来源:蜘蛛抓取(WebSpider)
时间:2011-03-22 22:36
标签:
剃刀高地
如何评价奥卡姆剃刀、王思聪、周鸿祎及众资安界人士在微博上关于无线网络下盗取网银密码的舌战?
参见@奥卡姆剃刀 @yuangge1975 @tombkeeper @sunwear @被吊打的redrain @王思聪 @周鸿祎
首先希望大家能看一下这个文档
---------这个问题评价就是你可以不懂,但是请保持谦虚。说一下技术吧,首先奥卡姆剃刀说是手机客户端是非常安全的,即使是在不安全的wifi下。但是请看腾讯安全应急响应中心的这个文章,。那些app只是认为自己是安全的,但是实际上是在裸奔。当然这不是https的问题,这是程序员的问题。良好的设计不一定被良好的实现。理论上的安全和实际的安全中间还隔着很多编码失误和半铫子专家。
-tombkeeper然后是这个文章,还是上面那个漏洞,只是tsrc没说具体哪些app有漏洞,这个文章明确的说到了就是银行的手机客户端。关于使用这个漏洞能不能获取明文密码的问题,这个要看情况了,因为上面提到的这个手机银行的客户端是在本地进行二次加密然后https发送的,理论上截获也没办法破解,但是实际上这个app还存在其他的几个漏洞,通过那些漏洞就能获取到密钥,有密码被解密的可能性。其实也不用这个麻烦,里面那个app的密文重放漏洞,根本不用解密就有可能以后随时拿着以前的密文来登陆你的账号。当然app还存在很多其他的安全问题,请看说完客户端,我们来看看网页版网银,地址是function SubmitControl(sAction, sClientNo) {
。。。省略一大堆。。。
SubmitControl.prototype.submit = function() {
var sXmlReq = "";
if (BSGetElementIgnoreError("TransID_New") != null) {
this.addFieldByElementId("TransID_New");
for (var i = 0; i & this.m_fields.length; i++) {
var sName = (this.m_fields[i])[0];
var sValue = (this.m_fields[i])[1];
if ((sName != null) && (sValue != null)) {
sValue = sValue.replace("%", "%25");
sValue = sValue.replace("&", "%3C");
sValue = sValue.replace("&", "%3E");
sValue = sValue.replace("+", "%2B");
sXmlReq += "&" + sName + "&" + sValue + "&/" + sName + "&";
var oForm = BSGetElement(this.m_id);
var oClientNo = BSGetElement("ClientNo");
var oCommand = BSGetElement("Command");
var oXmlReq = BSGetElement("XmlReq");
oForm.action = this.m_action;
oForm.method = this.m_method;
oForm.target = this.m_target;
oCommand.value = this.m_command;
oClientNo.value = this.m_clientno;
oXmlReq.value = sXmlReq;
oForm.submit();
这里很明显的就能看到是没有任何本地加密的,只是手动的进行了一下encode,抓包显示也是这样的。注意最后面的111111,那个就是密码。这个时候问题就来了,通过https直接发送明文密码其实无可厚非,因为假设https是安全的情况下,黑客也是无法获取到你的明文密码的。如果https是不安全的,密码进行加密也没用,黑客还可以获取你的cookies,能给你植入js呢。至于
具体使用的是什么技术,我也不知道,可能是sslstrip(),这个还是希望各位大神指教。但是还是简单介绍一下sslstrip直接去攻击https协议找到漏洞然后拿到数据?貌似有点不大可能(虽然出了和),但是我们能不能绕过https,让你去使用http呢?用户HTTP=&hacker的代理=&HTTPS网站图片来自于
这个博客也写的很好,还说到了几种别的攻击方法。当服务器要求重定向到https网站,那么这个应答就不返回给用户了,而是黑客模拟用户去访问https资源,然后把数据放回给用户,这样,在用户看来,他访问的就是个https的站点,但数据返回都是明文传输的,以此来达到截获明文信息的目的。简单的说就是让你的https变成了http。这时候给你植入一个js或者替换一下密码框,so easy。---------------补充:还有几个问题希望能思考一下,1 你电脑上的证书都是可信的么?各种客户端没有给你安装证书么?最近听说微软账号被劫持是怎么回事?出现证书错误是怎么回事?2 有一些其他渠道的窃取你的账号密码的想到过么,比如电脑端的木马病毒(这个相当多),dns问题,验证码的暴力破解,你的账号密码或者密保邮箱被社工,安卓的webview挂马漏洞,ios的safair远程代码执行,各种root和越狱,混乱的app市场和山寨rom,软件。3有些东西真的适合给你说出来么?听说前端时间有黑客能在同网段内远程root你的手机呢,还听说GeekPwn第一天就有一劫持https的0day呢。
作为业余安全外围人士,补充说一下关于为什么约架安全高手不应的真相。1、为什么约2万的局没人应。
为了一个2万的事情,丢一个0day出去,值么?
你敢说袁哥手里没有0day? 你问问微软的安全负责人信不信?
组个200万的局看看?
