  编程随想注:
  从上述介绍可以看出——CSME 是 Intel 芯片硬件体系的【信任链之锚】。
  据初步的研究结果,该漏洞可以被【本地利用】。也就是说,如果攻击者获得了在本地执行代码的机会,并且能够“提权”,就有可能利用该漏洞。
  在英特尔硬件体系中,UEFI 的信任链也是基于 CSME 之上。也就是说,UEFI 的安全性并没有某些同学想象的那么好。

◇Intel 芯片的“Zombieload 漏洞”


Intel Is Patching Its 'Zombieload' CPU Security Flaw For the Third Time

  编程随想注:
  关于这个 CPU 漏洞,之前的某期《安全动态和点评》已经提到了。
  为了修复该漏洞,Intel 在去年(2019)5月和11月两次放出补丁,但都【没】彻底修复。今年(2020)1月份,英特尔不得不承认:之前的补丁不够完善,攻击者仍然能利用 Zombieload 漏洞;然后发布了第三次补丁。
  在《近期安全动态和点评(2019年4季度)》一文中,俺引用了 Linux 内核维护者 Greg Kroah-Hartman 的一次演讲(如下)
稳定版内核维护者 Greg Kroah-Hartman 在欧洲开源峰会上发表主题演讲时指出,英特尔芯片的安全问题将会存在很长时间。这些被称为 MDS、RDDL、Fallout 和 Zombieland 的芯片漏洞从某种程度上说都是相同的问题或者说是相同问题的不同变种,但解决方法各不相同。举例来说,RIDL 和 Zombieload 漏洞能跨应用程序、虚拟机和安全区域(secure enclaves)窃取数据,讽刺的是:英特尔软件防护扩展(SGX)在芯片内本是保护数据安全的,结果本身却有很多漏洞。
Kroah-Hartman 称:为了修复每一个曝出的问题,你必须同时给 Linux 内核、CPU BIOS 和微码打上补丁。这不只是 Linux 的问题,任何操作系统都面临相同的问题。他承认 OpenBSD 给出了解决此类漏洞的最近解决方案:关闭英特尔处理器的超线程,克服带来的性能损失。Kroah-Hartman 称,你必须选择性能还是安全,而这里不存在好的选择。
  当时 Greg Kroah-Hartman 提到了关闭英特尔处理器的超线程,这是一种玩法。
  另一种玩法是:改用 AMD 处理器的电脑。当然啦,AMD 处理器也有不少安全问题(下面会提到),但 AMD 的安全问题比 Intel【少】很多。
  更进一步,善于折腾的同学,甚至可以考虑那些【非】x86 架构的处理器(比如 ARM 之类的)。

◇针对 Intel 芯片的“LVI 攻击”


Intel CPUs vulnerable to new LVI attacks @ ZDNet

英特尔处理器新漏洞 Load Value Injection @ Solidot
研究人员披露了名叫 Load Value Injection(LVI) 的英特尔处理器新漏洞,能窃取英特尔 SGX(代表 Software Guard eXtensions)中储存的秘密信息。LVI 与 Meltdown 和 Spectre 等类似,都属于瞬态执行利用,源自于 CPU 的一项优化技术“预测执行”。与其它瞬态执行漏洞类似,LVI 只能缓解无法修复。
SGX 能在内存中创建一个隔离的环境,使用强加密和硬件层的隔离确保数据和代码的安全,防止被纂改。研究人员演示了他们可以利用 LVI 漏洞窃取 SGX 保护的密钥。受影响的处理器包括了 Sandy Bridge 家族、Ivy Bridge 家族和 Haswell 家族等等,Ice Lake 不受影响。芯片巨人声称 LVI 在现实中很难利用。

◇针对 AMD 芯片的“Take A Way 攻击”


AMD processors from 2011 to 2019 vulnerable to two new attacks @ ZDNet

  编程随想注:
  奥地利的安全研究人员新发现两种针对 AMD 处理器的攻击方式:Collide+Probe & Load+Reload,两者统称为“Take A Way 攻击”。
  类似于大名鼎鼎的 Spectre & Meltdown 漏洞,这种“Take A Way”攻击依然属于【边信道攻击】。但其危险性【低于】其它那几个知名的 CPU 漏洞——因为“Take A Way 漏洞”泄漏的信息量很小(这是该漏洞的发现者自己说的)。


俺博客上,和本文相关的帖子(需翻墙)
如何保护隐私》(系列)
如何防止黑客入侵》(系列)
如何隐藏你的踪迹,避免跨省追捕》(系列)
弃用 Chrome 改用 Firefox 的几点理由
基于安全考虑,如何选择及切换 Firefox 版本?
扫盲文件完整性校验——关于散列值和数字签名
数字证书及 CA 的扫盲介绍
近期安全动态和点评(2019年4季度)
近期安全动态和点评(2019年3季度)
近期安全动态和点评(2019年2季度)
近期安全动态和点评(2019年1季度)
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2020/04/Security-News.html?m=0

961 条评论

  1. 楼主评论下以后世界的经济形势吧,主要的几个大国现在都陆续从中国撤离企业了

    回复删除
    回复
    1. 中国畜生也逐步撤离到骨灰坛内,可惜你妈和隔壁老王同住一间骨灰坛。

      删除
  2. 回复
    1. 1. 商业街,广场等人流量巨大的公共场所常见的大型 LED 广告牌(注意不是公路上的电子显示牌)是否联网,有没有办法黑进去,替换成别的视频?

      删除
    2. 2. 天朝的软件源镜像站是否有可能【篡改】软件包和校验文件, 让那些【不支持】签名的软件包管理器安装这些可能有后门的软件?听说有人遇到了这种情况。

      删除
    3. 3. 某个 Linux 发行版,root 用户在 console 可以正常使用 export 设置环境变量走代理,但是用普通用户(翻墙工具自动设置系统代理),终端运行相同命令就不走代理。这是什么原因?

      删除
    4. 4. 网上有不少 iptables 设置 redsocks + 翻墙工具做全局 socks 代理的文章,但这些文章都只适用于【自建】服务器,也就是说自己知道 IP 的情况,因为要加一条规则,允许翻墙流量直连而不会重定向到 redsocks。但是很多人往往是买机场的梯子,或者使用网上的免费代理。这时服务器 IP 有不止一个,而且很可能经常变化(因为很多是域名),这样设置起来会很麻烦。有没有比较方便的方法解决这个问题?
      另外,这种方式不灵活,尤其是切换翻墙服务器的时候。而且会经常卡在查询 DNS(我用本地加密 DNS 解析服务),导致连接超时,需要清空防火墙规则才能(暂时)解决。我认为防火墙重定向流量的稳定性不如 Proxifier 这样的软件。
      另外,用 iptables 等防火墙重定向比直接连接代理的速度要慢不少,比如 BT 下载就可以看出来。

      删除
    5. 5. Proxifier 的原理是什么?是通过 libpcap 这样的【抓包】方式进行网卡流量的重定向,还是类似 iptables 等防火墙?不过它不支持 Linux,现在还没有类似的免费或开源替代品。(有些人说 proxychains 是开源替代品,但它仅支持代理【单个】程序,另外有个开源命令行软件是 macOS 平台的)。

      删除
    6. 6. 某个程序调用了 aria2 下载文件,用 Ctrl+C 快捷键 kill 掉该程序,aria2 仍然在下载,但它并不在后台(因此 fg 没用),甚至 killall 也不起作用,除非关掉终端。怎样把它调到前台?

      删除
    7. 7. Host OS 加密分区如果重装系统,有没有必要擦除数据?既然分区是加密的,不擦除数据应该也无法恢复文件吧。

      删除
    8. 8. 与电脑上的虚拟机软件相比,Android 手机运行 QEMU 或者 Linux deploy 这样的 app,隔离效果怎样?

      删除
    9. 9. 博主能否写一篇关于【暴力破解】和【字典破解】的扫盲文章,介绍 hashcat,john the ripper 等工具的使用?这两个工具都非常牛逼。至于 aircrack-ng 可以不用介绍,因为大伙儿可能都很熟悉。估计警方取证很可能也会用到这些工具。

      另外,建议博主写一篇 ESNI 的【扫盲】文章。

      删除
    10. 10. [url=https://pincong.rocks/article/9181]品葱[/url]上有人质疑 Tails 对抗警方取证的可靠性,博主怎么反驳?我记得 MAC 地址是不会发送出去的。
      [quote]要到警察破门而入的地步,你们平时上网的数据和痕迹早就掌握的差不多了,搞这套对普通人没什么用的,又不是斯诺登级别。
      表面上看是要不留痕迹,但我想知道一台没有网卡的电脑是怎么登录上互联网的?你有网卡,你网卡的MAC地址可是唯一的,你连上网的数据包括时间标记在ISP处都是有的,何况真到了那个地步,你首先能享受到的怕就封网封账号了,还用什么Talis。
      [/quote]

      删除
    11. 最后分享一个生成 Tor 配置文件的脚本:https://github.com/hephaest0s/creatorrc
      包括基于【势力范围】的国家和地区信息,可惜已经不更新了。

      删除
    12. [b]粗略看完了本文,以下是针对本文的感想和提问:[/b]
      Chrome 不使用 UA 之后,Firefox 很可能也会跟进。但现在有些网站是根据 UA 来判断是不是爬虫等程序,或者做出其他限制。这样会不会导致【误杀】?

      我按照博主的建议安装了 Firefox ESR,但是它都有这种漏洞。现在浏览器一直提示我下载更新失败,但我需要通过包管理器安装更新。

      前段时间好像大陆还是台湾的某个厂商的路由器出现漏洞,博主好像没有提到?

      sudo 又爆出了【高危漏洞】,但是大多数发行版都预装了 sudo,很多程序也依赖 sudo,不安装可能会出错。

      天朝的软件下载站肯定有不少猫腻,以前我用 Windows 时,有时就会去这些网站下载破解版的软件,说不定也中招了(只是我不知道)。

      Shadowsocks 最近好像不太安全,还好我早已换用 V2Ray 和“迷雾通”了。
      顺便一提,有人怀疑“迷雾通”的安全性,我认为还是比较靠谱的。首先它【完全开源】,其次这个开发者是在爱沙尼亚注册的公司。另外“迷雾通”是目前除了 Tor 之外,另一个支持【网桥】的翻墙软件。

      硬件安全问题还是要继续高度关注。

      删除
    13. (接上一单元)
      补充:这里的 UA 限制包括:空 UA 直接 HTTP 403。

      删除
    14. TO V2EX:
      1. 部分 LED 广告牌是联网的——但你不一定能够访问。因为这些广告牌对应的控制主机可能没有对外暴露端口,也可能有物理隔离。
      2. 理论上可行,实际上这么做风险巨大:「篡改软件包」的行为会让镜像站臭名昭著。
      3. 「翻墙工具自动设置系统代理」在 Linux 下通常不是使用环境变量实现的,因此终端下的程序不会自动使用代理。
      4. 如果您使用 iptables,您可以设置代理程序的 sockopt(需要 root) 或者使用 UID match 规则(此时翻墙软件使用非特权用户)。
      「经常卡在查询 DNS」应该可以通过设置超时时间解决。
      iptables 重定向「速度慢不少」和「稳定性不如 Proxifier」的原因可能是您的代理「受到最大文件描述符数值的限制」,具体可以参考 [url=https://guide.v2fly.org/app/tproxy.html#%E8%A7%A3%E5%86%B3-too-many-open-files-%E9%97%AE%E9%A2%98]这篇文章[/url]
      5. Proxifier 的原理与 proxychains 类似——hook。
      以及,proxychains 可以代理目标进程「及其子进程」。您可以使用 [code]proxychains bash[/code] 并结合 Job control 来同时代理多个程序。
      6. Aria2 似乎针对 SIGINT(使用 Ctrl+C)有另外的处理方式。
      7. 通常不需要清除。
      8. QEMU 的隔离效果较好——因为 QEMU 是虚拟化软件。
      然而,Linux Deploy 的隔离效果不尽如人意——大致相当于 Linux 上的 chroot :(
      9. 我还想说:博主,你还有好多坑没填……
      10. [quote]你网卡的 MAC 地址可是唯一的[/quote]
      大多数网卡(包括无线网卡)的 MAC 地址可以通过 MACChanger 改变。同时,电脑的 MAC 地址信息「通常不会」传出你的路由器——前提是你家里的「路由器」有后门,或者是「假装自己是路由器的交换机」 :)
      [quote]你连上网的数据包括时间标记在ISP处都是有的[/quote]
      这个倒是有可能。不过与其担心这个,还是先排查软硬件是否存在后门或携带木马。
      延伸阅读:[url=https://program-think.blogspot.com/2016/08/Trojan-Horse-DCM.html]如何对付公安部门的“网络临侦”?——“黑暗幽灵(DCM)木马”之随想[/url]

      删除
    15. TO Anony Kagamine
      看来你技术姿势水平挺高,后生可畏!

