怎样克服人际交往中害怕冲突的心态？已有 7719 人关注： http://t.cn/RAINTVJ （想看更多？下载知乎 App： http://t.cn/RPa6Z9D）
同时转发到微博【积分换好礼】下载使用Audi e-tron CITY App,答题、扫描、拍照等等都可以产生里程积分，当你有足够的积分，便可以到“礼品中心”兑换心仪的奥迪周边精美礼品。你看中什么了？快来码分吧！#e-tron CITY App#
同时转发到微博如何评价奥卡姆剃刀、王思聪、周鸿祎及众资安界人士在微博上关于无线网络下盗取网银密码的舌战？
参见@奥卡姆剃刀 @yuangge1975 @tombkeeper @sunwear @被吊打的redrain @王思聪 @周鸿祎
首先希望大家能看一下这个文档
---------这个问题评价就是你可以不懂，但是请保持谦虚。说一下技术吧，首先奥卡姆剃刀说是手机客户端是非常安全的，即使是在不安全的wifi下。但是请看腾讯安全应急响应中心的这个文章，。那些app只是认为自己是安全的，但是实际上是在裸奔。当然这不是https的问题，这是程序员的问题。良好的设计不一定被良好的实现。理论上的安全和实际的安全中间还隔着很多编码失误和半铫子专家。
-tombkeeper然后是这个文章，还是上面那个漏洞，只是tsrc没说具体哪些app有漏洞，这个文章明确的说到了就是银行的手机客户端。关于使用这个漏洞能不能获取明文密码的问题，这个要看情况了，因为上面提到的这个手机银行的客户端是在本地进行二次加密然后https发送的，理论上截获也没办法破解，但是实际上这个app还存在其他的几个漏洞，通过那些漏洞就能获取到密钥，有密码被解密的可能性。其实也不用这个麻烦，里面那个app的密文重放漏洞，根本不用解密就有可能以后随时拿着以前的密文来登陆你的账号。当然app还存在很多其他的安全问题，请看说完客户端，我们来看看网页版网银，地址是function SubmitControl(sAction, sClientNo) {
。。。省略一大堆。。。
SubmitControl.prototype.submit = function() {
var sXmlReq = "";
if (BSGetElementIgnoreError("TransID_New") != null) {
this.addFieldByElementId("TransID_New");
for (var i = 0; i & this.m_fields.length; i++) {
var sName = (this.m_fields[i])[0];
var sValue = (this.m_fields[i])[1];
if ((sName != null) && (sValue != null)) {
sValue = sValue.replace("%", "%25");
sValue = sValue.replace("&", "%3C");
sValue = sValue.replace("&", "%3E");
sValue = sValue.replace("+", "%2B");
sXmlReq += "&" + sName + "&" + sValue + "&/" + sName + "&";
var oForm = BSGetElement(this.m_id);
var oClientNo = BSGetElement("ClientNo");
var oCommand = BSGetElement("Command");
var oXmlReq = BSGetElement("XmlReq");
oForm.action = this.m_action;
oForm.method = this.m_method;
oForm.target = this.m_target;
oCommand.value = this.m_command;
oClientNo.value = this.m_clientno;
oXmlReq.value = sXmlReq;
oForm.submit();
这里很明显的就能看到是没有任何本地加密的，只是手动的进行了一下encode，抓包显示也是这样的。注意最后面的111111，那个就是密码。这个时候问题就来了，通过https直接发送明文密码其实无可厚非，因为假设https是安全的情况下，黑客也是无法获取到你的明文密码的。如果https是不安全的，密码进行加密也没用，黑客还可以获取你的cookies，能给你植入js呢。至于