不只是0day值这么多,一些牛逼的漏洞利用方法也一样值钱。 白道黑道都在买这玩意,为一个2万块微博赌局扔出去,有病啊。2、为什么给不出完整的银行客户端被公用wifi截获转账的案例。
我很肯定的100%的说,这种案例是存在的,而且tk教主其实也表达出来了,但是!但是涉及大型银行,涉及客户和上市安全公司的业务保密协议,请问这种案例能他妈的完整公开么!这个公开的后果责任谁能担?最后说一句,奥卡姆剃刀最后的一些言论,完全是失去理智了。TK什么水平,袁哥什么水平,在外国安全理论的架构下做个工?哈哈,去全球黑客大会问问那些顶级黑客敢不敢这么评价这几位中国黑客。
奥卡姆剃刀在这个问题上并非完全不懂行,而是彻底的书呆子。先不举复杂的例子,大家都知道的验证码(Captcha Code)这么个东西,就是很多网页输入页面上的一个看起来比较扭曲的字母数字,以防止程序或者爬虫轻易登录或者访问。个中原理足够简单,一般而言也足够防范没有OCR能力的爬虫程序。但是给大家看下上的一个的奇葩实现。不知道大家注意到没,这个验证码实际上不是图片,而是真正的文字,可以选择然后copy/paste的。不知道大家注意到没,这个验证码实际上不是图片,而是真正的文字,可以选择然后copy/paste的。更搞笑的是,他们把这个值直接包含着网页的源代码里。所以这是世界上对爬虫最友好的验证码,而且在印度铁道部网站上挂了至少一年多了都没改。所以这是世界上对爬虫最友好的验证码,而且在印度铁道部网站上挂了至少一年多了都没改。这个例子说明什么呢?就是再好的技术规范也是要人来实现和遵守的,而人当中是有傻B的!回到剃刀的观点,他认为只要用银行的手机网银客户端,同时使用HTTPS和银行的服务器通讯,那么即便连接黑客搭设的WIFI也是安全的。真的是这样么?HTTPS作为标准本身的确足够安全,但是你能保证在程序中实现这个标准的人或者机构足够靠谱吗?食品国标还足够严格呢,但是三鹿和福喜咋回事?的回答里已经给了一个,以及腾讯安全中心的这篇文章 。简单的说,就是只要你用这个手机连上了一个黑客开设的公开WIFI,然后打开网银客户端(没错是客户端),因为客户端虽然通过HTTPS访问银行网站,但此时的银行网站完全可能是伪造的(因为WIFI被黑客控制,DNS解析什么的都不在话下),理论上HTTPS协议要求核对网站服务器的数字证书来验明身份,但是,这些客户端的实现代码里忽略了这一步,也就是说证书不对或者过期都没关系,客户端照样连接。接下来就是典型的中间人攻击——黑客伪造的服务器面对网银客户端充当服务器,而同时又冒充客户端访问真正的银行服务器,因为客户端已经相信并接受了虚假的证书,于是用这个假证书中的公钥来对数据进行加密,由于解密用的私钥就在黑客手上,因此这个加密过程对黑客而言是完全透明的。然后黑客程序将数据解密成明文后,进行替换或者伪造等进一步的加工,再和真正银行服务器进行通信,就能干很多事情了。这个原理对于很多安全领域从业者而言其实是常识!为什么呢,因为绝大部分的企业用杀毒软件,都是一个合法的中间人,没错如果你的公司装有企业级杀毒软件,那么你的所有HTTPS请求数据理论上公司都看得到,而且这么做不仅在中国,在美国都是完全合法的,因为你用公司的电脑和网络,照道理就不该有隐私。作为我此言不虚的旁证,虽然我现在是个做英语教育网站和APP的,但也曾经在趋势科技研发中心打过两三年酱油,亲手做过Proxy端替换证书来对HTTPS数据进行解密然后扫描(病毒什么的)这种完!全!合!法!的事情。安全方面的知识我如今已经是弱不禁风,但是我大体能想象跟剃刀斗嘴那帮大神的水平(下限)——当他们说行的时候,你还是相信比较好。说到底网络环境是很险恶的,大家用盗版操作系统瞎刷来路不明的ROM已经毫无压力(天知道里面会预装什么)了,提醒你不要用公开WIFI,或者至少不要在这种情况下用网银,等于提醒你在一个盗匪横行的街区行走别把钱包拿手上一样,但偏有人站出来说大家别怕法律会保护你的人身财产安全!哎~补充:剃刀老师现身评论,可惜思维又跳跃了一下,我希望他认可自己之前所说“只要用银行的客户端通过HTTPS访问就没有安全风险”这样的科普言论的不严谨之处,目前还没有收到他正面回复。
说实话,因为这个事我对剃刀好感全无,剃刀有着一个中年老师的全部缺点并把这些缺点体现的淋漓尽致。这些被暴露的缺点包括但不限于:1.固执己见。2.不懂装懂。3.极好面子。4.好为人师。5.以年龄学历压人。
剃刀的很多言行都证明的这一点,包括以前很多争议剃刀都做出一副我NB我的一定对,你们都是渣渣。。。这次剃刀也是如此,包括说了“我学历年龄都比他们高。”“外国没报道(失实)央视报道就可疑”转发了“如果有漏洞投资人为什么投资。”刚刚开始辩论时还谦虚“我的经验可能陈旧。”恼羞成怒时便说“我02年就发表了论文balabala~”开始胡搅蛮缠,直到最后明明已经意识到问题也要硬说“这已经没有意义~输赢不重要balabala~”
剃刀这种人搞科普和大学教育未免不是一种遗憾。
现在剃刀来知乎继续辩论。。。欢迎看评论,方法与在微博上别无二致。果然,世界上最难说的就是:“我不懂。”和“我错了。”
