免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

2、支付寶控件現(xiàn)在到底有沒有漏洞，安不安全？

1.0.0.7版，也就是2007年2月8日之前安裝的支付寶控件是有漏洞的，不安全的，可以被人利用來(lái)控制你的系統(tǒng)的。

而2007年2月8日支付寶升級(jí)了控件，修復(fù)了上述漏洞。如果你不能確定自己的支付寶是否升級(jí)到了最新，請(qǐng)下載安裝這個(gè)最新版本：
http://img.alipay.com/download/1009/aliedit.exe

3、支付寶控件漏洞對(duì)我有什么影響？是不是用支付寶有危險(xiǎn)？

舉個(gè)例子，就在剛才，就在我寫這篇文章的過程中，一個(gè)朋友找到我，說他的網(wǎng)站被“掛馬”了，讓我?guī)椭宄?/p>

所謂“掛馬”，就是入侵網(wǎng)站，修改網(wǎng)站的頁(yè)面，在頁(yè)面里放置惡意代碼。凡是訪問了該網(wǎng)站的用戶，就可能被安裝上木馬。這種可以入侵網(wǎng)站訪問者的惡意代碼通常就是利用了某種漏洞。譬如，剛才清除的這個(gè)“掛馬”利用的就是微軟新出的VML控件漏洞。漏洞類型和支付寶控件漏洞是一樣的。如果你的機(jī)器存在這個(gè)VML漏洞，那么就會(huì)被這個(gè)“掛馬”裝上灰鴿子后門、網(wǎng)游盜號(hào)工具等等一堆的木馬。

只要你的機(jī)器有VML控件漏洞，那么只要訪問了這種“掛馬”的網(wǎng)站就被被入侵，而不論這個(gè)“掛馬”的網(wǎng)站是微軟的，還是新浪的。

同樣道理，只要安裝了有漏洞的控件，不管你用不用支付寶，是否登陸支付寶，都會(huì)受到漏洞的威脅。因?yàn)槿魏尉W(wǎng)頁(yè)都可以通過放置特殊的代碼來(lái)調(diào)用這個(gè)控件。但是用支付寶服務(wù)本身反而并不會(huì)有危險(xiǎn)——因?yàn)槲蚁嘈胖Ц秾毦W(wǎng)站本身并不會(huì)包含這種惡意代碼。

4、支付寶出了這么嚴(yán)重的安全漏洞，我還應(yīng)該繼續(xù)用它么？

每個(gè)軟件都會(huì)有安全漏洞，上面提到的VML漏洞就是Windows的漏洞，你是否會(huì)因此而不用Windows呢？我也是支付寶用戶，我會(huì)繼續(xù)用下去。

5、最新版本的支付寶控件是不是就沒有漏洞了？

可以肯定地說：最新版本的支付寶控件沒有上面提到的這個(gè)漏洞。如果你升級(jí)到最新版本的支付寶控件，就不受這個(gè)漏洞的影響。但是任何人都不可能保證某個(gè)軟件完全沒有任何漏洞。不管是軟件作者，還是某個(gè)權(quán)威機(jī)構(gòu)。

我在《支付寶控件漏洞——到底是誰(shuí)在撒謊？》提到最新版本支付寶控件仍然存在問題，不過那個(gè)只能引起IE崩潰，不能利用來(lái)入侵用戶的電腦。

6、既然每個(gè)軟件都可能有漏洞，那怎么防止中木馬和病毒呢？

說實(shí)話，這不是幾句話能說清楚的，甚至我把這篇文章所有的篇幅都用來(lái)說這個(gè)問題也不行。

不過有個(gè)簡(jiǎn)單而又有效的建議：盡量不用IE瀏覽器，改用firefox或者opera（聲明：我不是firefox或者opera的托兒）。只在必須用IE的時(shí)候才用。譬如登陸網(wǎng)上銀行。還有一點(diǎn)：盡可能不要從國(guó)內(nèi)的軟件下載站點(diǎn)下載軟件。