具体使用的是什么技术，我也不知道，可能是sslstrip（），这个还是希望各位大神指教。但是还是简单介绍一下sslstrip直接去攻击https协议找到漏洞然后拿到数据？貌似有点不大可能（虽然出了和），但是我们能不能绕过https，让你去使用http呢？用户HTTP=&hacker的代理=&HTTPS网站图片来自于
这个博客也写的很好，还说到了几种别的攻击方法。当服务器要求重定向到https网站，那么这个应答就不返回给用户了，而是黑客模拟用户去访问https资源，然后把数据放回给用户，这样，在用户看来，他访问的就是个https的站点，但数据返回都是明文传输的，以此来达到截获明文信息的目的。简单的说就是让你的https变成了http。这时候给你植入一个js或者替换一下密码框，so easy。---------------补充：还有几个问题希望能思考一下，1 你电脑上的证书都是可信的么？各种客户端没有给你安装证书么？最近听说微软账号被劫持是怎么回事？出现证书错误是怎么回事？2 有一些其他渠道的窃取你的账号密码的想到过么，比如电脑端的木马病毒(这个相当多)，dns问题，验证码的暴力破解，你的账号密码或者密保邮箱被社工，安卓的webview挂马漏洞，ios的safair远程代码执行，各种root和越狱，混乱的app市场和山寨rom，软件。3有些东西真的适合给你说出来么？听说前端时间有黑客能在同网段内远程root你的手机呢，还听说GeekPwn第一天就有一劫持https的0day呢。
奥卡姆剃刀在这个问题上并非完全不懂行，而是彻底的书呆子。先不举复杂的例子，大家都知道的验证码(Captcha Code)这么个东西，就是很多网页输入页面上的一个看起来比较扭曲的字母数字，以防止程序或者爬虫轻易登录或者访问。个中原理足够简单，一般而言也足够防范没有OCR能力的爬虫程序。但是给大家看下上的一个的奇葩实现。不知道大家注意到没，这个验证码实际上不是图片，而是真正的文字，可以选择然后copy/paste的。不知道大家注意到没，这个验证码实际上不是图片，而是真正的文字，可以选择然后copy/paste的。更搞笑的是，他们把这个值直接包含着网页的源代码里。所以这是世界上对爬虫最友好的验证码，而且在印度铁道部网站上挂了至少一年多了都没改。所以这是世界上对爬虫最友好的验证码，而且在印度铁道部网站上挂了至少一年多了都没改。这个例子说明什么呢？就是再好的技术规范也是要人来实现和遵守的，而人当中是有傻B的！回到剃刀的观点，他认为只要用银行的手机网银客户端，同时使用HTTPS和银行的服务器通讯，那么即便连接黑客搭设的WIFI也是安全的。真的是这样么？HTTPS作为标准本身的确足够安全，但是你能保证在程序中实现这个标准的人或者机构足够靠谱吗？食品国标还足够严格呢，但是三鹿和福喜咋回事？的回答里已经给了一个，以及腾讯安全中心的这篇文章 。简单的说，就是只要你用这个手机连上了一个黑客开设的公开WIFI，然后打开网银客户端（没错是客户端），因为客户端虽然通过HTTPS访问银行网站，但此时的银行网站完全可能是伪造的（因为WIFI被黑客控制，DNS解析什么的都不在话下），理论上HTTPS协议要求核对网站服务器的数字证书来验明身份，但是，这些客户端的实现代码里忽略了这一步，也就是说证书不对或者过期都没关系，客户端照样连接。接下来就是典型的中间人攻击——黑客伪造的服务器面对网银客户端充当服务器，而同时又冒充客户端访问真正的银行服务器，因为客户端已经相信并接受了虚假的证书，于是用这个假证书中的公钥来对数据进行加密，由于解密用的私钥就在黑客手上，因此这个加密过程对黑客而言是完全透明的。然后黑客程序将数据解密成明文后，进行替换或者伪造等进一步的加工，再和真正银行服务器进行通信，就能干很多事情了。这个原理对于很多安全领域从业者而言其实是常识！为什么呢，因为绝大部分的企业用杀毒软件，都是一个合法的中间人，没错如果你的公司装有企业级杀毒软件，那么你的所有HTTPS请求数据理论上公司都看得到，而且这么做不仅在中国，在美国都是完全合法的，因为你用公司的电脑和网络，照道理就不该有隐私。作为我此言不虚的旁证，虽然我现在是个做英语教育网站和APP的，但也曾经在趋势科技研发中心打过两三年酱油，亲手做过Proxy端替换证书来对HTTPS数据进行解密然后扫描（病毒什么的）这种完！