shlug maillist

  • Thu, 02 Jul 2015 02:59:32 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    算你赢好了,然并卵。 2015-07-02 8:38 GMT+08:00 Plain_Text : > > > 2015-07-01(Wednesday) 14:04:54 +0800, Zhang Cheng : > > > > ​我前面的一大段论证 “犯罪成本高从来不会降低犯罪率,只有犯罪性价比降低了,才有可能降低犯罪率” 都被你无视了是吧?​ > > > 我无视?那是因为你在不断宣扬“量大的东西也不安全”,却刻意忽视“量小 > 的东西更不安全”。不断地举例来说量大的东西也有犯罪,刻意忽略量小的东西 > 犯
  • Thu, 02 Jul 2015 00:36:50 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    2015-07-01(Wednesday) 14:04:54 +0800, Zhang Cheng : > ​我前面的一大段论证 “犯罪成本高从来不会降低犯罪率,只有犯罪性价比降低了,才有可能降低犯罪率” 都被你无视了是吧?​ 我无视?那是因为你在不断宣扬“量大的东西也不安全”,却刻意忽视“量小 的东西更不安全”。不断地举例来说量大的东西也有犯罪,刻意忽略量小的东西 犯罪率更高(当然是在同等的情况下)。就好比我说“两百斤重的人比三百斤重的 人更瘦”,你却不断强调某个两百斤重的人走路气喘吁吁,却刻意回避三百斤重的 人往往更严重。以此来加
  • Wed, 01 Jul 2015 14:33:30 +0000: Re: [shlug] [OT]笔记本无法启动,和受潮有关吗 - Shanghai Linux User Group
    可以试试电吹风,我的台式机电源就是电吹风吹好的。 2015-07-01 21:59 GMT+08:00 水月万易 : > 四五年也差不多了,对于一般的牌子的一般价位的笔记本就没挽救的必要了,换个 > 要是喜欢折腾 去淘宝搜搜 对应的主板 买来换个 估计就解决问题了。 > > 2015-07-01 10:49 GMT+08:00 Jackie Mao : >> >> 拆掉吹风试试 >> >> 2015-07-01 10:38 GMT+08:00 大熊 : >
  • Wed, 01 Jul 2015 13:59:18 +0000: Re: [shlug] [OT]笔记本无法启动,和受潮有关吗 - Shanghai Linux User Group
    四五年也差不多了,对于一般的牌子的一般价位的笔记本就没挽救的必要了,换个 要是喜欢折腾 去淘宝搜搜 对应的主板 买来换个 估计就解决问题了。 2015-07-01 10:49 GMT+08:00 Jackie Mao : > 拆掉吹风试试 > > 2015-07-01 10:38 GMT+08:00 大熊 : > >> 4,5年以上的机器了,真要报废了,是得先折腾一下 >> >> >> 在 2015年7月1日 上午10:33,Snow Shi (水至清) 写道: >> >>>
  • Wed, 01 Jul 2015 06:19:05 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    别吵了 2015-07-01 14:04 GMT+08:00 Zhang Cheng : > > 2015-07-01 13:21 GMT+08:00 Plain_Text : > >> 至于使用默认浏览器是否安全,看具体情况。如果是用户量大的手机,默认 >> 浏览器至少比冷僻的第三方应用内嵌登录安全。(再强调一下,除非特别指明, >> 这里的安全是资金方面的安全,跟什么用户隐私的安全无关。) 原因我在前面 >> 说过,用户量大,就意味着犯罪成本高,相对安全。如果用一个小作坊生产的 >> 不知名的手机,浏览器的风
  • Wed, 01 Jul 2015 06:05:00 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    2015-07-01 13:21 GMT+08:00 Plain_Text : > 至于使用默认浏览器是否安全,看具体情况。如果是用户量大的手机,默认 > 浏览器至少比冷僻的第三方应用内嵌登录安全。(再强调一下,除非特别指明, > 这里的安全是资金方面的安全,跟什么用户隐私的安全无关。) 原因我在前面 > 说过,用户量大,就意味着犯罪成本高,相对安全。如果用一个小作坊生产的 > 不知名的手机,浏览器的风险高就不奇怪了。但至少用户量大的主流手机是比较 > 安全的。 > ​我前面的一大段论证 “犯罪成本高从来不会降低犯罪率,只有犯罪性价比降低了,才有可能降
  • Wed, 01 Jul 2015 05:26:23 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    2015-07-01(Wednesday) 13:13:44 +0800, Doyle : > "第三方应用通过浏览器钓鱼,就要在网址上做手脚。" > .......太小看如今的钓鱼手段了啊... 在系统和浏览器都相对安全的情况下,除了伪造域名外,请问还有什么方法?