      3. 注意是【同一个命令】,在 root console 正常,到了普通用户的终端环境就不会走代理;
      4. ulimit 限制?但是日志里面好像没有相关提示(也可能是日志等级不是 debug);
      5. 我需要一个自动让所有联网程序都使用【全局代理】的软件,当然如果能【分应用代理】更好。

      删除
    16. (接上一单元)
      我提这个问题是因为看到[url=https://www.pincong.rocks/question/17747]这个帖子[/url]。
      之前在网上搜了下,发现有些广告牌是【物理隔离】的,只能用 U 盘拷贝视频。

      删除
    17. TO Anony Kagamine
      补充:
      3. 前面搞错了 :(
      Linux 的翻墙软件设置系统代理就是通过环境变量来实现的;
      8. 模拟器的隔离程度应该超过虚拟机,因为模拟器会模拟所有硬件,比如 CPU 就跟 Host 不一样,而虚拟机一般不会。
      Linux Deploy 是通过 chroot/proot 来实现的,但它支持几种存储数据的方式(至少包括目录和 img 镜像,还有两个我忘了)。

      删除
    18. 插楼问个事。
      我打算买个新笔记本并装Linux,但是,网上很多人说Linux显卡驱动不好,经常出画面撕裂等问题,某大牛还对英伟达竖中指。
      所以应该用什么显卡呢?
      还有,可不可以用LiveCD检测自己的电脑能不能运行Linux?我之前在单位配的联想笔记本上用Debian,Arch和openSUSE的LiveCD,结果连电池和无线网卡都识别不了。

      删除
    19. TO 编程随想
      补充个SIM攻击的案例,关于前几个月比特币被盗的
      https://36kr.com/p/5294183

      删除
    20. TO V2EX(15 单元):
      3. 建议使用 env 命令检查 root console 与终端的环境变量。注意 http_proxy 与 https_proxy。
      有一些程序在处理 https 链接时,会使用 https_proxy 指定的代理(如 wget),还有一些程序只使用 http_proxy 的设置。
      4. 也有可能是机器的性能问题。这样的问题常见于路由器。
      5. 个人建议使用 iptables。如果您要「分应用代理」,您可以尝试 iptables UID match。
      [url=https://suchalin.wordpress.com/2013/05/21/iptables%E9%99%90%E5%88%B6%E7%94%A8%E6%88%B7%E7%94%A8%E6%88%B7%E7%BB%84%E8%AE%BF%E9%97%AE/]UID Match 的示例[/url]

      删除
    21. TO 18 单元 :
      绝大多数 Linux 发行版可以完美兼容 Intel 的核芯显卡。不过近年来 Linux 对 Nvidia 和 AMD 的独立显卡支持也已相当完善。如果您希望「减少折腾」,推荐使用 [b]仅搭载核芯显卡[/b] 的笔记本电脑。
      至于使用 LiveCD 检测的方式,个人认为可以,但是有局限——「几乎所有」LiveCD 不含 Nvidia 的驱动,也可能不含有「部分无线网卡」的驱动。
      对于 Debian,您可以使用 [url=https://cdimage.debian.org/cdimage/unofficial/non-free/cd-including-firmware/]Unofficial non-free images including firmware packages[/url] 来检验无线网卡兼容性。
      同时,「几乎所有」Linux 的 LiveCD 都支持「手动加载固件」。

      删除
    22. 桌面环境用Linux是有多想不开?买个树莓派吧。

      删除
    23. TO 18 单元的网友
      有种说法是,Linux 的开源驱动(尤其是显卡)的性能是“够用就好”,无法跟 Windows 的厂商驱动相比。
      Intel 和 AMD 的开源驱动都不错,我个人不喜欢 NVIDIA,所以不建议使用 N 卡。

      删除
    24. TO Anony Kagamine(20 单元)
      3. 我确认过环境变量没有问题,所以才问终端下面程序为什么不走代理;
      4. 我用的是台式机,不是路由器;
      5. 前面说过了,iptables 全局代理有这样那样的问题(见 4 楼)。

      删除
    25. 纠正:见 4 单元。

      删除
    26. TO V2EX(24 单元):
      3. 尝试使用 http_proxy=http://IP:port https_proxy=http://IP:port program args 的方式执行程序。
      同时尝试 su 后执行同样的程序。观察程序是否使用代理。
      4. 还有可能与 conntrack_max 的数量有关。
      5. 我已经回答过。请使用 iptables UID Match 或设置代理程序的 Socket mask 来解决问题。

      删除
    27. TO Anony Kagamine
      Proxifier 的速度跟直接使用代理基本一样,也不会遇到 DNS 解析问题,还有 GUI 界面,可以直观地查看走代理的进程。因此我优先使用这样的软件,而不是 iptables。

      删除
    28. Tails不是默认会把MAC地址给修改掉吗?

      删除
  3. 终于更新了,来跟随想哥哥打个招呼,顺便讨论个问题:随着失业人口越来越多,治安肯定会变差吗,有没有办法把失业人口组织起来搞事,加速土共灭亡 :)

    回复删除
  4. 随想的博客比小说更吸引人,时不时地搜索,今天更新了,真好!

    回复删除
    回复
    1. 随想的博客比火葬场更吸引人!博主时不时的肢解读者,今天更是爆出老读者zeroth被屠宰,真棒!

      删除
  5. 我发现你博文标题下面的“名言短句”里有一句话【人的一切痛苦都是源于对自己无能的愤怒】,说是王小波的。其实王小波没说过这句话,他只在杂文《关于幽闭型小说》说过【人生唯一的不幸就是自己的无能】。当然,如果有人能给我指出前面那句话的出处不胜感激。

    五毛和小粉红很喜欢用这句话来呛人,觉得你要是对共产党愤怒就是你自己无能,底层的人生活不好都是活该。
    很不喜欢王小波的话被这样篡改引用 :(

    回复删除
    回复
    1. 编程随想很快乐,因为他乐见自己的无能,大伙儿向博主学习如何无能。

      删除
  6. 武汉新型冠状病毒爆发至今视频汇总,欢迎大家传阅 BXHT3HMKBWBXEU4V7V7ORHAO5I2NFNEJ4

    回复删除
  7. TO 博主
    之前博主提到天朝的教育制度以及基于基于“双重思想”的思想控制,请问作为一个学生,有什么办法可以防止被“洗脑”吗?尤其是在政治课上灌输党的教育理念,煽动仇恨;与这种“灌输”的方式相比,有没有“循序善诱”强调“批判性思维”的教育可以通过网络获取,我之前听说brilliant这个网站就是“从错误中引导学生”“鼓励发表自己观点”的教学网站,不过好像只有数学物理 ,还要付费,不知道怎么样

    回复删除
    回复
    1. TO 马克思:
      想要做到「不被完全洗脑」,及其困难——即使您是清醒的,政治考试和环境也会明显地影响您。
      不过,「尽量减轻影响」相对要简单得多。例如,您可以尝试「解构」这些 Propaganda。
      编程随想的博客中有这么一句格言:
      [quote]如何判断什么样的人是共产主义者捏? 共产主义者就是那些「阅读」了马克思和列宁著作的人;
      那么, 什么样的人是反共产主义者捏? 反共产主义者是那些「理解」了马克思和列宁著作的人。
      ——里根 (美国前总统)
      [/quote]

      删除
    2. 编程随想上个月已经宣布了,只反权贵,不反党,你们这些傻逼分子还在舔呢。

      删除
    3. To 马克思
      只要认识到马克思主义是个大错误就行了
      然后,共产党是个大错误
      中国是个大错误
      中共做的一切都是大错误

      删除
    4. 党还有什么不是权贵?,反权贵跟反党什么大区别?

      删除
    5. 你的党是由几千万条蛆组成的,权贵死了还会生成新的权贵,反权贵不反党,编程随想想当权贵??
      操你妈的编程随蛆!

      删除
    6. 最终会认识到,中国人全体死亡,才是真正的解决问题。

      删除
  8. 博主你好,国内的环境真像你说的有“沉默的大多数”吗,全家我只能说服我妈。网上就更别提了,弱智成群,还出征推特,脑子都是浆糊吧。清醒的人有没有一千万都难说啊。

    回复删除
    回复
    1. TO 绝望人:
      「沉默的大多数」一词已经阐释了这个现象。沉默的他们即使来到网络上,通常也很少发声。
      同时,您还要考虑「网络评论员」和「狂热粉丝(饭圈女孩)」造成的影响——他们在境内的网站及平台上极度活跃。

      删除
    2. 中国贱畜只有:期货死人、喧嚣的一大撮五毛、无足轻重却装模作样的你。

      删除
    3. 额,无法确定。
      我觉得可能:有“沉默的大多数”,然而他们各不相同
      有的反党反政府,有的反政府不反党,有的反党不反政府,有的反人民不反党,有的反党不反人民,有的反党反政府反人民。。。。有的觉得政府有一些做的不对,有的觉得政府处处不对。。。有的觉得共产党该下了,有的觉得只需要改良。。。有的觉得习大大不对,有的觉得习大大对,李kq不对。。。有的觉得中央腐败,地方为民,有的觉得中央为民地方腐败,有的觉得中央地方都腐败。。。。。。。
      事实上你看反党的那些人,他们的目的都各不相同的。

      唯一共性:跟美国毫无关系

      删除
    4. 编程随想:不反党不反人民不反政府,只反权贵。(编程随想想成为权贵)
      瞧瞧这个博客的博主是个什么贱蛆样子。

      删除
    5. 贱蛆编程随想,培养的娘炮贱蛆,只会喷喷政府,发发牢骚,口头推墙,实际还是偷偷翻墙,不稳定因素的问题就解决了。

      【维稳专家编程随想】操你妈的

      删除
    6. 以前的编程随想,号召读者上街,参加茉莉花。
      现在的贱蛆随想,躲在电脑后面看电子书,不再反党反政府。已然变为支那蛆的一员。

      【编程随想变得如此无能,它收了多少钱?】

      删除
  9. 此评论已被作者删除。

    回复删除
  10. 博主您好!
    可否评价一下近年炒很火的IPFS,IPFS基于区块链技术之上,官网介绍说特点为:去中心化、数据永久保存、可躲避审查等等,甚至未来有可能取代咱们目前所使用的HTTP。博主可否评价一下IPFS这个项目,以及它的未来发展趋势,且我朝会如何封杀它?毕竟这东西可以躲过审查。

    回复删除
    回复
    1. 我也在持续关注 IPFS,这东西目前适合当网盘,以及放静态页面(例如博客)。

      删除
    2. 你好,我曾经制作编程随想ipfs镜像,可惜无人做种。现在不推荐使用。

      删除
    3. 贱蛆随想,胆小如鼠,新东西绝对不敢尝试,它自称新东西要几年时间以后它才会试。

      你老婆先给人操几年,再领回去,贱蛆随想!这几年就交给你的贱畜粉丝舔吧!

      删除
  11. 前篇博文搬运工2020年4月14日 00:20:00

    博主您好,在本楼里搬运几个前一篇博文里谈论的热点信息。多谢博主关心。

    回复删除
    回复
    1. 前篇博文搬运工2020年4月14日 00:21:00

      首先向博主推荐一位【超】热心读者:此读者在GitHub上的名字是program-think-mirrors(注意末尾的s)。他是迄今为止最最热心的读者(没有之一)。

      删除
    2. 前篇博文搬运工2020年4月14日 00:23:00

      他在GitHub上的主页是:[url]https://github.com/program-think-mirrors[/url]。里面有完整的博主的【每一个】BTSync/Resilio分享目录/文件夹的【完整】备份。分毫不差。包括博主的【图书馆】、【翻墙工具】、以及【博客离线版】。

      删除
    3. 前篇博文搬运工2020年4月14日 00:25:00

      他还把博主的【博客离线版】做成了独立的github.io(也就是GitHub Pages)网站,网址是:
      [url]https://program-think-mirrors.github.io/blog/html/[/url]

      删除
    4. 前篇博文搬运工2020年4月14日 00:29:00

      下来向博主报告另外一个超级好消息:另外一个热心网友在Cloudflare最近很火的那个workers.dev网站上搭了两个【免翻墙】镜像。貌似已经在博主前一篇博文的论坛里公布九天了,还是没有被墙,超厉害!