全！合！法！的事情。安全方面的知识我如今已经是弱不禁风，但是我大体能想象跟剃刀斗嘴那帮大神的水平（下限）——当他们说行的时候，你还是相信比较好。说到底网络环境是很险恶的，大家用盗版操作系统瞎刷来路不明的ROM已经毫无压力（天知道里面会预装什么）了，提醒你不要用公开WIFI，或者至少不要在这种情况下用网银，等于提醒你在一个盗匪横行的街区行走别把钱包拿手上一样，但偏有人站出来说大家别怕法律会保护你的人身财产安全！哎~补充：剃刀老师现身评论，可惜思维又跳跃了一下，我希望他认可自己之前所说“只要用银行的客户端通过HTTPS访问就没有安全风险”这样的科普言论的不严谨之处，目前还没有收到他正面回复。
说实话，因为这个事我对剃刀好感全无，剃刀有着一个中年老师的全部缺点并把这些缺点体现的淋漓尽致。这些被暴露的缺点包括但不限于:1.固执己见。2.不懂装懂。3.极好面子。4.好为人师。5.以年龄学历压人。
剃刀的很多言行都证明的这一点，包括以前很多争议剃刀都做出一副我NB我的一定对，你们都是渣渣。。。这次剃刀也是如此，包括说了“我学历年龄都比他们高。”“外国没报道（失实）央视报道就可疑”转发了“如果有漏洞投资人为什么投资。”刚刚开始辩论时还谦虚“我的经验可能陈旧。”恼羞成怒时便说“我02年就发表了论文balabala~”开始胡搅蛮缠，直到最后明明已经意识到问题也要硬说“这已经没有意义~输赢不重要balabala~”
剃刀这种人搞科普和大学教育未免不是一种遗憾。
现在剃刀来知乎继续辩论。。。欢迎看评论，方法与在微博上别无二致。果然，世界上最难说的就是:“我不懂。”和“我错了。”
剃刀的逻辑是:剃刀:通过wifi得到密码不可行!大牛:原理是"balabala~"剃刀:说这个没用，为什么外国媒体没报道？大牛:有啊，你看“balabala~”剃刀:别说这些！为什么没人因这种事被抓？大牛:……呵呵
作为业余安全外围人士，补充说一下关于为什么约架安全高手不应的真相。1、为什么约2万的局没人应。
为了一个2万的事情，丢一个0day出去，值么？
你敢说袁哥手里没有0day？ 你问问微软的安全负责人信不信？
组个200万的局看看？
不只是0day值这么多，一些牛逼的漏洞利用方法也一样值钱。 白道黑道都在买这玩意，为一个2万块微博赌局扔出去，有病啊。2、为什么给不出完整的银行客户端被公用wifi截获转账的案例。
我很肯定的100%的说，这种案例是存在的，而且tk教主其实也表达出来了，但是！但是涉及大型银行，涉及客户和上市安全公司的业务保密协议，请问这种案例能他妈的完整公开么！这个公开的后果责任谁能担？最后说一句，奥卡姆剃刀最后的一些言论，完全是失去理智了。TK什么水平，袁哥什么水平，在外国安全理论的架构下做个工？哈哈，去全球黑客大会问问那些顶级黑客敢不敢这么评价这几位中国黑客。
闻讯赶去围观的我，第一眼就看到奥卡姆剃刀说什么“你花钱买的流量包对运营商而言不过一段配置代码”云云，忍不住吐槽了一句，结果瞬间被拉黑。（其实我只是想表达流量也是要成本的，而且计划外流量比计划内的成本要高）
我是一个外行。以下只是个人见解。如果先看看这个回答，或许会对理解这场骂战有所帮助。请看
先生的回答。目睹了两天的混战。（混战之前微博就关注了@奥卡姆剃刀 @yuange1975 @tombkeeper ）其中最初的争议就在下图的下划线处如果就单从红线处看，如果就单从红线处看，@奥卡姆剃刀的结论的后半句是站不住脚的。内行人士可以通过各种方法获取账户和密码，具体方法我也不太懂。之后@yuange1975评论了@奥卡姆剃刀的微博，指出其结论不正确实现方法很单。@奥卡姆剃刀约架@yuange1975，被回绝。到这里，双方做的都不算出格。双方都没有对对方采用的方式加以限制，这也就为后来的混战埋下了伏笔。@被吊打的redrain发话，语言略有挑衅。@奥卡姆剃刀约战。结果还是没约成。@王思聪第一次说话。建议不错。@王思聪 第二次说话，开始攻击@奥卡姆剃刀。做得不对。@奥卡姆剃刀开始第一次升级自己的条件。这时与最初观点已有不同。@@奥卡姆剃刀 艾特@周鸿祎。@周鸿祎给他解释了通过钓鱼的方式，@奥卡姆剃刀第二次升级条件。