剃刀的逻辑是:剃刀:通过wifi得到密码不可行!大牛:原理是"balabala~"剃刀:说这个没用,为什么外国媒体没报道?大牛:有啊,你看“balabala~”剃刀:别说这些!为什么没人因这种事被抓?大牛:……呵呵
有些人还是要提高自己姿势水平,懂不懂,识得唔识得。但他有一个好,辩论时候改问题比谁都快。辩不过,就修改问题。其实讲理的话,根本不存在辩论A:我搞过通信安全,我相信SSL不能被篡改和窃听B:问题不在通信上,可能能远程执行,可以钓鱼A:这个领域不太清楚,有多大的可能性,利用难度如何B:一个稍有了解的人,只需大概一堂数学课的知识,可以完成对一部分机型的完整利用,得到银行卡密码。A:我认为你说的不可能,你是故弄玄虚。证明给我看B:通杀的方法不能给你看,但是的确存在适用于部分情况方法,比如A:那我认为这不危险B:但我认为这很危险A、B:你永远不能说『我认为xx』是错的他可能专业是通信安全,但是通信安全毕竟只是安全的一部分,起码要明白,安全上能信任的东西太少太少,不然你以为secure element是骗钱的吗(我只是举个例子,和辩论关系不大)。技术栈上的任何一个环节都有存在漏洞的可能。举个完整的例子,事实上,央视的视频中,用到的就是下面说的几个漏洞的组合。从头来讲,网银app可能存在add javascript interface漏洞,可以任意执行/写/读(限于该app的权限),网银app不存在,浏览器可能存在。浏览器不存在,手游可能存在。这个东西好比炸弹,手机里主要有一个,很容易殃及池鱼。然后,add javascript interface取得的只是本app的权限,需要借助本地提权漏洞。幸好(不巧)android基于linux,本地提权漏洞很多(不然你以为哪来的那么多一键root),还是一旦存在一个,那么整个手机就已经沦陷了。后面的事情与漏洞关系不大了,你有了root想干嘛干嘛,比如可以重打包一个网银app,输密码时候log下来,反正你是root,想删就删,想装就装。动用漏洞那都是核武器级别的,一招致命,整个环节上任何一个东西都可能存在漏洞,CPU、驱动、内核、TCP/IP协议栈、dalvik虚拟机、网银app,太多环节了。SSL不也出过heartbleed么(与此讨论无关)你能看见的漏洞只是冰山在水面上的部分,你问我支持不支持,不是,问我到底有没有,我可以说无可奉告,但你们又不高兴,我怎么办。只要你东西的价值比黑你的成本高,最后肯定有黑客用合适的漏洞合适的手段搞定你,我就明确告诉你这点。不信你先搞一套隐形轰炸机的涂层材料在网上说一声,绝对让你见识一下0day的最高水平。要想到中国一句话,叫『闷声发大财』,黑客就喜欢这句话,这是最好的。你知道的漏洞,那还能赚钱么?安全中最薄弱的环节是人,事实上,丝毫不用任何漏洞,最后骗到钱的例子还少吗?几千年来有过完美解决吗?不要觉得钓鱼就low了,存在钓鱼的可能就是安全上的大问题。当然,他还有最后一招:说了这么多,你能证明给我看么。啊啊啊这个问题触到了圈子的软肋,主要问题是,证明这件事是有副作用的,你证明了大家知道了,漏洞离修补不远了。哦怎样评价 不愧是业界段子手,太传神了还是tk的评价天下最难说出口的话第一是“我错了”,第二是“我不懂”。
这个奥老师……两年前的时候,跟他在微博上争过信道带宽,网速什么的问题……哎,争到最后就变成很酸的话……指责我不好好学…什么的,话是酸得不行……诡辩……前后逻辑不通,讲的不是一个层面上的事,没法讲…………
个人怀疑,奥卡姆剃刀的号应该是被方舟子盗了。
知乎上不是有人直播过如何黑进隔壁妹子家WiFi,然后拿到密码黑到微信,然后搭讪的吗。
我是一个外行。以下只是个人见解。如果先看看这个回答,或许会对理解这场骂战有所帮助。请看
先生的回答。目睹了两天的混战。(混战之前微博就关注了@奥卡姆剃刀 @yuange1975 @tombkeeper )其中最初的争议就在下图的下划线处如果就单从红线处看,如果就单从红线处看,@奥卡姆剃刀的结论的后半句是站不住脚的。内行人士可以通过各种方法获取账户和密码,具体方法我也不太懂。之后@yuange1975评论了@奥卡姆剃刀的微博,指出其结论不正确实现方法很单。@奥卡姆剃刀约架@yuange1975,被回绝。到这里,双方做的都不算出格。双方都没有对对方采用的方式加以限制,这也就为后来的混战埋下了伏笔。@被吊打的redrain发话,语言略有挑衅。@奥卡姆剃刀约战。结果还是没约成。@王思聪第一次说话。建议不错。@王思聪 第二次说话,开始攻击@奥卡姆剃刀。做得不对。@奥卡姆剃刀开始第一次升级自己的条件。这时与最初观点已有不同。@@奥卡姆剃刀 艾特@周鸿祎。@周鸿祎给他解释了通过钓鱼的方式,@奥卡姆剃刀第二次升级条件。**********************************到这里,@奥卡姆剃刀已经败了************************************************************************到这里,@奥卡姆剃刀已经败了**************************************之后@奥卡姆剃刀又发表了一些言论,这些言论已经不怎么正常了,自以为是的性格完全暴露,而且这些言论彻底惹怒了安全界的人士,并导致了第二天的混战。这时的@奥卡姆剃刀已经不理智了。ps:该微博已被删除。更新此微博为@奥卡姆剃刀的气话,其在发布后迅速删除,他在之后的微博也反复提到。请不要过分关注下图。我发此图只是为了还原当时的情况,并无恶意。评价:在该混战中,@奥卡姆剃刀败,众安全人士赢。@王思聪和@周鸿祎属于打酱油。央视的报道不是制造恐怖气氛,而是给大家提个醒。@奥卡姆剃刀一开始的质疑可以理解,之后的言论很不妥当。众安全人士则在国庆期间过得不再那么无聊。最后献上 @tombkeeper的两个微博,希望每个人都仔细体会。