      删除
    5. 前篇博文搬运工2020年4月14日 00:31:00

      另外这个热心网友在Cloudflare最近很火的那个workers.dev网站上搭了两个【免翻墙】镜像的网址如下:
      主站:[url]https://www.program-think.workers.dev/[/url]
      备用:[url]https://www.programthink.workers.dev/[/url]

      删除
    6. 前篇博文搬运工2020年4月14日 00:35:00

      请博主注意以上两个workers.dev的镜像网站与以往依靠博主【离线版博客】所搭的镜像网站有【本质区别】。workers.dev的镜像网站是利用【逆向代理/反向代理】原则对于博主的原版blogspot的站点进行【实时】镜像,也就是说博主发的每一篇新博文,以及读者发的【每一条】新评论,都会【实时】出现在workers.dev的镜像网站上!而往依靠博主【离线版博客】所搭的镜像网站,必须要等待博主在BTSync/Resilio上【更新】了博客离线版以后才能更新博文,这样就导致常常延迟一个多两个多星期才能更新博主的博文(因为要等待博主更新博客离线版)。

      删除
    7. 前篇博文搬运工2020年4月14日 00:37:00

      而在搭建以上两个workers.dev的镜像网站的过程中发现了博主博客里面的一个bug,可能博主自己都没注意到,我把与搭建workers.dev的热心读者就这个bug所进行的相关讨论转贴在一下两单元。

      删除
    8. 前篇博文搬运工2020年4月14日 00:38:00

      TO 38/39单元
      报一个小bug:右上角的
      [quote]
      俺的邮箱 (Gmail)
      俺的收藏 (GitHub)
      俺的推特 (@programthink)
      [/quote]
      旁边的小图标不能正常显示。其它所有内容均与主站点一模一样。

      删除
    9. 前篇博文搬运工2020年4月14日 00:39:00

      感谢反馈

      TO 42单元
      是故意去掉的,整个博客只有这几个icon会发送请求github.com和twitter.com,博主是想让他们收集访问数据?不然直接做成base64图片就好了嘛。
      Google Analytics同样也已去掉。

      删除
    10. 前篇博文搬运工2020年4月14日 00:41:00

      最后搬运一下前篇博文的48楼里进行的一系列围绕DoH和ESNI的技术讨论。

      删除
    11. 前篇博文搬运工2020年4月14日 00:43:00

      具体的单元就不搬运了,因为整个讨论很长,并且伴随一定的争吵。现在让本搬运工为博主总结一下我们希望看到博主评论一下的最后的一些疑点:

      删除
    12. 这个搭建博客镜像站的热心网友就是已经匿名的 Zeroth Posclegomer。

      删除
    13. 前篇博文搬运工2020年4月14日 00:48:00

      疑点1:Cloudflare把DoH服务器单独设在1.1.1.1上是极不明智的,因为墙可以对1.1.1.1进行IP封杀。更加明智的做法是把DoH服务分配到Cloudflare的CDN上的【每一个IP】上面。而后续热心读者的测试显示,Cloudflare的确【已经】把DoH服务分配到Cloudflare的CDN上的【每一个IP】上面了。

      删除
    14. 前篇博文搬运工2020年4月14日 00:50:00

      TO V2EX
      哈哈!V2EX终于露馅了!本楼里所给出的【所有】镜像网址【都不是】Zeroth Posclegomer搭建的。相信我,这点我绝对可以以我的生命担保,【绝对不是】Zeroth Posclegomer搭建的。Zeroth Posclegomer【整不出】如此【高科技】的博客镜像站!

      删除
    15. 前篇博文搬运工2020年4月14日 00:59:00

      疑点2:直接从疑点1的末尾开始讨论的,有热心读者解析了一下Cloudflare的DoH服务器的域名:[url]https://cloudflare-dns.com[/url]
      结果显示:ipv4解析结果只有两个IP:
      [br]104.16.249.249[/br]
      [br]104.16.248.249[/br]
      我觉得如果要完美抵御墙的封杀,cloudflare-dns.com这个域名应该随机解析到Cloudflare整个CDN的【任何】一个IP地址上去。博主觉得呢?
      (热心网友指出如果通过hosts文件强迫绑定cloudflare-dns.com到任何一个Cloudflare的CDN的IP上,是可以工作的)

      删除
    16. 前篇博文搬运工2020年4月14日 01:07:00

      疑点3:从疑点2开始讨论。既然DoH是基于HTTPS的,那么其在握手阶段就需要遵循HTTPS/TLS 1.3握手机制,其中包括SNI。从疑点2里我们得知DoH请求在握手时提供的SNI应该是cloudflare-dns.com,那么问题就来了,在未来ESNI普及的情况下,应该用什么公钥和安全证书加密cloudflare-dns.com这个域名呢?还是说加密cloudflare-dns.com这个域名用的安全证书和公钥是预先【内置】在浏览器里面的?(鸡生蛋蛋生鸡问题)博主是什么看法?

      删除
    17. 前篇博文搬运工2020年4月14日 01:16:00

      疑点4:这是最后一个疑点,几年以后,随着DoH和ESNI标准的大规模普及,可以预见未来的互联网上清一色都是使用ESNI的加密HTTPS/TLS链接。也就是说除了IP地址以外,其它所有信息均是加密的。也就是说DoH连接应该和普通HTTPS连接(又或者是trojan.gfw连接和V2Ray的HTTPS代理模式连接)完全没有两样。全都是opaque的HTTPS/TLS连接。这时我想问:墙【有没有可能】通过【机器学习】识别出哪些连接是DoH连接,那些不是?

      删除
    18. 我在 3 楼 9 单元已经建议博主扫盲 ESNI 了,但这个技术目前似乎还没有被所有主流浏览器支持,博主可能会暂时观望(就像我之前提到的 QUIC 一样)。

      删除
    19. 前篇博文搬运工2020年4月14日 01:28:00

      TO V2EX
      严重同意。DoH俨然是主流技术了,但是ESNI还不是,太可惜了。

      删除
    20. 前篇博文搬运工2020年4月14日 01:32:00

      最后向博主科普一个免翻墙方法:domain priming。不知道博主先前知不知道这招。具体方式如下:
      当然除了Domain Fronting以外还有一种叫Domain Priming的方法:利用HTTPS/TLS信道的【余热】访问被墙网站,具体做法如下:
      1.首先访问github.io(未被墙)
      2.然后在【同一个tab】里,打开program-think-mirror.github.io(被墙),这是你就突然发现镜像可以被打开了。

      同样的方法可以应用在workers.dev以及其子域名(比如本楼的两个镜像网址,假设其被墙的话)上。

      删除
    21. TO 前篇博文搬运工(14 & 19 单元)
      莫非你就是 Zeroth?
      如果是的话,算是亲自否认之前评论区有人说那个镜像站是你搭建的说法了。同时我也奇怪你怎么会突然想到起一个网名了?

      删除
    22. 前篇博文搬运工2020年4月14日 06:16:00

      TO V2EX
      哈哈,又被你识破了。
      我之所以在这层楼里取这个网名是因为匿名不能积星。而我希望本楼排的靠前一些,由于本楼含有很多热心读者的奉献,我希望博主能看到这些热心读者的奉献,他她们干的非常棒!

      删除
    23. 前篇博文搬运工2020年4月14日 06:23:00

      TO V2EX
      所以我觉得在本楼里破例取一个网名亦是对所有热心读者的尊重。

      删除
    24. TO 前篇博文搬运工
      那你完全可以重新使用 Zeroth Posclegomer,或者 Zeroth,就像“挪威森林猫”那样。干嘛用一个临时的昵称?
      而且这应该是你用匿名身份之后【第一次】自己盖楼吧?

      删除
    25. 我记得“挪威森林猫”之前是登录用户,后来变成了有昵称的匿名用户,不知“地平线”是不是也这样。

      删除
    26. 前篇博文搬运工2020年4月14日 06:54:00

      TO V2EX
      你说的有道理,我之所以不再使用Zeroth Posclegomer这个身份是由于我先前已经私下和博主打过招呼了,所以至少在本博客的论坛里就弃用Zeroth Posclegomer这个身份了。具体原因不方便在公开论坛里透露。
      另外一个用以就是想要本博客各位博友学会通过一个人的发言来认识这个人,而不是认具体某个网名,因为任何网名都有可能被冒充。

      删除
    27. 另外,之前 11 周年纪念那篇文章的评论区,有人用的昵称说是我的“骨灰级粉丝”,这个是不是你?

      删除
    28. TO 前篇博文搬运工
      同意你的这个观点,大伙儿应该明白【语言指纹】的重要性。
      据我所知,网评员培训课程里面尤其强调要注意这一点,看来本博客的五毛还是 naive。

      删除
    29. TO V2EX
      [quote]有人用的昵称说是我的“骨灰级粉丝”[/quote]
      那个人应该是我。(笑)

      删除
    30. TO V2EX
      [quote]看来本博客的五毛还是 naive。[/quote]
      严重同意!

      删除
    31. 前篇博文搬运工2020年4月14日 07:06:00

      TO V2EX
      [quote]我记得“挪威森林猫”之前是登录用户,后来变成了有昵称的匿名用户,不知“地平线”是不是也这样。[/quote]
      我觉得很多老读者可能还在本博客里,只不过都以匿名或者其它网名活动。

      删除
    32. TO 前篇博文搬运工
      你可以在每篇文章的评论区下面使用不同的昵称盖楼。
      据我观察,评论区有些人使用了这个方法,我都认出好几个了(具体是谁就不点名了)。

      删除
    33. TO 前篇博文搬运工
      要下线了 :(
      是的,这是目前评论区的趋势。登录用户的优势是热度高,不需要验证码,不容易被冒充(注意不是“不能”,因为昵称和头像可以冒充。而大多数人不看 UID,就像大多数人不会去验证 GPG 签名一样)。缺点是 Google 账号有被官方收集个人隐私的风险(现在注册 Google 账号【必须】绑定手机号,而且不支持细腻号码)。

      删除
    34. TO V2EX 32单元
      好的,以后我来试试。

      删除
    35. 纠正 typo:虚拟号码(VoIP)

      删除
    36. 前篇博文搬运工2020年4月14日 07:15:00

      TO V2EX 33单元
      祝下线后休息愉快
      非常同意你在本单元所说的。谷歌账号被官方收集个人隐私的风险对于墙外用户来说是可以接受的,但是对于墙内用户来说就是不可以接受的风险了。

      删除
    37. 前篇博文搬运工2020年4月14日 07:16:00

      TO V2EX 35单元
      哈哈,使用拼音输入法的人常犯的typo,明白明白。

      删除
    38. 顺便说一下自己的感想:
      上一篇安全动态点评文章的评论区被五毛刷了很多楼,我曾经不断盖楼提升自己的热度,以后绝对不会再做这种无聊事情了。其中有个匿名用户一直在我的楼层评论,还有讨论川普能否连任的,不知是不是你。
      我总觉得博客的热度算法不够合理,博主又不愿意改进。以前追求热度,经历这次疫情事件之后见识了极端逆向民族主义(俗称“真支黑”,不是灭绝兄那种比较温和,讲道理的),不再有这种想法了。

      删除
    39. 五毛打卡上班了2020年4月14日 07:30:00

      冒充支畜即将到达战场,两位珍惜这安静的讨论氛围吧

      删除
    40. 真支黑们还有30秒到达战场,碾碎他们!

      删除
    41. 我要亲自看着真支黑们如何污染评论区

      删除
    42. 博主如何看待“逆民”和“姨核华”这类极右言论?
      个人觉得这些人反共反到魔怔,到最后直接搞恐怖主义、纳粹主义;西化(脱支)我是支持的,但看到这些连自己的华人身份都要死命攻击的人,我只想说,你才脱支不彻底吧,真正摆脱了“酱缸文化”的华人怎么会整天把“屠杀”“核平支那”这些恶臭东西挂嘴边?这次疫情中,生活体面、完全融入西方社会的海外华人很多都往国内送物资了,即使已经全家移民的,还要忍受国内繁琐制度捐口罩。

      删除
    43. 你好,中国人已臭,用不着黑,例如V2EX等傻逼,中国畜生每一次表演,中国就越黑越臭。
      中国人得到了它们想要的,欧美亚非拉,全面驱逐恶臭中国人的时代来临。

      黑大爷:支辣病夫,鞠躬90度!保持距离!别碰我手机!
      https://obs.line-scdn.net/0hPFsCXGsJD2lOOieaUt1wPnRsDAZ9VhxqKgxedhFUUV03Ak0_cg9BB207WVBmDkg3IAtFDm05FFgwX0k9ewxB

      删除
    44. TO 42单元
      支性不改的贱种,掠夺物资送往中国,是中国祸害世界的有力证明,大大加速排华灭华的速度。

      要明确一点,[b]中国字和中国话最适合辱骂中国贱畜。我们不建议用其他语言辱骂中国人,这是侮辱其他语言[/b]。

      删除
    45. [quote]最近两周,没在评论区出没,某些读者以为俺静默了。其实俺这段时间还是很活跃滴[/quote]
      编程随想,你的骨灰坛子看起来静默了,其实你的成分低于5%,但其他95%的骨灰在别人骨灰坛里是相当活跃滴!

      删除
    46. TO 44单元
      你只看到了海外华人往国内送物资,却没看到他们为自己社区做志愿服务。
      以前被共惨党拒收的物资自从2月就一直放在仓库,现在还不是一齐捐给警察和医院了?