**********************************到这里，@奥卡姆剃刀已经败了************************************************************************到这里，@奥卡姆剃刀已经败了**************************************之后@奥卡姆剃刀又发表了一些言论，这些言论已经不怎么正常了，自以为是的性格完全暴露，而且这些言论彻底惹怒了安全界的人士，并导致了第二天的混战。这时的@奥卡姆剃刀已经不理智了。ps:该微博已被删除。更新此微博为@奥卡姆剃刀的气话，其在发布后迅速删除，他在之后的微博也反复提到。请不要过分关注下图。我发此图只是为了还原当时的情况，并无恶意。评价：在该混战中，@奥卡姆剃刀败，众安全人士赢。@王思聪和@周鸿祎属于打酱油。央视的报道不是制造恐怖气氛，而是给大家提个醒。@奥卡姆剃刀一开始的质疑可以理解，之后的言论很不妥当。众安全人士则在国庆期间过得不再那么无聊。最后献上 @tombkeeper的两个微博，希望每个人都仔细体会。
有点答不对题吧，奥卡姆剃刀这个人我第一次知道是在微博上关于举重的言论。怎么说呢，这个人喜欢在自己不懂的领域乱发言，同时死不认错。他的理论是现代社会，举起重物可以用机器完成，所以人没必要负重，所以举重运动毫无必要。田径类运动也是这样，多跑个一两秒没必要。乍听一下好像很合理，可实际上文明发展在人类的历史只是最近的几千年，工业飞速发展也只有几百年的时间，人体的功能其实跟几千年前比其实没有多大变化，而专项运动脱身于生产劳动，是有其意义所在的。运动对于人本身的提升有多少？举重的功能性在哪？他是完全不懂的。这件事给我留下的印象非常差，个人主观看法，他长时间用这个名字，好像就等同自己是奥卡姆剃刀了，想剃啥剃啥。算不上一个合格的质疑者。至于这个问题，没什么好看待的，你就看谁在摆论据，谁在搞文字游戏。谁有专业资历，谁是门外汉。孰是孰非一眼就看出来了。
个人怀疑，奥卡姆剃刀的号应该是被方舟子盗了。
奥卡姆剃刀的立论理由，我认为是对的。他的立论理由基本上应该是：* https传输不可窃听* 银行手机客户端严格使用了https传输（至少会拒绝使用错误证书）* 所以无法通过wifi监听来窃听密码奥卡姆剃刀对各种技术其实一知半解，比方说，他微博中提到“传统的WAP协议”时，根本就是错的。他可能完全就不知道什么是WAP。他仅仅是一个有安全常识的人。而只要有常识，就可以避免绝大多数安全问题。比方说，使用正版软件，不要相信来历不明的网站下载，注意浏览器的https提示等等。他可以不懂WAP，不懂https，但只要有安全意义，就可以避免各种常见安全问题。他可以放心大胆的使用公共wifi。 给的视频，实际上是招行的网页版，也就是
这个页面。这个页面是有https的，是无法被窃听的。但是，进入这个登陆页面的招行手机一网通首页
是没有强制https的， 是劫持了这个首页的链接，把里面进入“手机银行登陆（网页版）”的链接从https改成了http，让用户访问了一个假的招行登陆页面，从而实现了监听。但用户只要细心一些就可以注意到登陆页面是http，而不是https。所以我不认为
这样做是打脸，他是没法赚奥卡姆剃刀的两万块，因为如果奥卡姆剃刀去访问
架设的wifi，奥必然会注意到网页登陆页面的没有https。＝＝＝＝＝＝＝＝另一方面，非常多的用户，是小白用户，他们是不懂https跟http的区别的。实际上，别说小白用户，就算是程序员，专业程序员的安全意识也薄弱得可怕。我曾经在一个程序员聚会上使用主办方提供的wifi，发现在链接ssh服务器时，ssh客户端竟然提示主机的key不对。这是典型的中间人攻击，我立刻跟举办方的负责人反映这一情况。而令我无法理解的是，该负责人居然跟我说这是他们办公室无线网络的“正常情况”，用有线网络就没事。我当场就被吓尿了。该负责人是知名程序员，所在公司更是有知名安全产品。他们办公室提供的wifi的“正常情况”居然是这样，要么是他们不怀好意，要么是他们的安全意识薄弱得令人发指。当天在场的程序员依旧有无视客户端提示，直接ssh自己主机的。这种行为，就相当于访问网银，浏览器跳出来告诉你访问的是一个假网站，你还继续顽固的输入自己的密码。但用户缺乏安全常识的时候，你是无法阻止他作死的。就直接问他银行密码是什么，他说不定都会直接告诉你。这样的用户使不使用公共wifi网络，都无法防止它泄漏自己的密码。若有足够的安全意识，是可以链接公共wifi，不怕自己银行密码被窃听的。若安全意识不够，那就呵呵了。央视如果要普及安全，应该是宣传https的使用，告诉用户上网银认准https，而不是拿公共wifi来说事。实际上，天朝是一个充满窃听的网络，https的普及，会妨碍舆情监听；阴谋论者也许会说，央视就是刻意不普及https，而拿公共wifi来混淆视听的。