闻讯赶去围观的我,第一眼就看到奥卡姆剃刀说什么“你花钱买的流量包对运营商而言不过一段配置代码”云云,忍不住吐槽了一句,结果瞬间被拉黑。(其实我只是想表达流量也是要成本的,而且计划外流量比计划内的成本要高)
好吧,我来说几个真正轻松的攻击案例——别老把眼光放在网银上好不好。1、利用12306众所周知,12306自己给自己颁发证书——而且要求安装根证书。在正常网络环境里,想要利用DNS欺骗诱骗用户访问假12306非常困难,因为你或者必须和被攻击者在同一个局域网,或者要攻下电信路由器。而在使用假wifi的环境下,造一个假12306就非常容易了。由于12306的尿性,你同样可以自己给自己颁发证书;而它的用户,相当一部分会忘记自己是否曾经在手机上接受/安装过该证书、或者即便知道自己装过证书,也可能嘀咕一声“这破网站,又闹什么妖蛾子”,然后重新安装证书——至于小白,他们连银行网站证书出现错误都不会知道。——而我呢,对这个网站,只能拒绝证书,但坚持访问。所以……一旦用户接受了这个假12306(这简直是无可奈何的事),从中找到了车票、点了支付、跳转到付款链接……后边可怪不得银行。如果有人抓住逢年过节大家争分夺秒抢票的大好时机,搞这么一个假wifi……2、偷袭QQ空间,盗取个人隐私,然后利用社会工程诈骗XXX啊,我是你爸的同事YYY,现在和他在ZZ出差,他中风了,不交钱医院不给做手术。你赶紧往######汇款xxxx元。用立即到帐的加急汇款,赶紧啊!中风这种急病,差一分钟可能就是阴阳两隔。你知道你爸确实有个同事叫YYY,他们也确实在ZZZ出差——请问,你需要花多少时间让自己冷静下来,确认这是不是诈骗?当年三思网站就有人中招,跑去汇款时,才忽然觉出问题。那还是一位非常理性、非常聪明的人——但他这样形容自己听到噩耗时的心情:当时脑子嗡的一下,浑身发软……后来才知道,他父亲在火车上和人吹牛,透露了过多个人信息。——另一个真实案例:北京有个女孩,喜欢在QQ空间发自拍照,她也确实非常漂亮。一个男人非常想得到她,连续几年看她的照片,并删去浏览记录(就是这个行为,使得警方在走投无路、只好尝试下网络途径,走了一个超长的流程从腾讯取得数据后,把怀疑目光锁向了……这个QQ号。而这个QQ号,对方用的很小心,根本不可能顺线摸到人,只是为最后的心理画像提供了一些线索)。有一天,她单独在一家咖啡厅自拍并发布照片,被那人认出了位置。她失踪后,由于情况复杂,需要多方协调、四处调数据,几个月后才被警方发现并解救,但人已经被摧残的傻傻呆呆的了。——另一个,我见过一个漏洞报告,这个漏洞会导致云存储空间被入侵;而这个空间是某公司用来同步用户手机数据的;其中一位用户用手机拍下了自己信用卡的正反面(毫无遮挡!),如此敏感的信息就这样通过同步机制给弄到了网上,然后因为一个漏洞而被公布。——再一个,当黑客搞到你某个不重要的邮箱密码时,他会用同样的用户名+这个密码去尝试登录其他网站(当然是用脚本,几秒钟就能尝试成千上万次)。如果你在不同网站用了相同密码……——这类极易被用来完成攻击的个人隐私极难保护,同时又不被人重视。——假设这类隐私的防御力只有20,那么加上假wifi的致命一击之后,防御力就只剩5了。——如果说能攻破20防御的黑客,只要在论坛混个一年半载就能培养出来的话,那么要攻破5的防御,可能只需两天就能学会。——————————————————————————总之,我知道任何安全理论都是以信道全天候被人监听、并不择手段不断攻击为前提——所以,别说假WIFI这种低级手段,以国家力量在电信主干道上设卡,都不可能威胁到正确实现的SSL通信。因为搞安全的,研究的就是在这种险恶的环境中安全通信的方法。从这个意义上,说假wifi不值得关注,的确是对的。搞安全的没那么菜B——刚才看了下,奥卡姆剃刀强调的,也就是这句。而其他人呢,关注的则是:所以说,双方说的本来就不是一个话题。————————————————————————————至于外行们呢,还是建议尽量别去碰假WIFI——虽然在上面用网银仍然可能是非常安全的;但那个付款链接、那个商品网站……未必。
