夜夜操综合,亚洲午夜精品久久久久,影音先锋男人天堂

文檔維護：tombkeeper[Base64Decode("dG9tYmtlZXBlckB4Zm9jdXMub3Jn")]
文檔出處：http://hi.baidu.com/tombkeeper
文檔創(chuàng)建：2007年02月10日
最后更改：2007年02月10日

支付寶漏洞事件出現(xiàn)后，我看到了很多網(wǎng)友對這件事情的評論。看了這些評論，我明白了一件事情：雖然誰都不希望自己成為病毒木馬的受害者，誰都不希望自己的QQ號被偷走，不希望自己網(wǎng)游里的裝備消失，不希望自己銀行里的存款消失，不希望自己的聊天記錄被人竊取，不希望自己的私生活被別人通過攝像頭窺探甚至公布到互聯(lián)網(wǎng)上成為“真人秀”，但是，很多人并不明白上面這些到底是怎么發(fā)生的，不明白安全漏洞意味著什么，不知道安全漏洞和自己有什么關(guān)系。所以我覺得有必要寫這樣一篇科普文章，作為《支付寶控件漏洞——到底是誰在撒謊？》一文的補充。

大多數(shù)人對自己所使用的計算機并不了解——當(dāng)然，這并不重要，大多數(shù)人也不知道是電子躍遷讓燈泡發(fā)光。但是人們都知道電的危險，都知道如何安全用電。而知道計算機安全知識的人就少而又少了。

很多人都認為《地心末日》是一部爛片，不過其中有一段對白的確很有意思：

H：你能說多少種語言？
A：5種。
H：是嗎？我只會一種。一、零、一、零、零。就靠這個，我可以竊取你的金錢，你的秘密，你的性取向，甚至你的一生。只要我想，不論何時何地都能做到。我們的力量是你所無法想象的。即使我努力，也無法做到象你那么遲鈍的思考。

上面說的略顯夸張，卻基本屬實。可惜很多人并不知道這種危險，就像很多人都不知道牛皮癬和白癜風(fēng)其實都不傳染一樣。

我是學(xué)醫(yī)出身，以前經(jīng)常給病人家屬發(fā)健康宣傳冊。也希望自己寫的這些文章能起到健康宣傳冊的作用。

1、安全漏洞是怎么回事？木馬是怎么回事？

從理論上說，安全漏洞就是軟件中存在的意外功能分枝，通過安全漏洞，可以讓軟件做軟件設(shè)計人員意想不到的事情。譬如Windows 2000里的mrinfo程序，原本是一個網(wǎng)絡(luò)小工具，但是由于存在溢出，所以我們可以利用它來鎖屏，或者其它任何事：
http://blog.xfocus.net/index.php?op=ViewArticle&articleId=1772&blogId=9

支付寶控件原本的設(shè)計功能是加密通信，保護用戶的通信安全，但是由于存在安全漏洞，也可以被利用來執(zhí)行任何功能，譬如運行一個盜取銀行賬號的木馬。

“木馬”是特洛伊木馬的簡稱，英文是Trojan Horse。有興趣可以翻翻希臘神話中特洛伊戰(zhàn)爭這一段?，F(xiàn)在我們通常用“木馬”這個詞來指那些不懷好意的軟件。譬如那些盜號程序、后門程序等等。

木馬要想在用戶的計算機上運行，一個主要的手段就是利用安全漏洞。

通俗地說，有安全漏洞的軟件就好比窗戶上沒插銷的房子，而木馬就好比小偷。如果你裝了一扇沒有插銷的窗戶，小偷就很容易進來。

2、支付寶控件現(xiàn)在到底有沒有漏洞，安不安全？

1.0.0.7版，也就是2007年2月8日之前安裝的支付寶控件是有漏洞的，不安全的，可以被人利用來控制你的系統(tǒng)的。

而2007年2月8日支付寶升級了控件，修復(fù)了上述漏洞。如果你不能確定自己的支付寶是否升級到了最新，請下載安裝這個最新版本：
http://img.alipay.com/download/1009/aliedit.exe

3、支付寶控件漏洞對我有什么影響？是不是用支付寶有危險？

舉個例子，就在剛才，就在我寫這篇文章的過程中，一個朋友找到我，說他的網(wǎng)站被“掛馬”了，讓我?guī)椭宄?/p>

所謂“掛馬”，就是入侵網(wǎng)站，修改網(wǎng)站的頁面，在頁面里放置惡意代碼。凡是訪問了該網(wǎng)站的用戶，就可能被安裝上木馬。這種可以入侵網(wǎng)站訪問者的惡意代碼通常就是利用了某種漏洞。譬如，剛才清除的這個“掛馬”利用的就是微軟新出的VML控件漏洞。漏洞類型和支付寶控件漏洞是一樣的。如果你的機器存在這個VML漏洞，那么就會被這個“掛馬”裝上灰鴿子后門、網(wǎng)游盜號工具等等一堆的木馬。