好吧，我来说几个真正轻松的攻击案例——别老把眼光放在网银上好不好。1、利用12306众所周知，12306自己给自己颁发证书——而且要求安装根证书。在正常网络环境里，想要利用DNS欺骗诱骗用户访问假12306非常困难，因为你或者必须和被攻击者在同一个局域网，或者要攻下电信路由器。而在使用假wifi的环境下，造一个假12306就非常容易了。由于12306的尿性，你同样可以自己给自己颁发证书；而它的用户，相当一部分会忘记自己是否曾经在手机上接受/安装过该证书、或者即便知道自己装过证书，也可能嘀咕一声“这破网站，又闹什么妖蛾子”，然后重新安装证书——至于小白，他们连银行网站证书出现错误都不会知道。——而我呢，对这个网站，只能拒绝证书，但坚持访问。所以……一旦用户接受了这个假12306(这简直是无可奈何的事)，从中找到了车票、点了支付、跳转到付款链接……后边可怪不得银行。如果有人抓住逢年过节大家争分夺秒抢票的大好时机，搞这么一个假wifi……2、偷袭QQ空间，盗取个人隐私，然后利用社会工程诈骗XXX啊，我是你爸的同事YYY，现在和他在ZZ出差，他中风了，不交钱医院不给做手术。你赶紧往######汇款xxxx元。用立即到帐的加急汇款，赶紧啊！中风这种急病，差一分钟可能就是阴阳两隔。你知道你爸确实有个同事叫YYY，他们也确实在ZZZ出差——请问，你需要花多少时间让自己冷静下来，确认这是不是诈骗？当年三思网站就有人中招，跑去汇款时，才忽然觉出问题。那还是一位非常理性、非常聪明的人——但他这样形容自己听到噩耗时的心情：当时脑子嗡的一下，浑身发软……后来才知道，他父亲在火车上和人吹牛，透露了过多个人信息。——另一个真实案例：北京有个女孩，喜欢在QQ空间发自拍照，她也确实非常漂亮。一个男人非常想得到她，连续几年看她的照片，并删去浏览记录（就是这个行为，使得警方在走投无路、只好尝试下网络途径，走了一个超长的流程从腾讯取得数据后，把怀疑目光锁向了……这个QQ号。而这个QQ号，对方用的很小心，根本不可能顺线摸到人，只是为最后的心理画像提供了一些线索）。有一天，她单独在一家咖啡厅自拍并发布照片，被那人认出了位置。她失踪后，由于情况复杂，需要多方协调、四处调数据，几个月后才被警方发现并解救，但人已经被摧残的傻傻呆呆的了。——另一个，我见过一个漏洞报告，这个漏洞会导致云存储空间被入侵；而这个空间是某公司用来同步用户手机数据的；其中一位用户用手机拍下了自己信用卡的正反面（毫无遮挡！），如此敏感的信息就这样通过同步机制给弄到了网上，然后因为一个漏洞而被公布。——再一个，当黑客搞到你某个不重要的邮箱密码时，他会用同样的用户名+这个密码去尝试登录其他网站（当然是用脚本，几秒钟就能尝试成千上万次）。如果你在不同网站用了相同密码……——这类极易被用来完成攻击的个人隐私极难保护，同时又不被人重视。——假设这类隐私的防御力只有20，那么加上假wifi的致命一击之后，防御力就只剩5了。——如果说能攻破20防御的黑客，只要在论坛混个一年半载就能培养出来的话，那么要攻破5的防御，可能只需两天就能学会。——————————————————————————总之，我知道任何安全理论都是以信道全天候被人监听、并不择手段不断攻击为前提——所以，别说假WIFI这种低级手段，以国家力量在电信主干道上设卡，都不可能威胁到正确实现的SSL通信。因为搞安全的，研究的就是在这种险恶的环境中安全通信的方法。从这个意义上，说假wifi不值得关注，的确是对的。搞安全的没那么菜B——刚才看了下，奥卡姆剃刀强调的，也就是这句。而其他人呢，关注的则是:所以说，双方说的本来就不是一个话题。————————————————————————————至于外行们呢，还是建议尽量别去碰假WIFI——虽然在上面用网银仍然可能是非常安全的；但那个付款链接、那个商品网站……未必。