      删除
    47. 编程随想才是真支黑,它的行动表现了中国人最恶劣虚伪的一面。

      1.全球疫情进入黑暗时期,编程随想乐开花,不写不评,有关疫情的任何信息。
      2.香港抗争进入黑暗时期,港警滥杀无辜,编程随想假装没看到。
      3.天天只阅读电子书,一旁自恃清高。
      4.圈养粉丝,它的粉丝都是一群没有常识,不食人间烟火的假人。

      删除
    48. 五毛打卡上班了2020年4月14日 08:03:00

      冒充支畜上班真积极,八点不到就冲到工位上开喷了,有网友说你是为自由而战发帖减刑,真的?我要是你我也积极,哈哈哈哈

      删除
    49. 哈哈中国人居然可以发帖减刑,卧槽,怪不得只有中国不仅五毛多,中国骗子轻松进进出出监狱啊,看守所流水线作业。

      删除
    50. 傻逼中国蛆,被泰国人佛系对喷轻松肏翻,那可真是过瘾。

      删除
    51. 我觉得访问国内的博主网站是不安全,还不如翻墙更安全。因为访问国内网站,就可以被侦查到你的ip信息以及你的个人信息。翻墙的话,这些信息是掌握在谷歌手里的,目前估计还无法从谷歌手里拿到这些个人信息。

      删除
    52. 俺来晚了,摸了好久才到这里:)
      先贴一下镜像网站的链接,让更多的人看见:
      主站:https://www.program-think.workers.dev/
      备用:https://www.programthink.workers.dev/
      它们和其他镜像的区别这里已经有人写了:https://program-think.blogspot.com/2020/04/Security-News.html?comment=1586795710761
      原先的帖子五毛太多,本来以为这里能好点,结果又是五毛横行:(

      俺今天又测试了一下,主站和备用都活着:)
      已经【十天】了,热烈祝贺!
      (原始链接:https://program-think.blogspot.com/2020/03/VirusTotal-Tricks.html?comment=1586072961467)

      删除
    53. 前篇博文搬运工2020年4月14日 10:19:00

      TO 推倒GFW
      同喜同喜!已经【十天】了,主站和备用都活着,热烈祝贺!

      删除
    54. 前篇博文搬运工2020年4月14日 10:37:00

      TO 推倒GFW
      [quote]俺来晚了,摸了好久才到这里:)[/quote]
      你的意思是翻墙翻不出来,翻了好久才翻了出来,到了博主的博客上吗?

      删除
    55. 前篇博文搬运工2020年4月14日 10:39:00

      TO Jordan
      同意你的说法。但是博主曾经说过如果只是浏览,不发表言论的话,可以直接裸访问国内网站。

      删除
    56. 前篇博文搬运工2020年4月14日 10:41:00

      TO 五毛打卡上班了 39单元 48单元
      你真是预测的精准啊!

      删除
    57. 前篇博文搬运工2020年4月14日 10:42:00

      TO V2EX 38单元
      其实我自从前篇博文与五毛战斗了以后,也有一个类似的感触,下一篇博文再与你讨论。这楼现在已经被五毛毁了。

      删除
    58. To 54单元:
      俺赛风和Tor都上不来了,换了一个I2P进来的。而且刚开始没注意博主发新博文,在上一篇博文的评论区转了半天才发现到这里来了 :(

      To 55单元:
      俺补充一下,如果上的是最新的镜像的话,发表不了评论。两个workers网站是放在AWS上的,由于是HTTPS,GFW没法看到你的流量,AWS俺个人觉得比较硬气不用担心人家给中国信息,所以实在不放心开个DoH保证墙看不见你访问的域名就行了 :)
      (这是俺个人的见解,有错误还望各位指正)

      删除
    59. 瞧瞧八十国联军怎么推到GFW的,中国蛆蛆,还在意淫咧
      https://pbs.twimg.com/media/EVhT5fQX0AAzxxx.jpg

      删除
    60. 我就是喜欢跟中国五毛战斗,中国傻b只剩下复制粘贴nmsl~~~~

      删除
    61. 肏你妈怎么不反代一下方方日记?去看什么支那随想。蛆蛆随想,你的读者都是傻逼吗,能对你最爱的共产党产生什么伤害吗。

      删除
    62. 太令人震惊了,zeroth兄确定被编程随想杀害,肢解,煮熟,腌制。变成随想风味人肉干。

      删除
    63. TO 前篇博文搬运工(12楼20单元)
      GitHub pages(github.io)在墙内并没有被封,但是随想镜像站(program-think-mirror.github.io此类)却仍然无法访问?是被DNS干扰了吗?

      删除
    64. TO 42 单元的网友
      这些反向加速的家伙,从某种程度来说,是在【变相】帮助朝廷维稳。

      删除
    65. TO 前篇博文搬运工(57 单元)
      但说无妨,难道下一篇文章他们就不会来吗?
      他们喜欢到热度最高的楼层捣乱,我要感谢你亲自盖楼 :)

      删除
    66. TO Jordan(12楼51单元)
      我也是如此认为,墙内镜像站虽说可以直接访问。不过访问,别人也就知道你了。
      自从Shadowsocks曝出漏洞,感觉单套一个shadowsocks代理,别人还是有办法知道咱访问的网站。(一层代理还不够,Tor还是要习惯起来��)
      但我觉得可以把镜像站推荐给那些觉得翻墙麻烦的人看。

      删除
    67. 订正楼上几位。
      workers.dev是Cloudflare的IP,不是国内镜像,也不在亚马逊AWS。

      删除
    68. TO V2EX
      这些减速大师,特别是编程随想和它的粉丝,从某种程度来说,是在【变相】帮助朝廷维稳。

      删除
    69. 我爱中国,我爱编程随想,我精神脱支!你们都是支畜畜!

      删除
    70. V2EX造反了!他竟称编程随想变相为朝廷维稳。
      有道理,编程随想避开了所有敏感话题,只假装理中客!

      删除
    71. 借楼。
      我是国内一名应届生,想问问博主,近几年要不要出门找工作?
      出门找工作吧,现在有很多证据表示中共病毒会在人体终生存在,影响一辈子;
      不找工作吧,虽然基本安全了,可又耽误了毕业后的几年黄金时间。就算可以自学,但毕业后几年无工作的经历还是挺不利的。
      该咋办捏?

      删除
    72. 所有理客中,都是变相的助纣为虐。编程随想,你听到了吗,你是维稳专家啊!
      你气的老读者Zeroth的棺材板都按不住了!

      删除
    73. TO 74单元
      中国人注定灭绝,所以不要担心!中国蛆要向编程随想学习。开开心心生活,天天无能,最后死亡!

      删除
    74. 我也看到了,可惜被墙了https://program-think-mirrors.github.io/blog/html/

      删除
    75. 灭绝编蛆随想和它的读者贱畜!

      删除
    76. 哈哈,好过瘾,把微博言论翻译成英文,发到twitter,全球排华就开始了!!
      排的好啊,蛆就要得到蛆的下场,滚回去互咬。

      删除
    77. 哈哈哈哈,这一妙招真棒,我就天天翻译中国文字,原版原味不加料,老外看到了,全都加入八十国联军暴打中国蛆啦!

      删除
    78. 是时候约法三章,限制仇恨言论,博主

      删除
    79. 前篇博文搬运工2020年4月15日 00:43:00

      TO 推倒GFW 58单元
      [quote]俺赛风和Tor都上不来了,换了一个I2P进来的。[/quote]
      听说现在有一个新的翻墙大杀器:迷雾通。非常坚挺,敏感时期都能翻,不妨一试。

      删除
    80. 前篇博文搬运工2020年4月15日 00:46:00

      TO 懵懂高中生 (65单元)
      是的,是被DNS干扰了。
      看来你试过了我在20单元给出的domain priming小招数,不工作,太可惜了。
      我下来琢磨琢磨“2级浏览器” (two-level browser)

      删除
    81. 前篇博文搬运工2020年4月15日 00:57:00

      TO V2EX 67单元
      同意,好那我就在这儿谈论一下:
      以前我一直以为不要和五毛搏斗的理由只是你越和他们搏斗他们就越来劲,现在我还发现多了一个非常迫切的理由为何不要与五毛搏斗,这是我在看了上篇博文博主说“1楼捣乱的家伙太多”而受到启发想到的:
      特别是如果是以匿名身份与五毛搏斗的话,到最后你的搏斗楼层与五毛的捣乱楼层混在一起,在博主那儿开起来就全部变成了捣乱楼层,所以我等于到最后是帮博主的倒忙,最后自己也变成了捣乱一份子(由于用的是匿名所以博主没法知道与五毛搏斗的是我,从博主的角度很有可能是朝廷派驻博客的同一批五毛在那儿导演左右手自我互博)。所以以后我再也不与五毛作斗争了。

      删除
    82. 前篇博文搬运工2020年4月15日 01:01:00

      TO 懵懂高中生 69单元
      [quote]我也是如此认为,墙内镜像站虽说可以直接访问。不过访问,别人也就知道你了。[/quote]
      同意。但是博主曾经多次说过如果只是浏览,当局不会找你麻烦。甚至你如果在墙内只是用BTSync/Resilio转播博主分享的东西,而你本身不是源发布者,当局也不会找你的麻烦。当局警力有限,不可能管所有的翻墙者/浏览人。所以唯有你在发布敏感信息言论的时候才需要特别注意匿名化。

      删除
    83. 前篇博文搬运工2020年4月15日 01:03:00

      TO 70单元
      你所言极是,workers.dev是Cloudflare的服务,不是墙内镜像,而是墙外镜像,随时有被墙的可能,只不过现在还没被墙。和亚马逊AWS没有任何关系。

      删除
    84. 前篇博文搬运工2020年4月15日 01:04:00

      TO 操你妈的墙
      是啊,很可惜已经被墙了。

      删除
    85. 这个搬运工,你真他妈没良心,就不为死去的Zeroth报仇吗!

      操你妈的支那蛆,你这就宣布不跟五毛斗争了?蛆都是这样一时兴起反党,然后任其自流变成爱党。
      【支那蛆从反党到爱党】

      删除
    86. TO 82单元:
      谢谢给俺的提示,不过俺听说过这玩意好像要付钱。俺很担心这样会不会泄露自己的身份。毕竟俺还是要说说话滴 :(

      TO 83单元:
      Domain Priming不工作估计是因为www.github.io被重定向到pages.github.com了。
      试过先访问别人的github.io网站,然后再访问博主的镜像吗?或者是不是GFW连余热访问都能拦截了? :(

      TO 87单元:
      俺刚刚测试了一下,两个备用网站【都能访问】,已经十一天了,俺们能不能推测天朝不想墙了呢?:)

      删除
    87. 在Android手机上可以不需要手机号注册Google账号:)

      删除
  12. 终于等到你更新了,希望你就最近美日撤资聊一聊,我感觉很恐怖的事情将要来临了!

    回复删除
    回复
    1. 逃离垃圾中国,驱逐垃圾中国人。
      成为世界共识。

      删除
  13. 编程��终于更新啦。最近裆国宣传急刹车,很多地方紧急撤换刁包子遗像和语录,联系之前任大炮事件感觉其中信息量颇大,您怎么看?包子是准备“退居二线引蛇出洞”,还是“彻底认怂韬光养晦”?

    回复删除
    回复
    1. 中国贱畜想要促进消费,却没人消费习近平的人头,支蛆蛆是没有胆去众筹习近平人头的。

      删除
  14. 我发现一个问题,mozilla.org下载的Firefox中文安装包在打开时首页会变为firefox.cn,这是不是意味着非谋智版也被添加某些未知的跟踪程序?还有除了Firefox以外,新版的edge会不会是一个比chrome更好的选择,微软值得信任吗?

    回复删除
    回复
    1. Edge 无论在哪方面都不如 Chrome 靠谱。

      删除
    2. 不放心可以自行编译,然后加上本地化。
      话说 Firefox 其实没几个生词,多用用你就明白了。

      删除
    3. 新版也是吗?

      删除
    4. 中国鼠疫面临大爆发!!
      它们中国贱畜还在玩浏览器!?

      删除
    5. TO V2EX
      Edge不是现在也变成了一种Chromium的浏览器了吗?
      Chromium基本上已经一统天下了。除了火狐之外其它浏览器都变成了Chromium披上不同的皮。

      删除
  15. 美国民众是普遍拥枪的。

    发生这样的大疫情,很多人突然失业,不能聚集,喜爱的体育,娱乐演唱会都没了。 酒吧饭店都关了。

    爱玩爱自由的美国人没闹,一切安安静静,显得很不可思议。

    普遍买股票的,连续历史性的几个熔断,市场也没崩,现在股价又上去并稳定了。

    各州医护人员都纷纷自愿报名去支援纽约,之前就有7万多人报名。 很多是关了自己的诊所。

    各大企业各种出力,有的捐钱,有的转产造需要的呼吸机,口罩。有的保险公司自动退还保险费.....

    这些大企业平时哪个是对政府服帖的。 联邦调查局,要个犯罪者手机密码,都被苹果怼回去。这次苹果各种措施,又是和老对手谷歌一起研究追踪运用,又给信用卡用户推迟还款....

