★隐私保护
◇【输入法】的隐私风险
《输入法会“背叛”我们吗? @ 南方周末》
一位受访者对南方周末记者描述,几天前朋友家要换马桶,她微信回信息说了自家用的牌子,下次打开手机 WPS 时,开屏广告就成了京东马桶。“这种 N 年不提的话题,不可能这么巧吧?”她怀疑是输入法泄密。
根据 Mob 研究院数据,2020年搜狗、讯飞和百度三家输入法占据了国内市场九成的活跃用户,其中搜狗占有率最高,54%。2020年9月,腾讯全资收购了搜狗。
易观一组数据表明,中国第三方输入法的活跃用户在2019年达到7.71亿。输入法已成网民刚需。
输入法会获取哪些信息
......
梳理三份隐私政策,输入法软件可能收集的用户信息有11类,涉及调用的手机权限有12项。
◇大规模用户数据泄漏
《谁在倒卖我的简历? @ 新浪》
编程随想注:
今年315晚会曝光的丑闻里面,据说热度最高的是【简历泄露】。简历包含的信息量非常大,也难怪大伙儿很关注此事。
上述这篇挺长的,俺把小标题列一下:
你的简历是怎么泄露出去的?
1)注册假公司骗取简历
2)与招聘网站“内外勾结”
3)利用爬虫技术抓取(招聘网站的)简历
买你的简历用来干嘛?
1)网赚营销与兼职招聘
2)博彩、彩票和棋牌骗局
3)房地产、保险、教育培训的营销
《Facebook 超5亿用户数据泄露,事件与功能误用有关 @ cnBeta》
北京时间4月7日早间消息,据报道,此前,美国社交媒体平台 Facebook 被曝有5.33亿用户数据遭泄露,其中包含一些知名人士的信息。媒体报道称,泄露的信息包括用户手机号码、名字、位置、出生年月日、电子邮件地址等。对此,Facebook 今日回应称,报道中的数据泄露事件与数据窃取有关,而不是被黑客入侵系统。
Facebook 表示,2019年因为一个功能遭到误用,导致信息出现泄露,可能影响用户约5.3亿;发现问题之后,Facebook 第一时间堵住漏洞。
根据 Facebook 的解释,2019年9月之前,恶意破坏者利用 Facebook 同步联系人工具存在的漏洞窃取数据。随后公司发现漏洞并修复。
......
《巴西几乎所有人的信息泄露 @ Solidot》
巴西几乎所有人的信息泄露。泄露的数据为 14GB,包含了1.04亿车辆和4000万家企业详细信息,潜在受影响人数2.2亿。巴西人口2.1亿,这意味着巴西所有人的信息都被泄露(还有部分在巴西生活的外籍居民)。泄露的信息包含了姓名、出生日期和 CPF 号码。CPF 号码是巴西税务局分配给居民和需要纳税的外籍居民的数字。网络安全公司对钓鱼骗局发出了警告。
◇信息时代的【数字军阀】
《Google、苹果、Facebook、微软——数字时代的军阀 @ Solidot》
去年11月,苹果用户在一次影响广泛的宕机事故后才知道:苹果监视了用户打开和启动的每一个应用程序(编程随想注:上一期谈过这个重大丑闻【OCSP 事件】)编程随想注:
苹果为什么要这么做?最为善意的猜测是:此举旨在更早发现恶意程序。在一个充斥着恶意的网络世界里,这么做是必要的。安全专家 Bruce Schneier 将这种现象形容为“封建式安全”。
生活在21世纪的我们,面临各种数字强盗的围攻。从身份窃贼,到跟踪者,到企业和政府间谍,到骚扰者。我们是没有办法自保的。即使是身经百战的专家也无法和强盗相抗衡。为了抵抗强盗,你必须做到完美,不犯任何错误。而强盗只要抓住一个错误就能逮住你。因此为了安全起见,你必须和数字军阀结盟。苹果、Google、Facebook 和微软等建立了庞大的要塞,它们投入了大量金钱招募了最强的雇佣兵来保护要塞,为客户(包括你)抵御攻击者。
但如果军阀们转向了你,你对它们而言将是赤裸裸的。这种敌我难辨的情况在与军阀打交道的过程中一直发生着。比如 Google 调整 Chrome 以阻止商业监视(但不阻止它自己的商业监视)。Google 会努力阻止其他人监视你,但如果他们付钱了,Google 就会允许他们监视你。
如果你不在乎被 Google 监视,如果你信任由 Google 判断谁是骗子谁不是,那么这没问题。但如果你们之间存在不一致的意见,那么输的肯定是你。苹果在2017年按中国要求从其应用商店下架了保护隐私的工具。原因是苹果必须遵守中国的法律,它在中国有公司,有制造基地。军阀自身的安全是远甚于客户的。
俺的观点是:要善于【扬长避短】——既要利用大公司提供的某些优质服务,同时又不让大公司窥探你的隐私。
当然啦,要做到这点,需要一些经验&技巧。
就拿本人的亲身经历举例——
一方面,俺用着 Google 的博客平台 Blogspot(它的安全性足够好,而且能抵御【国家级】的 DDOS 攻击)。
另一方面,俺不用 Google 搜索(俺用的是 Startpage,其搜索质量等同 Google);另外,俺也不使用 Google 开发的 Chrome 浏览器。
◇QQ 在偷窥你的上网历史
《QQ 被发现扫描并上传用户的浏览器历史 @ Solidot》
腾讯消息应用 QQ 以及 QQ 办公版 TIM 被发现会扫描用户的浏览器历史,搜索购物记录,选择性上传。用户报告,QQ 在登陆10分钟之后开始扫描 Appdata\Local\ 下的所有文件夹,对其中 User Data\Default\History 进行进一步的扫描,User Data\Default\History 是基于 Chrome/Chromium 的浏览器默认历史纪录存放位置,Firefox 的浏览历史存放位置不同,因此目前看来不受影响。不过 Firefox 市场份额不高,而基于 Chrome/Chromium 的浏览器占据了九成以上的份额。编程随想注:
疼逊官方在知乎发了一篇声明(这里),进行辩解。
有必要提醒诸位:不管上述丑闻是“有意 or 无意”,疼逊官方声明肯定都会说是“无意”。因此,对这类官方回应,不必太当真。
◇疼逊如何看待“微信好友关系”?
《微信好友关系,是否属于个人隐私? @ Solidot》
腾讯总部所在地深圳市南山区法院上个月判决,微信好友关系不属于个人隐私。
本案的原告在2019年发现,使用微信或 QQ 登录腾讯“微视”APP后,微视会获取其全部微信或 QQ 好友信息。他认为,腾讯公司未经其授权将他的微信、QQ 好友关系提供给其他 APP,侵犯了他的隐私权。
但南山法院认为:“隐私是指用户对其生活领域不愿公开的信息享有不被他人知悉的权利。原告主张的性别和地区属于公开信息,不构成隐私。”
北京师范大学法学院教授袁治杰认为:腾讯并没有权利将微信好友关系披露给第三人,“即使我同意微信可以将我的好友关系提供给他人,微信也不得提供。因为好友关系是双向的,要想有权提供,微信必须同时获得了我的好友们的同意才行。换句话说,必须获得双向同意才行。”
◇【聊天工具/IM】的选型
《Mark Zuckerberg 被发现使用 Signal @ Solidot》
Facebook CEO Mark Zuckerberg 使用加密消息应用 Signal,他的电话号码包含在泄露的5.33亿 Facebook 用户数据中间(编程随想注:这个“用户数据泄漏事件”,前面已经提到了),除此之外还有他的名字、地址、婚姻状况、出生日期和 Facebook ID。编程随想注:
一位安全研究人员说:又一次大转折,Mark Zuckerberg 注重他自己的隐私,使用不属于 @facebook 的端对端加密聊天应用。
......
俺经常说:“观其行”比“听其言”更重要。大伙儿来看看,Facebook 的老板,放着自家的 WhatsApp 不用,非要用别家的 Signal。WhatsApp 的隐私风险,昭然若揭。
《WhatsApp 的隐私友好替代 @ Solidot》
WhatsApp 的服务条款变更引发了很多争议,加密邮件服务 Proton 官方博客介绍了多个隐私友好的替代服务:编程随想注:
Signal,开源端对端加密,缺点是注册需要手机号;
Telegram 的缺点是私聊才端对端加密,没有群聊;(编程随想注:这款也要用手机号注册)
Threema,开源端对端加密,但应用本身不免费;
Wickr Me,不开源;
Wire,注册需要手机号或电邮,记录大量元数据;
Element,使用 Matrix 通信协议,基于去中心化联邦架构;
Keybase,已被 Zoom 收购,记录元数据。(编程随想注:Zoom 是商业公司)
最近几年,不止一个读者在博客评论区问俺,理想中的 IM 工具是啥样?今天借这个机会聊一聊。
俺认为:【至少】要达到如下的【每个】要求,才算及格。
- 开源(不光客户端要开源;如果有服务端,服务端也要开源)
- 依靠【社区 or 非营利组织】进行维护(俺信不过商业公司)
- 能够以【隐匿】的方式注册帐号(这也就意味着:凡是要“绑定手机号”的,都不符合)
- 能运行在【桌面】操作系统(“桌面系统”比“手机系统”更有利于安全加固——关于这点,俺已经唠叨很多次了)
- 采用【去中心化】的架构(“P2P or 联邦式”都可以,有助于对抗政府的审查和封锁)
- 免费(一旦涉及到付费,容易暴露个人身份信息)
- 支持“端到端加密”(这点无需解释)
开博十多年,俺【从来不用】IM 工具与读者交流。俺更倾向于用“邮件 or 博客留言”的方式与读者交流。
其一,(相比 IM 而言)这两种方式暴露的信息量更小。
其二,这两种方式都是【纯 Web】,无需安装任何软件(请注意:每当你新装一个软件,都潜在地增加了系统的攻击面)
《为什么俄罗斯网络犯罪分子流行用 Jabber? @ Solidot》
俄罗斯网络犯罪世界充斥着谜团,但有一种技术充当了主要的通信工具:有18年历史的分布式开源即时通讯协议 Jabber。根据安全公司 Flashpoint 的研究,黑客做交易、分享情报和对恶意程序提供技术支持都是通过 Jabber 完成。该公司资深研究员 Leroy Terrelonge III 称,在网络犯罪经济中,Jabber 是通信的黄金标准。Jabber(或又叫 XMPP)通信系统由数千个独立服务器构成,在全世界有大约一千万用户。有10亿用户的 WhatsApp 使用的是一个 XMPP 变体。ICQ 曾经统治了俄罗斯 IM 市场长达20年,当 Edward Snowden 在2013年披露美国的大规模监视之后,俄罗斯人开始转向了 Jabber。Jabber 加上它的加密插件 OTR(off-the-record)能为通信提供强加密支持。Jabber 的联邦式架构允许任何人运营服务器,这对犯罪分子有巨大的吸引力,他们担心企业与政府之间合作过于紧密。编程随想注:
俄罗斯网络黑帮偏爱的 Jabber/XMPP,严格来讲只是一个【IM 协议】,而不是一款 IM 软件。已经有很多软件(包括开源软件)实现了该协议。
XMPP 采用【联邦式】架构。通俗地讲,其架构类似于“电子邮件”。对于电邮而言,假设张三用 A 公司的邮箱,李四用 B 公司的邮箱。他俩依然可以相互收发邮件,而且两人可以使用完全不同的邮件客户端软件。XMPP 的原理也差不多。
如果你想挑选一款 XMPP 的聊天软件,可以参考俺在上一段点评中列出的“理想的 IM 应具备哪些要素”。
除了 XMPP,还有一个【Matrix 协议】也值得推荐。俺在《近期安全动态和点评(2019年2季度)》简单介绍过它。Matrix 与 XMPP 有诸多相似之处——都是开放的 IM 协议,都采用“联邦式”的架构,都有多种软件实现 ...
◇【中国版】的 Flash 插件
《安全公司称:Flash 中国版会安装广告程序 @ Solidot》
Adobe 在2020年12月31日之后停止更新和分发 Flash Player,之后重庆重橙网络科技有限公司通过网站 flash.cn 独家在中国大陆分发和维护 Flash Player。
安全公司 Minerva Labs 在收到多次与 Flash 中国版相关的安全警告之后对其进行了分析,发现 Flash 中国版除了安装 Flash 之外还会下载和运行名叫 nt.dll 的文件,其主要功能类似广告程序,但不排除它可以用于其它恶意目的。Flash 中国版主要影响中国用户。
◇Email 里面的【跟踪像素】
《电邮中的跟踪像素日益流行 @ Solidot》
在电邮中使用跟踪技术正日益常见。被称为“跟踪像素”的技术可记录邮件是否打开,以及何时打开;邮件被打开了多少次;打开邮件的设备类型;用户的粗略位置。这项技术可被用于判断一个特定电邮推广活动的影响,以及记录下更多的客户肖像细节。编程随想注:
跟踪像素通常是只有 1x1 像素的 .GIF 或 .PNG 文件,被插入到插入到电邮的页眉、页脚或正文中,用户的裸眼是无法识别出它的。用户可以使用电邮程序的免费插件剥离掉大部分跟踪像素。
对付这种“跟踪像素”,一种简单有效的方法是——用 Web 方式收邮件,同时在浏览器中【禁用图片】。
有些同学会担心:一旦浏览器禁用图片,访问别的网站也看不到图片了。
俺的解决方法是——设置多个【隔离的】浏览器环境,其中一个【专用于】俺的 Gmail 邮箱。在这个浏览器环境中【禁用图片】。
这么干【至少】有如下几个安全优势:
其一,因为这个浏览器环境是【专用】滴,只访问 Gmail 相关域名,降低了各种“跨站攻击”的风险;
其二,既然只访问固定的域名,可以在该环境中搞【CA 证书白名单】,降低“流氓 CA”的风险(关于【证书白名单】这种安全加固方法,参见“这篇博文”的介绍);
其三,规避了“跟踪像素”;
其四,因为禁用图片,规避了“浏览器的图片引擎”潜在的安全漏洞。
至于如何设置多个【隔离的】浏览器环境,在如下几个系列教程中都有介绍:
《如何防止黑客入侵》(系列)
《如何保护隐私》(系列)
◇访问邮箱的方式——“Web 方式” VS “软件方式”
(本文发出后,与热心读者在评论区交流“邮件访问方式”;俺再补充一个小节,汇总相关的讨论结果)
访问邮箱,常见的方式有两种——
其一,如果电子邮件服务商提供“Web 界面”,那么用户就可以通过【浏览器】访问该界面(在本小节,这称之为“Web 方式”);
其二,如果电子邮件服务商提供 SMTP/POP3 或诸如此类的协议支持,用户可以通过【邮件客户端软件】操作邮箱(在本小节,这称之为“软件方式”)。
这两种方式各有优缺点,俺简单总结如下:
【Web 方式】的优点
1. 服务器的限制
如果邮件服务器只提供 web 界面(不提供其它邮件协议的支持);那么你只能用“Web 方式”
2. 避免额外安装软件
一般来说,大部分网民的系统中都已经有浏览器。用“Web 方式”,你就【无需】额外安装邮件客户端软件。
俺经常唠叨的一个安全原则是——系统中安装的软件尽可能少(可以降低【攻击面】)
3. 【网络隐匿性】的考虑
(这点是针对安全性要求较高的网友)
有些邮件用户不希望邮件服务器知道自己的公网 IP,因此需要采用某种“网络隐匿术”。这方面,Tor 当然是首选。
如果用“Web 方式”,要走 Tor 代理会比较容易(直接使用【Tor Browser】即可)
反之,如果用邮件客户端,还需要额外对其进行配置;万一配置错误,导致客户端【没有】走 Tor 网络,会是潜在的隐患。
4. 【本地无痕】的考虑
(这点是针对安全性要求较高的网友)
“Web 方式”【无需】把邮件同步到本地,就有可能做到【本地无痕】。
比如说:先在虚拟机中创建快照,然后用“Web 方式”查看邮件;看完之后回退到快照——这就可以做到【本地无痕】。
【软件方式】的优点
1. 服务器的限制
如果邮件服务器只提供邮件协议(SMTP、POP3、等),不提供“Web 界面”;那么你只能用“软件方式”
2. 攻击面的考虑
随着 Web 的相关标准越来越多,如今的 Web 浏览器也越来越复杂。一般来说,软件越复杂,则攻击面就越大。
相反,如果你选择某款【轻量级】的邮件客户端,它的攻击面就有可能【远小于】浏览器。
3. 【纯文本】的邮件客户端
(这点是针对安全性要求较高的网友)
有些邮件客户端是【纯文本】软件,那么它天生就可以防范(上一个小节所说的)“跟踪像素”。
而且这类邮件客户端还有一个好处——可以用在【纯文本】的操作系统环境中(【没】安装图形界面的系统)。
【纯文本】的操作系统环境,因为少掉了图形界面,有助于降低攻击面;但“使用门槛”会比较高,不适合技术菜鸟。
作为对比,主流的浏览器都依赖“图形界面”。虽然也有少数【纯文本】的浏览器,但这些浏览器的功能太弱(比如:缺乏 JS 引擎),通常【无法】操作邮箱的 Web 界面。
◇【智能坐垫】的隐私问题
《杭州公司用智能坐垫记录员工离座时间 @ Solidot》
杭州荷博物联公司设计了一款智能坐垫,作为产品研发的一部分,发给员工放在他们的办公椅上进行测试。这些坐垫号称是用于检测员工健康状况,指出可能是疲劳迹象的不良坐姿,测量心率,统计员工在办工桌前坐了多久。编程随想注:
但当该公司的人力资源经理开始询问员工,为什么长时间离开座椅或提前下班时,人们很快明白了,这些坐垫也记录了员工最不想让老板知道的事情:他们什么时候不在自己的办公桌前,这可能会给员工带来麻烦。
......
今年春节前(2021年1月底),俺刚刚发了一篇《每周转载:内卷的天朝,各阶层的众生相(网文17篇)》,其中提到了各种“内卷”,包括“白领的内卷”。
在“996”已经成为常态之后,公司的 HR 开始监控员工“离开坐位的时间”。真是越来越变态了。
引申阅读:
《“996工作制”只不过是【劫贫济富】的缩影——“马云奇葩言论”随想》
顺便说一下:在如下博文中,俺介绍了“如何跳出996怪圈”。
《学习与人生——700篇博文之感悟》
★高危漏洞
◇Windows 的远程执行漏洞
《Google shares PoC exploit for critical Windows 10 Graphics RCE bug @ Bleeping Computer》
编程随想注:
该漏洞编号
CVE-2021-24093
,影响 Windows 10 & Windows Server 2016。这是 Google 安全研究人员在去年11月发现并报告给微软。而微软直到今年(2021)2月的例行更新才修复。漏洞位于 DirectWrite API 进行字体渲染的代码中(缓冲区溢出)。Windows 平台上的浏览器(Chrome、Firefox、Edge、IE)都会使用系统提供的 API 进行字体渲染,因此都会受此影响。
为了利用这个漏洞,攻击者可以创建一个 Web 页面,其中包含精心构造的字体,然后诱导受害者访问该页面。当受害者的浏览器打开该页面时,就中招了。由于此漏洞针对“字体渲染”,与 JS【无关】。因此,即使浏览器禁用了 JS 脚本,还是会中招。
在上一期的《近期安全动态和点评(2020年4季度)》中,俺介绍过另一个漏洞
CVE-2020-15999
,与这个很类似。CVE-2020-15999
位于“FreeType 字体渲染库”。也是利用“Web 页面的字体”来实现远程代码执行。在上一期,俺说过如下这句,今天再次贴出来:
假如你很注重安全性,为了更彻底地消除【字体】导致的攻击面,你可以定制浏览器,禁止在 Web 页面中加载外来的字体。
对 Firefox 的深度定制,可以参考教程《扫盲 Firefox 定制——从“user.js”到“omni.ja”》;对其它浏览器的深度定制,俺暂时还没写过教程。
《Multiple Security Updates Affecting TCP/IP: CVE-2021-24074, CVE-2021-24094 and CVE-2021-24086 @ 微软安全响应中心》
编程随想注:
微软在2月的例行安全更新中修复了3个【协议栈】的漏洞。
半个月前(2021年3月),俺正好发了一篇《计算机网络通讯的【系统性】扫盲——从“基本概念”到“OSI 模型”》,介绍了“协议栈”相关的概念。其中有如下这张图:
一般来说,“协议栈”的漏洞是很少见滴,而且也很危险。其危险性在于——攻击者可以发送某个精心构造的数据包,当这个数据包到达目标系统(受害者系统),会立即被操作系统的协议栈处理。如果协议栈有漏洞,系统直接就中招了。假如协议栈的漏洞可用于“远程执行代码”,理论上就可以用来构造快速传播的【蠕虫】。
好在这次的2个远程执行漏洞,利用的难度比较大。但攻击者要想利用这3个漏洞进行“拒绝服务”(让系统蓝屏),还是比较容易滴。以下是微软官网的原话:
The two RCE(注:Remote Code Execution)vulnerabilities are complex which make it difficult to create functional exploits, so they are not likely in the short term. We believe attackers will be able to create DoS exploits much more quickly and expect all three issues might be exploited with a DoS attack shortly after release.