作为一个程序员，我来给你们解释一下这里面聊到技术的人每个人要表达的意思。下面说说我的个人主观判断：总的来说，奥卡姆剃刀想要说的原理无大错，https就是为了解决两个互相信任的端通过不信任的通讯信道通讯的情况，但是语气过于绝对。周鸿祎，完全不知道在说什么，明明在说客户端和https的事情，不知怎么就扯到浏览器去了。当前排第一的王捷，说了一种奇怪的情况，那就是“手机银行客户端是傻X”，这个假设下，挑奥卡姆剃刀说的不严谨。不能说错，但是我觉得吧，假如我们手里的设备里的软件都是傻X这个条件成立，那么也就不需要后续的讨论了，毕竟我们把密码输入到了手机软件里面，如果我们假设它是傻X，那它可以犯任何错误，比如直接把密码明文在网络上广播，以及把拍到的视频上传优酷（oh shit 我为什么要黑自己公司啊……）。总的来说，在不信任的网络环境下，注意两点：浏览器上网，看清https标示，没有https别输入任何密码使用客户端上网，输入任何密码前请谨慎评估你的软件提供商人品和技术实力PS.不要迷信https，黑客能攻击的地方太多了，防不胜防，客户端能染毒、操作系统可能被root、服务器也可能被脱裤，就算这些你都躲得过去……
有些人还是要提高自己姿势水平，懂不懂，识得唔识得。但他有一个好，辩论时候改问题比谁都快。辩不过，就修改问题。其实讲理的话，根本不存在辩论A：我搞过通信安全，我相信SSL不能被篡改和窃听B：问题不在通信上，可能能远程执行，可以钓鱼A：这个领域不太清楚，有多大的可能性，利用难度如何B：一个稍有了解的人，只需大概一堂数学课的知识，可以完成对一部分机型的完整利用，得到银行卡密码。A：我认为你说的不可能，你是故弄玄虚。证明给我看B：通杀的方法不能给你看，但是的确存在适用于部分情况方法，比如A：那我认为这不危险B：但我认为这很危险A、B：你永远不能说『我认为xx』是错的他可能专业是通信安全，但是通信安全毕竟只是安全的一部分，起码要明白，安全上能信任的东西太少太少，不然你以为secure element是骗钱的吗（我只是举个例子，和辩论关系不大）。技术栈上的任何一个环节都有存在漏洞的可能。举个完整的例子，事实上，央视的视频中，用到的就是下面说的几个漏洞的组合。从头来讲，网银app可能存在add javascript interface漏洞，可以任意执行/写/读（限于该app的权限），网银app不存在，浏览器可能存在。浏览器不存在，手游可能存在。这个东西好比炸弹，手机里主要有一个，很容易殃及池鱼。然后，add javascript interface取得的只是本app的权限，需要借助本地提权漏洞。幸好（不巧）android基于linux，本地提权漏洞很多（不然你以为哪来的那么多一键root），还是一旦存在一个，那么整个手机就已经沦陷了。后面的事情与漏洞关系不大了，你有了root想干嘛干嘛，比如可以重打包一个网银app，输密码时候log下来，反正你是root，想删就删，想装就装。动用漏洞那都是核武器级别的，一招致命，整个环节上任何一个东西都可能存在漏洞，CPU、驱动、内核、TCP/IP协议栈、dalvik虚拟机、网银app，太多环节了。SSL不也出过heartbleed么（与此讨论无关）你能看见的漏洞只是冰山在水面上的部分，你问我支持不支持，不是，问我到底有没有，我可以说无可奉告，但你们又不高兴，我怎么办。只要你东西的价值比黑你的成本高，最后肯定有黑客用合适的漏洞合适的手段搞定你，我就明确告诉你这点。不信你先搞一套隐形轰炸机的涂层材料在网上说一声，绝对让你见识一下0day的最高水平。要想到中国一句话，叫『闷声发大财』，黑客就喜欢这句话，这是最好的。你知道的漏洞，那还能赚钱么？安全中最薄弱的环节是人，事实上，丝毫不用任何漏洞，最后骗到钱的例子还少吗？几千年来有过完美解决吗？不要觉得钓鱼就low了，存在钓鱼的可能就是安全上的大问题。当然，他还有最后一招：说了这么多，你能证明给我看么。啊啊啊这个问题触到了圈子的软肋，主要问题是，证明这件事是有副作用的，你证明了大家知道了，漏洞离修补不远了。哦怎样评价 不愧是业界段子手，太传神了还是tk的评价天下最难说出口的话第一是“我错了”，第二是“我不懂”。