有点答不对题吧,奥卡姆剃刀这个人我第一次知道是在微博上关于举重的言论。怎么说呢,这个人喜欢在自己不懂的领域乱发言,同时死不认错。他的理论是现代社会,举起重物可以用机器完成,所以人没必要负重,所以举重运动毫无必要。田径类运动也是这样,多跑个一两秒没必要。乍听一下好像很合理,可实际上文明发展在人类的历史只是最近的几千年,工业飞速发展也只有几百年的时间,人体的功能其实跟几千年前比其实没有多大变化,而专项运动脱身于生产劳动,是有其意义所在的。运动对于人本身的提升有多少?举重的功能性在哪?他是完全不懂的。这件事给我留下的印象非常差,个人主观看法,他长时间用这个名字,好像就等同自己是奥卡姆剃刀了,想剃啥剃啥。算不上一个合格的质疑者。至于这个问题,没什么好看待的,你就看谁在摆论据,谁在搞文字游戏。谁有专业资历,谁是门外汉。孰是孰非一眼就看出来了。
奥卡姆剃刀的立论理由,我认为是对的。他的立论理由基本上应该是:* https传输不可窃听* 银行手机客户端严格使用了https传输(至少会拒绝使用错误证书)* 所以无法通过wifi监听来窃听密码奥卡姆剃刀对各种技术其实一知半解,比方说,他微博中提到“传统的WAP协议”时,根本就是错的。他可能完全就不知道什么是WAP。他仅仅是一个有安全常识的人。而只要有常识,就可以避免绝大多数安全问题。比方说,使用正版软件,不要相信来历不明的网站下载,注意浏览器的https提示等等。他可以不懂WAP,不懂https,但只要有安全意义,就可以避免各种常见安全问题。他可以放心大胆的使用公共wifi。 给的视频,实际上是招行的网页版,也就是
这个页面。这个页面是有https的,是无法被窃听的。但是,进入这个登陆页面的招行手机一网通首页
是没有强制https的, 是劫持了这个首页的链接,把里面进入“手机银行登陆(网页版)”的链接从https改成了http,让用户访问了一个假的招行登陆页面,从而实现了监听。但用户只要细心一些就可以注意到登陆页面是http,而不是https。所以我不认为
这样做是打脸,他是没法赚奥卡姆剃刀的两万块,因为如果奥卡姆剃刀去访问
架设的wifi,奥必然会注意到网页登陆页面的没有https。========另一方面,非常多的用户,是小白用户,他们是不懂https跟http的区别的。实际上,别说小白用户,就算是程序员,专业程序员的安全意识也薄弱得可怕。我曾经在一个程序员聚会上使用主办方提供的wifi,发现在链接ssh服务器时,ssh客户端竟然提示主机的key不对。这是典型的中间人攻击,我立刻跟举办方的负责人反映这一情况。而令我无法理解的是,该负责人居然跟我说这是他们办公室无线网络的“正常情况”,用有线网络就没事。我当场就被吓尿了。该负责人是知名程序员,所在公司更是有知名安全产品。他们办公室提供的wifi的“正常情况”居然是这样,要么是他们不怀好意,要么是他们的安全意识薄弱得令人发指。当天在场的程序员依旧有无视客户端提示,直接ssh自己主机的。这种行为,就相当于访问网银,浏览器跳出来告诉你访问的是一个假网站,你还继续顽固的输入自己的密码。但用户缺乏安全常识的时候,你是无法阻止他作死的。就直接问他银行密码是什么,他说不定都会直接告诉你。这样的用户使不使用公共wifi网络,都无法防止它泄漏自己的密码。若有足够的安全意识,是可以链接公共wifi,不怕自己银行密码被窃听的。若安全意识不够,那就呵呵了。央视如果要普及安全,应该是宣传https的使用,告诉用户上网银认准https,而不是拿公共wifi来说事。实际上,天朝是一个充满窃听的网络,https的普及,会妨碍舆情监听;阴谋论者也许会说,央视就是刻意不普及https,而拿公共wifi来混淆视听的。
剃刀完完全全表现了一个典型的行外人的特征,最后竟然还能厚着脸皮说自己赢了。。。。不知道这种逻辑水平怎么拿到博士学位的。
技术问题上我不算内行,但是今天看到这个问题,处于八卦心态把知乎上答案和相关微博刷了一遍。几个月之前奥老师发过这样一条微博:然后就是我晚上回来,看到奥老师在各位答主楼下的回复,列举了诸多问题,然后又消失了。当时就在想,奥老师是不是回去又会发一条感慨的微博呢?于是又去瞄了一眼表达态度:我个人非常不喜欢这种只挑对自己有利的事实,选择性陈述并加以评论的行为。我看了知乎上的回答,确实,讥讽奥老师的不在少数,可能有一半,或者一大半。但是正经解答奥老师在回答里带编号问题的,也有很多。奥老师也许来问完一圈就去休息了,很多回复就没有了下文。但是从知乎答案里挑几个自己需要的(两次都是,还恰好都是比较极端的例子),贴到微博上去讥讽一番,那你倒是也回复一下讨论技术问题的朋友们呐?还有一句,在知乎上,“反驳一圈”最好的办法是自己写一个答案,而不是到别人评论下面留几个问句。这样玩,大家都不会认同你反驳了的。你说是不是呢,奥老师? --------------------------------以下是吐槽,不针对奥老师这次的行为,仅以为例------------------------------------拉帮站队是一个很 low 的行为,也许这样能找到认同感,但是旁观者看着,真的很幼稚啊。(下面截图是奥老师这条微博下面的评论,随机截了两页)上面的回复里有各种声音,但是粗看还是附和的比较多。他们这么说是不是真心的想法呢?我不知道,只是我看着觉得很闹心。就像看到一帮人吵吵“手机有辐射”“转基因不育”的感觉一样。