‘在线交流’ Articles

shlug maillist

  • Wed, 01 Jul 2015 04:33:35 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    2015-07-01 12:06 GMT+08:00 Plain_Text : > 回到正题,我想了解怎样从技术上防止内嵌登录的钓鱼行为?如果支付宝公司 > 有高超的技术可以在服务器端察觉第三方应用的钓鱼行为,或者用户可以察觉, > 那么就说明内嵌登录是可控的,然而你说了那么多,却一直没拿证据出来,如何 > 可控?最早你说支付宝可以发现某个应用干坏事,拿不出具体措施;后来又打圆场 > 说“通过用户举报”,却给不了取证的方法。至少用浏览器可以让那些谨慎的用户 > 对风险进行控制,而内嵌登录对任何用户都是高风险。 > > 麻烦你不要转移话题,用什么“补习语文
  • Wed, 01 Jul 2015 04:21:54 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    2015-07-01 12:01 GMT+08:00 Plain_Text : > 你认为用浏览器就是将责任推给用户,那么内嵌登录就没有将责任推给用户? > 不但有,而且更加严重。虽然内嵌被钓鱼事后可能得到支付宝的补偿,但提前是 > 受害者多,让政府权力部门介入。如果受害者很少,政府不会重视,不积极破案。 > 用户无法取证被钓鱼,政府又不管事,支付宝怎么可能在没有证据的前提下对用户 > 补偿? > > 浏览器登录至少可以让部分谨慎的用户降低被钓鱼的风险,而内嵌登录让所有 > 用户都面对巨大的风险,因为没有选择权。其实说到底是你在强调你对浏览器有 > 强烈
  • Wed, 01 Jul 2015 04:14:44 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    2015-07-01(Wednesday) 12:05:20 +0800, Chaos Eternal : > 12306的帐号被盗,可以用你的身份信息买很多票,然后黄牛有的是手段把票洗出来。 > > 至于某60偷隐私,你的整个电脑都不可信了,你还能在上面进行交易?这会跟资金无关?况且,以某60做事的水平,这些隐私数据说不定已经被人拿走放到黑市上卖了,还敢说跟资金无关? > > 至于你说仔细看域名,如果有个应用在后台重定向了你的流量,改了dns以及根证书,分分钟你的钱就没了,还安全? > > 既然是谈安全,我们可不可以站在一个谈安
  • Wed, 01 Jul 2015 04:05:37 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    2015-07-01(Wednesday) 11:17:54 +0800, Zhang Cheng : > 支付宝,你涉嫌与其他浏览器厂商通气垄断,恶意搅乱浏览器市场,我要告你! 支付宝并不要求用户必须使用某浏览器,何来“通气垄断”?如果第三方强行 用内嵌浏览器,才更符合垄断吧? > PS,有地址栏就安全了? 我没这么说过,请你不要编造我的观点。如果浏览器本身不可信,那么地址栏 当然保证不了安全。 回到正题,我想了解怎样从技术上防止内嵌登录的钓鱼行为?如果支付宝公司 有高超的技术可以在服务器端察觉第三方应用的钓鱼行为,
  • Wed, 01 Jul 2015 04:05:23 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    12306的帐号被盗,可以用你的身份信息买很多票,然后黄牛有的是手段把票洗出来。 至于某60偷隐私,你的整个电脑都不可信了,你还能在上面进行交易?这会跟资金无关?况且,以某60做事的水平,这些隐私数据说不定已经被人拿走放到黑市上卖了,还敢说跟资金无关? 至于你说仔细看域名,如果有个应用在后台重定向了你的流量,改了dns以及根证书,分分钟你的钱就没了,还安全? ---- 既然是谈安全,我们可不可以站在一个谈安全的上下文来说,而不是模糊概念,说什么大家都信任了就是安全的,也不要说什么因为抓到的代价很高所以就没有人干。 至于语文问题,可以参考 RFC 3552 这是一个不错的