我说，其实奥卡姆也没有说错，你们会不会折叠我？不要迷信黑客网络高手好吗？都瞎炒作，有什么意思？我这里必须先说一句话就是：连接上黑客的wifi会有助于让黑客更加容易获取你手机发出的数据流，并且通过数据流，相对容易黑进手机操作系统然后做很多邪恶的小事情。但是，这和连接wifi本身是没关系的，出问题，都是在系统被黑以后。也就是逻辑上来说是：系统被黑了导致被盗。而不是，连上wifi因为数据包经过了黑客的路由器被截获，然后导致被盗。虽然表面上看上去是一样的，但是这的的确确是完全两码事。然后回归正题：1.手机网银如果真的那么不安全，为什么这两年没有大新闻？为什么为什么为什么？大家不要忽视这个问题好吗？2. 网络的本质是数据的传递。连接黑客的wifi和自己联网的区别仅仅是dns不同和数据封包在中间可以被劫持而已。所以，很清楚了，到底危险的是什么：是你的数据的加密结果暴露到了黑客的手里。3. 你们真的以为黑客拿着一串加密的字符什么鸟玩意儿都不知道，就能把这串东西还原成未加密么。。。。。。。。小说不要看太多，牛逼不要听太多，毁三观。我这里告诉你，不是不能破，但是很难，真的非常非常难。4. 加油有一天真的有这么一回事儿，我告诉你，绝大部分的黑客行为，都不是通过破解密码这件事情本身着手的。ps. 顺便说两件比连黑客wifi更可怕的事情。这两件事情才是数据包被截获以后会很糟糕的根本原因。而不是因为使用了网银客户端。1. 某些金融相关的软件传送的数据包是不加密的。2. 某些金融相关软件从业人员本身职业操行有问题。利益相关，具体内容请恕不能报道
《天下无贼》现实版，傻根吼着：天下哪那么多贼？你们谁是贼站出来看看？现实是贼的手段不要太多，所以还是防人之心不可无为好。
我觉得奥博士挺对不起自己名字的。。。
重点一共三个问题：使用公共wifi是不是被黑的充分条件？不是。必须配合其他漏洞或者用户犯错被钓鱼，银行账号才会被盗。使用公共wifi是不是被黑的必要条件？不是。只要使用有漏洞的软件，你在家坐着就不安全。只要自己不小心，你在家坐着也会被钓鱼。使用公共wifi会不会增大被黑的风险？会。因为公共wifi为黑客黑你提供了通道。双方都懂点技术，相信这三个问题双方都不会有任何分歧。但双方都没什么逻辑，掐架都没掐在重点上。
奥傻就一大傻痹，别点赞了，我只是说出真相
清一色的反奥。来，我来说点不一样的。所有的论战都来源于央视的一条微博：现在，让我们来做一个阅读理解：请问这条微博想表达什么？现在，让我们来做一个阅读理解：请问这条微博想表达什么？是仅仅在表达：用陌生WiFi会有被盗卡的风险吗？才不是呢。它至少是在表达：用陌生WiFi比其它方式更容易被盗卡，容易到你最好碰都不要碰！为什么要加一个“比其它方式”？因为如果WiFi和其它方式一样安全，或者一样不安全，那么根本就不会单独拿WiFi来说事。所以你告诉我，技术上有某某方法可以盗你的卡，有某某漏洞尚未得到解决，某某协议也不是完全安全，拜托，你是不是搞偏了？请证明WiFi比其它主流的上网方式更不安全，最像微博上说的：“配置一个公共钓鱼的免费WiFi，一套无线路由器，黑客就可轻松窃取上网用户的网银密码、账号”。如果上面那一句话只是想表达：WiFi有风险，那我只能说：扯淡！类似的我可以说，马路你不要乱过，配置一条大马路，一辆小轿车，人们就可以轻松地将你撞飞！所以尽量不要过马路！你告诉我真的有人被撞死耶，驱车撞人在技术上完全可行哦，那么请问严重到”不要过马路“的情况了吗？我还可以说，超市的东西你不要乱买，配置一个超市，摆上一些食品，人们就能轻易卖你地沟油！所以尽量不要去超市买东西！你说真的有人吃到地沟油耶，真有渠道会卖地沟油产品给你哦，那么请问严重到”不要去超市买食物“的地步了吗？综上，央视的这条微博，耸人听闻，至少是不严谨的。作为一个大型媒体，麻烦讲话严谨一些，负责人一些。奥卡姆剃刀质疑的好！我完全支持。接下来，奥对此微博的质疑遭受了安全专业们围攻。基本的攻击点还是放在”WiFi盗卡在技术上是可行的“这点上。”但技术上的可行“与”WiFi真的危险到不要随便乱碰“毕竟还是两个话题。我能理解那些人为什么要偏题，因为奥在一开始也是不严谨的。看见没有，那句”WiFi只不过是个通道而已，不可能由此获得银行卡密码“，如果单就这一句来攻击，那么仅仅只要提出”WiFi上盗卡在技术上可行“就行了。专家们根本不去细究为什么奥会说这样一句话，他们只是在就话反驳话而已。”由此“二字到底是什么意思，奥也没说。看见没有，那句”WiFi只不过是个通道而已，不可能由此获得银行卡密码“，如果单就这一句来攻击，那么仅仅只要提出”WiFi上盗卡在技术上可行“就行了。专家们根本不去细究为什么奥会说这样一句话，他们只是在就话反驳话而已。”由此“二字到底是什么意思，奥也没说。而后来的论战，奥被人们所诟病的，是他在转移话题，但他真的转话题了吗？可能没有。我说可能，是因为我不是他，所以无法十分明确的知道。但我们来看他所谓转变的话题：刚开始是：WiFi只不过是个通道而已，不可能由此获得银行卡密码之后他发了以下的微博：先不管这条微博讲得对不对，至少可以说明奥的着重点在于WiFi的社会安全评估上，而不是在技术可行性分析上。