◇Zoom(视频聊天)的远程执行漏洞
《Critical Zoom vulnerability triggers remote code execution without user input @ ZDNet》
编程随想注:
全球疫情之后,Zoom 这款视频聊天工具很流行。前不久的 Pwn2Own 大赛(黑客有奖竞赛)中曝光了 Zoom 的一个高危漏洞,可以实现【远程代码执行】,而且无需用户互动——也就是说,在受害者没做任何动作的情况下,攻击者就可以在系统中运行攻击代码。
目前已经确定:影响 Windows & MacOS 版本的 Zoom Chat。手机版的 Zoom Chat 是否受影响,还不确定。由于该漏洞是前几天(4月7日)才曝光;截止俺写本文时,Zoom 公司尚未修复该漏洞。
◇“茄子快传”的远程执行漏洞
《茄子快传发现多个安全漏洞 @ Solidot》
安全公司趋势科技报告:在茄子快传中发现多个安全漏洞,漏洞能导致远程代码执行。
茄子快传是下载量最高的传输应用,曾跻身全球应用下载排行榜前十。它最早由联想开发,一度预装在联想手机上,后从联想独立出去。
茄子快传索取的权限相当广,其中包括访问所有本地存储和媒体,摄像头、麦克风、通讯录、位置,甚至还可以删除应用。趋势科技称,茄子快传的漏洞能被用于泄露用户的敏感数据,以及远程执行代码。
◇Chrome 的高危漏洞
《新 Chrome 0day 漏洞正被利用 @ Solidot》
Google 本周释出了 Chrome 的安全更新 v89.0.4389.72,修复了47个漏洞,其中包括正被利用 0day 漏洞。
编号为 CVE-2021-21166 的漏洞是微软安全研究员 Alison Huffman 在2月11日报告的,Google 没有披露漏洞细节,只是表示它知道漏洞正被利用。
这是 Google 在今年修复的第二个 0day,上一个是2月4日修复的 V8 堆溢出漏洞 CVE-2021-21148。
◇Exchange Server 高危漏洞
编程随想注:
普通网民可能对这个漏洞没啥感觉,但对于使用 Exchange 的诸多企业,已经搞得鸡飞狗跳了。
《至少三万家机构由于微软电邮软件(Exchange Server)漏洞被入侵 @ Solidot》
KrebsOnSecurity 援引消息来源报道,至少三万家美国机构——包括大量的小企业和各级政府被黑客组织利用微软电邮软件 Microsoft Exchange Server 的漏洞入侵。
微软本周披露,黑客正在利用 Exchange Server v2013 到 v2019 中的四个 0day 漏洞。在漏洞披露的三天内,安全专家称:同一黑客组织增加了对尚未修补的 Exchange 服务器的攻击,在入侵之后攻击者留下一个可以后续访问的 web shell。微软表示正与美国网络安全和基础设施安全局密切合作,为客户提供最佳的指南和缓解措施。
《微软 Exchange 软件出现漏洞,至少遭10个黑客组织利用 @ 路透社》
路透华盛顿3月10日 - 网路安全公司 ESET 周三在博客贴文中表示,至少有10个不同的黑客组织正利用近期发现的微软邮件服务器软件漏洞来入侵全球各地目标。
漏洞遭到利用的广泛程度,使得美国与欧洲监管者就微软 Exchange 软件漏洞发出的警告更形迫切。
微软这套用户众多的电邮与日程软件的安全漏洞,等于为商业级的网络间谍活动开启大门,使得不怀好意者能够从易于入侵的服务器中任意窃取电邮。路透上周报导,已有数万个公司遭到波及,每天都有新的受害者出现。
虽然微软发布修补措施,但许多客户更新速度缓慢,意味着这方面至少还有部分对各类黑客而言是门户洞开的。专家将更新缓慢部分归因于 Exchange 架构的复杂性。
微软对客户更新速度缓慢不予置评。在先前有关此漏洞的声明中,微软已强调立即修补所有受影响系统的重要性。
◇sudo 的本地提权漏洞
《10-year-old Sudo bug lets Linux users gain root-level access @ ZDNet》
《Recent Root-Giving Sudo Bug Also Impacts macOS @ Slashdot》
《sudo 漏洞让用户能获得 root 权限 @ Solidot》
安全审计公司 Qualys 发现了一个有10年历史的 Sudo 严重漏洞,允许 Linux 用户获得 root 级别的权限。编程随想注:
该漏洞被称为 Baron Samedit,编号 CVE-2021-3156,Sudo 团队已经释出了补丁。该漏洞允许已经获得低权限账号的攻击者获得 root 权限,即使账号没有列入控制账号访问的配置文件 /etc/sudoers 中。
这已经是俺第三次谈“sudo 高危漏洞”。
最近两年,sudo 出了好几个高危漏洞。俺在《近期安全动态和点评(2020年1季度)》已经警告过大伙儿。以下是俺当时的原话:
3个月前(2020年1月)的那篇《近期安全动态和点评》,俺已经聊过 sudo 的另一个高危漏洞。
在不到半年时间内,sudo 连续爆了两个非常致命的漏洞——对攻击者而言,这2个漏洞很容易利用,而且都能实现【提权】。
这样的苗头挺危险,很可能预示着——sudo 这个软件包内部还有其它一些高危漏洞没被发现。
有鉴于此,你或许要考虑:【不装或卸载】这个软件包。在需要切换用户权限时,改用 su 命令。当然啦,sudo 命令在很多场合比 su 命令更方便。因此,你需要作出一些取舍。
◇Linux 内核本地提权漏洞
《Linux 内核发现3个提权漏洞,已存在15年之久 @ cnBeta》
......编程随想注:
这些漏洞(CVE-2021-27363、CVE-2021-27364 和 CVE-2021-27365)存在于内核的 iSCSI 模块中。虽然在默认情况下该模块是没有被加载的,但是 Linux 内核对模块“按需加载的特性”意味着它可以很容易地被本地触发。安全专家在 Red Hat 所有已测试版本和其他发行版本中发现这些漏洞。
在 GRIMM 博客上,安全研究员 Adam Nichols 表示:“我们在 Linux mainline 内核的一个被遗忘的角落里发现了3个 BUG,这些 BUG 已经有15年的历史了。与我们发现的大多数积满灰尘的东西不同,这些 BUG 依然存在影响,其中一个可以作为本地权限升级(LPE)在多个 Linux 环境中使用”。
......
这些漏洞已经在以下内核版本中得到修复:5.11.4、5.10.21、5.4.103、4.19.179、4.14.224、4.9.260 和 4.4.260。而其他已经停止支持的内核将不会收到本次安全修复。
详细的技术分析参见“报告漏洞的 GRIMM 博客”。
一般来说,普通用户的 Linux 环境,默认【没】加载 iSCSI 相关的内核模块。此时,如果攻击者要利用这个漏洞,得依赖于【rdma-core】这个软件包,来诱导内核加载 iSCSI 相关模块。也就是说:如果你的 Linux 默认【未】加载 iSCSI 相关的内核模块,也【没】装这个软件包,应该问题不大。
这个案例给大伙儿的教训是——
1. 系统中安装的软件包越少越好——安装的软件包越少,系统的攻击面就越小。
2. 系统中安装的驱动(内核模块)越少越好——驱动越少,系统的攻击面就越小。
3. 善于使用虚拟化软件(虚拟机),有助于达成上述两条(相关教程)
3.1 你可以根据自己的使用场景,装多个虚拟机(比如说:一个用来办公,一个用来娱乐...);如此一来,每个虚拟机装的软件都比较少。
3.2 虚拟机(Guest OS)看不到真实的硬件,当然就省掉了很多硬件驱动。
3.3 物理系统(Host OS)能看到真实的硬件,驱动会有点多;但如果你把日常操作都放到“虚拟机”,有助于保持物理系统的【极简】。
◇Windows Defender 本地提权漏洞
《Windows Defender 漏洞竟存在12年,近期终于得到修复 @ cnBeta》
据外媒报道,Windows Defender 的一个严重漏洞在约12年的时间里都没有被攻击者和防御者发现,直到去年秋天它才被修复。值得一提的是,对于一个主流操作系统的生命周期来说,12年是相当长的一段时间,对于这样一个关键的漏洞来说,其隐藏的时真的是太长了。编程随想注:
结合前一个小节(潜伏十五年的 Linux 内核漏洞),大伙儿可以看出——有些漏洞能潜伏十多年。
◇GnuPG 加密库(Libgcrypt)的缓冲区溢出漏洞
《GnuPG 加密库发现严重 bug @ Solidot》
GnuPG(GNU Privacy Guard)主开发警告:使用1.9版本加密库 Libgcrypt 的用户应立即更新。编程随想注:
Libgcrypt 1.9 版本是在1月19日释出的,Google Project Zero 研究员 Tavis Ormandy 在该版本中发现了一个堆缓冲区溢出漏洞,会在解密部分数据时发生溢出。问题与块缓冲区管理代码中的错误假设有关,利用该漏洞非常简单,使用1.9版本的用户需要立即去更新加密库。
GnuPG 1.x 采用单一的可执行文件,命令行界面和加密功能都放在一起;从 GnuPG 2.x 开始,改用更加模块化的设计,加密相关的功能单独拆分成一个动态库,也就是 Libgcrypt。
这样的设计有一个好处,如果某个第三方软件需要使用 GnuPG 的加密功能,只需要调用 Libgcrypt 这个模块。
俺为啥要说这些捏?
因为,即使你从来不用 GnuPG,但在你的系统中,可能有某些软件会使用 Libgcrypt 这个库。
此漏洞存在 Libgcrypt 的【解密代码】中。因此,攻击者可以精心构造一个 GPG 的加密文件并把攻击代码嵌入其中。然后想办法让目标系统(受害者系统)中的 Libgcrypt 去解密这个文件,解密过程产生缓冲区溢出,有可能触发攻击代码。
◇DNS 转发客户端(Dnsmasq)的漏洞
《Dnsmasq 漏洞让攻击者能发动 DNS 缓存中毒攻击 @ Solidot》
安全专家披露了流行 DNS 转发客户端 Dnsmasq 的7个漏洞,被统称为 DNSpooq 的漏洞允许攻击者发动 DNS 缓存记录中毒攻击。
存在漏洞的 Dnsmasq 软件被数百万设备使用,其中包括思科设备、Android 智能手机、路由器、防火墙、访问点和 VPN 等网络设备。如果攻击者能利用漏洞对企业路由器成功发送缓存中毒攻击,那么他们可以将企业雇员对 Gmail 账号的访问重定向到钓鱼网站。Dnsmasq 项目已经释出了补丁修复漏洞,网络管理员需要尽可能快的给设备打上补丁。
★言论审查 & 网络屏蔽
◇美国在任总统川普的 SNS 帐号被全面封杀
编程随想注:
1月中旬,川普的各种社交帐号被全面封杀。关于这事儿,列位看官应该都知道,俺就不贴相关的新闻报道链接了。
讨论此事之前,先说一下相关的背景知识:
- 关于“言论自由”的基本概念,参见博文《政治常识扫盲:澄清【言论自由】的各种误区》。
- 在美国,《宪法第一修正案》是“言论自由”的法律基础。
- 《宪法第一修正案》是用来限制【政府】的权力,而不是针对私营公司。
- 因此,几大 IT 巨头封杀川普的帐号,从法律上讲【没】违反《宪法第一修正案》。
在谈此问题之前,先要抛开“川普”这个人——因为川普的争议很大(有很多川粉,也有很多川黑)。你不要因为自己对川普的态度,而影响对这个问题的判断。
了解俺的读者,应该比较清楚俺的态度——
- 俺一直强调:要警惕各种类型的【政客】(不论是独裁体制里的政客,还是民主体制中的政客);
- 俺一直强调:要警惕各种类型的【政府】(不论是独裁政府,还是民主政府);
- 俺一直强调:要警惕各种类型的【大公司】(不论是独裁国家的大公司,还是民主国家的大公司);
- 对于“大公司”,【IT 行业】的大公司(相比传统行业而言)更危险——因为如今是信息时代,【信息技术】正在成为人类社会的基础设施。虽然 IT 大公司不具备“公权力”,但他们的影响力将非常接近于政府的“公权力”。
《人类自由的三大死敌——谈谈“共产运动、纳粹主义、政教合一”的共性》
《“对抗专制、捍卫自由”的 N 种技术力量》
《每周转载:EFF 创始人约翰·佩里·巴洛和他的【赛博空间独立宣言】》
◇香港警方援引《国安法》,封锁政治网站
《香港当局首次引用<国安法>封锁网站,引发全面审查担忧 @ BBC/英国广播公司》
香港多家网络公司据报按当地警方依据香港《国安法》的要求,封锁为用户连结到一个称为“香港编年史”的网站,这个网站载有大量参加处理2019年香港示威期间的部分警察和一些亲建制人士的个人资料,是《国安法》去年生效以来,香港当局首次引用这部法例封锁网站。编程随想注:
目前“香港编年史”的网站已经被多个网络供应商封锁,但网站本身仍然在运作,香港境外的人仍然可以使用网站,香港境内使用虚拟私人网络(VPN)也可以正常使用网站。香港媒体引述当地其中一家主要网络供应商“香港宽频”表示,已经按《国安法》要求停止连线至“香港编年史”网站,其他网络供应商就没有回应传媒查询。
......
除了“香港编年史”,一个称为“香港解密”的网站也刊载了一些民主派人士、示威者和记者的资料。虽然两个都是“起底”网站,“香港解密”至今仍然可以正常运作,令外界质疑香港当局的做法有“双重标准”。
......
如今,香港已经是【一国一制】了。“香港编年史”网站被香港警方封杀,只不过再次印证了这点。
考虑到本博客也有香港读者,提醒一下:
(如果你人在香港)甚至要考虑到更坏的情况——或许有一天,香港网络被纳入【墙内】。
从技术上讲,这一点都不难——只需在香港的国际出口部署 GFW 系统。之所以现在还没这么干,应该是基于其它方面(比如经济/金融)的考虑。
◇GFW 封杀 DoH 服务器
《防火墙屏蔽了多个 DoH 服务器 @ Solidot》
DNS-over-HTTPS(DoH)加密了 DNS 请求, 被用于规避 DNS 污染。
根据 greatfire.org 的测试结果:NextDNS、Quad9、AdGuard 在近日被屏蔽。防火墙对这些域名没有使用 DNS 污染, 而是使用检测 SNI 和 IP 黑洞的方法。Cloudflare 的 DoH 服务器还没有被屏蔽。
◇Github 处于“半封锁”状态
编程随想注:
最近2个月,有不止一位读者在博客留言,反馈说:直接访问 Github,网络传输质量很差(注:如果翻墙访问,就感觉不到)。
俺要提醒一下大伙儿:当年 Gmail 是墙内广泛使用的邮件服务。大约10年前,GFW 开始对 Gmail 的 HTTPS 流量进行【随机丢包】(也就是“人为劣化传输质量”)。在这个阶段,网民还是可以打开 Gmail 的 Web 界面,但会感觉网络很不稳定。
在之后的几年,GFW 对 Gmail 的干扰(随机丢包)越来越严重。一直到了2014年“六四纪念日”的前几天,GFW 彻底阻断了 Gmail 的 HTTPS 流量。
俺猜测:GFW 对付 Github,可能也会是这样。
引申阅读:
《每周转载:关于“Gmail 彻底被墙”的网友评论》
◇天朝进一步严控“自媒体”
《中国社交平台要求:公众号提供互联网新闻信息,需获资质 @ 新浪》
微信公众平台、搜狐号、百家号等平台近期相继发布通知,要求公众账号提供互联网新闻信息服务,应取得《互联网新闻信息服务许可证》,如不具备相关资质,不得发布或建议不要发布时政类新闻。
......
《中国突袭查禁大量军事自媒体 @ RFI/法广》
中国网络时政论坛“猫眼看人”在3月底突然关闭后,多个中国军事自媒体近期也陆续被封。不少中国网友感叹言论再趋紧缩,但也有人认为当局是在防止泄密、清除“造爱国谣”。
中国大量军事自媒体被封。据中央社称,此为莫谈国事又一桩。根据社群平台新浪微博的相关讨论,中国当局这波对军事自媒体的清洗可追溯至3月22日。
消息说,中国大型军事论坛“超级大本营”当天下午突然公告,将于3月23日凌晨起永久关闭海军、空军、陆军、航太及新概念武器等4个讨论版,实际上是关闭了军事装备讨论版。随后,“新浪军事”、“军武次位面”等军事类微信公众号近日也因“违规”被关,甚至连微信母公司腾讯旗下的腾讯网军事频道微信公众号“讲武堂”也没能幸免。其中,“军武次位面”迄今未解封。于此同时,中国知名时事政治论坛“猫眼看人”也在3月30日突然关闭。
据该报道,关于这波时政、军事论坛、自媒体被关闭,不少中国网友在微博留言感叹言论越趋紧缩,认为当局有意引导舆论“莫谈国事,只谈风月”等。不过,也有人指出,常有军事迷在军事论坛刊载拍摄到的新型军机或正在建造中的军舰等,且被封锁的军事论坛多是涉及武器讨论,很可能是当局为了防止泄密所致。
此外,也有中国网友列举上述自媒体过去的错误文章指出,这类自媒体常常“造爱国谣”煽动网友情绪,导致“战狼情绪”被境外报导放大,“增大了外事处理的难度,终于被集中治理了一次”。
......
◇政变之后,缅甸军方断网
《用步枪和钢丝钳断网——缅甸积极建设数字防火墙 @ 纽约时报》
《3月15日起,缅甸全国范围内移动通信网络无限期关闭 @ 搜狐》
◇俄国政府开始对付“卫星上网”
《俄罗斯议会考虑:惩罚使用西方卫星宽带的公民 @ Solidot》
俄罗斯国家杜马正在讨论一项立法,阻止国民使用西方的卫星宽带,违反者将会面临罚款。个人用户面临的罚款金额从1万到3万卢布,而企业的罚款金额从50万到100万卢布。
美国公司 SpaceX 和英国公司 OneWeb 都在发射各自的宽带卫星,计划在不久的未来提供高速的卫星宽带服务。但俄罗斯杜马议员认为使用西方卫星宽带将会绕过该国的通信监视系统 System of Operational Search Measures。作为加强对媒体和通信控制的一部分,所有俄罗斯的互联网流量都必须通过一家俄罗斯通信服务商。
★Web & 浏览器
◇Firefox 开始支持 TLS 协议的【ECH 功能】
《Firefox 将用 Encrypted Client Hello 替换 ESNI @ Solidot》
随着越来越多的网站普及 HTTPS,明文的服务器名称指示(Server Name Indication,SNI)成为新的隐私漏洞。通过明文 SNI,ISP 或任何网络中间人将会知道你访问了哪个网站。两年前,Mozilla 宣布 Firefox Nightly 加入了对加密 SNI 的支持(编程随想注:“加密 SNI”称作 ESNI)。编程随想注:
但自 ESNI 规格草案发布以来,分析显示只加密 SNI 扩展所提供的保护是不完整的。举例来说,在会话重用过程中,Pre-Shared Key 扩展会包含 ESNI 加密的服务器名称的明文副本。为了解决 ESNI 的不足之处,较新版本的规格不再只加密 SNI,而是加密整个 Client Hello 信息。因此规格的名字也从 ESNI 改为 ECH。
从 Firefox 85 起,浏览器用 ECH 取代了 ESNI,about:config 也不再展示 ESNI 选项。该功能尚未默认启用,如果用户想要默认启用可以进入 about:config 将设置 network.dns.echconfig.enabled 和 network.dns.use_https_rr_as_altsvc 设为 true。
HTTPS 本质上是“HTTP over TLS/SSL”,其中的 TLS/SSL 协议用于加密。为了支持“多个域名共享同一个 IP 地址”,TLS/SSL 引入了 SNI(Server Name Indication)机制。请注意:这个 SNI 机制本身是【明文】滴。
如果你访问的网站属于“多域名共享 IP”,那么 ISP 就有可能偷窥 SNI,从而知道你访问了哪个域名(但无法知道你访问的网页内容)。同样的道理,天朝的 GFW 也可以通过监视 SNI,以进行针对性的封锁——通过监视 SNI,一旦发现你访问的是【不和谐】的网站,就把 TLS/SSL 连接阻断。
为了解决 SNI 的缺陷,后来 TLS/SSL 协议中引入了 ESNI;但 ESNI 的加密还是不够严谨(如上述文章所说),于是又升级为 ECH(全称是“Encrypted Client Hello ”)。关于这方面的协议细节,俺会在《扫盲 HTTPS 和 SSL/TLS 协议》(系列)的后续博文中介绍。
◇【超级 cookie】的隐私风险,及其防范措施
《Browser 'Favicons' Can Be Used as Undeletable 'Supercookies' To Track You Online @ Slashdot》
编程随想注:
上述这篇洋文介绍了:如何用 favicon 构造 Supercookies。考虑到很多读者看不懂洋文,俺稍微费点口水解释一下:
原理——
所谓的【favicon】就是网站的小图标,也就是显示在浏览器标签页上的那个图标(每个网站都不同)。
浏览器会在本地维护一个 favicon 的缓存(favicon cache)。当你【第一次】访问某网站,缓存中没有该网站的小图标,浏览器会从该网站抓取,并保存在 favicon cache 中;反之,如果 favicon cache 中已经有对应的小图标,则无需抓取。
一般来说,浏览器提供了“清除历史”的功能,可以清除“浏览历史、下载历史、cookie、HTML 缓存、等等”。但【不包括】这个“favicon cache”。也就是说,(在浏览器界面上)【没有】简单的操作可以清除这个缓存。
因此,某些网站(比如在线广告商)就可以利用 favicon cache 的这个特点,构造出某种【持久的指纹】。这个指纹的特色在于——不管你是否开启“隐私模式”、不管你是否清除过历史、不管你是否走代理。这个指纹都是唯一不变滴。
更详细的技术原理,参见“这个链接”。
测试——
你的浏览器是否能对抗 Supercookie 捏?可以通过“这个页面”进行测试。
顺便说一下:这个测试页面在【禁用 JS】的情况下依然可用。也就是说,Supercookie 使用的技术【无需】依赖 JS 脚本。
解决方法——
Firefox 从85版本开始,解决了 Supercookie 带来的隐私风险。具体参见 Mozilla 官网的如下文章。
《Firefox 85 Cracks Down on Supercookies @ Mozilla》
如果你用的是老版本的 Firefox,或者是其它类型的浏览器,还可以考虑用另外一招——【定期删除】“favicon 缓存”。
不同类型的浏览器,“favicon 缓存”的文件位置也不同。对于 Firefox 而言,它位于:实例目录下的
favicons.sqlite
文件。对于使用虚拟机的同学:只要你能确保:当你创建虚拟机快照的时候,浏览器环境是【纯洁】的(所有相关缓存都是【空】的);那么,当你把虚拟机回退到这个快照,浏览器中的 supercookie 自然就消失了。
另外,
如果你听从了俺多年来的建议,创建【多个浏览器环境】(多实例 or 多用户 or 多虚拟机)。可以在一定程度上缓解“supercookies 的隐私风险”。因为 supercookies【无法】跨浏览器环境;因此,网站也就【无法】判断出:操作多个浏览器环境的,是同一个自然人。
(注:“多浏览器环境”只是“缓解”这个风险,而不是“根治”)
◇Google 想要终结 cookie 技术
《Google 表示它可能找到了 cookies 的隐私友好替代 @ Solidot》
Google 周一宣布它可能找到了 cookies 的隐私友好替代。它测试了名为 Federated Learning of Cohorts(FLoC)的新 API,其源代码发布在 GitHub 上。编程随想注:
测试显示,相比基于 cookies 的广告,FLoC 广告的转化率至少达到 95%。FLoC 使用机器学习算法分析用户数据,然后根据用户访问的网站,将数千用户分成一组。数据是浏览器在本地收集的不会分享出去,但这群用户的数据会共享并被用于定向广告。也就是说 FLoC 广告是根据人们的普遍兴趣进行针对性展示。
这个玩意儿到底是不是“隐私友好”?目前俺了解有限,暂时无法从技术角度发表意见。
考虑到 Google 的商业模式(主要利润来自于【在线广告收入】),俺不太相信所谓的“隐私友好”。
《Google 淘汰 Cookies 的计划引来反垄断调查 @ Solidot》
Google 在今年初宣布了 Cookies 的替代 Federated Learning of Cohorts (FLoC),声称它对用户隐私更为友好。但这一计划引发了美国司法部调查人员的关切,调查人员一直在问询广告行业的高管,以了解 Google 此举是否会妨碍规模较小的竞争对手。
消息人士表示,司法部调查人员的询问涉及到 Chrome 的各种政策,包括与 cookies 相关的规定,对于广告和新闻产业产生哪些影响。
Chrome 浏览器的全球市占率约 60%。消息人士并指出,调查人员正询问 Google 是否利用 Chrome 来避免对手广告公司通过 cookies 追踪用户,同时留下漏洞供自己用 cookies、分析工具、以及其他资源来收集资料,从而降低竞争。
◇Firefox 开始禁用 HTTP 协议的【referer 字段】
《Firefox 87 trims HTTP Referrers by default to protect user privacy @ Mozilla》
编程随想注:
“HTTP referer”会有隐私风险,尤其当你在使用【搜索引擎】时。如下这篇博文的其中一个章节,扫盲了“HTTP referer”相关的知识。
《Startpage——保护隐私的搜索引擎,搜索质量等同 Google》
◇微软开始清理【旧版】Edge
《Windows 10 强制性更新将彻底杀死旧 Edge @ Solidot》
微软将在4月份释出的 Windows 10 例行更新中移除旧的 Edge 浏览器。
微软目前在 Windows 10 上有三种不同的浏览器:旧 Edge,新的基于 Chromium 的 Edge,以及 IE。为了减少混乱和改进安全,微软准备从操作系统移除旧的浏览器。软件巨人公布了杀死 旧 Edge 的计划:2021年4月释出的例行安全更新。
Chromium Edge 将成为微软希望用户唯一使用的浏览器。
◇终于有浏览器支持【IPFS】啦
《Brave 浏览器支持 IPFS 点对点协议 @ Solidot》
由 Mozilla 联合创始人 Brendan Eich 所创公司开发的 Brave 成为首个支持 IPFS 点对点协议的浏览器。编程随想注:
IPFS 代表 InterPlanetary File System,类似 BitTorrent 的点对点协议,设计作为去中心化储存系统,允许用户在数百甚至数千个节点之间共享不受审查的内容。当 Brave 探测到用户试图访问 IPFS 内容或使用原生地址如 ipfs:// 或 ipns://,浏览器会提示用户安装和启用 IPFS 节点,或使用一个 HTTP 网关。
IPFS 是基于 P2P 方式的分布式文件系统。你可以通俗地理解为:IPFS 构建了一个【全球性的网盘】,该网盘上的每个文件都会存储在多个不同的节点。上传到该网盘的每个文件都分配了唯一的“磁力链接”(洋文叫“magnet link”,相当于“网址”)。只要拿到某个文件的“磁力链接”,就可以下载到该文件。下载的时候,你无需关心这个文件存储在哪里。
IPFS 已经诞生了很多年,可惜推广度依然【不够】。主要原因在于——缺乏重量级的软件支持。如果有足够多的浏览器软件支持 IPFS,那它的前途就很光明。如今,Brave 浏览器迈出了第一步。接下来就看 Chrome 与 Firefox 是否跟进了。
俺的网盘分享了《IPFS 白皮书》感兴趣的同学,可以去看看。
◇Google 的 Chromium 团队与 Linux 社区闹僵
《多个 Linux 发行版考虑移除 Chromium 软件包 @ Solidot》
Google Chrome Team 团队向 Linux 发行版开发者发去邮件通知,从3月15日起,在构建配置中使用 google_default_client_id 和 google_default_client_secret 的第三方 Chromium 版本,它们的终端用户将无法再登陆其 Google Accounts 账号。
Google 称,他们在最近的审计中发现部分基于 Chromium 的浏览器使用了原本只给 Google 使用的 Google API 和服务,其中最主要的是同步账号的 Chrome Sync API,它决定移除这些 API 的访问,声称这是为了改进用户数据安全。
Linux 发行版开发者表示过去十年他们一直这么做的,如果无法使用 Google 的同步功能,那么继续维护 Chromium 软件包也没有什么价值了。Chrome 的工程总监 Jochen Eisinger 在回复中表示他们的决定不会改变。Slackware Linux 和 Arch Linux 都表示考虑从仓库移除 Chromium。
★移动设备
◇警方破解手机,比你想象的容易
《How law enforcement gets around your smartphone's encryption @ Ars Technica》
......编程随想注:
When an iPhone has been off and boots up, all the data is in a state Apple calls 【Complete Protection】. The user must unlock the device before anything else can really happen, and the device's privacy protections are very high. You could still be forced to unlock your phone, of course, but existing forensic tools would have a difficult time pulling any readable data off it. Once you've unlocked your phone that first time after reboot, though, a lot of data moves into a different mode—Apple calls it "Protected Until First User Authentication", but researchers often simply call it 【After First Unlock】(注:简称 AFU).