只要你的機器有VML控件漏洞，那么只要訪問了這種“掛馬”的網(wǎng)站就被被入侵，而不論這個“掛馬”的網(wǎng)站是微軟的，還是新浪的。

同樣道理，只要安裝了有漏洞的控件，不管你用不用支付寶，是否登陸支付寶，都會受到漏洞的威脅。因為任何網(wǎng)頁都可以通過放置特殊的代碼來調(diào)用這個控件。但是用支付寶服務(wù)本身反而并不會有危險——因為我相信支付寶網(wǎng)站本身并不會包含這種惡意代碼。

4、支付寶出了這么嚴重的安全漏洞，我還應(yīng)該繼續(xù)用它么？

每個軟件都會有安全漏洞，上面提到的VML漏洞就是Windows的漏洞，你是否會因此而不用Windows呢？我也是支付寶用戶，我會繼續(xù)用下去。

5、最新版本的支付寶控件是不是就沒有漏洞了？

可以肯定地說：最新版本的支付寶控件沒有上面提到的這個漏洞。如果你升級到最新版本的支付寶控件，就不受這個漏洞的影響。但是任何人都不可能保證某個軟件完全沒有任何漏洞。不管是軟件作者，還是某個權(quán)威機構(gòu)。

我在《支付寶控件漏洞——到底是誰在撒謊？》提到最新版本支付寶控件仍然存在問題，不過那個只能引起IE崩潰，不能利用來入侵用戶的電腦。

6、既然每個軟件都可能有漏洞，那怎么防止中木馬和病毒呢？

說實話，這不是幾句話能說清楚的，甚至我把這篇文章所有的篇幅都用來說這個問題也不行。

不過有個簡單而又有效的建議：盡量不用IE瀏覽器，改用firefox或者opera（聲明：我不是firefox或者opera的托兒）。只在必須用IE的時候才用。譬如登陸網(wǎng)上銀行。還有一點：盡可能不要從國內(nèi)的軟件下載站點下載軟件。

7、病毒木馬我都不怕，裝殺毒軟件不就行了么？

目前所有殺毒軟件主要的工作原理都是基于特征識別。什么叫特征識別呢？通俗來說，就是掌握一份壞人的花名冊，根據(jù)花名冊去找。如果這個病毒或者木馬剛剛被寫出來，還沒有“案底”，不在花名冊上，殺毒軟件就識別不出來。

某些殺毒軟件雖然也有些不依賴于花名冊的高級識別功能，但是這種功能并不百分之百可靠。更何況，現(xiàn)在的病毒木馬作者，在寫完程序后，都會先用殺毒軟件測試一下，確認不會被檢測出來才放出去。

那么殺毒軟件豈不是沒用了么？不是。各種殺毒軟件就像各種避孕措施一樣，能幫你解決大多數(shù)的麻煩，但不能指望它百分之百可靠。

8、那些人為什么要寫木馬？為什么要利用漏洞“掛馬”？

是為了錢。這一點，我在“木秀于林，風(fēng)必摧之”一文中說的很清楚，大家看看里面那張圖就明白了：
http://hi.baidu.com/tombkeeper/blog/item/f6576a31e20f0319ebc4af94.htm

9、你是不是騰訊的托兒？

我在《支付寶控件漏洞——到底是誰在撒謊？》中提到“除了騰訊，國內(nèi)的公司我還沒見到幾家愿意誠實地發(fā)布自己產(chǎn)品安全公告的”，于是有人就認為我是騰訊的托兒。記得魯迅先生當(dāng)年曾被人誣陷“拿盧布”，今天如果有人說我“拿Q幣”其實還真是件挺榮幸的事情?？上也坏珱]有拿，而且每個月還給騰訊貢獻10塊錢的會員費。由于中國人“家丑不可外揚”的傳統(tǒng)，能做到“誠實地發(fā)布自己產(chǎn)品安全公告”的企業(yè)在國內(nèi)就真的是鳳毛鱗角，而騰訊是其中之一，這個事實是無法否認的：
http://security.qq.com/affiche/

10、漏洞這么有害，為什么要公布，為什么要發(fā)公告？這不是害人么？

這一點是安全研究人員最容易被人誤解的地方。

漏洞并不因為不公布就不存在。如果漏洞沒有被一個正直的安全研究人員發(fā)現(xiàn)，而是被那些“掛馬”的人發(fā)現(xiàn)，他們的確不會公布，他們會偷偷用來往用戶的機器上安裝木馬，盜取賬號。如果真的發(fā)生這種事，無論對支付寶用戶，還是對阿里巴巴，都是災(zāi)難性的。