暴露出网民(也可以是市民,也可能包括你我)普遍具有的两个问题:一是喜欢站队,站好队之后对面说什么都是喷;二是刻板印象,“本科选择数理化生就是追求梦想”,“学经济金融就是盲目从众,向现实低头”,“上人人就是幼稚”,“知乎上都是酸文人”听得多不多?有意思吗?不知道之前是谁说“精通体位的太监”(罗永浩老师?),然后大家都拿来用,在知乎之外的地方,凡看到讨论知乎内容的,十次有八次出现这样的话。事实是什么呢?你体位不好,别人体位好,你说别人是太监,这样就论证了“你体位好也没 jb 用”这一结论,所以你赢了,因为虽然体位不好,但是至少有家伙用。最可悲的是,你连这一句吐槽的话,都要拾人牙慧。刚刚玩微博的时候关注了这位奥老师,开始作为科普看觉得不错,有些微博至今都觉得说得在理、有帮助。后来经历了几次奥老师和别人的骂战,我上微博是娱乐,懒得看吵嘴,于是取关了。知乎的形式,比微博好的是一个问题下大家各自发言,互相评论,你看到你心水的大 V 说话了,但可能下一楼就是“实名反对楼上”的主。这样至少信息更加可以开放流通,有利讨论。微博上很不一样,大家都自立山头,跟人说两句话,要是去对方评论里讲,那就是踢馆,很容易被淹没。自己转发一个吧,粉丝少的就是自说自话了,粉丝多的就像上面一样,大家一起在自己的寨子里摇旗呐喊,得胜而归。最后问题还是解决不了。我觉得呢,不用着急忙慌站队,知乎上有干货也有段子,微博上也是都有。说微博上傻伯夷多的,知乎上就少了?大家讨论问题就好好讨论,这边骂一句那边喷一堆,有什么意思呢?不过这样也许大家都觉得过瘾了,自己赢了,那倒是坠好的。这个答案不讨论具体技术问题,讨论的是这次微博讨论本身。我想,如果你觉得网络讨论环境不好,而你又恰巧做过上述类似的事的话,也许你可以反思一下自己。我?我每天都会反思。
奥傻就一大傻痹,别点赞了,我只是说出真相
我觉得重点是@奥卡姆剃刀 信错了人,他是去问过相关的安全专家的,但是,这些专家太水了,然而奥胸相信了那些专家;然后是太相信银行的”安全专家“了,而且现在看来,那些银行有一点确实做得不够好,应该在客户端上提醒用户在安全的网络环境下使用的,但是,他们没有这么做。对吧?再就是他的怀疑是有道理的,360之类的”安全卫士“人有没有恐吓用户,会不会恐吓用户?我们应该信他们吗?奥胸的这点怀疑是很值是我们深思的。因为奥胸信一些人,而不信另一些人,所以他下了这样的结论。问题来了。。。作为小白的我们,应该信谁?哪些人是不能信的?但是,这个问题和他对音乐的评价没有半点关系。没有人永远正确,以前获过错也不意味着就永远会错。(但我还是相补充一句:他对音乐的评价那段,我很赞同他说的。)补充:竟然看到奥(老师)亲自来这里评论了很多回答,比如我的回答下面的:扯,我信谁了?那我就用奥老师自己的评论来回复一下: 回复 我不知道你是哪个大神,我已经跟多个信息安全界牛人沟通过,他们一致表示那非常难,几乎不可能。你说很容易,加上刚才你那幼稚滑稽的耍赖,我对你没有问题了。既然奥老师本人对这个问题有那么多的”回复”,我觉得有必要集中到一起呈现给大家,这些评论不应该淹没在评论区。奥卡姆剃刀正主来了,讨论第一个问题,在公共场所使用私架wifi登录网银客户端操作,发生资金失窃的案件,全国范围内大约有多少?昨天 17:54 奥卡姆剃刀 回复 Lane你在胡说吧,我的原话是什么?请引用出来昨天 19:56
奥卡姆剃刀 回复 fan Zhang传言?多年前山东大学王小云教授就搞了hash碰撞,很大程度上破了Md5,你不知道?昨天 19:58
奥卡姆剃刀博主呢?是对方不敢去万达了,咋成我完败了,你太能扯淡了吧?另外,周鸿祎说的是手机网银客户端吗?你太扯了吧。昨天 20:01 奥卡姆剃刀 回复 李伟啊我是在跟安全专家比黑客技术吗?昨天 20:02
奥卡姆剃刀正主来了,第二个问题,那个约赌但又退缩的安全专家,他的方案你们看了吗?是海捕法还是定点攻击法?virusdefender,想成为安全工程师的程序猿 的回答下:奥卡姆剃刀请教博主,我错在哪里了?奥卡姆剃刀正主来了,第三个问题,那个视频是招商银行客户端还是网页版?6个8的密码招行系统是否接受?Wuvist(作者) 回复 奥卡姆剃刀网页版,应该是可以接受的。昨天 18:12
luke,互联网打杂 的回答下面评论比较多:奥卡姆剃刀 回复 Wuvist(作者)1.我咨询过招商银行,明确回复不行。2..你手机用网银是用客户端,还是用web的方式访问银行网址?昨天 19:07
奥卡姆剃刀 回复 Wuvist(作者)既然你懂,请问:通过私架WIFI搞到网银客户端的卡密,是件容易的事吗?昨天 19:37
奥卡姆剃刀 回复 Wuvist(作者)你咋知道我不理解https?你咋跟个嘴炮似的?奥卡姆剃刀 回复 Wuvist(作者)你笔记本里没有网银客户端吗?这难道不是银行所推荐的方式吗?小白是听银行的,还是像你这样自做主张?昨天 20:08
孙志文顶最后一句,应该普及https,而不是什么用不用公共wifi。使用有线网络,那些问题照样存在。安全界针对剃刀,我觉得找错攻击点了。昨天 20:09