If you think about it, your phone is almost always in the AFU state. You probably don't restart your smartphone for days or weeks at a time, and most people certainly don't power it down after each use. (For most, that would mean hundreds of times a day.) So how effective is AFU security? That's where the researchers started to have concerns.
The main difference between Complete Protection and AFU relates to how quick and easy it is for applications to access the keys to decrypt data. When data is in the Complete Protection state, the keys to decrypt it are stored deep within the operating system and encrypted themselves. But once you unlock your device the first time after reboot, lots of encryption keys start getting stored in quick access memory, even while the phone is locked. At this point an attacker could find and exploit certain types of security vulnerabilities in iOS to grab encryption keys that are accessible in memory and decrypt big chunks of data from the phone.
......
关于“手机的危险性”,本博客已经唠叨过无数次了。俺反复告诫大伙儿(尤其是政治敏感人士),【不要】使用手机进行敏感的活动。
上述这篇洋文会告诉你,政府执法机构(警方 or 国安部门)破解手机其实比多数人想象的更容易,不论是 iOS 或 Android,都容易。
俺特意摘出上述三段洋文,其大意是:在【开机且解锁过一次】的状态下,即使手机屏幕已锁定,也很容易破解。关键在于,开机第一次解锁之后,全盘加密的【密钥】就会位于【内存】中。此时,“手机取证软件”只要能利用某种系统漏洞 or 软件漏洞,拿到内存中的“全盘加密密钥”,就 OK 啦。
作为对比,如果是在【关机】状态下,破解的难度就大得多(但依然有可能破解)。
假如你看不懂洋文,可以去看系列教程《TrueCrypt 使用经验》的第3篇——专门谈“加密盘的破解与防范”,其中有介绍【盗取密钥】这招的原理。
◇对比遥测数据——Android VS iOS
《Google 从 Android 设备上收集的遥测数据二十倍于苹果 @ Solidot》
都柏林大学圣三一学院的 Douglas J. Leith 教授跟踪了(PDF)iOS 和 Android 设备向苹果和 Google 服务器发送的遥测数据,发现 Google 收集的数据二十倍于苹果。
Leith 教授称,研究考虑了操作系统本身收集的数据以及操作系统供应商提供的默认应用收集的数据,云端存储,地图/位置服务等,只计算遥测数据。
Leith 教授指出,即使用户选择退出遥测,iOS 和 Android 仍然会发送遥测数据。苹果收集了更多的信息数据类型,但 Google 收集的数据量要多得多。开机10分钟内,Pixel 手机向 Google 发送了 1MB 数据,而 iPhone 发送了 42KB;在闲置状态下,Pixel 手机每12小时向 Google 发送 1MB 数据,相比之下 iPhone 只向苹果发送 52KB 数据。
当新的 SIM 卡插入到设备中,相关信息会立即与苹果和 Google 共享。设备上预装的应用被发现在未启动或使用前就会连接苹果和 Google 服务器。Google 发言人用汽车收集数据为它收集数据辩护。
◇移动设备的木马
《安全公司发现完整间谍软件功能的 Android 恶意程序 @ Solidot》
安全公司 Zimperium 的研究人员发现了包含完整间谍软件功能的先进 Android 恶意程序。恶意程序伪装成系统更新,通过第三方应用商店传播。它的功能包括:编程随想注:
窃取 IM 消息,
窃取 IM 数据库文件(如果可以 root),
检查默认浏览器的书签和搜索,
检查 Google Chrome、 Mozilla Firefox 和 Samsung Internet Browser 的书签和搜索历史,
搜索特定扩展名(.pdf .doc .docx .xls .xlsx)的文件,
检查剪贴板数据,
检查通知内容,
记录音频,
记录电话呼叫,
利用前置或后置摄像头定期拍照,
窃取照片和视频,
跟踪 GPS 位置,
窃取短信,
......
分享这篇报道,是想让诸位见识一下手机木马(尤其是功能完善的手机木马)能做到何种程度。
★网络攻击
◇基于【依赖混淆】的供应链攻击
编程随想注:
这类攻击主要针对【企业】,而且与软件开发相关。不懂编程的读者,可直接跳过本小节。
《揭秘新的供应链攻击,一研究员靠它成功入侵微软、苹果等35家科技公司 @ InfoQ》
最近,一名安全研究员利用一种新颖的软件供应链攻击成功入侵了35家大型科技公司的内部系统,这些公司包括:微软、苹果、PayPal、特斯拉、Uber、Yelp、Shopify、Netflix。在向这些公司提交安全报告后,他获得超过13万美元的奖金。
据悉,此类攻击利用了开源生态系统的一个设计缺陷:依赖关系混乱。攻击者先把恶意软件上传到开源存储库中,比如 PyPI、npm 和 RubyGems,此后它们会自动地分发到下游的公司的内部应用中。
与传统的误植域名攻击(typosquatting attacks)不同,这种特殊的供应链攻击更复杂,并且无需攻击者进行其他操作。
去年,安全研究者 Alex Birsan 在与另一名研究者 Justin Gardner 一起工作时冒出一个想法。当时,Gardner 向 Birsan 分享了一个清单文件(manifest file)package.json,它来自一个 npm 包,而它正被 PayPal 内部所使用。
Birsan 注意到一些清单文件包并没有出现在公共的 npm 存储库,但是,它却代替了 PayPal 创建的私有 npm 包。于是,他产生一个疑问:如果创建一个同名的公开 npm 包,那么软件在构建时,开发人员是优先使用私有的,还是公开的版本?
为测试这一假说,Birsan 开始搜索私有内部包的名称。这些私有的内部的包可以从 GitHub 存储库的清单文件或公司的 CDN 中找到,但却不在公共开源存储库中。
此后,这名研究员开始在开源存储库(比如 npm、PyPI 和 RubyGems)中创建同名的冒牌项目。这些冒牌项目都位于 Birsan 的 GitHub 真实账户下,并且有一个清晰的免责声明,解释“软件包不包含任何有用的代码,只是用于安全研究目的”。
他很快意识到,公开的软件包会比私有的软件包优先度更高。Birsan 还注意到,某些情况下,像 PyPI 包,版本更高的软件包,优先度也更高,无论它是私有的还是公开的。
利用这一方法,他通过发布公司内部在用的同名的公开软件包,实施了一系列成功的供应链攻击,轻松地入侵微软、苹果、PayPal、特斯拉、Uber、Yelp、Shopify、Netflix。
Birsan 说:“与误植域名或品牌劫持不同,依赖关系混乱不需要攻击者进行任何的手工操作。”
......
《最近披露的“依赖混淆供应链攻击”开始大量增加 @ Solidot》
◇针对【安全研究人员】的攻击
《Google 警告针对安全研究员的攻击行动 @ Solidot》
Google 警告,过去几个月,朝鲜黑客组织对安全研究员发动了针对性攻击。编程随想注:
为了建立信誉和联系安全研究员,黑客首先创建了安全博客和 Twitter 账号,与潜在目标进行互动,然后发帖发视频声称完成了某个漏洞利用。Google 表示它没有验证所有漏洞利用的可信度,但至少有一例所谓成功的漏洞利用被指是伪造的。在与目标建立初步联系之后,黑客会询问目标:是否愿意共同研究漏洞,然后提供一个 Visual Studio 项目,其中包含了一个定制的恶意程序 DLL。
除了社会工程攻击外,黑客还成功入侵了访问他们博客的安全研究员的计算机系统。当时受害者的系统打了最新的补丁,Google 表示他们暂时还不知道入侵机制。
“安全公司的研究人员”本身是高价值目标,因为他们手头有可能掌握了一些“未公开漏洞”。这类漏洞的价值很高(比“零日漏洞”更值钱),俗称“数字化军火”。
有很多安全研究人员擅长“攻击”,但却【不】擅长“防御”。因此,他们会成为其它攻击者的目标(有点像“黑吃黑”)。
◇针对【Android 模拟器】的供应链攻击
《针对手游玩家的供应链攻击 @ Solidot》
安全研究人员发现了针对手游玩家的供应链攻击。未知攻击者入侵了开发 NoxPlayer 的 BigNox,NoxPlayer 被用于在 PC 和 Mac 上模拟 Android 系统,用户主要用它玩 Android 手游。它非常受欢迎,在全世界有1.5亿用户。
攻击者在入侵了 BigNox 的软件分发系统之后对部分用户推送了恶意更新,操纵了两个文件:BigNox 的主二进制程序 Nox.exe 和更新程序 NoxPack.exe。恶意更新是在去年9月推送的,攻击者在去年年底和今年初向特定受害者推送了后续恶意更新。研究人员认为这些恶意程序主要用于监视目标,受害者位于台湾、香港和斯里兰卡。
★新冷战 & 网络战
◇中美科技脱钩
《美国传唤多家中国电信企业,开始撤销两家中企在美经营权 @ RFI/法广》
《美国拜登政府修订供货华为许可证,对可用于 5G 设备的产品实施新限制 @ 路透社》
《比特朗普还要狠,拜登对华为 5G 禁令加码,新的限制条件更严格 @ 网易》
《美国将飞腾/申威等七家中国超算实体列入黑名单,称其协助中国军方 @ 路透社》
◇针对“超微服务器”的供应链攻击
《The Long Hack——How China Exploited a U.S. Tech Supplier @ Bloomberg》
编程随想注:
早在2018年,彭博社已经报道过类似案例——天朝利用代工的机会,在超微公司(Supermicro)的服务器 BIOS 中植入恶意代码,从而进行供应链攻击。
2018年的那篇报道引发了很多争议。今年2月份的这篇报道,是对2018年那篇的补充。全文很长,下面这篇 RFI 的中文报道是其简述。
《彭博社:中国通过科技供应商收集情报,成为全球供应链的广泛风险 @ RFI/法广》
据彭博社(2020年2月)12日的文章介绍:2010年,美国国防部发现旗下数以千计的电脑伺服器将军方网路资料送到中国,后来发现这是因为执行开机程序的晶片中隐藏恶意程式码。2014年,半导体巨头英特尔(Intel)发现中国骇客集团利用一台伺服器入侵英特尔网路,而这台伺服器从一家提供更新的供应商网站下载到恶意软体。2015年,美国联邦调查局警告多家公司,中国特务在一家製造商的伺服器中隐藏了一个另外载有后们程式码的晶片。而这些事件都牵涉两个共同点:中国和设在加州的美超微公司(Supermicro)。此外,美国情报单位都对此知情,但秘而不宣,试图进行反情报工作,以摸清楚中国的底细。
在彭博社文章中,前 FBI 资深官员泰布(Jay Tabb)指出,美超微事件凸显了全球供应链的广泛风险。“完美说明了美国企业若选择在中国制造任何产品,容易受到潜在的恶意窜改。对产品制造地点若无法完整地监督,这是最糟情况的例子。”“中国政府这种行径已有很长一段时间,企业必须明白中国还在这么做。硅谷尤其不能佯装这种情况现在没有发生。”
该报导也指出,美超微或它旗下员工都未被指控任何非法的行为,报导中受访的前美国官员强调,美超微本身不是任何反情报调查的目标。
美超微回应彭博询问时表示,美国政府或公司的客户从未就这些所谓的调查和他们联系。彭博汇集一些迥异和不准确的指控,做出了牵强的结论。美国联邦机构,包括报导中在调查的机构,仍继续採购美超微产品。
中国外交部发言人则表示,文中的指控是对中国的攻击,试图“诋毁中国和中国企业”,并指控美国官员捏造事实炒作“中国威胁论”。
◇“SolarWinds 攻击事件”的后续报道
编程随想注:
在上一期的《近期安全动态和点评(2020年4季度)》,详细介绍了去年(2020)曝光的“SolarWinds 攻击事件”——号称【史上最严重的供应链攻击】。
当时俺分析了:至少有【两波】攻击者。第1波攻击者,俄国佬的嫌疑最大;那么,第2波攻击者会是谁捏?以下是今年1季度的后续报道。目前看来,第2波攻击者很大可能是天朝的御用骇客。
《疑似中国黑客利用 SolarWinds 软件漏洞入侵美国政府 @ Solidot》
在俄罗斯黑客之后,疑似中国黑客去年利用 SolarWinds 公司软件中的缺陷侵入美国政府电脑。知情人士称,FBI 调查人员最近发现,美国农业部内的联邦薪资处理机构国家财务中心是受到此次黑客行动影响的组织之一,这令人担忧成千上万联邦政府雇员的数据可能泄露。这次疑似中国黑客所利用的软件缺陷不同于美国指控的俄罗斯政府特工所利用的软件缺陷。
中国外交部表示,追究网络攻击的来源是一个“复杂的技术问题”,任何指控都应该有证据支持。中国外交部在声明中称,中方坚决反对并打击任何形式的网络攻击和窃密活动。
《研究称:中国黑客也对 SolarWinds 客户发动了攻击 @ Solidot》
安全公司 Secureworks 周一发表报告,除了俄罗斯黑客,中国黑客组织也在同一时间内对 SolarWinds 的客户发动了攻击。
在俄罗斯黑客发动供应链攻击的同时,安全研究人员去年12月披露还有黑客利用了 SolarWinds 公司软件 Orion 的一个漏洞,在该公司客户的网络中安装了名为 Supernova 的 web shell。但当时还不知道是谁发动了攻击。根据其使用的技术、策略和程序,研究人员现在将该黑客组织命名为 Spiral,该组织此前还利用了 ManageEngine ServiceDesk 的漏洞入侵企业网络。
《微软总裁布拉德·史密斯称:SolarWinds 黑客事件是有史以来最大、最复杂的 @ cnBeta》
《NASA and the FAA were also breached by the SolarWinds hackers @ Bleeping Computer》
◇【水厂】成为网络战的目标
《Hacker Increased Chemical Level At Florida City's Water Supply, Police Say @ Slashdot》
《佛罗里达州水处理系统遭黑客攻击,万幸没有居民受到伤害 @ cnBeta》
《坦帕湾时报》报道称,有黑客成功渗透了控制佛罗里达州奥尔德斯马市水处理设施的计算机系统。通过篡改可远程控制的计算机数据,攻击者改变了当地供水中的化学品含量(上调了氢氧化钠碱液的水平)。庆幸的是,设施管理者和警方均表示,目前暂无居民受到伤害的报告。编程随想注:
......
即便如此,意图不明的攻击者将黑手伸向公共基础设施一事,还是引发了许多居民的恐慌情绪。目前当地正在与联邦调查局(FBI)和特勤局(Secret Service)联手展开调查,附近城镇也受到有关潜在威胁的警报。
需要指出的是,佛罗里达州奥尔德斯马市(Oldsmar)发生的事件并非孤例。去年11月的时候,伊利诺伊州的一家水务公司也被疑似与俄方有关的攻击者给盯上。
此外,据《华盛顿邮报》报道,以色列情报官员声称:去年发生了一起未遂的网络攻击事件,指责伊朗方面试图对该国的水处理设施展开攻击。
......
在《近期安全动态和点评(2019年3季度)》中已经提到:【供电系统 & 供水系统】将会成为网络战的目标。如今应验了。
★操作系统
◇注重安全及隐私——Linux 发行版的选型
《Best Secure Linux Distros for Enhanced Privacy & Security @ Linux Security》
编程随想注:
这篇洋文推荐了六款强化安全和隐私的 Linux 发行版。对于 Linux 用户而言,不同的人有不同的技能水平、使用场景、操作习惯。很难给出某种普适的排名。因此,上述这篇文章也仅仅是作为某种参考。
全文很长,俺只摘录一部分(如下)
Qubes OS
Why We Love Qubes OS:
- Its "Security by Isolation" approach using containers - aka "Qubes" - eliminates the concern of compromised programs.
- All of these Qubes are integrated into one common desktop environment and color-coded to help users stay organized.
- Sandboxing protects system components.
- Qubes OS offers full-disk encryption for maximum file protection.
Tails
Why We Love Tails:
- Its tight integration with the Tor network ensures anonymity online.
- The included web browser is pre-configured for maximum security and includes add-ons like NoScript, Ublock Origin, and HTTPS Everywhere.
- Users get access to Onion Circuits, a valuable tool that allows them to view how their PC traverses through the Tor network.
- Tails comes with the Aircrack-NG wireless network auditing tool.
- The OS is encrypted and designed to run with full functionality on a USB drive.
- The distro features a built-in Bitcoin wallet ideal for users looking to make secure cryptocurrency transactions.