    平时各个不鸟政府的,一下纷纷“爱国”起来。

    民众也纷纷捐献防护用品给短缺的医院,一个超市卖医护人员用的n95口罩,不是被抢购,而是被举报,说这要留给医护人员,普通民众不抢这种医用防护用品。

    医生护士,上下班,邻居没恐慌不让进,而是一起拍手感谢。

    这一切是因为大家知道发生了什么。 报纸电视网络, 真实的把各种最坏的消息及时告诉大家。 媒体独立于政府。 政府做错一点,早开火了。还有反对党,紧盯着川普,没事找事的批判,大家都习惯了。

    大家知道病例和死亡数没隐瞒。一开始纽约没把在家死亡的病例统计进新冠死亡数,因为没查过新冠,被媒体轰, 现在在家任何死亡,全部算新冠死亡病例。

    各种应对措施的及时。 开始政府大意错过控制点。 对这点,各媒体和反对党早骂了透。

    之后各种措施及时有效。 比如各种救市措施,补贴企业,个人, 失业者失业金翻几番。让大家后顾无忧。

    各路专家告诉大家情况。最坏怎么样,大概会持续多久等等。消除公众恐慌心理。

    生活物资供应充足, Costco,Amazon 等一切运转正常。 大家日常采购,没任何问题。

    知道医院的状况。 免费检测和治疗。 需要的,开车直接去检测,都不用下车,方便快速。 现在己经第七代技术, 据说2分钟出来确诊结果。

    需要住院的可以及时住院,没有发生无法住院的情况。

    大家知道医院防护用品缺乏的情况, 了解原因和各种对策。 纷纷捐助, 政府也各种调派用品,和企业合作。

    治疗药品的研制信息也各种透明。 政府开绿灯加快新药批准速度。

    川普几乎天天新闻发布会,解释政府的应对措施和解答质疑。

    虽然艰难, 大家一起面对,没有恐慌,反而对总统支持率上升,说明认可他的应对措施。

    美国各州自治很强,很多措施和法令都各州不同。 现在基本都是发布了居家令。很多人在家工作。好些工厂还是继续上班的,医院,大超市,快递等必须岗位也继续运行。其他的,大家安静在家,等待疫情过去。

    美国没有小区看门的。 开车出门购日用品都没问题。就是不能去公园什么聚集,会被赶。 餐厅只能外卖和递送。

    所以日常生活是平静正常的。

    公众知情且看到各种积极措施, 对一些过错及时改正也会谅解。

    公众是有控制感和参与感的,所以虽然确诊和死亡数字高,并没有恐慌。

    回复删除
  16. 一篇美国疫情好文,此公众号的文章都非常好,是个叫老蛮的大v,屡次被封杀 https://mp.weixin.qq.com/s/ivZuZBvp33cvIrFwr1otJQ

    回复删除
  17. 博主最近为什么不谈政治了?西方国家这次处理疫情也有比较大的失误,以此来看,民主自由的社会是否也有很大的问题?

    回复删除
    回复
    1. 这个真的没得洗,西方确实低估了传染性。
      台韩日有之前sars的经验,所以控制的明显好很多,台湾更是提早停止口罩出口,保护了国内民众有口罩戴,这点老蔡做的不错

      意大利和中国太紧密,结果基本是第一批爆发。欧洲可以说基本是被意大利拖下水的。美国虽然提早踢开who,防御了中国一波,却没有防住欧洲那一波,对欧洲封得太晚了。
      还有就是之前说过的欧美不愿意戴口罩的问题,其实戴口罩不光会保护自己,还会保护别人,阻止无症状和潜伏期传播病菌。理论上确实是只有病人才需要戴,但是无症状和潜伏期难以查明的情况下,全员戴口罩还是性价比比较高的做法

      删除
  18. 华春莹:欢迎到中国“享受自由”
    中共病毒于2019年冬首次在湖北省武汉市爆发,随后于2020年快速扩散全球多国,最终变成一场全球性大瘟疫,也是全球自第二次世界大战以来面临的最严峻危机。截至2020年4月12日,全球已有200多个国家和地区累计报告超过160万名确诊病例,导致超过10万名患者死亡。
    而病毒起源地中国,却在此时极力隐瞒疫情真实数据。为此,美国国务院发言人欧塔加斯(Morgan Ortagus)4月7日曾在推特表示,美国愿意与中国共同抗疫,但美方呼吁北京当局给予公民言论自由权利,并公开所有疫情资料,让国际社会尽快找出应对方法。
    欧塔加斯强调,“真正的合作靠的是透明和实际行动,不是嘴上说说。”
    对此,中国外交部发言人华春莹9日晚间竟在中国禁止使用的推特上回应称,“欢迎随时到中国,并与街上任何人交谈,享受自由”。华春莹的这番言论引发外界哗然。
    美国官员:想与这8人自由交谈
    近日,美国联邦通讯委员会(FCC)委员布伦丹·卡尔(Brendan Carr)在推特连续发出多篇推文向华春莹询问“我可否和他/她交谈?”



    卡尔在推文中列出的9名中国人士分别为:率先警告疫情的武汉市中心医院急诊科主任“艾芬”、因纪录武汉疫情被失踪的公民记者“陈秋实”和“方斌”、因揭露疫情在直播中被捕失联的前央视主持人“李泽华”、因发布公开信而遭逮捕的民权人士“许志永”、因撰文批评中共专制政权和审查制度导致疫情失控的法学教授“许章润”、因批评共产党掩盖疫情的企业家“任志强”,以及在微博发布武汉肺炎警讯而遭警方关切的武汉协和医院肿瘤中心主治医师“谢琳卡”。
    另外,卡尔也要求中共当局公布疫情吹哨者、因染疫死亡的武汉市中心医院眼科医生“李文亮”,当初被警方连夜逮捕、被迫撤回示警的细节。
    最后,卡尔询问华春莹:“你的邀请还算数吗?还是也会随着时间过去而突然消失了?”
    相关消息传出,引发网友热烈讨论。
    网友纷纷吐槽说,“中国特色的自由...跟外国人不一样...中国没有限制自由交谈,但是喜欢自由交谈的人通通要被剥夺行动自由。 ”“我看她(华春莹)自己都不相信。”“中国的大大小小官员都有说谎、贪污、腐败、随便入罪人民、随便抓人民的自由!”“上网没开口,都要翻墙了,说自己有言论自由?”“华大妈说中国有自由,跟崔天凯向美国人说中国自由是美国的五倍一样,应该说的是台湾啦。”
    也有不少网友调侃道,“这剧本我看过,接来下就要说他辱华,伤害中国人民感情了。”“中国保证言论,但不保自由。”“没办法让他们来见你,但是可以让你去见他们。

    回复删除
    回复
    1. 他所在的地级市2月份税收只有几千万,下降了50%,地方留成一半,只有2000多万,包括公务员和其他相关事业编在内,财政需“供养”人群的工资、社保、养老医疗等一共需要2个亿,再加上保障民生,加起来要3个亿。

      -1-

      疫情之下,财政吃紧是意料之中的事。

      一则是防疫工作开支不少,二则因为经济停滞两个月,税款收不上来,这一增一减,财政立马就捉襟见肘。

      据一位地级市财政单位人员透露:

      他所在的地级市2月份税收只有几千万,下降了50%,地方留成一半,只有2000多万,包括公务员和其他相关事业编在内,财政需“供养”人群的工资、社保、养老医疗等一共需要2个亿,再加上保障民生,加起来要3个亿。

      2000万收入,3个亿支出,缺口高达2.8亿,其中财政供养支出惊人。

      这并不是单一现象,再来看几则新闻:

      1、全国多地出现防疫补助被追回的现象

      本来国家规定对隔离医院、发热门诊、转运司机、卡口执勤等人员发放补助,但是很多地方要不就是不发,要不就是发了又追回,理由只有一个:财政吃紧了。

      2、湖南怀化扣教师工资当促进消费款

      我们在之前推文中说到消费券刺激消费的办法,其中就提到一个问题:发消费券的钱从哪里来?

      湖南怀化想到了办法,从教师绩效工资里扣,后来说公务人员也要扣,遭到争议后现在变为厅级干部直接扣,处级和科级干部自愿扣,不做强制要求。其实就是强制教师和部分公务人员去消费。

      财政吃紧第一时间想到的办法就是扣教师工资,是各地方政府的一贯做法,这样好理解,在所有吃财政饭的岗位里面,也就教师最好“欺负”了。

      我自己就记得小时候老师有次骂学生骂激动了,说自己三个月没发工资了,给你们上课,你们还不好好学。

      各方面来看,财政现状确实不容乐观。

      -2-

      哪些地方的财政更紧一些呢?

      我们之前整理过一个数据:



      总体来说东部沿海省份情况还算乐观一点,中西部和东北就没那么乐观了,本来财政就要靠转移支付,现在沿海省份也遇到困难,它们的财政状况就更加雪上加霜,而且一些靠投资拉动的城市,情况更不容乐观。

      4月9日的消息:郑州市统计局发布数据显示,2020年1至2月,郑州主要经济指标出现大幅回落,均为下降态势,除财政收入外,工业、投资、贸易等指标降幅均高于全国、全省,在18个省辖市中位次靠后,形势严峻。

      1、工业增加值:1~2月,全市规模以上工业增加值同比下降23%;

      2、固定投资:1~2月,全市固定资产投资同比下降38.5%;

      3、消费零售额:同比下降27.5%,批发业零售额同比下降21.7%,零售业下降26.6%,住宿业下降46.9%,餐饮业下降35.2%。

      基本是三分之一的下降,前几天网上还在说郑州要超于青岛成为北方第三城,如今打响经济困难第一枪,看来困难真不小。

      -3-

      要地方自己想办法解决,还能有什么办法呢?

      南京:40周岁以下大专学历人员参保半年可落户;

      不只是南京,杭州、苏州、天津、沈阳等超过10个城市发布人才落户新政;

      衡阳、马鞍山等8个三四线城市发放购房补贴;

      南宁、东莞等5个二三线城市放宽公积金贷款条件或额度;

      ………………

      作为全国楼市风向标的深圳,据说又出现千万豪宅被“秒光”的新闻,看买房卖地这个架势,我们好像一点都不缺钱,可是实际上却吃紧得很,这也真是一个奇葩现象。

      当然,还有人说了,财政不够可以改制缩编,像上面说的一个地级市包括公务员和其他相关事业编在内,财政“供养”人群的工资、社保、养老医疗等一个月就需要2个亿。

      类似工会、妇联、文联、工商联等等这些半官方群体应该减人了,县级的报纸、电台、电视台,也该裁撤了。

      这些单位本来也是混日子吹水养老的中老年人居多,

      当然,阻力可想而知,趁着疫情财政吃紧倒是可以下决心壮士断腕,老年人早点退休,年轻人也好另谋出路。

      删除
    2. 中共肺炎如果发展至重症,很可能留下无法恢复的后遗症。 中共肺炎疫情快速延烧。据已公开统计数据显示,截至4月13日,全球确诊病例已突破185万例,死亡人数超过11万人。暴增的患者、越来越多样的症状,成了各国专家学者及医护人员的恶梦。
      变化多的“典型”症状世界卫生组织(WHO)曾发布中国的中共病毒考察报告,总结14个典型症状:发烧、干咳、疲劳、有痰、呼吸急促、肌肉或关节痛、喉咙痛、头痛、发冷、恶心或呕吐、鼻塞、腹泻、咯血、结膜充血。
      但随着病毒在全球传播过程中,不断出现突变,柏林罗伯特.科赫研究所(Robert Koch Institute)的专家向德国之音表示,目前已无法归纳出所谓“典型”症状的标准。
      例如,眼睛痒、流鼻涕或鼻水等常见过敏症状也可能是感染了中共肺炎。病毒还会造成肾脏损伤、睾丸损伤,或是没有明显呼吸急促,但肺部已被病毒严重侵犯。柏林夏里特医学院肺病和感染病分院的维岑拉特(Martin Witzenrath)指出,有些病人只是略感呼吸不畅,但电脑断层扫描显示肺部情况已很糟,“这是我们以前没有见到过的”。
      而丧失嗅觉、味觉的病例则在近期明显变多,成了诊断指标之一。德国还有确诊患者出现嗅觉和味觉偏差,发现自己爱吃的菜肴出现苦味或金属味。
      肺、脑、心都是病毒攻击目标
      台大医院小儿部主任、台湾感染症医学会理事长黄立民医师指出,这个病毒可以引起心脏、脑部和肺部的伤害,致病力很强。
      中共肺炎本身是呼吸道疾病,最易造成伤害的就是肺部。当发展至急性呼吸窘迫症候群(ARDS)时,将导致患者重症、甚至死亡。
      急性呼吸窘迫症候群的症状包括严重呼吸急促、疲惫和意识混乱。可直接影响呼吸道和心血管系统,并造成多重器官衰竭。
      另有确诊病例显示出,中共病毒能直接攻入脑部。据《纽约时报》报导,有部分确诊患者出现脑部受损或精神状态改变、精神错乱等情况。美国佛州一名74岁男子,出现发烧、呼吸困难并丧失说话能力,后来确诊中共肺炎。
      美国底特律一名50多岁的航空公司女员工因为头痛、意识混乱就医,仅能说出自己的名字,但无法回答其它问题,后来确诊感染。脑部断层扫描发现有小区域的脑细胞死亡,诊断为急性坏死性脑病变。包含流感病毒在内,有多种病毒能造成急性坏死性脑病变。
      约翰霍普金斯医学院的神经病学专家罗伯特.史蒂文斯(Robert Stevens)博士表示,多个国家出现类似案例:确诊患者没有发烧或咳嗽,但因精神状态改变而接受治疗。
      报导指出,中共肺炎患者可能因意识不清、抽搐而就医,医护人员必须采取防护措施,避免被感染。
      另外,中共病毒还能攻入心脏。感染中共肺炎的患者出现心肌炎、心肌梗塞、心脏衰竭的情形不在少数。
      《科学美国人》月刊日前一篇文章称,许多确诊患者死于心脏骤停,甚至在没有出现急性呼吸窘迫症候群的病人中,也会导致心脏衰竭和死亡。