  • Wed, 01 Jul 2015 04:00:37 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    2015-07-01(Wednesday) 11:05:14 +0800, Zhang Cheng : > ​就凭你这句话,如果支付宝真这么做了,我立刻就不用支付宝了,完全不需要辩驳。把安全的责任全都推给用户。 > > 我确实有选择浏览器的自由,但是,对不起,我不知道如何选择浏览器!我系统里有好几个浏览器,我完全不知道哪个更安全。 你认为用浏览器就是将责任推给用户,那么内嵌登录就没有将责任推给用户? 不但有,而且更加严重。虽然内嵌被钓鱼事后可能得到支付宝的补偿,但提前是 受害者多,让政府权力部门介入。如果受害者很少,政府不会重视,不
  • Wed, 01 Jul 2015 03:54:10 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    嗯,接下来是不是应该科普一下比如功利主义,经验主义 以及关于利维坦? 基本上来说,对于这样一个怪物,凡人的选择很有限:要么呐喊,要么沉默。 结果呐喊的人吵醒了一屋子装睡的人,都在抱怨:反正都是死,为啥非要清醒着感受死的恐怖? 2015-06-30 12:09 GMT+08:00 Shell Xu : > 我也认同这个观点。 > > 不信任是天然的。安全是研究如何去相信别人的学科,而不是研究如何不相信别人的学科。 > > 好的机制设计,会让你不必要的信任降低到最小极限。由于这些对象的记录很好。而且只要信任这么一点对象,就可以获得很大
  • Wed, 01 Jul 2015 03:49:09 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    2015-07-01 11:29 GMT+08:00 Jackie Mao : > 如果是小绿锁那应该没有其他网域的iframe,有非证书覆盖下的资源会有叹号或黄色三角提醒(firefox-chrome) > ​绿锁还不是浏览器自己显示的?历史上被爆出来浏览器不正常显示绿锁的案例也不少,浏览器要做个手脚太容易了,只要使用的手法巧妙,被发现之后就说是bug,并非刻意所为。 话说,chrome还有绿锁、黄锁、红锁等各种锁,safari就一个灰锁,它有或者没有我根本注意不到。​ -- Cheng, Best Regards
  • Wed, 01 Jul 2015 03:29:50 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    如果是小绿锁那应该没有其他网域的iframe,有非证书覆盖下的资源会有叹号或黄色三角提醒(firefox-chrome) 2015-07-01 11:17 GMT+08:00 Zhang Cheng : > > 2015-07-01 10:46 GMT+08:00 Plain_Text : > >> 支付宝没有义务去证明浏览器比内嵌安全 > > > > ​我做了一款App需要使用支付宝支付,考虑到用户手机里的浏览器环境很恶劣,为了保障用户支付的安全,因此我也开发了一个安全浏览器,内置在自己的应用中,当用户支付时,
  • Wed, 01 Jul 2015 03:17:57 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    2015-07-01 10:46 GMT+08:00 Plain_Text : > 支付宝没有义务去证明浏览器比内嵌安全 ​我做了一款App需要使用支付宝支付,考虑到用户手机里的浏览器环境很恶劣,为了保障用户支付的安全,因此我也开发了一个安全浏览器,内置在自己的应用中,当用户支付时,使用我这个浏览器。突然,今天支付宝说,不允许内嵌了,因为内嵌的不安全,摔!我的安全浏览器哪里不安全了啊!​支付宝,你涉嫌与其他浏览器厂商通气垄断,恶意搅乱浏览器市场,我要告你! ​对了,我记得某60在PC上有“安全浏览器”​产品,号称可以保障在线支付的安全。我内嵌在应用
  • Wed, 01 Jul 2015 03:05:19 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    2015-07-01 10:46 GMT+08:00 Plain_Text : > 支付宝没有义务去证明浏览器比内嵌安全 ​就凭你这句话,如果支付宝真这么做了,我立刻就不用支付宝了,完全不需要辩驳。把安全的责任全都推给用户。 我确实有选择浏览器的自由,但是,对不起,我不知道如何选择浏览器!我系统里有好几个浏览器,我完全不知道哪个更安全。 其他的不用多说了,建议你去补习一下语文。​ ​如果你要对支付宝提建议,你可以在这里提:https://egg.alipay.com/egg/index.htm,祝你好运。 (仅供参考:我曾经在这里提了一条关于安