Kali Linux
Why We Love Kali Linux:
- Kali Linux uses LUKS full-disk encryption to protect sensitive pentesting data from loss, tampering and theft.
- This flexible distro offers full customization with live-build.
- Users can automate and customize their Kali Linux installations over the network.
- "Forensics" mode makes this distro perfect for forensics work.
- There's a Kaili Linux training suite available called Kali Linux Dojo, where users can learn how to customize their own Kali ISO and learn the basics of pentesting. All of these resources are available on Kali's website, free of charge. Kali Linux also boasts a paid-for pentesting course that can be taken online, with a 24-hour certification exam. Once you pass this exam, you're a qualified pentester!
Parrot OS
Why We Love Parrot OS:
- The distro provides pentesters and digital forensics experts with the best of both worlds - a state-of-the-art "laboratory" with a full suite of tools accompanied by standard privacy and security features.
- Applications that run on Parrot OS are fully sandboxed and protected.
- Parrot OS is fast, lightweight and compatible with most devices.
BlackArch Linux
Why We Love BlackArch Linux:
- BlackArch Linux offers a large selection of hacking tools and preconfigured Window Managers.
- The distro provides an installer with the ability to build from source.
- Users can install tools either individually or in groups with the modular package feature.
Whonix
Why We Love Whonix:
- Whonix comes with the Tor Browser and the Tox privacy instant messenger application - ensuring fully-anonymous web browsing and instant messaging.
- The OS employs an innovative Host/Guest design to conceal users' identity behind the anonymous proxy and prevent IP and DNS leaks.
- The distro features pre-setup Mozilla Thunderbird PGP email.
- Linux Kernel Runtime Guard (LKRG), a kernel module that performs runtime integrity checking of the Linux kernel to detect security vulnerabilities and exploits, can be easily installed on Whonix.
◇华为的鸿蒙——连哄带蒙
《Ars 尝试华为的鸿蒙操作系统 @ Solidot》
中国最大智能手机制造商华为在遭到美国的出口禁令之后宣布了自己的操作系统鸿蒙,去年12月释出了 V2 版本。华为消费者业务 CEO 余承东宣称:鸿蒙是与 Android 和 iOS 完全不同的操作系统。华为消费者业务软件部总裁王成录上个月再次表示,鸿蒙不是 Android 或 iOS 的拷贝。编程随想注:
美国科技网站 Ars 对华为鸿蒙进行了一番测试,记者首先试着下载 Harmony SDK,结果迎面一击:他被告知需要接受两天的背景检查,要求注册账号通过身份验证,包括递交名字、地址、电邮、电话号码和护照照片。即使你试图绕过注册流程,下载“盗版”的版本,SDK 也需要你登陆账号之后才会运行。
出于研究的目的,记者牺牲了自己的隐私,下载了 SDK,开始进行测试。他发现模拟手机使用的是中国 SIM 卡,进入的网络叫“华为内网”。进一步研究发现,Harmony 的应用页面基本上全是类似 Android Services Library、Android Shared Librar 之类的,以及指示 Android 10 的信息。
作者认为现阶段的 Harmony 本质上就是换了皮肤的 Android,华为甚至连 Android 的名字都没有替换掉。作者还阅读了 Harmony 的文档,认为这些文档都是胡扯,没有多少意义。
“鸿蒙系统”被调侃为【连哄带蒙】,果然名不虚传 :)
不过这篇报道已经不新鲜了。去年9月底,俺发了如下这篇博文,作为“国庆献礼”。在这个排行榜上就有“鸿蒙系统”。
《二十年目睹之怪现状——中国学术界、科技界的“奇葩排行榜”》
《华为高管声称:鸿蒙 V3 将不再基于 Android @ Solidot》
华为消费者业务软件部总裁王成录今年初曾表示,鸿蒙不是 Android 或 iOS 的拷贝。但对鸿蒙 V2 的分析表明,它事实上是 Android 的拷贝,华为甚至连 Android 的名字都没有从系统中替换掉。编程随想注:
对此王成录在接受采访时回应称:“并不是所有 Android 代码都是 Google 开发的,绝大部分代码来自开源社区。鸿蒙也会吸收社区的优秀技术和代码,用了 AOSP(Android 开源项目)的开源代码,就判断鸿蒙是 Android 换了皮,说明这类吐槽者没有太准确理解什么是开源。今年10月,鸿蒙第三阶段的开源代码会上线,来自 AOSP 社区的、由 Google 贡献的代码几乎没有了。”
华为高管的辩解,属于“偷换概念”(稻草人谬误)。
之前网民指责“鸿蒙是安卓换皮”,因为鸿蒙大量使用了 AOSP(Android Open Source Project)的代码。在【源代码】层面,“鸿蒙系统”与“安卓系统”实在太相似了。
华为高管的忽悠在于——先把命题“鸿蒙使用安卓(AOSP)的代码”偷偷替换为“鸿蒙使用谷歌(Google)的代码”。然后再针对后一个命题进行反驳。这就是典型的【稻草人谬误】。
华为高管采用这种诡辨式的逻辑把戏,反而让人觉得:他们心虚。
★硬件 & 物理安全
◇物联网 & 法拉第笼
《不请自来的物联网时代 @ Solidot》
不管你需不需要,几乎所有家电都能联网的时代正在我们走来。没有冠以“智能”的电视机早就销声匿迹,而大部分所谓的智能电视机还有广告,部分品牌则将没有开屏广告作为卖点。配备了摄像头和麦克风的智能电视容易遭到滥用已是众所周知,它们会将收集的信息发送到厂商的服务器,你根本不知道它们收集了哪些信息。编程随想注:
好消息是,大部分物联网设备使用的是 Wifi 连接,我们至少还可以通过路由器控制它们的行为。但厂商也有应变之道:直接嵌入蜂窝调制解调器和 SIM 卡,解决不在线的问题。这种现象将会越来越多,它们将会完全脱离用户的有限控制。除了将它们关在【法拉第笼】内,消费者将无能为力。
隐私、监视、跟踪将会无处不在,这就是不请自来的物联网时代。
上述文章中提到的【法拉第笼】,洋文叫做“Faraday cage”。是用导体(通常是金属)做成的笼子或网袋。它利用物理学的【静电屏蔽原理】,使得电子设备无法与外界通讯。
(用柔性金属面料制成的法拉第笼)
顺便说一下:
专业的警方取证人员,都会随身携带这个玩意儿。当他们收缴了你的手机,直接丢入“法拉第笼”——使得你再也无法远程操控手机(自然也就无法“远程刷机”)。
有些同学可能会问:如果要防止手机的主人远程操控,为啥警方在收缴了手机之后,不使用“关机 or 拔电池”这2招捏?
俺的回答是:
每个想问此问题的读者,都属于“看博文太粗心”。在前面“移动设备”的那个章节中,俺已经解释了:手机在【开机】的状态下,更容易破解。
◇Meltdown & Spectre
《First Fully Weaponized Spectre Exploit Discovered Online @ Slashdot》
编程随想注:
关于 Meltdown & Spectre 漏洞,去年和前年的《近期安全动态和点评》都有聊过。
在今年(2021)之前,对这俩漏洞还停留在“理论”阶段;到了今年2月份,在线查毒引擎 VirusTotal 首次发现与这两个漏洞相关的攻击代码,分别针对 Windows & Linux。这也就意味着:对这两个漏洞的研究,已经从“理论”上升到“实践”。
这两个漏洞源于 CPU 硬件的设计缺陷,很难根治;而且受影响的 CPU 很多,波及面从 x86 系列到 ARM 系列。
俺在《近期安全动态和点评(2019年1季度)》提到如下这段话:
一年前(2018年初)曝光的 Spectre 和 Meltdown 在信息安全界可以称得上是【划时代】滴!因为其利用的是 CPU 的【设计缺陷】(而且还是【根本性】缺陷)。
......
由于这两个漏洞涉及到 CPU 的【根本性】缺陷,极难搞定(就像两个幽灵,会在未来几年不断困扰 IT 行业)。
《A Spectre proof-of-concept for a Spectre-proof web @ Google 安全博客》
《Google 演示 Spectre 概念验证攻击 @ Solidot》
Google 演示了实用的 Spectre 概念验证攻击,代码发布在 GitHub 上,演示发布在网站 leaky.page 上。
2018年1月,Google Project Zero 和奥地利格拉茨技术大学的研究人员披露了与预测执行相关的处理器漏洞 Spectre,利用基于时间的旁路攻击,允许恶意进程获得其他程序在内存中的数据。Google 的概念验证攻击针对的是运行在 Linux 系统上的 Chrome 88 的 V8 JS 引擎,使用的 CPU 是英特尔的 Core i7-6500U Skylake。Google 表示,可以进行微调,让攻击能工作在不同的 CPU、浏览器版本和操作系统上,包括苹果的 M1 ARM CPU。概念验证攻击能以 1kB/s 的速度泄露数据。Google 称,虽然浏览器开发商已经实现了网站隔离等缓解措施,但这并不能阻止 Spectre 的漏洞利用,只是防止保存在内存中的敏感数据被攻击者读取。预防 Spectre 攻击还需要 Web 开发者部署应用程序级别的缓解措施。
◇新的 CPU 攻击手法——Lord of the Ring(s)
《英特尔新侧信道攻击——Lord of the Ring(s) @ Solidot》
伊利诺伊香槟的三位研究人员在预印本网站 arXiv 发表论文,披露了针对英特尔 CPU 的最新侧信道攻击,该攻击被命名为 Lord of the Ring(s)。
随着芯片上的功能模块越来越多,英特尔为其 CPU 引入了片内总线,以实现各个模块之间的高速通信,它先后引入了 Ring Bus 和 Mesh Bus。最新侧信道攻击针对的就是 Ring Bus 的环形总线。研究人员首先逆向工程了 Ring Bus 的通信协议,设法构建了一个跨核心的隐蔽信道,利用环争用的细粒度时态模式去推动应用程序的秘密。从有漏洞的 EdDSA 和 RSA 实现中提取出密钥比特。对于 AMD 的 Zen 架构使用的片内总线 Infinity Fabric,研究人员表示需要进一步的研究,但相信他们的技术能应用于其它平台。
◇家用监控探头,反而坑了自己
《安装家庭监控探头的技工承认,偷窥客户做爱 @ Solidot》
家庭和小型办公安保公司 ADT 的雇员 Telesforo Aviles 承认在五年时间里超过9,600次未经许可访问了200名客户的家庭监控探头。
Aviles 称:如果客户家中有吸引力的女性,他会在安装时将自己的邮件地址加入到可访问客户 ADT Pulse 账号的名单中,之后会浏览探头观看性方面的活动。他称会在客户做爱时观看裸女。他承认了一项计算机欺诈罪名,一项侵入性可视化记录罪名,面临最高5年徒刑。
★安全编程
◇Google 开始拥抱 Rust
编程随想注:
在上一期的《近期安全动态和点评(2020年4季度)》,俺还在吐槽:云计算三大巨头中,只有 Google 对 Rust 的热情不高。
没想到才过了一个季度,Google 的态度就有了明显变化。具体请看如下几篇报道。
《Google 宣布它正致力于用 Rust 重实现关键安全软件 @ Solidot》
Google Security Blog 宣布:它正致力于用 Rust 语言重新实现关键安全软件组件。Google 称,内存安全相关的漏洞在安全领域一直占主要位置。
微软的研究显示,通过安全更新修复的漏洞七成是内存安全问题。对 curl 安全问题的分析显示,95个 bug 中的53个可以通过使用内存安全语言防止。
Google 正与 Internet Security Research Group 合作用 Rust 语言重新实现安全组件,包括用 Rust 为 curl 开发 HTTP 和 TLS 后端,为 Apache httpd 项目开发 TLS 库。
《Rust in the Android platform @ Google 安全博客》
《Android 加入了对 Rust 语言的支持 @ Solidot》
Google 官方安全博客宣布:Android 加入了对 Rust 语言的支持。Google 称,七成的 Android 高危漏洞与内存相关,而内存安全语言是解决这一问题的最有效方法。Google 宣布 Android Open Source Project(AOSP)现在支持用 Rust 语言开发操作系统。
Java 和 Kotlin 是开发 Android 应用的最佳选择,但 Java 和 Kotlin 无法用于开发操作系统底层。操作系统的底层需要用系统级编程语言 C、C++ 和 Rust 来开发。对 C 和 C++ 来说,开发者负责管理内存,但管理内存时因代码库的复杂性开发者很容易犯错。Rust 语言利用编译时检查和运行时检查确保内存安全,同时它还提供了比拟 C 和 C++ 语言的性能。
Google 称:用 Rust 重写数千万行 C/C++ 代码是不可行的。对内存相关 bug 的分析显示,大部分 bug 都是近一两年内引入的,因此 Rust 将主要用于新的开发而不是重写成熟的 C/C++ 代码。
《Google 资助用 Rust 语言,为 Apache HTTP 开发安全模块 mod_tls @ Solidot》
Google 资助了 Internet Security Research Group(ISRG)的一个项目:用 Rust 语言为 Apache HTTP web server 项目开发安全模块 mod_tls。
在 Apache web server 中,mod_ssl 用于支持建立 HTTPS 连接所需的加密操作,它是用 C 语言开发的。
新的 mod_tls 模块将使用 Rust 语言开发,领导该项目开发的是软件咨询公司 Greenbytes 的创始人和 Apache HTTP Server 开发者 Stefan Eissing。ISRG 希望,在完成开发之后 Apache HTTP web server 团队将采用 mod_tls 作为默认模块,取代年代悠久且不安全的 mod_ssl。
◇Linux 内核正逐步支持 Rust
《对 Rust 的初步支持登录 Linux-Next @ 开源中国》
近日,Linux 邮件列表中的 Rust-for-linux 上公布了 Rust 支持登陆 Linux-Next 的消息。
Rust 是一个注重安全和性能的语言,并且在今年初成立了新的 Rust 基金会以支持其发展。而在 Linux 内核开发者中,关于使用 Rust 来编写新的设备驱动程序的讨论已经持续了很长时间。本周,对于 Rust 的初步支持终于登陆 Linux-Next 分支。虽然目前还没有一个完整的 Rust 内核驱动,但已经可以在 Linux-Next 分支上看到关于 Rust 的文档、Rust 代码目录和一个用 Rust 实现的字符驱动程序例子。
这种支持需要系统上存在 Rust 编译器(rustc),因此,当前重点关注的体系结构应该是 ARM64 和 x86_64。此外,内核支持也需要一个最新的构建 Rust 的工具链。
虽然 Rust 支持现在已经登录 Linux-Next 分支,但尚不清楚何时并入主线。一般来说,Linux-Next 中的工作会一直持续到下一个周期,但如果其仍是一个正在进行中的工作,也有可能在 Linux-Next 中停留更长时间。
俺博客上,和本文相关的帖子(需翻墙):
《计算机网络通讯的【系统性】扫盲——从“基本概念”到“OSI 模型”》
《如何防止黑客入侵》(系列)
《如何保护隐私》(系列)
《扫盲操作系统虚拟机》(系列)
《TrueCrypt 使用经验》(系列)
《Startpage——保护隐私的搜索引擎,搜索质量等同 Google》
《扫盲 Firefox 定制——从“user.js”到“omni.ja”》
《扫盲 HTTPS 和 SSL/TLS 协议》(系列)
《“对抗专制、捍卫自由”的 N 种技术力量》
《近期安全动态和点评(2020年4季度)》
《近期安全动态和点评(2020年1季度)》
《近期安全动态和点评(2019年3季度)》
《近期安全动态和点评(2019年2季度)》
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2021/04/security-news.html
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2021/04/security-news.html
834 条评论
板凳
回复删除博主谈谈天朝要强制安装"反诈APP",强制要求上交个人隐私,有网友反馈,公安在小区门口要求安装,不安装不准回家
删除搬运前篇博文 33楼5单元
删除知道您的情况了,今天看到您的留言了,我说下。我为什么要用私信的方式,有些东西是没办法将个人信息处理掉。
我想讲的内容有(点可能)打破您的价值观
TO 博主
删除继续前篇博文71楼30单元的关于朝核问题的讨论:
不知道博主了不了解,台湾八十年代差点自主研究成功的核武器,但是后来由于卧底线人出卖被美国了解到,然后美国就拆掉了台湾的核武器研究工程。最近我读了一篇关于“铀238快中子增殖反应堆”,文章里面提到南韩、台湾、巴基斯坦、巴西、印度在80年代都曾经试图以“民用铀238快中子增殖反应堆”为借口,从这些反应堆里面分离出钚239用于制造原子弹。印度首先引爆钚239原子弹,引起了美国的警觉,然后取消了所有其它国家的这类研究计划。博主,你觉得为什么美国要搞这种自废武功的动作。让美国的这些小盟友能够自己拥有自己的核武器用作自我防护性核威慑用途,难道不香吗?(朝鲜就搞了起来,然后全球拿金胖子没辙)
TO 博主
删除从3单元的讨论让我想起了一件事:
【自由世界】以美国为主导,美国是【自由世界】的单点故障。而【非自由世界】则是各自为王,互相不买账,俄罗斯、中国、朝鲜、伊朗等等,朝鲜甚至可以自己独立搞核武器。而美国的小弟比如台湾和韩国就不行。博主是否觉得【非自由世界】从CAS鲁棒性以及网状(此网乃相互利用的利益网)拓扑角度,更【优于】以美国为【单点故障】以美国为中心的【星形拓扑】的【自由世界】呢?
TO 4单元
删除你可真是反美先锋,美国是极权国家吗,定于一尊吗?那么是怎么成了单点故障呢,可真能扯
你所谓非自由世界根本不在一个系统内,哪来什么单点故障和鲁棒性。博主写的文章并不行,读者看了不懂还抬杠,瞎套概念,混淆是非
删除TO 五毛 5单元 6单元
删除辛苦五毛了。还要假扮挺美先锋来驳斥我的言论。善意提醒你一下:不是所有敌人反对的东西你都是要拥护的,有时你反着反着,就反了你自己屁股/友军那边的东西了。
to4单元
删除美国应该不是自由世界的单点故障,还有欧洲呢。
TO 海水
删除[quote]还有欧洲呢。[/quote]
欧洲似乎不成气候。而且欧洲反中共似乎不如美国来的坚决,绥靖主义比美国更甚。
to3单元
删除棋子不能失控,具体可以参考北朝鲜
to9单元
删除但是欧洲的确是自由世界中强大的力量,而且有法英两国拥有核弹,要说不成气候的话,不赞同。
而且有关[quote]欧洲反中共似乎不如美国来的坚决[/quote],现在说这个还太早,让子弹飞一会儿。
TO 海水 11单元
删除[quote]而且有关欧洲反中共似乎不如美国来的坚决,现在说这个还太早,让子弹飞一会儿。[/quote]
我迫切的希望你对于欧洲的判断【完全正确】,而我对于欧洲的判断【完全错误】。
TO 海水 10单元
删除嗯嗯,同意你的[quote]棋子不能失控[/quote]的说法。
TO 2楼1单元的网友 “反诈APP”是公安部挂了号的,研发前申请了专项纳税资金。被要求下载,说白了,是为了推广应用,增加浏览量,然后将下载量数据报销给相关部门,换取后续经费。下载量越多,后续经费越多,也就是白嫖,大家一起吃回扣。实实在在合理合法转移纳税人的公帑。
删除如果你被要求下载了 “反诈APP”,可以卸载了嘛。
“反诈APP”没有说的那么神奇,和“京东阅读APP”、“百度新闻APP”等一样,是一般类信息推广APP。
TO 前篇博文搬运工(9单元)
删除欧洲里头,排得上号的民主大国大概是英国,法国,德国。
英国基本上美国小弟,所以这两年对华强硬愈发明显。
法国是开始强硬起来,对华态度是变了,但是还没有太多【具体】措施。
德国默克尔大妈对华太弱了,但是其他政党都变得更加反中,所以她今年下台后,【继任者】应该会更强硬。
TO 挪威森林猫
删除非常感谢老熟人的反馈!
非常希望老熟人对于【德国】的预测是【准确】的!
前排前排
回复删除和博主讨论一下【移民】的话题
删除1、博主经常引用V字仇杀队那句话来反驳劝博主移民的人,不过俺觉得理由还是不够充分呀,博主这种线上活动似乎肉身在哪里都没有区别吧。反而是,如果出了国可以花更多的精力去写博客回复评论,不是更有利于TG的覆灭吗?难道博主还在[b]线下[/b]从事反共活动(俺觉得概率不大)?
2、现在有很多华人为了回国打疫苗,可能有人会觉得他们脑子不好。但嘲笑者往往是生活在大陆的人,如果真的经历了长达一年的lockdown,人的精神真的会崩溃。再加上文化和人种的差异,确实有种水土不服的赶脚。欧美当然在生活品质上要优于大陆,不过这也只是人生的【一个维度】。第一代移民对于这种水土不服的感觉更深刻。博主在[url=https://program-think.blogspot.com/2021/03/Computer-Networks-Overview.html?comment=1616739924271]这条留言[/url]提到了个体排名的优势。对于一代移民来说,他们相对于身边的人来说肯定是具有个体优势(经济学里叫比较优势),如果离开了这个环境,相当于要放弃这种优势,从另一个环境中重新建立,这也是个需要思考的问题。
删除3、还有就是大陆人会把防疫的优秀归功于中共的努力,俺觉得东南亚那边的人似乎服从的意志会强于欧美,就算没有政府,中国大陆也能很好的控制疫情。所以,某种程度上来说,这种(服从)基因在特殊环境下有某种【比较优势】,可以换来更高的存活概率。理论上说,和这种人生活在一起,自己的存活概率也能增加。如果某个人移民是为了增加自己的存活概率(免遭社会主义铁拳),那么在两者之间要做出某种【取舍】,美国因为疫情期望寿命直接减少了一年,目前和中国差距只差一年而已。
删除4、随着负担和压力的增加,很多大陆人移民考虑的不是【自由】,而是用更低的生活成本换来更高的生活质量,比如欧美有更低的房价和车价,教育成本也低于大陆(前提都是同等质量)。从年轻时的不自由,毋宁死到好死不如赖活着,这算不算从理想主义到现实主义的转变?