奥卡姆剃刀 回复 孙志文是的,这就是我的建议。奥卡姆剃刀 回复 王军华我不是回族,造谣别人的民族,这点不妥吧,请向我道歉。昨天 19:10
王军华 回复 奥卡姆剃刀理解错误,对不起昨天 19:11
奥卡姆剃刀 回复 李柯我各种错漏?请当面提出两个来,谢谢。昨天 19:30
李柯 回复 奥卡姆剃刀哈?你都拉黑我了还想让我帮你指出错误来?哈。昨天 19:34
奥卡姆剃刀 回复 王军华我一直说爷爷不让我吃猪肉?我爷爷去世早,我都没见过,你咋啥都敢胡嘞啊?昨天 19:41
奥卡姆剃刀 回复 李柯在这里提,我不拉黑你昨天 19:41
李柯 回复 奥卡姆剃刀我不跟开不起玩笑的人开玩笑,也不跟听不进意见的人提意见,你之前的作为已经暴露了你在科学上进行论辩的素养,我没有义务给你第二次机会。昨天 19:46
奥卡姆剃刀 回复 李柯嗯,我不在是随便诋毁我,我来了就缩了。奥卡姆剃刀正主来了,第五个问题,你看了我的长博文了吗?你不同意哪个观点?奥卡姆剃刀正主来了,第七个问题:既然那个视频那么牛,为什么不敢去万达挣十万?奥卡姆剃刀我以为破解流量?你是我肚子里的蛔虫啊,咋啥都知道呢。奥卡姆剃刀 回复 李柯我哪个观点错了昨天 20:31
奥卡姆剃刀 回复 chen wang通过私架WIFI获取网银客户端卡密,是件很容易的事?还是很难的事?昨天 20:33
李柯 回复 奥卡姆剃刀没事,你继续无知下去吧,我觉得这样挺好的。我也不浪费我的键盘和时间了。昨天 20:33
奥卡姆剃刀 回复 李柯我没有转进,头次表述是吐槽,没想很多,的确模糊。但较劲后,我的态度是非常清晰的,我咋转了?昨天 20:37
李柯 回复 奥卡姆剃刀那你就假装自己没转好了,烦不烦啊,好意思拉黑人还好意思扯着非要给你说清楚,真是厉害得不行。昨天 20:38
奥卡姆剃刀 回复 郭敬昂同意你的观点,即使使用私架WIFI的理论危险性大点,但却不是值得全社会普遍关注的现实问题。如果一定提醒,应该提醒使用网银客户端,不要用web的方式。奥卡姆剃刀 回复 chen wang我不知道你是哪个大神,我已经跟多个信息安全界牛人沟通过,他们一致表示那非常难,几乎不可能。你说很容易,加上刚才你那幼稚滑稽的耍赖,我对你没有问题了。奥卡姆剃刀正主来了,第六个问题,关注举重我当年是咋说的?昨天 18:04
奥卡姆剃刀 回复 虎柔我不记得说过举重了,请给出连接。昨天 19:12 回复 赞 举报奥卡姆剃刀 回复 Warren科普鹰派是方粉,而我是他们的死敌,你这不是胡嘞吗。昨天 19:43
奥卡姆剃刀问博主,周鸿祎说的是手机网银客户端吗?我不带这样拍他马屁的。奥卡姆剃刀正主来了,第八个问题,你读过我的《辩论七律》和《质疑的规则》吗?昨天 18:06
奥卡姆剃刀 回复 水怪我比罗永浩年龄大,你这样说有意思吗?奥卡姆剃刀 回复 ScratBai你在说谎,公共WIFI是他提出的。奥卡姆剃刀正主来了,我不会胡乱指责人的,第九个问题:请复述当年我们争执的问题,在这里再搞一把。昨天 18:07
Tinngi(作者)复述的话,可以翻微博。对不起,我觉得没什么好争的了…我又不给别人科普…昨天 18:16
奥卡姆剃刀 回复 Tinngi(作者)你称我诡辩,我当然要问问咋诡辩了,你说呢?昨天 19:15
Tinngi(作者) 回复 奥卡姆剃刀哈哈哈…我觉得是…你也别在意,我的确书读的少。昨天 19:17
奥卡姆剃刀 回复 贾名淄这样背地里辱骂别人,真的好吗?奥卡姆剃刀我可以介绍,您智商有多少?奥卡姆剃刀正主来了,第十个问题,你居然质疑应用题的前提条件,这不很滑稽吗?昨天 18:09
奥卡姆剃刀 回复 法师谢谢,你是这里极少的清楚人,他在微博里跟我乱抬杠,必须拉黑啊。奥卡姆剃刀我被吊打?我被谁吊打了?哪个观点?昨天 19:27
奥卡姆剃刀 回复 袁毅(作者)我被哪个人吊打了?具体哪个观点?昨天 20:22
《天下无贼》现实版,傻根吼着:天下哪那么多贼?你们谁是贼站出来看看?现实是贼的手段不要太多,所以还是防人之心不可无为好。
清一色的反奥。来,我来说点不一样的。所有的论战都来源于央视的一条微博:现在,让我们来做一个阅读理解:请问这条微博想表达什么?现在,让我们来做一个阅读理解:请问这条微博想表达什么?是仅仅在表达:用陌生WiFi会有被盗卡的风险吗?才不是呢。它至少是在表达:用陌生WiFi比其它方式更容易被盗卡,容易到你最好碰都不要碰!为什么要加一个“比其它方式”?因为如果WiFi和其它方式一样安全,或者一样不安全,那么根本就不会单独拿WiFi来说事。所以你告诉我,技术上有某某方法可以盗你的卡,有某某漏洞尚未得到解决,某某协议也不是完全安全,拜托,你是不是搞偏了?请证明WiFi比其它主流的上网方式更不安全,最像微博上说的:“配置一个公共钓鱼的免费WiFi,一套无线路由器,黑客就可轻松窃取上网用户的网银密码、账号”。如果上面那一句话只是想表达:WiFi有风险,那我只能说:扯淡!类似的我可以说,马路你不要乱过,配置一条大马路,一辆小轿车,人们就可以轻松地将你撞飞!所以尽量不要过马路!你告诉我真的有人被撞死耶,驱车撞人在技术上完全可行哦,那么请问严重到”不要过马路“的情况了吗?我还可以说,超市的东西你不要乱买,配置一个超市,摆上一些食品,人们就能轻易卖你地沟油!