@jerryjhou 看了一下，两台机器设置里显示的基带版本貌似一模一样……

@dingwen07 我这边试了几次，都是从设备中删除后，就会消失（允许删除就是实际上真的删掉了，拒绝删除就是实际上没删但谷歌相册里没了）。
我没开同步，从来没开过。

@sky96111 我这边直接点删除到回收站按钮也是这样。有问题的不是删除到回收站，而是点开右上角三个点的按钮展开菜单，里面有个“从设备中删除”。

没记错的话，很久以前 UAC 跟 IE/Office 的沙箱是绑定的，关了 UAC 就没沙箱了，安全性确实大大下降……
后来貌似这个微软也改了。
另外 Office 沙箱其实只有在打开“从网上下载的文件”，也就是属性里有个“解除限制”按钮的文件的时候，才会启用。这个“解除限制”是 MOTW 标签，背后是 NTFS ADS 。

@emberzhang 我印象里重点是必须先关掉 Windows Defender 的自我保护，否则组策略修改不生效。
现在我用的是 20H2，不知道最新版微软是不是又改了……

微软确实蛮鸡贼，Win7 那会，控制面板里把 UAC 拉到底“从不通知”就是真正关掉 UAC 了（不降权了）。然后从 Win8 开始这里偷偷改掉了，改成和字面意思一样的“从不通知”，也就是说默认还是降权，只是程序声明或主动申请提权时静默放行。

并不是 Administrator （内置管理员）是真管理员。一般的管理员账号也是管理员，真正的管理员，只是运行程序的时候默认（从其他进程，比如桌面 explorer.exe ，那里继承了）拿到的是降权的令牌。右键 /WIN+X/任务管理器的“文件”菜单=>“运行新任务”里都有“以管理员身份运行”，这样就是不降权的令牌了。

组策略里你甚至还能找到让 Administrator 也默认降权的选项。

1.1 打开 administrator
net user administrator /active
1.2 administrator 登录

这不是关闭 UAC 的正确姿势……

正确的彻底关闭 UAC 的姿势是：
修改组策略“计算机配置”=>“Windows 设置”=>“安全设置”=>“本地策略”=>“安全选项”=>“用户账户控制: 以管理员批准模式运行所有管理员”为“已禁用”；或者修改注册表 EnableLUA 值为 0

@chuckzhou virustotal 上传文件大小有限制吧，刚刚看了是 650MB，但我搜到 hacker news 上提到（那个时候的）限制是 128MB，这也和我的印象相符。

现在就感觉很奇怪……
要么是 sectigo 乌龙了，把什么看上去像是被黑客滥用的 570MB 可执行文件错当作是用他们给 rar 官方颁发的证书签名的，误以为 rar 官方的证书已经泄露了；
要么是 sectigo 其实从一开始就没有拿到所谓的 570MB 可执行文件？只是为了搪塞 Eugene 才随便编了个理由，问就是死无对证？
而且无论怎样现在 rarlab 上的那两个通告都是 404 这也很奇怪……为什么要删掉呢？

@chuckzhou 然而还是遗留了 UAC 提不了权的问题（不过影响版本范围呢？我看旧版好像用的其他家的 CA ）……只能说从此以后新下载的人不会碰到这个问题。

不管怎样现在 rarlab 官网都是 404 这就很奇怪……

而且我看 web archive 里写的，好像 sectigo 先是跟 Eugene 说 virustotal 上有报毒，然后又说他们看到一个 570MB 的文件用了 rar 官方的证书签名，看上去是黑客使用的（换句话说就是觉得 rar 的证书私钥泄露 /被盗了？）但是后来又说这个 570MB 的文件 CA 没能提供，说已经删了……