至少他早就承认，是有“可行性”的，只不过收益少，门槛高（对不对另说）。先不管这条微博讲得对不对，至少可以说明奥的着重点在于WiFi的社会安全评估上，而不是在技术可行性分析上。至少他早就承认，是有“可行性”的，只不过收益少，门槛高（对不对另说）。之后有人告诉他可以通过植入木马，他的反应这样的：其实是在表明：不管你用什么方法，其实都没那么简单。其实是在表明：不管你用什么方法，其实都没那么简单。（此微博我觉得是奥最大的败笔，不去澄清概念，却十分意气地想去约架。）请看以下一条微博，经常被人说是转变话题。是的，话题变成了：是的，话题变成了：破解https基本是不可能的。而木马和钓鱼则不在他的考虑范围之内。此微博证明他并不考虑木马和钓鱼的手段，因为用其它途径上网，也有可能中木马，被钓鱼。其次，是他重申了主题：破解https基本是不可能的。下面是奥对木马和钓鱼的态度：紧接着，是周鸿祎对奥的反驳：此次奥的条件又变了：此次奥的条件又变了：请用手机银行客户端。所以可以看出奥的说法是一直在变的，但是真实向人们说的那样，是在转移话题？这样说的人，其实一开始他们所认定的话题就是：技术分析WiFi盗卡的可行性可是人家的话题却始终是：评估WiFi社会安全的可信度两者，并不一样，有可行性，未必就很不安全。咬定话题是前者的人，看见奥的言论，就像看见一个狡猾的泥鳅，不断地变换攻防阵地，从全盘否认WiFi盗卡的可能性，缩小到https的坚固性，再缩小到手机银行客户端的安全性。自始至终，他都有一个山头，这个山头你的”技术可行性“无法破解，靠，多恶心！但是，如果你一开始的话题就是社会安全的评估，你就会明白奥为什么觉得钓鱼、木马这些主流而易行的方式不应该在考虑范围，因为这些方式也大量存在于其它形式的网络上，除非你能证明WiFi给了这些方式多得多的便利，否则也只能证明WiFi跟其它形式的网络一样不安全而已。剩下的，奥强调https和手机客户端，无非是在强调：正确使用WiFi，他就能和其它网络一样安全。故此，正反双方，其实是两个体系。那些觉得他转换话题的，只不过一直以自身认定的话题做参考系。至于说到跨界，如果说是在讨论社会安全评估，那些所谓的专家就和奥一样，统统是跨界了。那些整天发表高论的网友们，也都是跨界了。或许他们加在一起，都不如公安机关的统计数据有用。是的，要不要用陌生的WiFi，唯有社会统计，才是最直接的证据。所有技术上可行性的分析，都是对实际安全环境的猜测和模拟。总结：奥或许很酸，他认为之所以引起争论，是因为动了某些行业的利益，诛心之论，他也不能免。奥还不严谨，染上微博动不动就掐架的习性，并不习惯澄清自己所表达的概念。大家对他的反驳，一开始是说有木马和钓鱼，接着是说https也未必就十分安全，客户端也不是无懈可击，那是因为他自己把话说得太满，导致人们把注意力都放在他提出的理由上，而忘记了奥本来是想质疑什么。想想看，木马、钓鱼、https和客户端有风险跟“不要乱碰陌生WiFi”有论证和被论证的关系吗?到了后来，大家基本上都在抛离WiFi讲信息安全。这是他的缺点。但是，界不界的，是否那么严重？如果一个人说错话，就怪他跨界，是否合理？如若界内人士也说蠢话，又该如何看待？至于认不认错的，我就更不明白了，若觉得自己没错，干嘛要认错？我倒没有见到奥有单独宣称自己赢得争论的言论，倒是有些人，宣称自己是对的，然后把对方宣判为“错了却不认错”，对此，我能呵呵。不知道，谁更可耻。
最初知道奥刀 是他在音乐上的偏激言论，当时就得出“这是一个 ”中国式的机械主义者“ 这个结论，他的思维方式就是 把”道可道 非常道“变成”道可道，我知道“
我一个外行都看不下去了！剃刀在争论这方面可谓身经百战（可以翻他本人微博），本人很喜欢将技术问题转换为文字游戏（有意思么？）他所谓的约战本来就不可能实现——尼玛，我把你银行卡里的钱拿走了，你到时候报警我怎么说？还要细节，呵呵~国内没有几起此类案件，呵呵~呵呵~—————————————————安全方面我不懂，我也没有叨叨老师年龄大，也没有他学历高，智商就不提了，嗯，我可能就是他说的low瑟吧o(╯□╰)o但是！！！！我从我们女博士的嘴里听到的是“凡是联网就没有安全....没有百分之百的安全...”同为博士，相对于奥老师的通信专业我更愿意相信计科的女博=￣ω￣=顺带说一句，叨叨老师要是再在我的评论里瞎bb我就真的要骂人了！
来知乎，参与讨论