7、病毒木馬我都不怕，裝殺毒軟件不就行了么？

目前所有殺毒軟件主要的工作原理都是基于特征識(shí)別。什么叫特征識(shí)別呢？通俗來(lái)說，就是掌握一份壞人的花名冊(cè)，根據(jù)花名冊(cè)去找。如果這個(gè)病毒或者木馬剛剛被寫出來(lái)，還沒有“案底”，不在花名冊(cè)上，殺毒軟件就識(shí)別不出來(lái)。

某些殺毒軟件雖然也有些不依賴于花名冊(cè)的高級(jí)識(shí)別功能，但是這種功能并不百分之百可靠。更何況，現(xiàn)在的病毒木馬作者，在寫完程序后，都會(huì)先用殺毒軟件測(cè)試一下，確認(rèn)不會(huì)被檢測(cè)出來(lái)才放出去。

那么殺毒軟件豈不是沒用了么？不是。各種殺毒軟件就像各種避孕措施一樣，能幫你解決大多數(shù)的麻煩，但不能指望它百分之百可靠。

8、那些人為什么要寫木馬？為什么要利用漏洞“掛馬”？

是為了錢。這一點(diǎn)，我在“木秀于林，風(fēng)必摧之”一文中說的很清楚，大家看看里面那張圖就明白了：
http://hi.baidu.com/tombkeeper/blog/item/f6576a31e20f0319ebc4af94.htm

9、你是不是騰訊的托兒？

我在《支付寶控件漏洞——到底是誰(shuí)在撒謊？》中 提到“除了騰訊，國(guó)內(nèi)的公司我還沒見到幾家愿意誠(chéng)實(shí)地發(fā)布自己產(chǎn)品安全公告的”，于是有人就認(rèn)為我是騰訊的托兒。記得魯迅先生當(dāng)年曾被人誣陷“拿盧布”， 今天如果有人說我“拿Q幣”其實(shí)還真是件挺榮幸的事情。可惜我不但沒有拿，而且每個(gè)月還給騰訊貢獻(xiàn)10塊錢的會(huì)員費(fèi)。由于中國(guó)人“家丑不可外揚(yáng)”的傳統(tǒng)， 能做到“誠(chéng)實(shí)地發(fā)布自己產(chǎn)品安全公告”的企業(yè)在國(guó)內(nèi)就真的是鳳毛鱗角，而騰訊是其中之一，這個(gè)事實(shí)是無(wú)法否認(rèn)的：
http://security.qq.com/affiche/

10、漏洞這么有害，為什么要公布，為什么要發(fā)公告？這不是害人么？

這一點(diǎn)是安全研究人員最容易被人誤解的地方。

漏洞并不因?yàn)椴还季筒淮嬖?。如果漏洞沒有被一個(gè)正直的安全研究人員發(fā)現(xiàn)，而是被那些“掛馬”的人發(fā)現(xiàn)，他們的確不會(huì)公布，他們會(huì)偷偷用來(lái)往用戶的機(jī)器上安裝木馬，盜取賬號(hào)。如果真的發(fā)生這種事，無(wú)論對(duì)支付寶用戶，還是對(duì)阿里巴巴，都是災(zāi)難性的。

而如果軟件提供者不發(fā)布安全公告而只是偷偷升級(jí)，那么會(huì)有很多用戶不知道自己正在用的軟件有問題，而并不去注意自己是否升級(jí)了。

大家可以想象一下如果微軟從不發(fā)布安全公告會(huì)是怎樣的情況。

這次支付寶控件的漏洞并不是什么太難發(fā)現(xiàn)的問題，而是非常容易被找出來(lái)的。居然在接近一年的時(shí)間里沒有被壞人首先發(fā)現(xiàn)并利用（這一點(diǎn)我并不確定），實(shí)在是不幸中的萬(wàn)幸。

11、你為什么要寫這些文章？你和阿里巴巴有仇么？是為了出名么？

完全沒有。我既是騰訊的用戶，也是支付寶的用戶。我對(duì)阿里巴巴取得的成功十分敬仰，對(duì)馬云先生的智慧和商業(yè)才能十分敬佩。

雖然我是一個(gè)民族主義者，但實(shí)事求是地說，日本人有一大優(yōu)點(diǎn)，就是人人都有很強(qiáng)的職業(yè)榮譽(yù)感。即使只是一個(gè)看鍋爐的，也會(huì)努力做最好的鍋爐工，并且因?yàn)樽约旱墓ぷ髯尨蠹业玫搅藴嘏?，?huì)很自豪。并且不容這種職業(yè)尊嚴(yán)受到冒犯。