      头痛、感到意识混乱也可能是染上中共肺炎的症状。(Shutterstock)
      极可能垂直感染
      在中国有病例是母亲为中共肺炎患者,产下的婴儿仅30个小时就确诊感染中共病毒。
      B型肝炎病毒、艾滋病毒也都能垂直感染,将病毒传给新生儿。专家不排除,中共肺炎可能透过母婴垂直感染,台湾疾病管制署副署长庄人祥先前曾在记者会上说:“(病毒)是有可能透过胎盘或是产道,造成垂直感染。”
      后遗症可怕 器官功能可能回不去
      无症状或轻症的中共肺炎患者,不易产生后遗症。但如果是仅出现味觉跟嗅觉丧失的轻症患者,则要视病毒侵犯程度而定。
      林口长庚小儿急诊科医师吴昌腾解释,如果病毒只是侵犯到嗅觉上皮细胞、味觉上皮细胞,有机会修复,但如果是侵犯到嗅觉和味觉的神经,恢复就比较困难。他举例,SARS时期也有确诊患者失去嗅觉和味觉,但17年后仍未恢复,“就是侵犯程度较严重,范围较大,会留下后遗症”。
      中共肺炎目前极可能留下后遗症的,主要是重症或微重症患者。吴昌腾以肺部为例,指重症或微重症较容易造成肺纤维化,这类后遗症是无法治好的。
      如果并发脑炎、脑膜炎或呼吸窘迫症候群,同样会有后遗症。吴昌腾说:“这个病毒很可怕,如果恶化到急性呼吸窘迫症候群,需要呼吸器,死亡率很高。”
      急性呼吸窘迫症候群会影响全身器官,造成多重器官衰竭的可能性很高。当影响到心脏、肝脏,甚至是肾脏,就算抢救回来,器官也会终生受损。以心脏为例,有些人会产生心肌炎、心包膜炎,留下心脏功能受损的后遗症。
      吴昌腾表示,按中国之前的说法,进展到急性呼吸窘迫症候群能活命的机会,只有21~50%,在台湾的死亡率也有5成以上。他直言:“这类病毒的重症,有一形容词,就是非死即重伤。”
      胸腔重症科医师苏一峰认为,新冠病毒还有几个可怕的地方:感染者不一定能获得完全的免疫能力、可能再次重复感染、无法排除有慢性感染可能,病毒突变快速又再次感染。最后,很可能因病例大增,瘫痪医疗体系,连带死亡率大增。
      面对人类仍处于未知的中共病毒,曾任台北荣民总医院感染科主治医师、尚文诊所医师郑元瑜形容:融合多种病毒特性、狡猾又致命,是“传染病专家的恶梦”。

      删除
    3. 如果说中国肺炎武汉肺炎中国病毒我要抗议
      中共肺炎。。随便说

      删除
    4. 操你妈的中国肺炎 支那肺炎 中国病毒 支那病毒

      中国贱种 中国贱畜 中国蛆!!

      删除
    5. 武汉肺炎,中国肺炎,支那肺炎!中国蛆去抗议!气死中国蛆!

      删除
  19. TO 编程随想
    随想君好,之前有两个问题想请教一下您:
    1.如果疫情向着我们之前预测最坏的情况发展,我们应该做好哪些准备呢?
    2.如果要收集各种电子书,您推荐哪些途径呢?毕竟天朝的某些网盘并不是好的选择:(

    回复删除
    回复
    1. 当然用resilio sync了,编程随想以前博文介绍过,可以看看前面博文。

      删除
    2. 磨好菜刀,准备上街砍杀。

      删除
    3. TO 1单元的网友
      我是20楼楼主,大家接收随想君分享的电子书主要是用BTsync,但我比较想了解随想是通过哪些方式搜集到这些电子书的呢(也是通过BTsync吗)?最近我需要自己找一些其他领域的资料。

      删除
    4. 编程随想兄在前面的博文里说过他主要用https://libgen.is/来搜集电子书资料。

      删除
  20. 博主辛苦了。哎,不得不说,随着评论区越来越热闹,还是依然越来越乱了。

    回复删除
    回复
    1. TO tomgeniewang
      老朋友,是啊是啊,评论区的确越来越热闹,还是依然越来越乱了。有种像在公共厕所里喝茶聊天的感觉。

      删除
  21. 我这里目前无界目前可以连接上,但是基本无法使用。
    自由门和赛风早已无法连接,赛风甚至出现启动后所有未被墙的外国网站全部无法打开的情况
    tor+meek目前也已无法连接,torbrowser最新的几个插件也不是很好用
    ssr经常连接不上,偶尔连接上也很慢。不过ssrot目前还比较坚挺
    迷雾通之前一直坚挺,近期也出现偶尔连接不上的情况,勉强还可以继续用
    v2ray目前速度也受到不少影响

    回复删除
    回复
    1. 美国中国脱钩!
      美国博客【Blogger】与中国博主(自称)【编程随想】,脱钩!
      编蛆随想,滚回墙内!

      删除
    2. 迷雾通的上一个版本有问题,很难连上,更新到最新版解决了。
      V2Ray 确实没有以前稳,目前还可以接受。
      由于【众所周知】的原因,这个时期 GFW 只会越来越高。

      删除
    3. 您好,还有一个翻墙工具VTunnel可以供您选择。
      这是一款开源的TLS加密代理客户端。
      您可以通过谷歌商店安装它的安卓客户端,链接为:
      https://play.google.com/store/apps/details?id=com.vtunnel

      删除
  22. 用谷歌账号评论会不会有隐私风险?没有的话我就懒得再用匿名了。

    回复删除
    回复
    1. 傻逼支那支蛆蛆,居然怕使用Google账号,它们又胆小又贱。

      删除
    2. 中国傻逼编程随想的暴政,导致读者无法正常使用Google账号,垃圾博主肆意删贴!屏蔽!它就是个中国蛆,从墙里来,回墙里去!

      删除
    3. 只要不把账号邮箱公开,共产党的狗应该没精力去专门找你的麻烦。但安全性和隐匿性的代价也是事实。需要你自己trade off。
      另外使用 Google 账号发言可以提高你的发言权重/热度,同时也方便博主筛选/分辨留言。比如楼上这种来捣乱的。

      删除
  23. 以后别人再说俄罗斯实行了民主化却仍然贫困,就有了反驳论点:你管这个政府就实行民主制?

    回复删除
  24. 应该是Shadowsocks over tor,才能保证Shadowsocks看不到访问的网站吧。不知道是我错了,还是博主错了<(ToT)>

    回复删除
  25. TO 博主

    受疫情的的影响,差点忘了还有这个系列的博文存在 :)
    近期大出风头的Zoom博主怎么没有转载捏?

    补充几个文章:
    [url=https://www.nytimes.com/2020/04/03/technology/zoom-harassment-abuse-racism-fbi-warning.html]‘Zoombombing’ Becomes a Dangerous Organized Effort @ New York Times[/url]
    [url=https://theintercept.com/2020/04/03/zooms-encryption-is-not-suited-for-secrets-and-has-surprising-links-to-china-researchers-discover/]Zoom’s Encryption Is “Not Suited for Secrets” and Has Surprising Links to China, Researchers Discover @ The Intercept[/url]

    回复删除
    回复
    1. TO 博主

      插一句话:最近翻墙比往常更费力,估计墙又增高了 :(

      近期热点事件比较多,所以先提提这些话题:

      [b]1.作家方方[/b]
      本博客疫情开始以来貌似没多少提到【方方】。博主对她的“方方日记”还有最近她出书的争议,有什么评价?

      [b]2.罗斯福号航母舰长[/b]
      最近此人在美国社会的争议貌似也不小。一边说他是民族英雄,一边说他不配当舰长。争议的焦点在于:
      2.1 它允许官兵【上岸越南】(有说舰长得直接负责,有说海军部长也有责任)
      2.2 他发邮件给几十号人【导致泄露】(有说是故意的,有说不是)
      到底哪一个说法更准确?

      [b]3.谭书记和世卫[/b]
      川普最近威胁撤回世卫会费,还有英国政坛呼吁对天朝更强硬的态度(还没提到约翰逊亲自染病),让【另起炉灶】的说法浮出水面。简而言之就是西方国家自己成立新的卫生组织,跟天朝【脱钩】。可操作性有多大?川普是否只是利用这个吓唬人,让谭书记就范而已?

      3.1 另外,西方国家迟早会追责谁该为这次的大流行病负责。网络上流传的【八十国联军】对天朝施压/索赔是否靠谱?

      [b]4.俄罗斯[/b]
      最近俄罗斯民间因为疫情原因对天朝民众并不是很友好。俄罗斯和天朝的民间关系并不强,还有很多历史渊源,为什么天朝还有很多人亲俄反美?美国封关大骂美国,俄罗斯封关屁都不放一个?

      [b]5.外资撤离[/b]
      四月初日本和美国政府相继呼吁在华企业迁回本国。这貌似还是【第一次】这两个政府公开帮助企业迁出天朝(这两国的经济刺激计划都把这个包括在内)。这个效果有多大?产业链迁出的速度是不是【又提升了】?想起以前大规模宣传的“中国制造2025”,是不是变成“空心制造2025”?

      先写那么多。

      删除
    2. 老熟人来晚辣 :)
      除了 Zoom,上一篇文章的评论区也有人希望博主点评 DrayTek 路由器的安全漏洞(我在 3 楼有提到,但当时不记得厂商名字)。

      删除
    3. [url=https://zhuanlan.zhihu.com/p/129695450]方方日记出口西方,一个文人的卑鄙,毁掉了数万人的努力[/url]