删除5、聊聊【内卷】,各行各业都开始卷,能逃出来的人太少太少了。随着996的兴起,各行各业都在加班,如果每个人都能像博主说的那么去学习恐怕也是不现实的,不管是想处在舒适区还是情况所限。当只有少部分人能脱离内卷时,是不是也反映了世界运行的规律是【大部分人本来就是平庸、不努力】,只有少部分人才能脱颖而出。就像狮群中少部分雄狮能和大量雌狮交配,大部分要么无后要么饿死。
删除6、最后一个是民生,最近有的单位强制打疫苗,俺以为也和政绩有关。反正俺暂时还不考虑打,就算未来收费打也无所谓
删除当只有少部分人能脱离内卷时,是不是也反映了世界运行的规律是【大部分人本来就是平庸、不努力】,只有少部分人才能脱颖而出。
删除大错特错,天朝内卷的原因是因为没有工会,成立工会违法直接被关监狱。由于你的工资是由剥削者直接和你谈判,而不是和工会联盟谈判。剥削者无论开出多低的价格多差的工作条件你都要接受。
TO 丸子(2单元)
删除其实你这个问题不仅适用大陆移民,香港移民到西方国家也会碰到生活上,文化上各种障碍。移民其他国家往往是一个曲折的过程,没很多人想的那么简单。
第一代移民碰到的水土不服,其实可以用【前人种树,后人乘凉】来形容,很多时候都是为了后代考虑,牺牲的。
分享下面这个帖子,算是提供看问题的另一个角度。
[url=https://www.thestandnews.com/society/%E6%9C%89%E4%BA%BA%E5%95%8F%E6%88%91%E6%9C%83%E5%90%A6%E7%A7%BB%E6%B0%91%E6%99%82%E6%88%91%E7%9A%84%E5%8D%81%E7%A8%AE%E5%9B%9E%E6%87%89/]有人問我會否移民時我的十種回應 @立场新闻[/url]
TO 丸子(6单元)
删除先分享一篇报道:
[url=https://www.rfa.org/mandarin/yataibaodao/huanjing/ql2-04122021054436.html]中国强制接种疫苗被叫停 高福承认国产疫苗保护力不高 @自由亚洲电台[/url]
据俺的了解,天朝疫苗主要问题是【有效率】太低。世卫的建议是某国人口超过【70%】接种才能形成群体免疫,但是从巴西不坦坦研究所等地的数据来看,才大概50%,也就是说哪怕全国民众都接种了,还未必能【避免封城】,或者未必在别的发达国家都接种完之后,【开放边境】。
别忘了如果你是赵家人,你当然会打上海复星进口的那一亿剂【辉瑞疫苗】。怪不得同样是科兴疫苗,印尼总统都敢电视直播打疫苗,习包子就是不现身。
to 7单元
删除现在内卷已经从小学就开始了,这就不能用工会来解释了。应该有类似于某个博弈论模型。
to 挪威森林猫
删除感谢老熟人的解答,俺去看看这些文章
7、刚才搜索时想起来,如果不登陆谷歌账号使用Google && 使用完清楚浏览器cookie,history等,是不是能很大程度地避免被收集信息?
删除TO 丸子(12 单元)
删除只能避免一部分,最好的方法是不用它。
Firefox 可以设置【完全】使用隐身模式,而 Chrome 似乎不支持。
to 10 单元
删除996内卷就是工会问题,打工仔缺乏钳制资本家吸血的手段。在西方法律完善的国家,公司越过工会跟个人谈工资是违法的。其背后就是屁民社会福利被权贵掠夺。
教育的内卷则是另一个话题。本质就是教育资源分配不公问题。你想不想上名校?那买学区房吧,要不然上各种高价补习班吧。
博弈?何来博弈?你跟赵家人谈博弈?
中国的内卷很大的一个原因是高度单一的评价体系,参见博主之前的 [url=https://program-think.blogspot.com/2021/01/weekly-share-149.html]每周转载:内卷的天朝,各阶层的众生相(网文17篇)[/url]
删除另,俺想起了罗素的那句话“须知参差多态,乃是幸福本源”。
TO 丸子 1单元
删除惊讶于老熟人怎么可能没有看到过博主【多此】重申的:
出了国,由于生活好了,周围环境不再奇葩了,【也就没有动力】去写博客回复评论了!!!而且在墙外也不能一手了解体会到墙内真实情况,容易被正反两方误导。
而且博主已经说过大家都走了,他们就赢了。
老熟人1单元问的有点没有水平啊。
这与线下不线下无关。
TO 丸子 2单元
删除老熟人听说最近的新闻了吗?中国疫苗有效率50.4%,中国官方自己承认不行了。
to 前篇博文搬运工
删除博主身在墙内所受到的精神压力俺觉得很大,比如回复的频率已经大幅降低了,不知道是因为太忙了还是怕被社工,俺想多看看博主发文。
俺感觉以博主的水平,接触不到那种社会的底层啊,又如何真实的了解社会的现状。比如以往有那种强拆的,俺在现实中听说的都是拆迁发了财的,强拆没听过,经过很多打听才了解一些农村拆迁的政策相对于城市差很多。
TO 丸子 18单元
删除[quote]博主身在墙内所受到的精神压力俺觉得很大,比如回复的频率已经大幅降低了,不知道是因为太忙了还是怕被社工,[/quote]
唉,我【太】能理解你对博主的担忧了。我以前也好劝歹劝了博主许多许多次要他移民。但是人各有志啊。我也不想强迫博主做他不喜欢做的事。
[quote]俺想多看看博主发文。[/quote]
太能理解你的心情了。但是于其让博主增加上线时间和暴露风险,我还是更加愿意博主【安全】【安全】【安全】(重要的事情说三遍)。
当然博主【上线】还是比较频繁的。只是在这个博客上回复论坛留言的频率大大减少了。但是博主应该是比较频繁的用【匿名】身份【观看】论坛里的问题,然后在线下准备好答案,然后一次性把所有答案像GitHub那样push到论坛里。所以说回复论坛的【覆盖度】应该还是没有什么太大区别。所以我觉得还是挺好的。
TO 丸子 18单元
删除[quote]俺感觉以博主的水平,接触不到那种社会的底层啊,又如何真实的了解社会的现状。比如以往有那种强拆的,俺在现实中听说的都是拆迁发了财的,强拆没听过,经过很多打听才了解一些农村拆迁的政策相对于城市差很多。[/quote]
嗯嗯,我一直好奇,想要问博主的【就是】你所说的这个【幸存者偏差】。我很好奇博主是通过什么渠道去接触社会底层的,特别是偏远地区和山区,因为中国实在太大了。
TO 挪威森林猫 8单元
删除我【太太太】赞同你在8单元所表达的观点了!
的确,我碰到过【太多】的第一代移民,我觉得他们移民【实在】是一个错误,而呆在母国才是风生水起的。
当然,这里面有很多偶然因素:比如移民了以后遭遇车祸,等等。但是更多的是对西方自由的憧憬,然后到了西方以后发现水土不服,教育水平不被承认,找不到工作(或者工作很烂:工厂、衣厂、送外卖、刷盘子),特别是在母国已经做到【很高】位置的知识分子,官员,商人,这种【落差感】,有时甚至可以导致自杀!(特别是老婆在耳边一直唠唠叨叨的那种)。
[quote]第一代移民碰到的水土不服,其实可以用【前人种树,后人乘凉】来形容,很多时候都是为了后代考虑,牺牲的。[/quote]
我【太太太】赞同你的这段话了。我不能【再更多】赞同你的这段话了!简直说的淋漓尽致!是的,第一代移民可谓就是一种【牺牲奉献】精神。【前人种树,后人乘凉】。一切都是为了【第二代移民】以及他她们的后代能在西方自由时间健康茁壮的成长。
TO 21单元
删除荒野求生者表示哪里都是家��,哪怕没身份都不怕
(好啦,我就是举个极端例子,但其实这种情况我认为行得通)
TO 22单元
删除[quote]荒野求生者表示哪里都是家��,哪怕没身份都不怕[/quote]
😍😍😍我【太太太】爱你这样的荒野求生者了!(Minecraft和The Forest游戏主角)
TO 12单元 13单元
删除建议用sandboxie,【已经免费】。
to 前篇博文搬运工 21单元
删除所以博主建议先到理想国家去生活一段时间再做决定,有时候心理上就算接受了,生理上(饮食)仍然忘不掉。西餐(印度、墨西哥、意大利餐)真的好难吃:(
TO 丸子 25单元
删除嗯嗯,理解。
墨西哥、意大利餐我还算能接受。意大利面(海鲜的那种)、汤还是挺好吃的。
TO 24 单元的网友
删除Sandboxie 只支持 Windows,而且新版 Windows 10 已加入沙箱功能。
TO 丸子(25 单元)
删除印度菜算西餐吗?
意大利餐不错啊,西欧的饮食(除了英国和德国)都很好,北欧的饮食比较奇特,很多人会不适应。
关于 sandboxie,似乎腾讯已经禁止QQ或Tim在沙盒中运行,俺试了一下没有成功,不知道有没有折腾成功的。微信倒是很简单。
删除俺根据这篇文章配置的:https://v2ex.com/t/745704
最后还是用虚拟机了haha
TO 27单元
删除win10自带沙盘像虚拟机一样吃内存。4G内存占满了,只有一个沙盘在运行。sandboxie在4G内存下,可同时开多个沙盘。
TO V2EX 28单元
删除严重同意你在28单元所说的一切
(看,我不总是和你抬杠的吧(笑))
美国通信规范法案有规定,社交媒体删除某些内容可以不负法律责任
回复删除尊敬的博主您好,在下想补充一些话:
回复删除其实生活中最常见的【法拉第笼】是微波炉,因为微波炉一来需要使用电磁波的能量加热食物,设计成【法拉第笼】有利于提高效率,二来是为了防止微波炉的电磁辐射干扰其他电器工作(特别是无线电设备)
所以把手机等带有无线电功能的设备在不用时,拿铝箔纸包住塞进微波炉里,就可以避免被用作窃听。
当然,在这个过程之中,微波炉最好不要通电,否则一旦不小心启动了微波炉,后果就不堪设想(之前评论区里有位壮士已经切身试验过了)
之前那位是尝试博主说的“微波炉烤 U 盘”。
删除https://program-think.blogspot.com/2021/03/weekly-share-151.html?comment=1617502249043
https://community.geph.io/t/u/2251
[url=https://www.pcmag.com/how-to/how-to-make-your-own-faraday-cage]这个网站[/url]提到微波炉和冰箱都【不能】算是真正的“法拉第笼”,只有商业烤箱可以达到完全过滤电磁信号的标准。
删除来晚了,没抢到前排 :(
回复删除1. “键盘流“是什么操作?是否依赖具体的操作系统?也就是说某某系统更适合或不适合“键盘流”?
删除2. 我认为类 Unix 系统适合做开发,而 Windows 不适合做开发,除非是做 .NET 等微软自家平台开发。大伙儿是否同意?
删除去我的楼做做客?
删除TO V2EX 2单元
删除严重同意!
3. 关于 StartPage 的替代品,目前有 qwant 和 ecosia,前者是法国的公司,后者对公共代理和 Tor 很不友好(要求 recaptcha 人机验证码)。这两个目前可以直接打开。博主有什么推荐?
删除https://itsfoss.com/privacy-search-engines/
4. 在工作中不得不用墙内软件的情况下,怎样做好完全(彻底)的【身份隔离】,并防范公司的摄像头监控?而且这两年由于疫情的影响,越来越多 app 要【人脸识别】,除了移民国外,我们真的无处可逃了吗?另外博主记得把这个坑给填上 :)
删除博主别忘了论坛的下方某处还有我的2楼!
删除谢谢
5. 博主终于介绍 Parrot OS 了,我之前在评论区提到好几次了 :)
删除博主认为 Google Fuchsia 有前途吗?Flutter 是否值得学习?
面对不断涌现的新技术,我们要观望到什么时候才去学习比较合适,不至于落后?要是工作中要用到呢?
6. 我最近注意到 Linux LTS 内核版本居然是 5.10,而稳定版是 5.11,这是否说明 LTS 内核有些激进?
删除7. x86 CPU 硬件漏洞越来越多,换成 ARM 架构是否会安全一些?(没错,我说的是 Apple Silicon)ARM 是否还有一旦爆出漏洞就无法打微码补丁的问题?(checkm8)
删除TO V2EX 10单元
删除我觉得PC应该放弃用了半个世纪的x86/x86_64指令集(CISC),转而拥抱ARM指令集(RISC)。ARM指令集和RISC才是未来之所在和潮流。
天下大势 浩浩荡荡 顺之者昌 逆之者亡
TO 11单元
删除技术问题也用粉红话术喊口号,水平太次了
TO V2EX 9单元
删除Linus Torvalds他老人家好像前几天在呼吁大家不要使用最新版本的内核。。。
我觉得地球应该放弃用了半个世纪的自由主义,转而拥抱中国特色社会主义。中国共产党和中国特色社会和足以才是未来之所在和潮流。
删除天下大势 浩浩荡荡 顺之者昌 逆之者亡
TO 博主
删除8. 博主提到了“法拉第笼”,我们普通人是否需要买一个,是否有助于保护隐私?还有这玩意儿过安检会不会引起怀疑?
5 楼提到的“微波炉”不合适,有较大的危险,也不能随身携带。
既然聊到了无线电,顺便问问学习“业余无线电”在天朝有哪些好处?网上有哪些资源?
9. 再追加一个问题:
删除假设要成为上个世纪 50~80 年代那样的 hacker,需要掌握哪些知识?是否必须要学会 Emacs?有没有类似 Emacs,但使用的是【现代】编程语言(如 Python)来扩展功能?我猜有人会推荐 vim。
TO V2EX 16单元
删除[quote]是否必须要学会 Emacs?[/quote]
我猜测博主的答案是【必须要学会Emacs】。
[quote]我猜有人会推荐 vim。[/quote]
你猜的正确。
TO 博主
删除博主来分析一下这个案例,这些使用暗网的人是怎么暴露身份的?
https://pincong.rocks/question/37846
RE: 6楼5单元 V2EX
删除我认为[b]SearX[/b]是StartPage的绝佳替代品,可以代理包括Google、DuckDuckGo在内的十几种网络搜索引擎,且易于搭建。
如果不想自建,SearxSpace网站收录了SearX的【[url=https://searx.space/]几十个[/url]】实例。
TO V2EX(6单元)
删除博主在博客的远古时代挖了一个坑,你先救急,参考一下:
[url=https://program-think.blogspot.com/2013/05/howto-anti-it-audit-0.html]如何对付公司的监控[/url]
顺便向博主催坑,6单元问的摄像头博主恰好没有填 :)
另外,博主写的 防止骇客入侵系列 和 隐私系列 也有不少相关的干货...
TO 19 单元的网友
删除Searx 虽然可以自建,但搜索质量不怎么样 :(
TO 挪威森林猫
删除我说的就是防范摄像头,博主很久没更新,都烂尾了 :(
TO V2EX(22单元)
删除搜索引擎没找到好的相关文章(反倒是是有很多教导【雇主】监控员工的相关法律知识)。
所以俺粗略想几招,趁着博主没来,抛砖引玉。
1. 最直接的,就是【避免】有公司摄像头的地方。举个极端点的例子,卫生间总不至于有明显的吧。
2. 如果不得不在摄像头下工作,那道理跟博主那个系列对付【主机】行为的监视一样,不要在相机前做任何【敏感】的操作。
TO 博主
删除对了,最近 clubhouse 的用户数据不出所料泄漏了,博主一直没有评论 clubhouse,这次安全动态总结也没有!
关于 Clubhouse 的安全性,可以阅读中国数字时代2月15日翻译的这篇文章:
删除[url=https://chinadigitaltimes.net/chinese/662679.html]斯坦福大学SIO|Clubhouse在中国:它的数据安全吗?[/url]([url=https://cyber.fsi.stanford.edu/io/news/clubhouse-china]英语原文[/url])
RE: 6楼21单元 V2EX
删除SearX 需要在 首选项 中把其它搜索引擎关掉,只保留Google,搜索质量就上来了。
另外可以尝试[url=https://github.com/benbusby/whoogle-search]Whoogle[/url],同样是自建搜索引擎。但与Startpage一样仅代理Google(搜索结果与Google【完全一致】,而Startpage的搜索结果似乎与Google有微妙的变化)。Whoogle也可以部署在Heroku上。
TO 26 单元的网友
删除感谢推荐 whoogle :)
因为clubhouse这个话题不值得讨论,使用它是高度危险的,因为它基于实时语音而非文字交流,这就意味着此应用可被用作收集声纹信息。所以无论它使用的是基于哪个国家的技术,我们都不建议使用该应用,更何况它强制用户使用电话号码注册——这高度危险,特别是在中国大陆和香港、澳门地区。
删除对于clubhouse的评论和基于安全角度出发的技术分析可以参考[url=https://www.iyouport.org/%e9%80%9a%e8%bf%87-clubhouse-%e7%9c%8b%e5%88%b0%e7%a4%be%e4%ba%a4%e7%bd%91%e7%bb%9c%e8%88%86%e8%ae%ba%e5%9c%ba%e6%9c%89%e5%a4%9a%e4%b9%88%e5%ae%b9%e6%98%93%e8%a2%ab%e6%93%8d%e7%ba%b5/]这篇博文[/url]中的内容
TO 28 单元的网友
删除博主至今都没有在提到,甚至没有在本文中提及 clubhouse,这很不正常。
TO V2EX 29单元
删除我觉得这很正常:博主以前说过【很多次】他她【从来】不使用【视频】、【音频】内容,原因是:效率太低、太浪费时间、信息碎片化、不符合【反脆弱】要求。看来你对于博主这方面似乎不太了解啊。
TO 博主
删除我又有个问题想请教:
10. QWERTY / Dvorak / Colemak 这几种键盘布局,.哪种更适合编程?是否跟使用的编辑器有关?
TO 前篇博文搬运工(30 单元)
删除我不同意音频 / 视频效率低,至少在听音频可以同时做其他事情,不过很多视频确实浪费时间。
TO 博主
删除我又发现一个叫[url=https://github.com/workman-layout/Workman]Workman[/url]的键盘布局,甚至针对程序员有优化,与上面几种布局相比哪个更好?
(接上一单元)
删除看到有人推荐 [url=https://github.com/deekayen/norman]norman[/url],说是中英文切换最方便的键盘布局,我已经选择困难了 :(
to31到34单元 v2ex
删除这个不重要,你本末倒置了
TO V2EX
删除俺试着对你提出的问题回答,若有不足,欢迎批评指正。
1.“键盘流“是脱离鼠标操作(纯键盘操作)。
怎样不依赖鼠标操作:使用大量快捷键,系统方面linux/Windows/MacOS/Android都支持快捷键操作,系统问题不大,软件如果支持快捷键或定制快捷键也可以键盘流操作。
所以不应该是某系统适合或不适合,而是你习惯不习惯。
2.Unix的系统安全性建造的很好,而Windows经常出现各种安全性问题。
从系统层面来说:Unix是闭源系统,Windows也是。Linux大多发行版是免费开源系统,更适合做开发。
从开发角度来说:最好是支持跨平台/高度可移植性,无论啥系统都行。
3.俺认为:在不启用JavaScript的情况下
(搜索浅薄简单,不适合用做学术/专业搜索):
Searx 隐私安全非常好,搜索结果很差(默认的结果)
MetaGer 隐私安全非常好,搜索结果很差(默认的结果)
DuckDuckGo 隐私安全非常好,搜索结果很差(默认的结果)
Qwant 隐私安全很好,搜索结果较差
(适合用做学术/专业搜索):
Startpage 隐私安全很好,搜索结果非常好(同Google)
Google 隐私安全很差,搜索结果非常好
据说Searx/DuckDuckGo可以代理Google的结果,但可能需要JS,处于安全性考虑,俺搜索时是不会启用JS的,这点不太友好:( 。
4.如果能不在公司使用其他身份,就不要用。万一身份串线也是非常麻烦的。如果可以的话,减少对手机的依赖,至少减少对要刷脸认证软件的使用,比如改用手动密码。
5.俺认为观望是为了看到某个领域的重点,然后去学习值得学习的东西。
删除如果你知道非线性函数(指数增长),不要落入(“赢在起跑线”的陷阱中)。
俺建议你不要先考虑工作方面,先考虑你的兴趣,去了解自己的性格/能力,设定的长/中/短期目标,当你的目标明确了,工作只是顺带的。
(关于怎样观望的具体方法及问题,还请博主填坑。)
6.Linux内核版的一般有6年的寿命,如上一个5.4版将维护到2025年,而这个5.10比较特别-只有2年的寿命,会不会延长到6年还不好说,可能有些激进,但至少它处理了XFS 2038问题。
7.俺不认为换成ARM会更安全。因为:
ARM面向移动化/手机设备,x86面向桌面/笔记本设备;
定位不同就意味着性能/安全会有很大不同,x86对于注重性能/安全的人来说是主流。
为啥?当你的设备有摄像头/麦克风/定位仪时(通常你难以改动它),这个危险性就很高,如果你不考虑这些,组装ARM的CPU,就会有兼容性的问题,而兼容性问题又容易引发潜在的风险。
至于Intel CPU是无法修复Meltdown造成的硬件漏洞,只能围堵恶意代码,比较蛋疼解决办法是更换新物理硬件,这也不排除以后会发现更多漏洞,然后Intel的用户只能不断换新,那Intel公司岂不很赚。
8.“法拉第笼”对普通人来说可以用来帮助改善睡眠(减少骚扰信息)。
对于高危人士而言,要避免引起心理上的虚假安全感,除非你把电子设备永久封装其中。
无线电资源?Google。
9.Emacs必须的,假设那个年代vim还没诞生嘛,俺会推荐你 XEmacs。
TO V2EX 32单元
删除[quote]我不同意音频 / 视频效率低[/quote]
你怎么想的不重要。博主认为音频 / 视频效率低,所以他不就Clubhouse转载任何新闻发表任何意见。
TO 海水
删除对于大多数人不重要,但是对我来说比较重要,或者说我不想再用 QWERTY 键盘布局了,想找一个合适的新布局。
TO learner(36 单元)
删除1. 你确定所有系统都支持【全键盘】(纯键盘)操作?
也就是说,拔掉鼠标,【完全】使用键盘操作,你能完成【所有】操作吗?