  • Wed, 01 Jul 2015 05:23:27 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    确实可以通过日志来暂时冻结、止损,不过前提是有黑客披露。但三方应用 都是闭源的,完全可以做到很难反编译;通信也是加密的,很难抓包分析。除非 开发者因为内部矛盾将机密泄露了,否则很难发现钓鱼行为。
  • Wed, 01 Jul 2015 05:20:47 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    2015-07-01(Wednesday) 12:21:51 +0800, Zhang Cheng : > 事实上我在很早的一封邮件里就说了如下一段,只是被你无视了而已: > > 如果我们有共识,认为支付宝钱包相比起其他方式来说都更可靠一些的话,那么我觉得 > > 支付宝应该这样做: > > * 逐步淘汰网站支付接入,或者网站接入时,仅支持用移动设备扫码支付,不支持密码支付。 > > * 移动端,督促各应用尽快升级到使用移动端接入的方式,而不是网站接入的方式来支付。 我没有无视,而是说“支付宝不可能关闭 Web 接口”。因为浏览器
  • Wed, 01 Jul 2015 05:14:08 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    "第三方应用通过浏览器钓鱼,就要在网址上做手脚。" .......太小看如今的钓鱼手段了啊... 2015-07-01 12:33 GMT+08:00 Zhang Cheng : > > 2015-07-01 12:06 GMT+08:00 Plain_Text : > >> 回到正题,我想了解怎样从技术上防止内嵌登录的钓鱼行为?如果支付宝公司 >> 有高超的技术可以在服务器端察觉第三方应用的钓鱼行为,或者用户可以察觉, >> 那么就说明内嵌登录是可控的,然而你说了那么多,却一直没拿证据出来,如何 >> 可控?最
  • Wed, 01 Jul 2015 04:33:35 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    2015-07-01 12:06 GMT+08:00 Plain_Text : > 回到正题,我想了解怎样从技术上防止内嵌登录的钓鱼行为?如果支付宝公司 > 有高超的技术可以在服务器端察觉第三方应用的钓鱼行为,或者用户可以察觉, > 那么就说明内嵌登录是可控的,然而你说了那么多,却一直没拿证据出来,如何 > 可控?最早你说支付宝可以发现某个应用干坏事,拿不出具体措施;后来又打圆场 > 说“通过用户举报”,却给不了取证的方法。至少用浏览器可以让那些谨慎的用户 > 对风险进行控制,而内嵌登录对任何用户都是高风险。 > > 麻烦你不要转移话题,用什么“补习语文
  • Wed, 01 Jul 2015 04:21:54 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    2015-07-01 12:01 GMT+08:00 Plain_Text : > 你认为用浏览器就是将责任推给用户,那么内嵌登录就没有将责任推给用户? > 不但有,而且更加严重。虽然内嵌被钓鱼事后可能得到支付宝的补偿,但提前是 > 受害者多,让政府权力部门介入。如果受害者很少,政府不会重视,不积极破案。 > 用户无法取证被钓鱼,政府又不管事,支付宝怎么可能在没有证据的前提下对用户 > 补偿? > > 浏览器登录至少可以让部分谨慎的用户降低被钓鱼的风险,而内嵌登录让所有 > 用户都面对巨大的风险,因为没有选择权。其实说到底是你在强调你对浏览器有 > 强烈
  • Wed, 01 Jul 2015 04:14:44 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    2015-07-01(Wednesday) 12:05:20 +0800, Chaos Eternal : > 12306的帐号被盗,可以用你的身份信息买很多票,然后黄牛有的是手段把票洗出来。 > > 至于某60偷隐私,你的整个电脑都不可信了,你还能在上面进行交易?这会跟资金无关?况且,以某60做事的水平,这些隐私数据说不定已经被人拿走放到黑市上卖了,还敢说跟资金无关? > > 至于你说仔细看域名,如果有个应用在后台重定向了你的流量,改了dns以及根证书,分分钟你的钱就没了,还安全? > > 既然是谈安全,我们可不可以站在一个谈安
  • Wed, 01 Jul 2015 04:05:37 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    2015-07-01(Wednesday) 11:17:54 +0800, Zhang Cheng : > 支付宝,你涉嫌与其他浏览器厂商通气垄断,恶意搅乱浏览器市场,我要告你! 支付宝并不要求用户必须使用某浏览器,何来“通气垄断”?如果第三方强行 用内嵌浏览器,才更符合垄断吧? > PS,有地址栏就安全了? 我没这么说过,请你不要编造我的观点。如果浏览器本身不可信,那么地址栏 当然保证不了安全。 回到正题,我想了解怎样从技术上防止内嵌登录的钓鱼行为?如果支付宝公司 有高超的技术可以在服务器端察觉第三方应用的钓鱼行为,
  • Wed, 01 Jul 2015 04:05:23 +0000: Re: [shlug] [OT] 安卓手机上支付宝的安全问题 - Shanghai Linux User Group
    12306的帐号被盗,可以用你的身份信息买很多票,然后黄牛有的是手段把票洗出来。 至于某60偷隐私,你的整个电脑都不可信了,你还能在上面进行交易?这会跟资金无关?况且,以某60做事的水平,这些隐私数据说不定已经被人拿走放到黑市上卖了,还敢说跟资金无关? 至于你说仔细看域名,如果有个应用在后台重定向了你的流量,改了dns以及根证书,分分钟你的钱就没了,还安全? ---- 既然是谈安全,我们可不可以站在一个谈安全的上下文来说,而不是模糊概念,说什么大家都信任了就是安全的,也不要说什么因为抓到的代价很高所以就没有人干。 至于语文问题,可以参考 RFC 3552 这是一个不错的