作為安全研究人員，我們也有自己的榮譽(yù)和尊嚴(yán)。這一點(diǎn)，并不指望所有人都能理解。但是我們既沒有去黑站掛馬，也沒有寫病毒偷賬號(hào)，而是用無(wú)數(shù)個(gè)不眠 之夜去探索未知，去幫助完善這個(gè)未來(lái)大家都會(huì)生活在其中CyberSpace，我們不怕孤獨(dú)和默默無(wú)聞，但所得到的至少不應(yīng)該是誣蔑和責(zé)難。雖然阿里巴巴 在這件事情的處理上一直采取不正確的態(tài)度，但是如果沒有搞出“專家檢測(cè)結(jié)果顯示支付寶安全”那一套，赤裸裸地向安全研究社區(qū)挑釁，我也許不會(huì)用這種激烈的 方式來(lái)表達(dá)我的態(tài)度。

以前看X檔案，F(xiàn)ox Mulder說的“The truth is out there.”這句話給我留下了十分深刻的印象。也成為我的一個(gè)重要 處世原則。我想，既然我們這些人湊巧懂點(diǎn)技術(shù)，那么揭穿那些謊言和偽裝，讓不明就里的人們看到事實(shí)真相，就是我們的責(zé)任和義務(wù)，這也是hacker精神中 很重要的一部分。

所以早在2004年7月20日，我曾經(jīng)署名“2f4f587a80c2dbbd870a46481b2b1882”，寫了“誰(shuí)控制了我們的瀏覽器？”一文（這篇文章流傳甚廣，用google搜上面這串值就能找到），揭露當(dāng)時(shí)剛剛出現(xiàn)的運(yùn)營(yíng)商級(jí)別的瀏覽器劫持行為。（文章末尾有5個(gè)MD5，第一個(gè)對(duì)應(yīng)的MyName是hellokitty，MyCount是1999。）如果為了出名，當(dāng)時(shí)就不會(huì)匿名了。

安全研究的圈子很小，大伙基本上互相都認(rèn)識(shí)，不存在出名不出名這回事。如果要在安全圈子之外出名，最好的辦法是在長(zhǎng)安街裸奔，搞行為藝術(shù)，保證上新浪首頁(yè)。寫這種文章是出不了名的。

12、什么是黑客？你說的hacker精神是什么？

就像天主教和洪秀全的“拜上帝會(huì)”一樣，很多東西到了中國(guó)之后都會(huì)變味兒。所以我寧可認(rèn)為hacker和黑客是兩個(gè)意義完全不同的詞，就像我認(rèn)為Expert和“專家”是兩個(gè)完全不同的詞一樣。

在中國(guó)媒體和老百姓的概念里，黑客這個(gè)詞指的是那些修改別人主頁(yè)的人，是偷QQ號(hào)的人，是“少年黑客”，“天才少年黑客”，“17歲天才少年黑客”，“碩士黑客”等等這些可笑的，充滿噱頭的東西。

本來(lái)“小姐”是個(gè)挺好的詞兒，譬如說“鶯鶯小姐”、“香港小姐”，這些都是很美好的事物。后來(lái)人們把一些跟“小姐”兩個(gè)字完全扯不上關(guān)系的的人也稱 為“小姐”，漸漸小姐就變味了。以前我們?nèi)ワ埖瓿燥?，吃完了，就喊“服?wù)員，結(jié)帳”，后來(lái)喊“小姐，買單”，而現(xiàn)在又變回了喊“服務(wù)員”。為什么不喊“小 姐”了呢，因?yàn)樾〗愕脑~義變化了。要尊重別人，不能喊“小姐”。

所以，要尊重別人，不能亂喊人黑客。

如果你想知道什么是hacker，想了解hacker的歷史，我推薦這三份文檔：
http://www.aka.org.cn/Docs/hacker-howto_2001.html
http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/zh_cn/security-guide/ch-sgs-ov.html
http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/zh_cn/security-guide/ch-risk.html
（再次聲明：我不是redhat的托兒，沒有推銷Red Hat Enterprise Linux的意思。）