Windows 我很久不用了所以不清楚,Linux 在命令行可以,GUI 则依赖具体的桌面. ,macOS 应该完全可以,因为我搜到的结果基本都是 macOS;
2. Windows 的软件 PATH 完全不一样,配置起来很不方便,而且还有编码问题,所以并不适合做开发(尤其是 Web 开发);
3. StartPage 不用 JavaScript 也能正常使用;
4. 公司包住宿,所以必须考虑这个问题,某些 app 的此类功能(支付等)刷脸是【强制】的,否则谁会用这个 SB 功能?
TO learer(37 单元)
删除7. 我考虑以后只买 Mac,不再买 PC,所以要考虑这个问题。而且现在 Apple Silicon 已经可以安装 Linux 了,虽然还在 aplha 阶段。(Linus 的笔记本就是 MacBook Pro)
TO 前篇博文搬运工(38 单元)
删除你又不是博主,哪怕他确实是这样回答的,你也不能先帮他说一遍。
我就觉得 Podcasts 是个非常好的媒介形式,根本不低效,尤其是学习外语,完全不用音频和视频学习外语基本不可能。
TO V2EX 42单元
删除[quote]你又不是博主,哪怕他确实是这样回答的,你也不能先帮他说一遍。[/quote]
博主的意思是【网状结构】。如果应用到我们关于视频、音频的对话,那我觉得博主就是希望我能够在他不能上线的时候把他要说的话说出来。
况且这个论坛本来就是言论自由的。连五毛水军都可以上来捣乱,我帮博主先说一遍也无可厚非吧。
TO V2EX 41单元
删除[quote]我考虑以后只买 Mac,不再买 PC[/quote]
博主对此应该是持反对意见的。博主本身就不相信任何大公司。最近博主谈论新疆的时候,又进一步谈论了苹果:[quote]参与游说的大型公司有好几家,为啥俺要专门拿【苹果公司】来说事儿捏?——
首先请注意:苹果公司很有钱(在全球各行业的公司中,苹果的现金储备排在前几位),苹果公司的利润率很高(这点俺不用解释了)。也就是说,即使苹果公司把涉及新疆的供应链迁出,对它而言也只是“小意思”,根本【不会】伤筋动骨。苹果甚至都不需要动新疆的供应链,只需调整供应链,使得供应美国的苹果产品,不包含新疆奴工制造的部件。
但是库克作为苹果公司的老大,采用的却是另一种做法——企图游说参议院,阻挠该法案通过。这么做,已经站在了【道德的对立面】。那俺不得不怀疑:库克这个人的道德底线。
如果是耐克的 CEO 道德很差,大伙儿无需太担心——毕竟你所穿的耐克鞋没法监视你的隐私。但苹果就不同啦——iPhone 手机以及 iOS 操作系统,可以收集到很多很多的用户数据。既然库克缺乏道德,苹果公司会不会拿用户的数据去谋取商业利益捏?这就很难说啦!
对于那些【重度的】苹果用户,俺建议去看看《近期安全动态和点评(2020年4季度)》。其中正好提到【苹果的 OCSP 事件】——这是去年曝光的一个重大隐私丑闻。[/quote]
所以博主肯定认为你的这种“考虑以后只买 Mac,不再买 PC”其实是非常不明智地。博主使用的也肯定是PC而不是Mac。
TO V2EX 41单元
删除[quote](Linus 的笔记本就是 MacBook Pro)[/quote]
Linus的那台MacBook Pro是基于x86架构的。我比你还想要看到PC放弃x86采用ARM。但是这不代表我们可以闭起眼睛说"Linus 的笔记本就是基于Apple Silicon ARM RISC架构的MacBook Pro"这类胡话。
TO V2EX(40单元)
删除俺认为几乎所有PC的系统都支持纯键盘操作。
Linux命令行这没啥问题,
桌面的话-如果你习惯快捷键,用nano/emacs编辑下快捷键,完全可以的。
俺创建个Windows的虚拟机试了下基本也可以,至少可以用vbs。
MacOS基于linux也可以。
至于Android如果支持USB Type C接口连键盘,只不过Android比较麻烦(也可能俺不怎么用它)。
TO V2EX(41单元)
那你选择,俺只说一下,Apple同时生产硬件和软件,这就容易产生单点故障,同一家的硬件其攻击面就很具体,但它显然好过装Windows的笔记本。
TO 前篇博文搬运工(30/32/38单元)/ V2EX(42单元)
删除博主的确不常用视频/音频这样的主动媒介,不仅仅是效率低/太浪费时间/信息碎片化,经典的影片除外。
主动的媒介会使得使用者处于相对被动的地位,除此之外:
边听音频边做其它事,比较适合休闲状态,但是想博主这样明白娱乐致死的人,俺不认为博主会这样做,而且当还会分心,如果做简单的事问题不大,如果不是专门听音频,而是有其它活动参与,从事思考/需要专注的事,哪怕再美妙动人的音频也会成为噪音。
至于视频是形象媒介,没有办法帮助人理解抽象概念,比如想象力。视频是限制人的思维,视频告诉你那是啥就是啥,比如你看到大象,你却无法感觉它(听过盲人摸象,视频剥夺了你通过自己去探索事物的机会),你用了视觉器官后,可能还会忽略其它感官的参与,误以为只要从某个角度看到视频当中的就是现实世界的(俺敢肯定你视频看到的核爆炸和现实不同),就会形成认知偏差。
过去俺也认为如果有视频学外语这方面不就很简单吗,现在俺用这样的词语来形容,用书籍/交流的方式与视频/音频方式的学习最基本的区别在于:一个是专业,一个顶多是业余。
TO 前篇博文搬运工(43 单元)
删除就算博主自己不用音频和视频媒介,也不是不提及 clubhouse 的理由,而且这是【安全动态点评】。博主提多次到 Zoom,而他很可能不用 Zoom。
TO 前篇博文搬运工(44 & 45 单元)
删除我记错了,Linus 用的是 MacBook Air。
Linus 好像【亲自出马】让 Apple Silicon 支持运行 Linux,参考[url=https://www.realworldtech.com/forum/?threadid=196533&curpostid=196570]这个邮件列表[/url]。
TO V2EX 48单元
删除嗯嗯,按照你48单元的说法,博主完全不提clubhouse似乎没有道理。
我能想到两点:
1.clubhouse太新,博主还需观望一段时间。
2.博主可能真实生活当中也用zoom和clubhouse和看视频(你要记住博主的“编程随想”这个身份和他真实生活中的身份是非常非常不同的,可能完全相反的),但是他在这里放烟幕弹,所以完全不提clubhouse也可能是他放的一个烟幕弹。
TO learner(46 单元)
删除那只是理想情况而已,建议你把鼠标拔掉,完全用键盘操作几天再来评论。
在微机出现之前,公司负责生产电脑硬件和对应的操作系统和软件,现在还坚持这样做的公司似乎只有 Apple。
TO V2EX(48单元)
删除Zoom据说数据加密发到天朝某处,有如此严重的隐私问题,像博主这样的高危人士怎么可能用zoom捏。
至于clubhouse要么是博主忽略了,要么是问题还不够大,要么是博主手头没有足够的资料等。
TO V2EX 49单元
删除[quote]我记错了,Linus 用的是 MacBook Air。[/quote]
嗯嗯,那Linus 用的是 MacBook Air应该是基于x86架构的。
[quote]Linus 好像【亲自出马】让 Apple Silicon 支持运行 Linux[/quote]
虽然我严重支持Linus这样做。但是我:
1.不看好苹果会主动为Linux社区提供技术服务使其能够使用Apple Silicon(换句话说:如果将来证明我预料错了,那我会非常非常的高兴)
2.博主关于苹果的危险性的论断还是不会因为Linus呼吁苹果支持Linux社区或者苹果万一将来决定支持Linux社区而会有丝毫改变
TO learner(47 单元)
删除同意你的大部分观点。不过学习外语的过程中,“听说读写”里面,“听”占了很大一部分,而且天朝的外语教育不重视听说,所以很多人学的都是“哑巴英语”,其他外语同理。
TO learner 52单元
删除[quote]像博主这样的高危人士怎么可能用zoom捏[/quote]
你犯了一个这个博客上很多人都会犯的错误:
你把【超人】【等同于】【Clark Kent 克拉克·肯特】,【蝙蝠侠】【等同于】【Bruce Waynes 布鲁斯·韦恩】,【Darth Vader 達斯·維達】【等同于】【Anakin Skywalker 安納金·天行者】。
重要的事情说三遍:
第一遍:“编程随想”背后的这个【真人】在【真实生活中】【使用】Zoom!
第二遍:中华人民共和国境内有一个有身份证号码的居民,这个居民有时会双重代理翻墙登录谷歌“编程随想”账号,【这个居民】【使用】Clubhouse!
第三遍:使用谷歌账号program.think@gmail.com的【这个人】在【真实生活】中甚至【使用微信】!
这个人在真实生活中表现的与他她变身“编程随想”以后所【声称】他她在“所谓的真实生活中的表现”的【出入越大】,这个人就【越安全、越不容易】被六扇门查到(当然还要撒一些“假作真时真亦假”红楼梦胡椒面,更加安全)。
之前和朋友聊天时提到了ECH,朋友表示对于长期使用VPN的人来说,这项技术并无帮助。因为很多VPN厂商同时提供了DNS服务,在使用VPN时会自动与厂商的DNS服务建立加密通讯。俺咨询了几家VPN服务商,得到的答复大多是“如果您使用我们的VPN服务,那么您的DNS请求将得到保护”。俺想问的是,VPN究竟对哪些内容进行加密?使用厂商提供的DNS(没有ECH)真的能防止ISP窥探吗?正好博主不久前发了OSI相关的博文,也许可以作为补充内容加入 :)
回复删除ECH和DoH的用处是更好的保护外网用户的隐私。
删除至于墙内用户,ECH和DoH和CDN可以通过“依附的自由”最终逼迫墙要么放行所有外网探访请求(包括谷歌脸书推特油管ins维基,由于ECH和DoH和CDN以后墙没法识别所访问目标网站了,所以看上去就是一大团一模一样的HTTPS完全强加密数据流,任何明文的数据都没有),要么揽炒彻底封杀所有外网。
您好,同问这个问题,想请教,假设用了vpn 访问Google 推特,或其他地址,isp或网监,是否能知道我访问了什么地址?或者可以监控到其他内容?谢谢您!
删除TO 楼主
删除你朋友是对的,ECH/DoH/CDN对于【免翻墙直连】有重大意义(无论是好的(全部放行)还是坏的(揽炒))。但是ECH/DoH/CDN和VPN、蓝灯、TOR、I2P、无界、SS/SSR/V2Ray/Clash/Surge等等【翻墙】软件的确是没有关系的。可以看成是在两条平行线路上作战。一条是【免翻墙直连】,另一条是【翻墙】。
(订正一下3单元)
删除*ECH/DoH/CDN和VPN、蓝灯、TOR、I2P、无界、自由门、赛风、SS、SSR、V2Ray/N/NG、Trojan、Clash/X、Surge、Shadowrocket、Quanmulut、QuanmultX、Netch、AnyCast、OpenWrt、Pandavan、Merlin等等
(订正一下3单元)
删除*ECH/DoH/CDN和VPN、迷雾通、蓝灯、TOR、I2P、无界、自由门、赛风、SS、SSR、V2Ray/N/NG、Trojan、Clash/X、Surge、Shadowrocket、Quanmulut、QuanmultX、Netch、AnyCast、OpenWrt、Pandavan、Merlin等等
问题是,Firefox支持的ECH,现在到底有哪些网站可用?
删除TO 博主
删除这次继续冒泡,前篇博文有关默克尔的讨论,俺这里来回答。
先贴几篇德国之声的文章作为铺垫:
[url=https://www.dw.com/zh/%E5%BE%B7%E8%AF%AD%E5%AA%92%E4%BD%93%E9%BB%98%E5%85%8B%E5%B0%94%E8%A6%81%E8%AE%A4%E6%B8%85%E4%B8%AD%E5%9B%BD%E7%9A%84%E7%8E%B0%E5%AE%9E/a-54080849]德语媒体:默克尔要认清中国的现实[/url]
[url=https://www.dw.com/zh/%E5%BE%B7%E8%AF%AD%E5%AA%92%E4%BD%93%E7%BB%8F%E6%B5%8E%E5%8F%8C%E8%B5%A2%E6%B6%88%E5%A4%B1%E4%BA%86-%E6%94%BF%E6%B2%BB%E8%BD%AC%E5%90%91%E8%BF%98%E4%BC%9A%E8%BF%9C%E5%90%97/a-54753927]德语媒体:经济双赢消失了 政治转向还会远吗?[/url]
[url=https://www.dw.com/zh/%E5%BE%B7%E5%9B%BD%E4%B8%8D%E6%84%BF%E5%A4%A7%E5%A3%B0%E8%B0%B4%E8%B4%A3%E4%B8%AD%E5%9B%BD-%E4%B8%BA%E4%BB%80%E4%B9%88/a-54086387]德国不愿大声谴责中国 为什么?[/url]
总体来说,俺对默克尔的印象是:她还是在上世纪美国克林顿政府的水平,默克尔政府的政策跟当时美国佬的【接触】政策很像,【以经促政】,天朝的经济发展必然促进政治自由化。当然,包子修宪之后发生了很多事情,所以俺个人觉得是默克尔执政【太久】了,一时转不过弯来。(当然,德国强大的工商界也肯定不希望中德翻脸,默克尔的基民盟政党又是比较亲商界的)。
7单元贴错了,请到22楼。
删除TO 编程随想
回复删除想对磁盘加密博文的【彻底删除 key files】和【破坏加密盘的密钥存储区】提一些疑问。
https://program-think.blogspot.com/2019/02/Use-Disk-Encryption-Anti-Computer-Forensics.html
近几年各家硬盘制造商,在部份生产的机械硬盘上会使用被称为SMR的技术,能在不提升成本的情况下,提高硬盘容量。
https://en.wikipedia.org/wiki/Shingled_magnetic_recording
有些文章提到,SMR机械硬盘在删除数据时的行为近似于固态硬盘——不会删除原始数据块。
因此一般机械硬盘上安全的快速删除方法,用在SMR机械硬盘上可能会有风险。
https://gitlab.com/cryptsetup/cryptsetup/-/wikis/FrequentlyAskedQuestions#5-security-aspects
https://blocksandfiles.com/2020/04/15/shingled-drives-have-non-shingled-zones-for-caching-writes/
又因为SMR技术先天性的缺陷,硬盘的速度有时会非常慢,各家硬盘制造商为了销售业绩,对消费者有刻意隐瞒硬盘是不是采用SMR技术的倾向。
https://arstechnica.com/gadgets/2020/05/western-digital-gets-sued-for-sneaking-smr-disks-into-its-nas-channel/
制造商为了利润,估计会继续生产成本较低的SMR机械硬盘。
一般用户又很难自主判断硬盘是不是SMR,可能导致敏感数据销毁不彻底而有被恢复的风险。
对这种情况是否有建议的应对?
那就把 HDD 当作 SSD 清除数据呗。
删除全盘加密吧
删除大多数监控用硬盘,如希捷酷鹰(Seagate SkyHawk)、西数紫盘(WD Purple)的标准版本(非OEM/定制/低功耗版本)以及零售的企业级硬盘,如希捷Exos、西数UltraStar均为传统的垂直式硬盘(PMR-CMR),由于SMR叠瓦式机械硬盘先天缺陷,在覆写的过程中的相应速度极慢,所以并不适合读写密集型工况,例如监控领域和数据中心领域,而以上领域虽然也有基于于SMR硬盘系统的低成本解决方案(HM-SMR),但是对设备有要求,普通PC并无法直接使用HM-SMR磁盘。
删除判断一块硬盘是否属于SMR,对于普通消费者而言是一个艰难的任务,作为某企业的IT采购经理,我只建议消费者转投企业级解决方案,Seagate和WD对企业用户产品都提供完整的产品性能表格,或者直接使用基于纯固态硬盘方案的存储计划。
TO 博主
删除博主你对于shingled叠层瓦片硬盘技术不知是什么看法?
大家好,想请教个问题,假设用了vpn 访问Google 推特,或其他地址,isp或网监,是否能知道我访问了什么地址?或者可以监控到其他内容?谢谢您!
回复删除HTTPS 网站只要证书没问题,ISP 和 GFW 就无法看到 URL 和具体内容,但他们能通过 IP 和 DNS SNI 得知你访问的网站,好在最新的 TLS 1.3 启用了 ECH 规避这些问题。
删除TO 楼主
删除补充一下V2EX在1单元所说的:
最新的 TLS 1.3 启用了 ECH【必须搭配】DoH才能【完整规避域名泄露问题】。
如果以上组合【再】搭配【CDN】,则可以通过“依附的自由”最终逼迫墙要么放行所有外网探访请求(包括谷歌脸书推特油管ins维基,由于ECH和DoH和CDN以后墙没法识别所访问目标网站了,所以看上去就是一大团一模一样的HTTPS完全强加密数据流,任何一丝半点明文的数据都没有),要么揽炒彻底封杀所有外网。
TO 楼主、V2EX
删除补充一下我在2单元说过的话
[quote]他们能通过 IP[/quote]
CDN在这里的作用就是保护IP不被识别。当然你会好奇:咦?IP不是必须是明文吗?IP不是不可以被加密的吗?CDN有怎么能够保护IP不被识别呢?
这就牵涉一下的概念:
如果【整个外网】都变成了基于【一个】或者【几个】CDN,那么GFW(他们)就【没法】通过IP来得知你访问的网站了(因为【所有】网站都是【一样】的那么几个CDN的IP地址群了!)
博主,同一个系统实例下的浏览器不同配置,浏览器指纹也是相同的。这应该如何解决?
回复删除甚至就连虚拟机指纹也有可能相同。
要参考全球有多少人拥有相同指纹。有的系统指纹相同是很正常的。
删除在中国,要求全方位安全。比如,可以用印度产手机电脑等电子设备、印度通信商、印度账号。宁愿把数据交给所谓权贵政府的敌人,也不要交给权贵政府。
回复删除中国APP、网站等资讯,手机短信、彩信、通讯录、通话记录、未接留言以及通过运营商访问的任何网站(通过运营商访问的网站,自己都可以在运营商手机营业厅APP查询到),都被权贵政府监控。
在中国,要以最恶毒的态度来揣度,中国权贵政府、中国企业、中国民众。
宁愿防卫过度,也不要心存侥幸。
提醒一下,有些网友,可能像我一样,一个密码,走遍所有APP、网站,请尽快修改,所有密码。
回复删除其它,网络上的信息,最大可能的虚拟化。比如,巧用虚拟号码接收短信电话、随机密码产生器、随机邮箱产生器、随机电话号码产生器、随机姓名产生器、随机身份产生器等。
要让收集公民数据和信息的中国企业、中国权贵政府、中国个人偷窥者,陷入虚拟数据的汪洋大海中。
你爱收集数据,就虚拟给你数据。
他們瘋狂起來,是令人噤若寒蟬毛骨悚然的。他們反對讓無數人工作和生活變好的工廠,反對讓糧食增產、蚊蟲和傳染病變少的化肥和農藥,反對讓我們都吃上便宜的肉食的機械化養殖,反對讓我們生活無比舒適的空調冰箱,反對讓我們出行便捷的高速公路,反對高樓大廈和城市……這一切都是因為,人類侵略了動物的生存空間
回复删除上海一位三年級小學生髮現英語課本里出現馬戲團動物表演的內容,於是在媽媽的鼓勵下,向出版社反映,要求撤掉這類內容。她媽媽在接受采訪時說:從小就教育她少看動物表演,不帶她去馬戲團,因為這違背動物的天性,動物是在按照人類希望的方式去表演,是比較痛苦的。因此如果要學習動物單詞,可以採取動物放生之類的。出版社應允,表示在下一版修訂時換掉這類內容。
先表明觀點:
孩子喜愛動物有什麼問題嗎?沒有。這是她的權利,只要不干涉他人,外人無話可說。
這位孩子和她媽媽的觀點和做法有問題嗎?全錯!
讓我們先從基礎理論談起,看看他們到底錯在哪裡。
動物沒有權利
這些年西方國家輸出的許多觀念都是極端錯誤和有害的,除了福利主義這個大毒草,環保-動物保護主義也惡行累累,走向了它原本主張的反面。
我們不是不要環保,不要保護動物。人人都喜歡文明、整潔、舒適的生活,人人都有惻隱之心。而是要問:他們主張的那些極端的手段能不能達成環保和動物保護的目的?自己的意志和價值觀能不能加到他人頭上?能不能因此侵犯他人的財產權?
「權利」這個詞,是人類專屬的,它的根基是財產權。因為人類是有理性的,他能夠通過自己的理性認識到自己的利益所在,於是將互不侵犯財產權這一和平共處的原則抽象為人人遵守的「一般性法則」,由此實現利益的和諧,增進所有人的福利。在這種財產權的認知之上,才有權利生長的可能,人類文明才能得以建立。所以,「財產權=權利=自由=人類文明」,不講財產權,就是野蠻。
動物沒有權利。在動物的世界裡,只有相互搶奪獵物、爭奪地盤的野蠻廝殺,它們沒有財產權的概念,不知道互不侵犯的「消極自由」原則,只有你死我活。它們不會像人類一樣理性思考如何建立利益的和諧,實現交換共贏。因此也無所謂權利和義務。我們之所以把人類相互掠奪和殺戮比作野蠻的叢林社會,就是因為這時候的人類像動物一樣,沒有了財產權和權利的觀念。
野外生存的動物是無主物。國家將野生動物收歸國有,並沒有改變它們是無主物的本質。事實上,這種行為本身恰恰反證了野生動物是無主物,一來如果它已被私人佔有,你憑什麼沒收?二來國有就是全民所有,就是人人都沒有,就是政府所有。恰恰是因為它是無主的,因此政府才能通過強制立法形式將其變成自己所有。
被人類占有、豢養的動物是某個人的私有財產。文明社會,一個人不可能成為他人的私有財產,你不能說張三是你的,李四是我的;但是,你的貓、我的狗、他家的豬,已經清楚地表示出財產權的歸屬。未經主人的允許拿走他的寵物或者家畜,就是盜竊或者搶劫。
既然是私有財產,就要按照私產倫理規範判定是非對錯。如果那些表演的動物是有主的,就應該聽從財產權人的安排,你既沒有權利代表他人對人家使用自己的私有財產進行干涉,也不能代表動物說:這樣會使「我」痛苦。
你怎麼知道動物喜歡的到底是在野外殘酷的搏鬥覓食,還是在人類的豢養下養尊處優地過完這一生?你認為動物的天性是無憂無慮地奔跑在大自然中,我卻認為它憂慮著呢,它隨時可能被餓死、凍死、殺死。你認為把人家豢養的動物放歸大自然是一種解脫,但實際上主人認為那是一種放逐。
你當然可以反感動物表演,可以有自己的感覺,但不論怎樣,都不是你干預他人如何使用他的動物的理由。
動物表演很痛苦,可是牛多麼可憐啊,整天負軛前行;狗多麼可憐啊,整天背負枷鎖;豬多麼可憐啊,整天任人宰割;你養的寵物多可憐啊,整天身陷囹圄……可它們就是動物啊,人類就是處在食物鏈頂端的高等生物啊,人類不這樣做,難道去吃草?草又多麼無辜!那難道就只剩下餓死一條路?