  • Wed, 01 Jul 2015 02:52:43 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    2015-07-01(Wednesday) 10:15:38 +0800, Zhang Cheng : > 我说的是在“被发现之后”的前提下,如何发现我并不关注。因为同样的问题我也可以问你啊,浏览器厂商干坏事偷了你的账号,你能发现么?如何发现?​ “如何发现我并不关注”,因为你根本发现不了!用不可能实现的事情来充当 论据?至于你问到的“浏览器厂商干坏事偷了你的账号,你能发现么?如何发现?” 我的确发现不了,但我有对浏览器的选择权,我可以选择口碑好的浏览器。但对于 内嵌登录,许多情况下没有选择权. 12306 可以用网页来访问,而有些第三方
  • Wed, 01 Jul 2015 02:49:46 +0000: Re: [shlug] [OT]笔记本无法启动,和受潮有关吗 - Shanghai Linux User Group
    拆掉吹风试试 2015-07-01 10:38 GMT+08:00 大熊 : > 4,5年以上的机器了,真要报废了,是得先折腾一下 > > > 在 2015年7月1日 上午10:33,Snow Shi (水至清) 写道: > >> 硬盘指示灯亮吗? 如果不亮,可能是硬件出问题。 首先检查内存条是否松动,再考虑送修。 先自己做一些能做的事情。 >> >> Sent from Outlook >> >> >> >> >> On Tue, Jun 30, 2015 at 7:30 PM -0700, "Shell Xu
  • Wed, 01 Jul 2015 02:45:31 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    首先,昨天你说我回避了你提出的问题。到现在依然没有告诉我,具体回避了 哪些。如果有,可以明确说出来。另外,这次你又在量大的问题上纠缠了很久。 你明明知道,“用户量大”是相对“用户量小”,是相对的,不是绝对的。更重要的 是,这个问题跟帖子主题无关。如果你确实想辩论量大或者量小的安全问题,可以 另外找一个地方跟你辩论。 支付宝没有义务去证明浏览器比内嵌安全,因为浏览器是基础设施,是手机 出厂就带有的。安全程度如何是手机厂商的事情,或者是用户自己的事情(针对 爱折腾手机、爱刷机的用户)。从支付宝公司的角度说,内嵌登录所导致的风险 自己不能免责,而浏览器所导致的风险是可以免责的。从用
  • Wed, 01 Jul 2015 02:38:35 +0000: Re: [shlug] [OT]笔记本无法启动,和受潮有关吗 - Shanghai Linux User Group
    4,5年以上的机器了,真要报废了,是得先折腾一下 在 2015年7月1日 上午10:33,Snow Shi (水至清) 写道: > 硬盘指示灯亮吗? 如果不亮,可能是硬件出问题。 首先检查内存条是否松动,再考虑送修。 先自己做一些能做的事情。 > > Sent from Outlook > > > > > On Tue, Jun 30, 2015 at 7:30 PM -0700, "Shell Xu" > wrote: > > 可能和水星逆行有关。 >> >> 大哥,BIOS都进不去了,就不用找软件解决方

2010年12月部分精华邮件

本期文集为试刊,尚缺少许多杂志要素,在日后我们将不断改进和提高,为大家提供更优质的邮件列表精华文集。

在线直接订阅shlug maillist的功能已经恢复

直接在右上角的google group订阅框中填入email邮箱,就能在线订阅shlug maillist。

注意事项

  • 在订阅按钮点击后,google group 会发送一封确认邮件到订阅者的邮箱中,其中有一个指向订阅确认页面的URL链接,必须将链接中的http协议改成https协议方能进入该订阅确认页面。
  • 如果无法通过在线订阅功能订阅,也可以往shlug+subscribe@googlegroups.com邮箱发送一份空邮件来进行订阅。
  • 订阅成功后,可以直接往shlug@googlegroups.com邮箱发信进行邮件交流。
  • 如果想退订请往shlug+unsubscribe@googlegroups.com邮箱发送一份空邮件即可退订。
  • 邮箱订阅或退订的问题也可以向webmaster邮箱发信询问。