而如果軟件提供者不發(fā)布安全公告而只是偷偷升級，那么會有很多用戶不知道自己正在用的軟件有問題，而并不去注意自己是否升級了。

大家可以想象一下如果微軟從不發(fā)布安全公告會是怎樣的情況。

這次支付寶控件的漏洞并不是什么太難發(fā)現(xiàn)的問題，而是非常容易被找出來的。居然在接近一年的時間里沒有被壞人首先發(fā)現(xiàn)并利用（這一點我并不確定），實在是不幸中的萬幸。

11、你為什么要寫這些文章？你和阿里巴巴有仇么？是為了出名么？

完全沒有。我既是騰訊的用戶，也是支付寶的用戶。我對阿里巴巴取得的成功十分敬仰，對馬云先生的智慧和商業(yè)才能十分敬佩。

雖然我是一個民族主義者，但實事求是地說，日本人有一大優(yōu)點，就是人人都有很強的職業(yè)榮譽感。即使只是一個看鍋爐的，也會努力做最好的鍋爐工，并且因為自己的工作讓大家得到了溫暖，會很自豪。并且不容這種職業(yè)尊嚴受到冒犯。

作為安全研究人員，我們也有自己的榮譽和尊嚴。這一點，并不指望所有人都能理解。但是我們既沒有去黑站掛馬，也沒有寫病毒偷賬號，而是用無數(shù)個不眠之夜去探索未知，去幫助完善這個未來大家都會生活在其中CyberSpace，我們不怕孤獨和默默無聞，但所得到的至少不應(yīng)該是誣蔑和責(zé)難。雖然阿里巴巴在這件事情的處理上一直采取不正確的態(tài)度，但是如果沒有搞出“專家檢測結(jié)果顯示支付寶安全”那一套，赤裸裸地向安全研究社區(qū)挑釁，我也許不會用這種激烈的方式來表達我的態(tài)度。

以前看X檔案，F(xiàn)ox Mulder說的“The truth is out there.”這句話給我留下了十分深刻的印象。也成為我的一個重要處世原則。我想，既然我們這些人湊巧懂點技術(shù)，那么揭穿那些謊言和偽裝，讓不明就里的人們看到事實真相，就是我們的責(zé)任和義務(wù)，這也是hacker精神中很重要的一部分。

所以早在2004年7月20日，我曾經(jīng)署名“2f4f587a80c2dbbd870a46481b2b1882”，寫了“誰控制了我們的瀏覽器？”一文（這篇文章流傳甚廣，用google搜上面這串值就能找到），揭露當(dāng)時剛剛出現(xiàn)的運營商級別的瀏覽器劫持行為。（文章末尾有5個MD5，第一個對應(yīng)的MyName是hellokitty，MyCount是1999。）如果為了出名，當(dāng)時就不會匿名了。

安全研究的圈子很小，大伙基本上互相都認識，不存在出名不出名這回事。如果要在安全圈子之外出名，最好的辦法是在長安街裸奔，搞行為藝術(shù)，保證上新浪首頁。寫這種文章是出不了名的。

12、什么是黑客？你說的hacker精神是什么？

就像天主教和洪秀全的“拜上帝會”一樣，很多東西到了中國之后都會變味兒。所以我寧可認為hacker和黑客是兩個意義完全不同的詞，就像我認為Expert和“專家”是兩個完全不同的詞一樣。

在中國媒體和老百姓的概念里，黑客這個詞指的是那些修改別人主頁的人，是偷QQ號的人，是“少年黑客”，“天才少年黑客”，“17歲天才少年黑客”，“碩士黑客”等等這些可笑的，充滿噱頭的東西。

本來“小姐”是個挺好的詞兒，譬如說“鶯鶯小姐”、“香港小姐”，這些都是很美好的事物。后來人們把一些跟“小姐”兩個字完全扯不上關(guān)系的的人也稱為“小姐”，漸漸小姐就變味了。以前我們?nèi)ワ埖瓿燥垼酝炅?，就喊“服?wù)員，結(jié)帳”，后來喊“小姐，買單”，而現(xiàn)在又變回了喊“服務(wù)員”。為什么不喊“小姐”了呢，因為小姐的詞義變化了。要尊重別人，不能喊“小姐”。

所以，要尊重別人，不能亂喊人黑客。

如果你想知道什么是hacker，想了解hacker的歷史，我推薦這三份文檔：
http://www.aka.org.cn/Docs/hacker-howto_2001.html
http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/zh_cn/security-guide/ch-sgs-ov.html
http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/zh_cn/security-guide/ch-risk.html
（再次聲明：我不是redhat的托兒，沒有推銷Red Hat Enterprise Linux的意思。）

本站僅提供存儲服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點擊舉報。

九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区