你之所以認為動物會痛苦,正是因為人類這種高等生物所特有的移情能力,它本身就是「擬人」的修辭手法不是嗎?歐美傻白左荒誕而鬧心的「動物福利」、殺龍蝦時要先電暈、給豬良好的衛生和採光條件、雞籠的面積不得低於多少、不要讓奶牛反复懷孕,等等,不但侵犯了他人的財產權,使得養殖成本大大提高,而且完全是他們自己鼓譟出來的——動物不會向他主張這個權利,主張這個權利的是人。是一群人通過動物這個載體,向另一群人展示自己的道德優越感,並且強制他人服從於自己,滿足自己——而不是動物——的慾望罷了。
把動物擬人化,就是既不把動物當動物,也不把人當人。
盲目保護和放生只會造成災難
非洲的博茨瓦納,1970年代境內只有2萬頭大象,到了2013年,達到了13.5萬頭。這個國家過去一直是允許遊獵活動的,並將大象的獵殺做成了一個面向外國遊客的狩獵觀光旅遊項目,實現了本國政府、人民和外國觀光者的多方共贏,同時也保持了大象種群與人類的和諧共處。
2014年,時任總統伊恩·卡馬迫於西方動物保護組織的壓力,頒布禁止狩獵令,不僅禁止遊獵,而且本國人獵殺病殘大像也被嚴令禁止。甚至組建了全副武裝的「護象隊」,並擁有射殺盜獵者的權力。僅2015年,單單來自納米比亞和津巴布韋的盜獵者,就有超過50人被射殺。於是,大象種群在原有基礎上以5%的速度增長,到2018年,已達到16萬頭。
不斷增加的大象使這個人口只有220萬人,而且大部分聚集在東南部的小國苦不堪言。非洲象性情暴烈、食量驚人、破壞力強,它們不斷向南部人類聚集地滲透,將莊稼和植被洗劫一空、破壞民居和設施、攻擊人群、阻礙交通,造成重大經濟損失。獵殺禁令使得人們不得不採取拉電網、養蜜蜂、投毒等方式尋求自保。
2018年,新任總統莫克維齊·馬西西頂住壓力,重新開放商業狩獵,贏得了本國人民的一致歡迎。面對西方動保組織的洶洶指責,他說:「他們(動物保護主義者)說話的語氣,好像博茨瓦納是個大型動物園,在他們眼裡,這裡沒有活生生的人民,有的只是動物園的看門人罷了。」臨了不忘嘲諷那些偽善的道德婊:「在這些人和國家看來,博茲瓦納好像沒有人類居住,大象才是唯一重要的事情。你們如果喜歡大象,我們可以送500頭給你們,讓你們知道大象的威力!」
沒有比他說得更到位的了——他們關心動物,卻不關心人;他們那麼喜歡,為什麼不領一頭回去自己保護起來?
再說放生。
近些年,各地均出現一些「放生黨」,他們頻頻出沒於公園、河邊,把蛇、烏龜等動物放生。上海放生黨曾將大量「火赤鏈」毒蛇放生到森林公園和碼頭,令市民驚擾不已;他們還將大量魚放生至黃浦江,導致水面漂滿死魚。在北京、安徽,甚至還出現大規模放生狐狸事件,導致當地居民飼養的家禽被大量咬死咬傷。
對於這種「秀慈悲」的行為,中科院城市發展與環境研究所副研究員黃順江說:一來放生的動物大多是人工養殖,野外生存能力幾乎為零,所以盲目放生,相當於殺生。二來這種行為將破壞某處的生態系統,造成嚴重生態災難。因此,放生決不能盲目進行,必須進行科學論證,在綜合考慮物種、時機、環境、生態承載能力等等條件下方可進行。
那些組織放生的人,真的就那麼慈悲嗎?
媒體報導,這些人打著慈悲為懷的旗號,專門飼養和收集許多動物,然後向信眾兜售,收費不菲。信眾放生後,他們又會組織人力將有些被放生的動物重新捕回,進行二次售賣。完整的「產業鏈」啊!
删除原來,他們不過是「嘴上全是主義,腦子裡全是生意」。生意就生意,扯上道德大旗,就是無恥了。有些錢,是不能賺的!
保護動物最好的方式是確權
回到非洲。
在肯尼亞、坦桑尼亞、烏干達,有嚴格的大象禁獵令,然而大像數量卻不斷下降。相反,在博茨瓦納、納米比亞、南非、津巴布韋,長時間以來並沒有禁獵令,大象種群卻大幅增長。其中原因何在?真的是因為環保組織、國家禁令保護的結果嗎?
一個鮮為人知的事實是,南部非洲國家的土地確權,才是非洲像大量繁殖的根本原因。
華中科技大學環境與資源法教研室主任鄢斌在他的論文《論我國人工馴養野生動物的所有權歸屬》中指出:「津巴布韋《野生動物保育法》規定:’土地的所有者可以在自己的土地上獵殺野生動物。’這在環保組織眼裡簡直就是一場災難……但結果卻出乎意外,野生動物不但未減少反而增加許多。人們更自動拆除原先設置農場的圍欄,使得動物的生活空間擴大……近年來,有關津巴布韋大象過多擾民等報導屢見不鮮」。
其原因何在呢?他繼續論述道:「這道法令體現的是一種革命性的轉變,即將野生動物獵捕權,由’公有’轉為’私有’。國家作為一個虛無的主體……對於野生動物的保護力度達不到私人作為野生動物的所有者與其自身利益休戚相關的保護,因為私人往往會更好地捍衛自己的財產權」。「人們總是更為關心與自己利益相關的事物,雖然在某種程度上,生物多樣性、環境問題都關乎到人類甚至整個地球的利益,但比起將野生動物私有之後更為可視的直接經濟利益,後者有更為明顯的驅動力」。
他還引用了美國的一個案例:「亞利桑那和新墨西哥分別有61%和60%的農場主,向政府提出減少麋鹿種群數量的要求,而其他州的農場主因為從’捕獵許可費’中獲益,因而他們並不要求政府減少種群的數量而是希望增加。」
結論已經呼之欲出,無需贅述。
財產權不明晰,必然造成「公地悲劇」;財產權明晰,才能為人們創造財富提供強大的激勵。這個邏輯清晰無比,像物理學定理一樣顛撲不破。任何領域的財產權明晰,必然使這個領域的供給增加。從大鍋飯食不果腹,到聯產承包責任制後衣食無憂;從供銷社憑票供應,到滿街「個體戶」使物質豐裕,都是鮮明的例證。那麼,要保護野生動物,正確的途徑當然是將其產權明晰化。
在歷史的長河中,許多極其強悍的動物都走向了滅亡,為什麼笨拙的豬、溫順的牛、羸弱的雞卻沒有滅亡,反而種群不斷擴大?原因無它,財產權!
白左的真面目
現在,我們已經知道那對上海母女的錯誤之處了。她們首先是認知上的錯誤。但令人不寒而栗的還不止於此,而是她們的手段。
她們不是通過辯論和說理,而是選擇直接向官方的出版機構反映,用強有力的方式實現自己的目的。她們不考慮其他人的價值判斷,而是想以自己的價值判斷直接規範他人的行為,凡是我不喜歡的,別人也休想喜歡;凡是我反對的,別人必須反對;凡是我不想看到的,別人也沒有看到的機會。
和那些看到任何不合自己心意的事情就希望國家頒布禁令的人,多麼相像。
這孩子在她母親的錯誤教育下,若缺乏將來的自我教育,大概率是那些反對別人吃狗肉的人,是同情心氾濫卻不顧他人感受的人;還有可能,會成為一個令人鄙視的告密者,對老師進行監控審查的舉報者。她就是米塞斯筆下「不合心意就打電話報警的人」,也是王小波筆下「戴著紅袖章就是正義的人」。因為她腦子裡沒有一絲財產權觀念,信奉的是權力。
她就是一個中國版、少年版的格雷塔。
愛動物,反對虐殺動物,愛惜自然和環境,都沒有問題。問題只在於,一切行為都必須在財產權的範圍之內。沒有財產權觀念的人,就與動物無異,是野蠻人,他顯得很文明,只不過空有文明的外殼而已。
「菁城子」陳興傑老師一語中的:白左的本質是強制。他們顯得很博愛,其實是把別人不當人,把自己的意志強加到他人之上。他們在乎自己的道德表演,從來不在乎別人的感受,符合自己的意志才是好的。為了推動他們的議程,他們不惜一切代價推進立法,借助權力對多數人實施強制,並揮舞道德大棒令人們敢怒不敢言;他們和利益集團沆瀣一氣,為其爭取補貼和特殊照顧,哪怕多少人受損都在所不惜。他們不但要代表人類,而且要代表動物。他們永遠懸在半空中俯視人類,似乎自己比所有的生靈都高一等。
大自然有大自然的規律。那些白左號稱尊重自然,實際上最不尊重自然。自然界的優勝劣汰、物種平衡,每天都在上演;一種動物的自然消失,對於地球上150多萬種動物來講,並不會造成生態失衡。這才是自然規律。除了人類愚蠢地干預自然,自然就像水的自淨一樣,自然會平衡。人為的干預,反而最不尊重自然規律。西奧多·羅斯福曾經下令捕殺凱巴伯森林裡的狼群,以保護鹿,之後狼群滅絕,鹿群野蠻生長,破壞森林和植被,一場瘟疫使鹿群數量銳減,他才恍然大悟:原來,狼是鹿的「保護者」!
這些人,都是些不學無術,卻無知無畏,試圖違逆大自然規律的致命自負的工程師和計劃者;也是些有認知障礙、錯置因果關係的精神病和歇斯底里症患者。
他們瘋狂起來,是令人噤若寒蟬毛骨悚然的。他們反對讓無數人工作和生活變好的工廠,反對讓糧食增產、蚊蟲和傳染病變少的化肥和農藥,反對讓我們都吃上便宜的肉食的機械化養殖,反對讓我們生活無比舒適的空調冰箱,反對讓我們出行便捷的高速公路,反對高樓大廈和城市……這一切都是因為,人類侵略了動物的生存空間!
是的,他們反對一切讓人類生活變好的東西,反對一切代表人類文明的東西。他們聲嘶力竭地控訴人類,其實是認為:人類是這個星球上的禍害。
他們熱愛所有動物和植物,唯獨不熱愛人類。因為他們是動物,他們反人類。
个人所有密码,提议,3年一小范围修改,5年一大范围修改。
回复删除始终保持个人密码的机动性。
这一点,手机号码、私人邮箱也是这个道理。
出卖你私人数据的,是数据的实际拥有者、保持者、存储者。
回复删除比如,身份证信息是通过公安部门出卖的。
每一个人都有身价,只是出价不同。
对于数字难民,有必要对所有商业公司、中国权贵政府、中国民众保持最大警惕,一级战备。
Signal、Telegram等需要手机号码注册的APP/网站,可以通过虚拟号码解决(虚拟号码可以接受短信、电话,有免费的,也有付费的)。
回复删除本人用虚拟号码注册的Signal和Telegram,在正常使用,暂时没发现和普通号码有区别,
请问编程随想怎么看“国家反诈骗APP”?
回复删除-----BEGIN PGP SIGNED MESSAGE-----
回复删除Hash: SHA512
俺老徐猜到了博主会在昨日深夜发文:( 不过很可惜,俺昨晚折腾俺滴防火墙设置去了,故此没抢到前排:(
不过大胆博主休走!俺老徐有几个问题想问问:) 一会儿发在本楼回复:)
博主又发安全动态啦,值得俺老徐好好学习一个:)
还有前面几个抢到前排的老熟人,你们不睡觉的吗?
- -------------
本消息采用GPG签名,请前往 https://ufile.io/mgewdpcm 下载 “徐满才的公钥.asc" 文件以便进行签名核对 :)
啥,你问俺为什么要这么麻烦?那你要问博主为什么还没实行评论区签名机制啦 :(
- -------------
-----BEGIN PGP SIGNATURE-----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=22g+
-----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE-----
删除Hash: SHA512
1.提到手机隐私问题,“刷机”是否是一种可能的方式?比如购买国外的手机(譬如Google Pixel)系列,再刷上开源的安卓第三方ROM(目前名气比较大的开源第三方ROM应该是Lineage OS)
使用一个开源的第三方安卓系统 + Work Profiles 隔离国产应用,能否提高自己的隐私?
俺在这里不讨论在手机上进行敏感的操作(譬如在手机上来这里发贴),只说一般性的提高自己的隐私,同时尽可能减少对现实生活的影响,比如在不被偷窥或者跨应用跟踪的情况下使用一些必要的国产APP,毕竟现在许多地方没个APP真的是麻烦很大(微信支付,支付宝,etc)
-----BEGIN PGP SIGNATURE-----
iQKTBAEBCgB9FiEEG68/8nh5/IlZpZ3bbSezN6L185UFAmBz7qVfFIAAAAAALgAo
aXNzdWVyLWZwckBub3RhdGlvbnMub3BlbnBncC5maWZ0aGhvcnNlbWFuLm5ldDFC
QUYzRkYyNzg3OUZDODk1OUE1OUREQjZEMjdCMzM3QTJGNUYzOTUACgkQbSezN6L1
85Wwbg//eqI700u2DIJ4PSyiZwLTJa8qbniJP7SAM2EpFXq4yJ6F0AS9hb1AK0RU
5MtB3Qq+Ml/PAuAcn0Rxy0wbicln+8CYeMEofm9hgeGI8vefIZV2n87/ZZD+qdnr
o6S4tMMOMzHYGe6ra5JC+iFG9oRkJlZ4ZEnGlRp20ObsB05+kUO+KxXrDOcAjAOE
F4j5cxZ46gJmqj/4V5nvHhzdlij9WnyWb/IAQ8Bvya0v46lNXVFAqJn1GZmqqsl3
elimqkKlwa8/5PBupUO9GTFk66kG3g/jx5pMDBJjUNuHZRzhe288H4hPrJm+yx+8
ZofQ9JCdC+bLUbAN3NOTczaSKSAnR1Y5gFcHnYVgX5EovkvSNTqvaAXwokXU4JME
GV7X9CDM+AUgppzOaOJFQEx5on20MJRv1OwijAPFdD5PNDpSYziKFUia60b8SAYB
XTUrdSW81pq/q5DBNAxNsD3zt+J9pmZ1QebL5Ge6BwsYxsS5VzThSKOjMtmB+ZzC
gxKNO2GkvwJI+xEl4YMZ4fEvbMS8zcd9Dcd2nAC9oTjB73F+N4SfqGhV87tw6u9+
304OX4kmzK9IDF9uBWQ2zj83yC5ss8Oef4cL893s4bPacXbfKROvZSse2DUklG70
6lDxHyvR0giPLvtWB3hAIVw0019SV3qODQm7MdtL+yu7Qh7stig=
=srJ6
-----END PGP SIGNATURE-----
可以这么干,但不建议这么干。
删除因为国产软件默认手机信息,建立用户画像。
谁的手机没事就root装xposed伪装各类虚拟硬件信息?
不是黑产就是各类高位人士,以及小部分的geek人士。
标识符反而增大。
因为你在上面登微信,淘宝各类,以及还有实名的手机号,一但被录入数据库建立画像关联将有点麻烦。
所以说,如果要等个人账号的话,刷机看着办,只用海外的系统即可,沙箱的就没必要用了,既然伪装,那就要伪装得像大众一点。他们想偷看,那我们只给他看到我们想看到的东西。
-----BEGIN PGP SIGNED MESSAGE-----
删除Hash: SHA512
博主知道好用的安卓端开源输入法吗?俺只用过Open Gapps 刷机包里面的 谷歌输入法(不过虽然是开源fork,但是似乎还是要联网更新词库,有点无语)评论区的诸位大神有没有一些建议?
-----BEGIN PGP SIGNATURE-----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=ZOXW
-----END PGP SIGNATURE-----
TO 18楼 2单元
删除-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
如果俺没记错,自从安卓11代开始,AOSP项目就已经有把随机化硬件信息标准化的意图,所以俺觉得基于“随机化硬件标示符”来定位俺不是很可能:) 何况俺的讨论范围是“实名的日用机增强隐私“,这个手机上没有敏感消息,并不是”匿名安卓手机安全加固“,因此哪怕设备被定位了,那至少也比直接啥防护都不加裸奔来得好点吧:)
-----BEGIN PGP SIGNATURE-----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=GNRT
-----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE-----
删除Hash: SHA512
3.俺接着来拷问博主鸟:)
博主既然提到了如何选择发行版的问题,俺不如就催个更,催更下Host Linux安全加固和隐匿方面的教程:)
俺总是遇到两难的情况:一方面,作为一个菜鸟和非计算机相关从业者,俺没那基础。所以假如俺从一个特别注重安全性/隐匿性的发行版入手(比如Qubes,Tails,gentoo open BSD之类的),这些发行版通常难用,或者有各种各样的问题(比如qubes 的兼容性问题超级大,Tails 在大陆无法直接联网,OpenBSD 和 gentoo压根就没法用)
但是假如俺从一个有名气的,傻瓜化优良的通用发行版开始慢慢加固,俺又不知道有哪些方面是需要注意的:(。最近俺又复习了一下博主的教程,重温了一遍要注意的有哪些,但是捏博主讲的也比较笼统,俺又不知道做到什么程度合适:( 俺挺抓瞎,故此希望博主赐教:)
-----BEGIN PGP SIGNATURE-----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=+XFc
-----END PGP SIGNATURE-----
TO 徐满才(3 单元)
删除当然是开源的 [url=https://rime.im]RIME[/url],Android 可以用 [url=https://f-droid.org/en/packages/com.osfans.trime]TRIME[/url]。
TO 徐满才(5 单元)
删除如果你非常注重安全和匿名,用 Qubes OS 最合适,但它对硬件的要求很高。
TO 徐满才
删除可以考虑下三星手机自带的安全文件夹
TO V2EX
删除-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
俺老徐许久以前尝试过Trime,但是怎么也打不出拼音,只好作罢:(不知道是不是我没配置正确
-----BEGIN PGP SIGNATURE-----
iQKTBAEBCgB9FiEEG68/8nh5/IlZpZ3bbSezN6L185UFAmB0WwBfFIAAAAAALgAo
aXNzdWVyLWZwckBub3RhdGlvbnMub3BlbnBncC5maWZ0aGhvcnNlbWFuLm5ldDFC
QUYzRkYyNzg3OUZDODk1OUE1OUREQjZEMjdCMzM3QTJGNUYzOTUACgkQbSezN6L1
85WgnQ//bZplPcpuf2ldj76gsdMJh92iqsLLA95EUNuNMAxexNQ7ghRxGwudJQ+4
6Wxq1xGCJ404sqwdV+sApMhYLFS30lOm4grlU6fa8ilOLExeb6CSFenTKZ5Hkx67
vSQTcqYKl5Fn3B68EyMvM6lzY/iNeii4yDfjqNYGQNhcNbBu/AYRIEvjAdIRkUCZ
XX74NcWVPfFvFK8BQ40xhfWFoXHWuzRsYs9jjC8ydRqNtMpSnqhiEQ3P4DgYTebF
14/6cFFEr0Jwsdyn76ERBqVMyegRzoyDtdxSlh4Vg13F9084KGo+ONJhJRp0i4uL
gniEl1EYXsm73kFuOdPEB5/0S52fUD4ZBH4z58J6K8OBhTuXqygTIfTLRqLopDzP
W5f5cPtCwwy2MkQV5N+dQlMXrRPCawXOB4+pQpuLZtS7sWocVojhCvD/hySt7LPt
8HLdQHtYlrgLsO+sc4RrxiIHpTBb7CN9jyAFyF4SVSnaGOF0YWK65t2Cdo4+zU/V
eUsFsh83H7z9p4xDrBH9eTGAhBsXri698Sf3lIYdKgLMKVlOXHuDntM6GOWElHP2
CVVhbu9hoHbX8Qnx4IfSLI0GapIlS41BWBjLQSQX4VVBZVLmExbnVT28GBwj22G0
NsfObh+Zl1YattCC1bU3AwNeo3KAbuenqQtV7DFPV3GLPDW5LeI=
=sH1F
-----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE-----
删除Hash: SHA512
TO V2EX:
Qubes OS 过高的硬件要求和极差的兼容性是个大问题。第一是压根就装不上(俺看许多外网的老哥们也吐槽Qubes 的兼容性)第二是太吃资源。俺老徐喜欢把敏感用途的Linux放进可移动介质里,这样方便随时销毁证据:) (博主那篇关于对抗警方取证的博文我可是翻来覆去刷了好几遍呢)但是Qubes OS这种重量级玩意一开始就没打算让你拔下来揣着走:( 所以只好暂时作罢。
-----BEGIN PGP SIGNATURE-----
iQKTBAEBCgB9FiEEG68/8nh5/IlZpZ3bbSezN6L185UFAmB0XgVfFIAAAAAALgAo
aXNzdWVyLWZwckBub3RhdGlvbnMub3BlbnBncC5maWZ0aGhvcnNlbWFuLm5ldDFC
QUYzRkYyNzg3OUZDODk1OUE1OUREQjZEMjdCMzM3QTJGNUYzOTUACgkQbSezN6L1
85VP/RAAzzNH0PgnXydtXbGnyGA/OTyYDJJt7svd4DcTqBuXLlPfKnoOKilOXvSa
KCIE0osB9N+7ZV9Dz5TH49GfCgIxgVfV0O8BDdzxQESrk/F9WF4G9u/Eac7EZZKC
yVgIMeBJVey0kUr6tM8qoBZ5VpEb+LYkd0wrMUYuprTWavBo/N40e4X11E8UVGZ0
5sSU1Cr8zQkHc8BJJoFXi+1ZQM/q8g4nY+2ClsmeM84HLo89IyQV85hEpF8h/iQb
Poyowo+6cBcoi8P1pZPyn0kCIvPni3CvLIBe0Ge3IF2Puo3NILcH0hYOMfXtO88l
oQVt5Nhk5tWf9xmDG7IAkn4ORdN9uOpW7/IhpqB/wMHNwwv09gMVHbbD6dasB52v
49jJKxY3F7aVP5Ali3DUtGJ5IZJdj2Fit0Ryk7KcGTVH04wL91XkuZ8bG3aKsqDZ
1HcVT0FH9WqMHCAYr1MWqgVB18vsiswlzLzTZwX76q3Qo0RffrHbfg2UnARPlIWi
qvss0DizHRAGrgXoKxNWWlcHZKHybMxRr7XXKL5PgBIx5GH/NFAOl3S820z/2ieT
hD3lzgjzQiT0+QRDN+u+w9Pj785dHXWI4kCjQ3bZe49TZ3v+e3CgFP5kleBaXDYF
QpOzC1R8K5WSnCtDv6yiDovw1yq8tRHsioVmoM4LbWcYFylmWco=
=AFf9
-----END PGP SIGNATURE-----
TO 老徐,V2EX 6单元
删除嗯嗯,我也是首推中州狼毫:RIME!