所以尽量不要去超市买东西!你说真的有人吃到地沟油耶,真有渠道会卖地沟油产品给你哦,那么请问严重到”不要去超市买食物“的地步了吗?综上,央视的这条微博,耸人听闻,至少是不严谨的。作为一个大型媒体,麻烦讲话严谨一些,负责人一些。奥卡姆剃刀质疑的好!我完全支持。接下来,奥对此微博的质疑遭受了安全专业们围攻。基本的攻击点还是放在”WiFi盗卡在技术上是可行的“这点上。”但技术上的可行“与”WiFi真的危险到不要随便乱碰“毕竟还是两个话题。我能理解那些人为什么要偏题,因为奥在一开始也是不严谨的。看见没有,那句”WiFi只不过是个通道而已,不可能由此获得银行卡密码“,如果单就这一句来攻击,那么仅仅只要提出”WiFi上盗卡在技术上可行“就行了。专家们根本不去细究为什么奥会说这样一句话,他们只是在就话反驳话而已。”由此“二字到底是什么意思,奥也没说。看见没有,那句”WiFi只不过是个通道而已,不可能由此获得银行卡密码“,如果单就这一句来攻击,那么仅仅只要提出”WiFi上盗卡在技术上可行“就行了。专家们根本不去细究为什么奥会说这样一句话,他们只是在就话反驳话而已。”由此“二字到底是什么意思,奥也没说。而后来的论战,奥被人们所诟病的,是他在转移话题,但他真的转话题了吗?可能没有。我说可能,是因为我不是他,所以无法十分明确的知道。但我们来看他所谓转变的话题:刚开始是:WiFi只不过是个通道而已,不可能由此获得银行卡密码之后他发了以下的微博:先不管这条微博讲得对不对,至少可以说明奥的着重点在于WiFi的社会安全评估上,而不是在技术可行性分析上。至少他早就承认,是有“可行性”的,只不过收益少,门槛高(对不对另说)。先不管这条微博讲得对不对,至少可以说明奥的着重点在于WiFi的社会安全评估上,而不是在技术可行性分析上。至少他早就承认,是有“可行性”的,只不过收益少,门槛高(对不对另说)。之后有人告诉他可以通过植入木马,他的反应这样的:其实是在表明:不管你用什么方法,其实都没那么简单。其实是在表明:不管你用什么方法,其实都没那么简单。(此微博我觉得是奥最大的败笔,不去澄清概念,却十分意气地想去约架。)请看以下一条微博,经常被人说是转变话题。是的,话题变成了:是的,话题变成了:破解https基本是不可能的。而木马和钓鱼则不在他的考虑范围之内。此微博证明他并不考虑木马和钓鱼的手段,因为用其它途径上网,也有可能中木马,被钓鱼。其次,是他重申了主题:破解https基本是不可能的。下面是奥对木马和钓鱼的态度:紧接着,是周鸿祎对奥的反驳:此次奥的条件又变了:此次奥的条件又变了:请用手机银行客户端。所以可以看出奥的说法是一直在变的,但是真实向人们说的那样,是在转移话题?这样说的人,其实一开始他们所认定的话题就是:技术分析WiFi盗卡的可行性可是人家的话题却始终是:评估WiFi社会安全的可信度两者,并不一样,有可行性,未必就很不安全。咬定话题是前者的人,看见奥的言论,就像看见一个狡猾的泥鳅,不断地变换攻防阵地,从全盘否认WiFi盗卡的可能性,缩小到https的坚固性,再缩小到手机银行客户端的安全性。自始至终,他都有一个山头,这个山头你的”技术可行性“无法破解,靠,多恶心!但是,如果你一开始的话题就是社会安全的评估,你就会明白奥为什么觉得钓鱼、木马这些主流而易行的方式不应该在考虑范围,因为这些方式也大量存在于其它形式的网络上,除非你能证明WiFi给了这些方式多得多的便利,否则也只能证明WiFi跟其它形式的网络一样不安全而已。剩下的,奥强调https和手机客户端,无非是在强调:正确使用WiFi,他就能和其它网络一样安全。故此,正反双方,其实是两个体系。那些觉得他转换话题的,只不过一直以自身认定的话题做参考系。至于说到跨界,如果说是在讨论社会安全评估,那些所谓的专家就和奥一样,统统是跨界了。那些整天发表高论的网友们,也都是跨界了。或许他们加在一起,都不如公安机关的统计数据有用。是的,要不要用陌生的WiFi,唯有社会统计,才是最直接的证据。所有技术上可行性的分析,都是对实际安全环境的猜测和模拟。总结:奥或许很酸,他认为之所以引起争论,是因为动了某些行业的利益,诛心之论,他也不能免。奥还不严谨,染上微博动不动就掐架的习性,并不习惯澄清自己所表达的概念。大家对他的反驳,一开始是说有木马和钓鱼,接着是说https也未必就十分安全,客户端也不是无懈可击,那是因为他自己把话说得太满,导致人们把注意力都放在他提出的理由上,而忘记了奥本来是想质疑什么。想想看,木马、钓鱼、https和客户端有风险跟“不要乱碰陌生WiFi”有论证和被论证的关系吗?到了后来,大家基本上都在抛离WiFi讲信息安全。这是他的缺点。但是,界不界的,是否那么严重?如果一个人说错话,就怪他跨界,是否合理?如若界内人士也说蠢话,又该如何看待?至于认不认错的,我就更不明白了,若觉得自己没错,干嘛要认错?我倒没有见到奥有单独宣称自己赢得争论的言论,倒是有些人,宣称自己是对的,然后把对方宣判为“错了却不认错”,对此,我能呵呵。不知道,谁更可耻。
我觉得奥博士挺对不起自己名字的。。。
来知乎,参与讨论