      我永远也想不到,伤我最深的不是新冠病毒,而是那一本迅速出口到欧美的方方《武汉日记》,那个女人往我们的伤口上撒了一把盐。

      内容来源:本文版权归郎言志(liusilang520)所有。

      “Franco,你是中国人,你告诉我,你们真的没有隐瞒什么吗?你知道有些事情是可以避免的,也许世界本不会变成今天这个样子”。
      这一刺耳的声音,出现在4月12日的早晨。一大早起来,我本想煮一壶咖啡,却不想被同屋的意大利室友Marco给拦住了,他问我为何不曾告诉他真相。他很严肃地和我说:Franco,因为这个病毒,死了那么多人,我们需要真相。
      显然,Marco的话中带刺,也藏着他的疑虑。
      我有点迷糊,因为昨天的Marco并不是这么想的。我曾耗时数十天,不断地在西方媒体和政客的胡言乱语中找到各种破绽,和Marco以及其他几个异国的朋友解释病毒背后的真相,在不厌其烦的交流和解释之下,他们才终于相信中国人没有向世界隐瞒什么。这其中,或许也有多年的同窗情分。
      因此我费解,究竟是发生了什么,会让Marco的想法发生较大的转变。直到我看到Marco放在桌上的学习电脑上,开着的那本《WUHAN DIARY-FangFang》(方方武汉日记),醒目的字眼,让我瞬间想明白发生了什么。
      ▲在Marco平时常用的电脑上,页面停留在了《武汉日记》的购买页。我不知道是谁介绍给他的。继英文、德文版出版后,意大利语版将在6月份发布。
      我试图想再说些什么,我用平和的语气和Marco说:朋友,我们认识了这么多年,你该是信我的,我想告诉你的是,这本日记所写的,虽然有很多真实的画面,但也有很多夸张的部分,甚至是虚假的谣言······
      未等我的话音落,Marco就打断了我的话:是的,我相信你说的,但你说我们欧洲的媒体的报道很多是假的,美国的媒体也是假的,现在又说你们中国的作家的日记也有问题,我很疑惑,也许很多是你看不见的呢?
      “可你要知道,我是中国人,我两个月前才从中国回来,我知道那里发生了什么,并不像他们说的那样”,我解释到。
      “是的,你是中国人,我尊重你的想法,但你要知道,就像这本日记中说的一样,很多事情一开始可以避免的,但现在死了十多万人了”,他回到。
      ▲正如Marco所说,因为新冠肺炎死了很多人,尤其是在欧美。他们中很多人将怨气撒到中国人头上。
      我和Marco辩驳了许久,虽没争吵,但也失去了原有的和气。我理解他心中的疑虑,但也捍卫自己的尊严,只是眼前的这一幕,不免让自己有些伤心。想想自己和身边华人朋友为了还原真相所做的努力,心中不禁有了悲凉感。
      网上很多人说,我们这些在海外的中国人是最惨的,中国打上半场的时候,远在异国他乡的我们,忍受着歧视、谩骂、种族攻击的压力,四处找寻医用物资往国内寄;到了国外打下半场的时候,我们又深陷在疫情的中心,在病毒的威胁、种族攻击的威胁中,负重前行打全场。
      ▲在意大利米兰街头免费发放口罩的华人同胞。
      这样的悲苦其实本没有什么,历史既然这样决定,我们便只有选择适应,人类理应团结。因此,我们才为这陌生的国度捐款捐物,费尽心血地向身边的异国朋友解释中国做过的努力以及中国人的善良。
      可奈何我等人微言轻,华商会的前辈们再怎么努力,学联的朋友们再怎么付出,也抵不过那满屏的栽赃,和那突然半路杀出的《方方日记》。这本我本无感的日记,从被翻译成洋文广为传播的那天起,就成了刀刀刺痛人心的暗剑,一剑抵过千万人之努力。
      ▲在美国Youtube上,方方日记已被制作成合集,推向境外人群。
      对于那个写日记的女人,我本是无感的,算不上喜欢,也谈不上讨厌。可如今,我是恐惧的,听到她的名字感到恐惧,看到那嗜满人血的日记感到恐惧,因为她和她那充斥着谣言的日记,正在一点点击垮我们的努力,那数以万计的充满热血的同胞的努力。
      因为,这薄薄的一本日记,恰恰坐实了那些无耻政客的“中国病毒论”,那些西方政客口中所谓的“中国防疫不民主”、“中国隐瞒疫情实情”、“中国才是源头”的甩锅谬论,都有了“可靠”的出处,而且是一个颇具影响力的中国女作家以人格担保的“真相”。
      ▲方方通过某境外知名极端反华媒体“XXXX电台”,向境外受众表示自己“被中国左派迫害”。
      的确,也恰如这女人与其背后的推手所言,一本日记毁不掉一个国家,也动摇不了民族的信仰。但须知,这薄薄的日记与其背后看不见的力量,落到每一个热血的个体身上,都可能是巨大的创伤。这不仅仅是给敌人递刀子,更是在往同胞的心里插针。
      前些日子总见有人高喊“放过方方”,我等不知何以为“放过”,众人又何以“不放过”?既然敢做,又何惧批评?我感到愤怒,因为那写日记的人不曾放过我们,否则,她也不会以如此高效的“神速”,在西方社会围攻中国和中国人的节骨眼上,出版这本饱受争议的《武汉日记》。
      既不合时宜,也用意不良。
      ▲真正的家丑,应该是有一个满眼尽是阴暗的作家,在自家屋里把谣言当真相,甚至将之出版到世界各地丑化自己的国家。
      方方老师,放过我们吧
      我们已经受够了那谎言下的种族歧视
      方方老师,放过我们吧
      我们已经没有精力再承受暴力的攻击
      方方老师,放过我们吧
      我们已经为了这一切付出了太多太多
      方方老师,放过我们吧
      本是同根生,相煎何太急
      方方老师,放过我们吧
      我不希望有一天,他们拿您的日记
      告诉我“这是中国的错”
      今日窗外的西方大地依旧充满着恐怖的色调,意大利死亡快两万了,整个欧美的死亡人数,也将突破十万。但我已无心关注这一切,这样的日子久了,便也就习惯了。
      我在想,那些拿着方方日记,在黑暗的西方大地上对着中国人高喊“中国是黑暗的”那些人,到底是哪根弦搭错了。我虽不解,但也觉得风趣。
      真心希望有一天,方方老师能来救救他们,只出日记不行,还得带领他们一起走向“光明”,讨伐那些真正的人间大不义,把那些不要脸的西方政客、西方媒体、西方出版社给“写死”,若能如此,带血的文字也定不负时代了。
      今日颇有些苦闷,大概是黑暗的东西见得多了。别的便也不多说了,就此罢了吧。

      原标题:意大利封城日记(7)

      作者信息:
      本文实际记录人系米大中国留学生Franco,实际撰稿人系西方疫情期间归国同胞、郎言志主笔刘斯郎。
      西方疫情封城日记将在公众号郎言志连载。

      删除
    4. [url=http://dy.163.com/v2/article/detail/F7I8SJTG05504DP0.html]守护谭德赛!他因力挺中国正遭西方疯狂围攻![/url]
      执笔/刀贱笑
        “一个政客领导世卫组织,只会毁了这家专业国际组织的声誉!”“世卫小粉红?” “谭德塞可以考虑入党了。”
        因为力挺中国抗疫表现,55岁的谭德塞和他领导的世卫被指言行“亲中”,遭到西方舆论围攻。
        在任期内遇上这样一场“全球大流行病”,本身就已经让这位世卫总干事挑战巨大。加上批评汹涌而至,谭德塞正面临上任两年多来的最大危机。

        1
        2月12日,日内瓦,一场旨在协调全球资源共抗疫情的论坛结束后,欧洲新闻台记者向谭德塞尖锐提问:
        为什么世卫组织成了国际上少数坚持表扬中国的机构之一?这是不是中方的要求?
        新冠疫情暴发以来,类似的指责接连出现在FT、CNN、BBC等美欧媒体上。
        批评者们说世卫丧失了独立和可信赖性,讽刺WHO是Wuhan Health Organization,是CHO(China Health Organization)。德国之声着重报道了德国智库默卡托研究中心一篇题为《有中国特色的WHO?》的文章。
        谭德塞更是成为众矢之的。一些媒体说,连世卫内部的人,都对他“包庇中国”看不过去。
        它们的依据是脸书上一段热传的视频。2月6日,在曼谷举行的第146次世卫组织执委会会议上,泰国代表苏威当场狠酸谭德塞,不满他提出不限制对中国旅行的建议:
        “为了找回全球的信心和团结,建议世卫到武汉举行全球会议,顺道欣赏两千多年历史的黄鹤楼。”
        归纳起来,汹涌的批评声浪,集中在谭德塞盛赞中国,等于变相帮着中国掩盖抗疫早期瞒报等疏漏以及后来的不公开、不透明。
        无论12日晚面对那位欧洲记者的诘问,还是后来多次公开表态,谭德塞都对此做出了掷地有声的回应:
        其一,没人掩盖中国抗疫初期的不足,就连中国也承认并及时做出了调整。其他国家应从那些不足中汲取教训,予以改正,而非揪住不放。
        其二,中国抗疫整体上做得好是事实,为啥不能夸?中国付出巨大代价,为世界争取了时间,抗疫措施也值得别国借鉴。
        对于中国抗疫不公开、不透明的说法,谭德塞反复举例反驳:
        第一个例子,是中国第一时间识别出病原体并对外分享新冠病毒基因序列。正因如此,才使其他国家能够尽早准备测试和诊断工作。
        第二个例子,是一位访问德国的中国女士返回上海后,新冠病毒检测成阳性,中国政府立即就通知柏林注意防范。
        疫情蔓延期间,谭德塞忙得都起飞了:
        召集紧急委员会会议评估疫情发展;亲赴中国考察疫情,掌握一手资料;紧急举办论坛研究病毒特性、临床治疗等问题并协调全球资源;组织专家赴华与中国专家一起研究病毒......
        他领导着世卫,努力在科学评估疫情严重程度和避免造成恐慌之间寻找平衡。
        但批评者们才不管你科学不科学,专业不专业,只要你说中国好,就是“被北京控制了”。

        2
        FT中文网等媒体说,谭德塞是在向中国回报和“邀宠”,因为是中国把他推上世卫总干事的宝座。
        但3月初的一期香港《亚洲周刊》指出,回顾谭德塞的经历,便会发现他与中国有“特殊关系”的指控并非事实:
        在谭德塞的世卫之路上,真正的贵人其实是与他惺惺相惜、合作颇多的美国前总统克林顿。
        而且,2017年5月总干事投票时,谭德塞获得全部185票中的133票,以压倒性优势当选。他也成为世卫组织首位通过公开选举,而非成员国协商推举产生的总干事。
        有网友说,如果连世卫组织这种国际组织的公开选举中国都能操纵,那这个“国际社会”早就没美国啥事了。
        还有一种说法,是谭德塞和世卫拿了中国的钱,“拿人钱财与人消灾”。
        就在几天前,中国驻日内瓦代表陈旭会见谭德塞,通报中方决定向世卫组织捐款2000万美元,支持世卫开展抗疫的国际合作。
        获知消息的一些西方媒体记者,第一反应是:选择这个时候向世卫捐款,中国目的是什么?
        他们翻出数据,说北京与世卫关系不断加深,虽然北京还不是世卫组织的最大资助国,但“并非没有潜力”:
        2015年以来,中国对世卫组织预算资金的缴纳增长了50%以上。
        言外之意,在美国威胁削减全球卫生项目预算的时候,中国坚定支持世卫和联合国,也是罪过,是在“收买”国际组织。
        为了证明谭德塞为了钱说违心的话,有批评者甚至扯到了他的“出身”。
        谭德塞来自埃塞俄比亚,当过埃塞外长,而埃塞俄比亚和中国关系一直很好,“仅在2006年到2015年间,即谭德塞在埃塞政府任职期间,就获得北京130多亿美元贷款。”
        一位国际问题专家说,世卫组织有194个成员,大家集体选出一个对北京言听计从的总干事,并且任他借助世卫组织这个公共平台报答中国过去的恩惠:
        这些人的逻辑,简直是在侮辱全世界的智商。

        3
        最离谱的,是把谭德塞说成一个只会耍政治手腕的政客,指责他把世卫组织和抗击新冠疫情都“政治化”了。
        到底谁把疫情政治化甚至种族主义化了,过去两个月来已有诸多事实,胜于雄辩,这里不再赘述。
        而指责谭德塞是只会耍手腕的政客,更是瞪着眼说瞎话:
        谭德塞曾在2012到2016年担任埃塞外长,但无论他的专业还是主要从政经历,都集中在医疗卫生领域。
        1986年,谭德塞在自己家乡的阿斯马拉大学取得生物学学士学位,毕业后进入政府工作。1990年代他重返校园,先后在英国伦敦大学和诺丁汉大学获得医学硕士和博士学位。
        2005到2012年埃塞总理梅莱斯·泽纳维执政期间,谭德塞当上了卫生部长,帮着那位强有力的领导人,将曾经饱受饥荒之苦的埃塞,变成非洲最有前途的国家之一。
        担任提格雷州以及整个埃塞的卫生部长期间,谭德塞已是国际公认的疟疾问题专家。
        他在埃塞大部分地区减少了疟疾、艾滋病、结核病病例和母婴死亡率,培训了4万名女性社区卫生工作者,还让医学院毕业生人数增加了9倍。
        谭德塞曾对媒体吐露,他对基础医疗卫生服务的执着,源自弟弟的因病去世:“当时他才4岁......从那以后,我一直致力于全民健康保障。”
        就任总干事两年多来,如果说他确实有什么“政治手腕”或技巧,也主要是表现在:
        在“经费少得可怜”的情况下,确保世卫组织较好地履行对疾病爆发和紧急情况作出快速反应等重点工作。
        连不断批评谭德塞的美欧媒体,也承认他做了“了不起的工作”。当然,它们也不会放过谭德塞的“污点”:
        就任总干事之初,他曾提名津巴布韦总统穆加贝为亲善大使,但在遭到西方媒体猛烈抨击后撤回提名。
        更早前,担任埃塞卫生部长期间,他被指责掩盖了3次霍乱疫情。尽管这些指责从来没有找到证据,很可能是政治对手的抹黑。
        英国乔治城大学卫生法教授劳伦斯·戈斯汀一直是谭德塞的批评者。但上月接受媒体采访时,他表现出了难得的实事求是:
        谭德塞正组织抗击埃博拉和新冠疫情两场公共卫生危机,而且“做得很好”。

        4
        前些天纽约时报同一天内发布两条展现“双标”的推特,在网上火了。
        第一条是抨击中国封城,“极大损害人们的生活和自由”。20分钟后的第二条推文,却大赞意大利封城,是“冒着牺牲自己经济的风险”阻止疫情在欧洲范围内蔓延。
        这与泼向谭德塞和世卫组织的脏水“异曲同工”,它们反应出了背后第一个层次的问题:
        西方一些政客、媒体甚至社会内部,以价值观画线的倾向有多严重。
        这已导致西方国家内部分裂加深。现在,他们对外也用上这套把戏,越来越倾向于用自己的价值观绑架别国甚至国际组织:
        不符合他们价值观的,都是异类。
        第二个层次,围绕谭德塞“非洲国家出身”的批评,还反映出西方舆论中一直都有的“种族主义”潜意识。
        谭德塞是历史上首位非洲裔总干事。来自第三世界国家的经历,让谭德塞天然具备了发展中国家视野,这帮助他跟中国的沟通积极高效。
        但这让西方一些人接受不了:
        怎么能让一个理解甚至表达中国或发展中国家诉求的非洲人,代表WHO这样的国际组织呢?
        第三个层次,是西方一些政客已着眼于疫情过后的权力争夺。
        已有西方学者提出,2020年代开头的这场全球性大疫过后,国际政治的主要议题肯定会有所改变。国家间博弈的重点,将会进一步向公共卫生安全这样的非安全领域倾斜:
        这种趋势下,谁抓住了WHO,谁就能掌握未来国际政治中的话语权和议题设置权力。
        虽然眼下疫情仍急,但西方一些“战略家”已经开动脑筋,开始了舆论上的争夺和铺垫。
        处在舆论风口浪尖的谭德塞,显然意识到了这一点。
        “别再这里玩政治,”他在采访中强调,“病毒是我们共同的敌人......请不要浪费时间了。”