TO 徐满才(10 单元)
删除那 Tails 适合你,完全满足你的要求。
-----BEGIN PGP SIGNED MESSAGE-----
删除Hash: SHA512
TO 前篇博文搬运工
俺也确实很喜欢用Tails(Tor Project 也喜欢Tails) :) 不过tails 可没法直接联网:( 俺一般都是放在虚拟机里用。
主机要是用tails 的话至少就得双物理电脑了(一台网关开代理,另一台放Tails),可惜俺实在囊中羞涩,所以暂时还是放在虚拟机里用
俺吐个槽,最近不知到怎么了,明明是回复特定楼层,结果却独自成了一楼,真奇怪:( 有的时候明明提交了留言,验证码页面却没出来,直接给刷没了,是不是什么Java Script Bug?
-----BEGIN PGP SIGNATURE-----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=TAfs
-----END PGP SIGNATURE-----
不过 Brave 之前出过那么多岔子( https://en.wikipedia.org/wiki/Brave_(web_browser)#Critical_reception ),咱还是用 IPFS Desktop 和 IPFS Companion 好了。
回复删除以及像 Mutt 这样的基于文本的电子邮件客户端能不能规避跟踪像素的问题?
还好我从来不用这些所谓的“保护隐私”的浏览器 :)
删除Emacs package 应该是很安全的。
-----BEGIN PGP SIGNED MESSAGE-----
删除Hash: SHA512
brave 也就图一乐,真隐私还得看Tor browser:)
-----BEGIN PGP SIGNATURE-----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=qqJ/
-----END PGP SIGNATURE-----
不知道有没有一款基于Chromium的浏览器是可以让用户自己设置DNS/SNI域名的(自己搞域前置)。
删除电脑安装brave必须联网,安装Firefox只要离线包即可断网安装。
删除想了解一下博主对于手机选择方面有没有什么建议?
回复删除目前采用 iPhone + 美区账号,预期下一步手机还是 iPhone
由于长期在沦陷区工作,必须安装沦陷区的软件, Android 设备对权限难以实现控制(即对于某些软件,如果不给权限,完全可以限制你的使用)。
-----BEGIN PGP SIGNED MESSAGE-----
回复删除Hash: SHA512
如果俺没记错,自从安卓11代开始,AOSP项目就已经有把随机化硬件信息标准化的意图,所以俺觉得基于“随机化硬件标示符”来定位俺不是很可能:) 何况俺的讨论范围是“实名的日用机增强隐私“,这个手机上没有敏感消息,并不是”匿名安卓手机安全加固“,因此哪怕设备被定位了,那至少也比直接啥防护都不加裸奔来得好点吧:)
-----BEGIN PGP SIGNATURE-----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=GNRT
-----END PGP SIGNATURE-----
TO 博主
回复删除贴错楼了,7楼7单元的评论请忽略。
========
这次继续冒泡,前篇博文有关默克尔的讨论,俺这里来回答。
先贴几篇德国之声的文章作为铺垫:
[url=https://www.dw.com/zh/%E5%BE%B7%E8%AF%AD%E5%AA%92%E4%BD%93%E9%BB%98%E5%85%8B%E5%B0%94%E8%A6%81%E8%AE%A4%E6%B8%85%E4%B8%AD%E5%9B%BD%E7%9A%84%E7%8E%B0%E5%AE%9E/a-54080849]
德语媒体:默克尔要认清中国的现实[/url]
[url=https://www.dw.com/zh/%E5%BE%B7%E8%AF%AD%E5%AA%92%E4%BD%93%E7%BB%8F%E6%B5%8E%E5%8F%8C%E8%B5%A2%E6%B6%88%E5%A4%B1%E4%BA%86-%E6%94%BF%E6%B2%BB%E8%BD%AC%E5%90%91%E8%BF%98%E4%BC%9A%E8%BF%9C%E5%90%97/a-54753927]德语媒体:经济双赢消失了 政治转向还会远吗?[/url]
[url=]https://www.dw.com/zh/%E5%BE%B7%E5%9B%BD%E4%B8%8D%E6%84%BF%E5%A4%A7%E5%A3%B0%E8%B0%B4%E8%B4%A3%E4%B8%AD%E5%9B%BD-%E4%B8%BA%E4%BB%80%E4%B9%88/a-54086387德国不愿大声谴责中国 为什么?[/url]
总体来说,俺对默克尔的印象是:她还是在上世纪美国克林顿政府的水平,默克尔政府的政策跟当时美国佬的【接触】政策很像,【以经促政】,天朝的经济发展必然促进政治自由化。当然,包子修宪之后发生了很多事情,所以俺个人觉得是默克尔执政【太久】了,一时转不过弯来。(当然,德国强大的工商界也肯定不希望中德翻脸,默克尔的基民盟政党又是比较亲商界的)。
1. 前些日子金三胖公开承认朝鲜的困境跟90年代[url=https://www.voachinese.com/a/kim-compares-north-korea-s-economic-woes-to-1990s-famine/5846735.html]相提并论[/url]。
删除博主写过了朝鲜的博弈策略,美国的博弈策略,但是还没写过【天朝的】博弈策略。既然去年朝鲜跟天朝的贸易量猛降,天朝还会继续向朝鲜【输血】吗?还是习包子要借机敲诈三胖,让这个小弟【听话】?天朝在朝鲜半岛的【优先级】到底是什么?
2. 博主曾经提到过美国佬打算跟朝廷玩【军备竞赛】,但是好像那是川普时期的做法,如今的拜登对此不是很热情。比如下面这篇报道:
删除[url=https://www.bbc.com/news/world-us-canada-55923481]New Start: US and Russia extend nuclear treaty @ BBC[/url]
既然最后那个控制条约美国佬没跟老毛子撕毁,那肯定也不会跟天朝玩【长程导弹】。
但是中程导弹,拜登政府还会发展吗?换言之,拜登是想玩【有限的】军备竞赛,还是放弃这个军事手段,用其他手段遏制天朝?
前些日子香港建制派罕有口水战,“全国港澳研究会理事”田飞龙在明报撰文指桑骂槐某些建制派为【忠诚废物】(甚至有了自己的[url=https://zh.wikipedia.org/zh-hans/%E5%BF%A0%E8%AA%A0%E5%BB%A2%E7%89%A9]维基词条[/url]哦,蛮搞笑滴)。
删除民主派被清除出立法会,建制派失去了【共同的敌人】。立法会的“改革”下,工商界主导的【功能界别】比例跟直选界别一样下降(本来是一半,现在是三分之一)。工商界也无法像以前那样左右特首选举。
既然朝廷将香港本地商界/政治势力边缘化,俺感兴趣的是未来民主派和这部分的建制派会因为朝廷出的某个昏招,而【联手】吗?
TO 挪威森林猫(2 单元)
删除川普反共,拜登亲共,都跟朝廷合作了。还想搞军备竞赛?
TO V2EX(4单元)
删除拜登虽然续签 NEW START, 但是【中导条约】没说要恢复(有点像对华关税,俺不加,但是俺也不撤)。所以俺问博主美国新政府的意图。
另外,北约的退役将领公开投书提出美国对华的红线。如果没有拜登政府的点头,他哪敢这么做捏?这么做等于【战略模糊】被打破,共匪实在看不出拜登亲共亲在哪儿,反倒是包子亲俄爹屁股是真。
[url=https://www.rfi.fr/cn/%E4%B8%AD%E5%9B%BD/20210313-%E7%BE%8E%E5%86%9B%E9%80%80%E5%BD%B9%E5%B0%86%E9%A2%86-%E4%BB%80%E4%B9%88%E6%98%AF%E7%BE%8E%E5%9B%BD%E7%BB%99%E4%B8%AD%E5%9B%BD%E8%AE%BE%E5%AE%9A%E7%9A%84%E7%BA%A2%E7%BA%BF]美军退役将领 : 什么是美国给中国设定的红线? @法广[/url]
4. 政治话题聊太多,说点别的。
删除【寒武纪大爆发】是地球远古史上最重要的事件之一。达尔文当年写《物种起源》的时候。也搞不懂为什么在如此短的时间内突然间出现这种生物多样性。博主认为寒武纪大爆发是【必然】还是【偶然】?生命的进化史是【渐进】还是【突然】?
在《“政治体制”与“系统健壮性”——基于“复杂性科学”的思考》有这么一段话,俺觉得跟这个事件有很多相似之处:
[quote]
关于【涌现性】,还有句很精辟的话——混沌的边缘涌现秩序。在这句话中,为啥是“涌现”而不是“显现”?就是为了强调这种【突然爆发】的特点;而“边缘”一词则表达了“涌现”存在某种临界性。
[/quote]
5. 回顾这几十年来AI的突飞猛进:
删除1997年“深蓝”击败【国际象棋】冠军卡斯帕罗夫。
2016年”阿尔法狗“【围棋】击败李世石。
2019年“Alpha Star”横扫【星际争霸】(可能是最复杂的即时战略游戏了)职业玩家。
......
但是俺比较好奇的是,有哪些领域/主题/问题是人类能够解决的,但是人工智能【永远不能】解决的。
关于5单元提到的“北约的退役将领公开投书提出美国对华的红线。如果没有拜登政府的点头,他哪敢这么做捏?”
删除我觉得美国不是一个退役将领发表文章需要联邦政府许可的国家,大家以为呢?
to7单元
删除繁殖,至少人工ai不能帮助人类交配。
TO 挪威森林猫 6单元
删除[quote]生命的进化史是【渐进】还是【突然】?[/quote]
从已知的化石记录判断,生命的进化史是【突然】(用行家话来讲是“跳跃式/飞跃式发展”)。有点类似科学技术的关键性发展/突破,【技术奇异点】、【范式转移】。“disruptive change”(颠覆性改变)。
当然,不能排除“幸存者偏差”,也就是:所有中间状态的、【渐进】式的生物都【没有】【化石】保留下来。(化石的形成有很苛刻的条件,所以古生物99.999%都没有化石化)。
TO 挪威森林猫 7单元
删除[quote]有哪些领域/主题/问题是人类能够解决的,但是人工智能【永远不能】解决的。[/quote]
如果是【强人工智能】、【技术奇异点】的话,那博主和我的一致看法是:【没有】哪些领域/主题/问题是人类能够解决的,但是人工智能【永远不能】解决的!
因为【强人工智能】是要【终结】人类时代的。如果还有哪些领域/主题/问题是人类能够解决的,但是人工智能【永远不能】解决的,那【强人工智能】【还怎么去】【终结】人类时代?
TO 海水 9单元
删除以后的AI女,保证你和她交配抽插了以后,不想再和任何真实女性交配抽插。
TO 挪威森林猫 7单元
删除其实也不需要人工智能能解决所有问题,只要人工智能能解决【医学】里所有问题:癌症、艾滋、衰老、新冠、等等等等,最好就像电影【Elysium】里面的那种med-pod以及【Stargate】里面的那种万能药埃及棺材就行了。
TO V2EX 4单元
删除[quote]川普反共,拜登亲共,都跟朝廷合作了。[/quote]
很好奇你这是从哪里听来的?博主和我都没有觉得拜登亲共啊!
还是说你是假扮V2EX的?
TO 挪威森林猫 1单元 以及博主
删除[quote]天朝还会继续向朝鲜【输血】吗?还是习包子要借机敲诈三胖,让这个小弟【听话】?[/quote]
热烈期盼博主的“聊聊朝鲜半岛核问题 — — 天朝博弈策略分析”!
但是感觉博主这个系列似乎烂尾了,以后也不会去写了。因为北朝鲜金三胖的确玩不出什么新花样了。
TO 匿名(8单元)
删除俺的意思不是说他需要联邦政府的某种【正式许可】,而是像对华战略,对话红线这种东西,如果现任政府想要发话,通常都是让【退役】官员/将领出来说。如果现任政府不想借他们发话,他们会闭嘴。
TO 前篇博文搬运工(10,11单元)
删除10单元俺没有结论,但是这么远古的时代,【幸存者偏差】是必然滴。
就如同很长一段时间内,考古学家以为寒武纪之前没有什么复杂的生态圈。直到最近五十年发现的 [url=https://zh.wikipedia.org/wiki/%E5%9F%83%E8%BF%AA%E5%8D%A1%E6%8B%89%E7%94%9F%E7%89%A9%E7%BE%A4]埃迪卡拉生物群[/url] 颠覆了这一认知。
11单元的观点,俺是非常赞同。
按照人工智能【指数级】发展,没准到本世纪中叶,就有AI可以指挥战争了。(Skynet?)
TO 挪威森林猫 17单元
删除[quote]没准到本世纪中叶,就有AI可以指挥战争了[/quote]
大才小用了!强AI不用通过战争就能轻而易举的把人类团灭。拿破仑在世都没辙。
TO 海水 9单元
删除以后的AI男,保证你和他交配抽插了以后,不想再和任何真实男性交配抽插。
TO 14单元
删除新闻报道报的是【拜登政府】开始追查新冠病毒来源,【拜登政府】不代表拜登,对新冠病毒来源感兴趣的是拜登的国家安全顾问。多了两个字,含义就变了。
TO 10单元
删除了解下分子人类学。
聚合酶试剂获取启动序列,即可提取化石上的DNA。【犯罪现场】取证时,也用过聚合酶,相同的方法可提取分子人类学证据。
TO 前篇博文搬运工
删除分析【同位素】,得出太阳系形成不到20万年。说明地球可能进行过流浪,像《流浪地球》。碳14只能测6万年,所以测碳14得不出20万年;可以参考钾一氩等元素。
TO 22单元
删除[quote]分析【同位素】,得出太阳系形成不到20万年。[/quote]
嗯嗯,一本正经的胡说八道。
TO 挪威森林猫(5 单元) & 前篇博真搬运工(14 单元)
删除根据品葱的主流观点,拜登还不如奥巴马,奥巴马最多只搞了个 TPP,除此之外没有多少反共的动作,只是做样子谴责一下中国人权问题。
金胖子的苦难行军是指肚子太大走不动吗
删除-----BEGIN PGP SIGNED MESSAGE-----
删除Hash: SHA512
TO前篇博文搬运工 22楼14单元
俺老徐也觉得这应该是假的V2EX。 自从上次V2EX发表那份川普必胜的回复后就有一大帮川粉假扮V2EX来这里骂拜登:( 明明V2EX本人都说了自己最近在看书,没有再关心大选了
-----BEGIN PGP SIGNATURE-----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=gWPM
-----END PGP SIGNATURE-----
TO 23单元
删除小众媒体也要看看。相对论科普书没说特勒尔旋转,运动物体到观测者的距离大于自身尺寸,观测者看见转过一个角度。特勒尔旋转纠正了狭义相对论,貌似只有很偏僻的资料提到;权威的未必可信。
TO 徐满才 26单元
删除嗯嗯,最近好像朝廷派驻在这里的水军五毛似乎升级了。开始搞一些似是而非的科普,并且开始“高仿”博客老熟人(比如V2EX)。以前假冒博客老熟人一般一眼就能识破,现在要破费一些脑力了。
公民实验室 TikTok vs 抖音 安全和隐私分析
回复删除https://citizenlab.ca/2021/03/tiktok-vs-douyin-security-privacy-analysis/
我还是希望最好不要搞新冷战。
回复删除关于日本核污水的问题,关键是排放的污水是否达标,为确保这一点,中韩的科学家会在场监督。日本的核电站受到IAEA监管,其中就有中国的科学家。
一下子集中排放肯定不行,对中韩的科学家来说,这是一项长期的工作。
新冷战开始会发生什么?日本会驱逐中国大使,随着事态扩大,再到驱逐中国的科学家。最终会导致无法正常监督。
顺便评论一下污水本身的问题,污水含氚,氚是氢原子的同位素,可以进入地球的水循环。不过令人高兴的是,氚的半衰期只有12年。粗略计算,如果放置个120年,氚的浓度便可下降1千倍。至于除了氚之外的其他放射性元素,比如碳-14等,如果量足够少就没啥问题。
to楼主
删除我也不希望发生冷战或者热战,这些战争终究付出代价的,都是无辜的人民。
对于那些做出决策的领导者,他们肯定能够活得好好的,在战争时候吃草的我们,他们三餐吃肉。
TO 海水
删除[quote]我也不希望发生冷战或者热战,这些战争终究付出代价的,都是无辜的人民。[/quote]
我和你是【同一个】愿望。
[quote]对于那些做出决策的领导者,他们肯定能够活得好好的,在战争时候吃草的我们,他们三餐吃肉。[/quote]
我和你是【同一个】观点。
有哪些可以下载香港教科书的网址?博主能否添加香港的教科书到?俺看到新闻香港把"中华民国政府"给删除
回复删除http://i.ntdtv.com/assets/uploads/2021/04/phpVIW93L-800x450.jpg
回复删除#############################################
回复删除# 俺更倾向于用“邮件 or 博客留言”的方式与读者交流。 #
#############################################
知道您的意思了,我大概会在这个8月底之前,可能会给您一封私信。
您自己看到这条留言就行,不需要回复我本人。
当然,这是我没达成第二个要素下发的私信.
自己顶一下
删除自己顶一下
删除#############################################
回复删除# 俺更倾向于用“邮件 or 博客留言”的方式与读者交流。 #
#############################################
知道您的意思了,我大概会在这个8月底之前,可能会给您一封私信。
您自己看到这条留言就行,不需要回复我本人。
当然,这是我没达成第二个要素下发的私信.
建议博主能介绍下软路由翻墙,由于智能电视普及,电视系统和电视盒子大多没法设置代理,需要软路由翻墙
回复删除TO 前篇博文搬运工
回复删除-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
俺也确实很喜欢用Tails(Tor Project 也喜欢Tails) :) 不过tails 可没法直接联网:( 俺一般都是放在虚拟机里用。
主机要是用tails 的话至少就得双物理电脑了(一台网关开代理,另一台放Tails),可惜俺实在囊中羞涩,所以暂时还是放在虚拟机里用
-----BEGIN PGP SIGNATURE-----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=+56f
-----END PGP SIGNATURE-----
一个有关“知识产权”的讨论
回复删除出处:在瓦爾登湖畔讀書
https://t.me/gujinpintan1/367
1,以疫苗和药物为例。没有有效的疫苗和药物就会有更多的人类死亡,不论他们贫富贵贱、生活在哪里,他们是和我们一样的人类,他们本应该享有和我们一样的人权。
2,研发人员和公司是否应该获得奖励?
应该。但没有专利权也能够获得奖励。辉瑞制药公司和个人高管已经从他们的医学突破中获得了丰厚的利润。在发出公开信(2020.11.9)的同一天,净资产估计超过2600万美元的 Albert Bourla 卖出了价值500多万美元的辉瑞股票。
根据摩根士丹利的数据,辉瑞在2020年已经从疫苗中获得了约9.75亿美元的收入,预计2021年还将从疫苗中获得190亿美元的收入。辉瑞在该疫苗上的利润率估计在60%至80%之间。Moderna 预计明年将从其疫苗中获得超过100亿美元的收入。
3,专利权是否促进创新?
专利规则反映了长期以来的假设,即 强有力的保护为企业追求创新提供了必要的激励。事实上,Petra Moser 和 Heidi Williams 等人最近的研究发现,很少有证据表明专利促进了创新。相反,由于它们锁定了现有企业的优势并推高了新技术的成本,这种保护与较少的创新或后续的创新、较弱的扩散,和增强的市场集中度相关。在过去的几十年里,这导致了许多经济体的垄断力量增强,生产率增长放缓以及不平等加剧。
【论文简述一则。发展中国家喜欢采取强制许可(compulsory licensing)政策,允许国内厂商使用国外厂商的知识产权,最有名的是印度的仿制药政策。强制许可对国外厂商当然不利,但对国内厂商的创新有何影响呢?理论上而言两方面的影响都有可能。理论上不清楚那就看实证了。2012年AER论文《Compulsory Licensing: Evidence from the Trading with the Enemy Act》用自然实验研究了这个问题。有意思的是,论文研究的对象并非发展中国家,而是美国。一战时,美国通过了敌对国法案,废除了同盟国的知识产权保护。DiD的结果显示,强制许可促进了创新。】
4,专利权的弊端
专利带来了大量的游说和寻租。大多数专利不是为了产生商业价值,而是为了创造防御性的法律丛林,以防止潜在的竞争对手。随着系统的扩大,专利巨魔和诉讼飙升。专利巨魔的诉讼占美国所有知识产权侵权诉讼的五分之三以上,并且 1990 – 2010 年的经济损失估计就有 5000 亿美元。