      删除
    5. TO 挪威森林猫
      真没有想到你要翻墙,一直以为你在墙外。
      最近有一个翻墙大杀器叫迷雾通,听说非常坚挺,敏感时期也不倒。你不妨一试。

      删除
    6. [url=https://www.kunlunce.com/ssjj/guojipinglun/2020-04-12/142454.html]谁是方方日记的幕后推手?[/url]

      4月8日0点,武汉解封,而就在这样一个中国抗疫战的重要时间点来临之前,方方的《武汉日记》英文版在亚马逊网站开始预售。
      1月23日,武汉封城,1月25日方方日记开始在微博进行发布,随后又在财新博客及其朋友“二湘”的微信公众号同步更新,一共60篇日记,直到3月24日完结。
      3月30日在微博流传着一张书名为《武汉封城日记》的照片,对此方方在其微博回应称“目前没有出版任何一本与疫情相关的书,也从未出版日记”。而短短的6天后,《武汉日记》英文版开始预售,该书将由英文读物中五大出版社之一的哈伯柯林斯出版社(HarperColloins Publishers)出版,并将于8月18日正式上市。该消息在微博上引爆后不久,德文版也开始了预售。
      3月19日方方曾在微博表示“因有约稿,便在微博上随手记一下”。
      是谁约的稿呢?这个问题在红星新闻3月11日发表的专访方方的文章中可以找到答案,方方回答“最初是《收获》杂志主编程永新约稿”。
      可是方方日记是怎么从“随手一记”到人尽皆知,又是怎么从“从未授权”到翻译成外文出版上市呢?到底是谁在助推方方呢?

      1
      方方真的是一个人在“战斗”吗?从来都不是。
      1月26日,方方的第一篇日记开始在财新博客发表,随后,财新网APP建立了方方日记连载专栏,2月1日起,财新传媒总编辑胡舒立在其微博以平均两天一次的频率推荐方方日记,3月18日起胡舒立的推荐配图换成了“方方日记连载”的海报,3月26日,胡舒立发微博附上方方日记60篇在财新博客连载的链接。
      随后众多作家、微博头条文章作者、知名互联网资讯博主转发推荐。十年砍柴转发微博,并称“这个文本,必将刻在历史的长廊里”。
      说完境内,我们再说说境外。
      财新不仅仅在APP上连载方方日记,在境外,财新也没闲着。财新环球在其推特及网站上,发布了对方方的专访,并且对方方的部分日记进行了翻译。
      当然除了境外媒体和各种势力也没少折腾。
      在谷歌上搜一搜“fangfang”就会有奇妙的发现,方方日记在这几个月的时间里被几家外媒、境外反华自媒体、独立撰稿人引用和转载。
      2月20日,法国《国际邮报》节选翻译了方方2月9号发表在财新网上的封城日记。
      自2月21日起,法国国际广播电台(RFI)几乎每天同步更新方方日记,并专门为 “方方”设置了主题。
      2月25日,方方日记以《武汉封城日记》在Google Play 上出版电子书,出版商为时代书屋。
      3月21日,方方登上洛杉矶时报头版,文章称方方日记是“了解武汉生死的窗口”。
      3月23日,《外交家》杂志发表文章《方方:冠状病毒隔离中的“武汉良心”》。
      3月25日台湾媒体中央社发表文章《横眉冷对千夫指方方日记最终篇:极左是病毒》《武汉纪实完结方方忧:生者忽略死者为何而死》,4月8日再发文章《武汉肺炎可控可放官方说法成血泪方方郭晶写下历史》。
      这些媒体文章和方方日记的内容在推特上被众多反华自媒体、独立撰稿人转推评论。
      Jennifer Zeng 曾錚分享方方日记,并发表推文:事实上,我们在武汉可以提出更多问题。不幸的是,几乎没有问题得到回答。
      而这位曾铮女士是知名轮子,全职制作发布反华反共的视频。
      法国英语老师孙康妮称:作家方方是湖北作协主席,一个伟大的有社会责任意识的作家。她想让中国政府对武汉的封锁以及对死者和病人的残酷对待负责。
      王志安4月8日在其推特上发表推文称方方的言论不是在添乱,而是制度自信。
      比尔·毕晓普(Bill Bishop)4月5日发推并附上哈珀·柯林斯出版社关于方方《武汉日记》的预售信息网址。
      克里姆森大学经济学助理教授Y.克里斯蒂·周分享《武汉日记》的亚马逊预售网址并发表推文:中国媒体+极端民族主义者的经济学家已经开始抨击作者和她的书,该书描绘了日常生活+对政府的极端轻度批评。

      2
      顺藤摸瓜,找到了这些人自然要看看他们都是谁,结果这不翻不知道,一翻还真是精彩。
      在推特发布和转推方方及方方日记的人中,出现了一些比较特殊的知名人物,让事情变得不那么简单了。
      美国海军战争学院(NWC)战略教授、中国海事研究所(CMSI)访问学者和副教授、在哈佛费尔班克中国研究中心做研究,同时还是美国对外关系委员会(CFR)会员的安德鲁·埃里克森·艾立信(Andrew Erickson 艾立信),卡托研究所教授史蒂夫·汉克,美国退休外交官高大伟,法国战略研究基金会亚洲部主管瓦莱丽(Valerie Niquet),美国民主防御基金会(FDD)研究员本杰明·温塔尔,俄罗斯欧亚研究中心主任特蕾莎·法伦,《华尔街日报》编辑,普林斯顿大学政治与公共事务教授卡尔·博伊斯,FOX新闻撰稿人詹姆斯·弗里曼还有言论自由组织Index on Censorship都纷纷转推文章并引用其中对方方的评论或引用方方的原话。
      而在卡托研究所史蒂夫·汉克推文的转推者中,又出现这两位:
      一位是历史学家和大学教授,另一位是美国民主防御基金会(FDD)研究员本杰明·温塔尔。
      退休的美国外交官高大伟 David Cowhig在其博客上翻译了中央社文章《武汉作家方方:“轻蔑地指责流行病”:极左是病毒》,随后该文章在推特上被转推多次。其中包括法国战略研究基金会亚洲部主管瓦莱丽(Valerie Niquet)。
      普林斯顿大学政治与公共事务教授卡尔·博伊斯转推《外交家》评论方方的文章。
      这些机构都是干什么的?
      美国海军战争学院一直有“中国海上威胁论始作俑者和主要推手”之称,负责教育、培养领导者,支援定位海军在未来的角色和任务,支持战备并强化全球海上伙伴关系。
      而该学院的中国海事研究所(CMSI)则是专门研究中国的海事力量,以深入了解中国在亚太地区扮演的角色的复杂性以及中国不断发展的海事力量的关键方面的研究所,研究主题包括造船、全球贸易、海洋法和海军外交,并且一直关注着台湾和中国南海的局势。
      哈佛费正清中国研究中心的创始人费正清是美国最负盛名的中国问题观察家,致力于中国问题研究长达50年,他的著作绝大部分都是论述中国问题的。而该中心也是致力于中国各个方面的研究。
      美国对外关系委员会(CFR)是美国政府重要的智囊团,对美国制定对华政策具有相当影响。
      美国民主防御基金会(PDD)致力于美国国家安全和外交政策,与布什、奥巴马、特朗普政府和国会办公室共享其专业知识。
      法国战略研究基金会是法国国际安全和国防问题上的主要专业知识中心,主要任务是分析战略和国际安全问题,特别是军事和国防相关问题,并为法国的战略辩论以及法国思想在国外的传播做出了贡献。
      噢!瞧瞧这些人,瞧瞧他们背后的组织机构,突然好像就明白了些什么。
      梳理过后, 在“方方日记”背后推动的黑手隐隐约约闪现。
      方方一次次的登上境外媒体新闻,被各种势力人物追捧,或称赞方方,或直接翻译引用其日记内容,不管这些人的出发点是什么,每一次的引用都被用来攻击中国和中国的体制。方方的初衷或许如她所说是“随手一记”,但方方日记走到今天,已经严重偏离了她所表述的写作初衷,而错漏百出的方方日记早已成为了境外攻击中国的弹药。

      执笔/桂皮·崔紫剑

      删除
    7. 前面的博文有网友怀疑迷雾通钓鱼,你们怎么看?

      删除
    8. 这个有人在膜乎上回复了,没问题的。
      搜索 site:mohu.pincong.rocks 迷雾通 找找。

      删除
    9. 1. Zoom 完全是意料之中。公司创始人是个移民过去的华裔,我无意攻击所有在美的华人,但包括产品的设计理念、开发模式(开发团队很大一部分based in China)等等都非常的“中国味”。不重视安全和隐私几乎是顺理成章的。

      2. Trump 估计就说说吧。更本质的问题在于联合国,不把联合国掀了,就弄个新的卫生组织,这样只治标不治本。
      索赔就当是别人开个玩笑了。

      3. 毕竟从历史上来说“俄爹”这词还真不是白叫的。虽然这爹经常暴打自己的儿子。
      中国的民众已经是被共产党“训练有素”了,党说反谁就反谁。什么?你说苏联/俄罗斯跟中国的历史纠纷?历史课本不教,媒体只字不提,没人知道啦。

      4. 疫情很明显的暴露了供应链集中于单一国家的风险。像 Cook 那样整天跟 Trump 说迁不了迁不了才是有问题。

      删除
    10. 这个有人在品葱上回复了,没问题的。
      搜索 site:pincong.rocks 迷雾通 找找。

      删除
    11. 消灭世卫小粉红贪得赛!让他亲自感染中国肺炎!

      删除
    12. 方方做得好!我支持你!请加大力度!

      删除
    13. 迁不了确实是客观现实啊,Cook是供应链管理大师,难道他不懂分散风险的道理吗。要得发生比这次疫情冲击更大的黑天鹅事件才行,例如台海战争之类的。

      删除
  26. 国际特赦组织,致力于改善人权的未来发展与走向。人权调查委员会受访了来自中国的人权受害者,并记载受害者的人权侵犯问题。人权调查委员会的调查者对一名来自江西的人权受害者声称遭到来自公安定向能武器的人权侵犯攻击的线索引起了警觉。调查人员装扮成一名信访人员来到某市,利用社工手段与信访工作人员攀谈,历经数次闭门羹后成功获取了相关人权侵犯情报信息。
    最终锁定了这位人权受害者声称的人权侵害组织位于江西省公安厅 网络安全保卫总队 互联网监控中心大队 网络重点人事监控部门。人权调查委员会指出,公安系统的厅级、市级、县级网络安全保卫总队/支队/大队分别设有重点人事监控部门,它们均是使用电磁波和超声波定向能武器实施人权侵犯的机构所在地。一位知情的维权律师对调查者指出,中华人民共和国宪法第四十条规定:中华人民共和国公民的通信自由受法律保护,人权侵犯机构在违背通信自由的基础上,进一步剥夺了公民的隐私通信自由;宪法第三十八条中华人民共和国公民的人格尊严不受侵犯,人权侵犯者在侵犯人格尊严的基础上,进一步损害公民身心健康,而这些人权侵害行为来自于公权力机构,《公安机关督察条例》并没有完善执法监督机制及公安机关内部监督力度。

    回复删除
  27. to:博主
    《如何阅读一本》目录里面没有,是删除了还是在哪个分目录呢。

    回复删除
  28. TO:博主及热心网友
    1、关于自由门病毒事宜,自由门7.78版本共有4个文件;dtwpc.dat;fg.ini;fg778p.exe;ftmp(是文件夹,内是fp.exe),fp.exe之前微软自带杀毒软件报毒,后来未报;该文件上传virustotal后报毒较多,麻烦帮看下;谢谢!网址:https://www.virustotal.com/gui/file/9215953c80381673392fe7c8676d96a55c463722fbeff12eea9284e218521c3a/detection
    2、关于之前10楼分享的翻墙方法;因之前几遍博文该热心网友也分享过方法(主要指Gost-Heroku和s-s-h两种方法);但是有几位网友实测暴露真实IP;另修改hosts文件,对系统本身有无影响;

    回复删除
  29. 坏人啊
    https://infovb.org/he-knows-the-law-but-he-does-nt-understand-river-and-lake.html

    回复删除