@rio 但是有硬件加速的时候应该还是 aes 更快吧？

@jim9606 有句话是怎么说的来着，想要安全？那好，不要上网，甚至不要用电脑了。
苹果那一句“不要用 kext 了”就给我这个感觉，因噎废食。

@jim9606
关于驱动签名，我不知道 mac 那边是啥情况，但反正我觉得开篇就是一句“不要用 kext，请找其他替代方案”就是耍流氓……

@jim9606 感觉跟以太坊还是差太多了……

虽然“可信计算”貌似也宣称可以用于“两个人不互信，硬件充当第三方来作证”这类用途，而且区·块·链在很多地方貌似也宣称“机器铁面无私，人可能贪污腐败”，但两者貌似还是不太靠的上边的。（而且区·块·链不也是面临各种批评，认为去中心化是伪去中心化，trustless 也是空中楼阁么）

（据我的理解）区·块·链，是怎么达到“无需信任”（ trustless ）的呢？
是最笨最低效的办法：
（公开账本内容，允许任何一个人）跑全节点，把整个账本从创世区块开始独立、完整地验证一遍。
即便如此，还是需要信任矿工没有 51%攻击回滚重写账本。
（而且币圈对这个“两层”的概念也有争议，不少人都不认可这个概念，认为实际上还是只有矿工说了算、只信任矿工，不存在什么第一层“跑全节点独立验证”……不过即便是不认可第一层概念，仍然不妨碍矿工之间至少还是要相互验证对方写入区块的内容，更不用说公链一般是 permissionless，网络是自由进出的）
既然要（每个人都）自己重新验算一遍，效率极度低下是一方面，隐私完蛋就是另一方面——虽然结合加法同态、零知识证明之类的技术也可以部分地保护隐私（隐藏转账金额甚至资金去向）。

这个帖子里说的“可信计算”很显然不是靠“我自己来重新验算一遍”（也不是靠矿工之间的相互博弈），而是靠剥夺用户对设备的完整控制权来实现“相信机器铁面无私”（虽然实际上还是相信设备制造商不会作弊开后门，归根到底还是在相信人）。而且这个帖子里说的“可信计算”很大程度上是很偏向厂商的利益的，有点像手机刷机锁或是游戏主机防破解之类的。

@pcbl 可能不同人关注点不同吧……比如有消息传出某餐馆存在食品安全问题，那么我也许会关注到底是不是真有问题，如果有的话，具体是什么样的食品安全问题，有没有人食物中毒，应该得到什么样的治疗，以及如何加强监管什么的……至于店老板是标准公关还是破口大骂，我感觉相对是次要的。

说实话……好多人在吐槽态度、公关，我感觉蛮奇怪的……
就我自己的看法，难道不是软件自身是不是真的有安全漏洞更重要么？这个在我看来最重要的问题，好像反而一直到现在也没有个清晰的答案。

@billlee
secureboot 可以是“自己家的大门钥匙自己掌控”这种模式；

remote attestation 是要说服另一个人，让他相信我这边没作弊开挂金手指，实际上是让硬件制造商在中间充当权威第三方。这样一来，没办法自定义一个 key pair，只能是大家都信任制造商的公钥，信任制造商签过名的 key pair 。

拍脑袋想一下，大概就是这样吧：
设备制造商在出厂前烧录进去一个 key pair，这个 key pair 用厂商的私钥签名。
用户无法读取这个烧录进去的 key pair 私钥；而且用户手里没有厂商的私钥，所以也没办法自己生成一个 key pair 来冒充。
然后硬件层面上剥夺用户对 enclave 的控制权，用户无法偷窥 enclave 里的数据，也无法篡改 enclave 里的数据。
这样一来，硬件用厂商烧录进去的 key pair 给 enclave 里的东西签名，就可以作为“证言”说服另一方，让另一方相信我这边没作弊开金手指修改器（当然，前提是信任硬件厂商不会作弊）。

然后一方面是上文提到的，需要信任硬件厂商不作弊；另一方面就是这个体系很“专制”，厂商 VS 用户，用户在这里面属于吃亏的一方，safetynet 其实就可见一斑了。
技术都是双刃剑，一方面可以说这样可以阻止网游开挂作弊，甚至还可以实现数字货币离线支付；另一方面就是用户的自由受到了侵害。再有貌似就是技术上像 Intel SGX 、ARM TrustZone 这类好像都是“虚拟隔离”，更容易受侧信道泄露之类安全漏洞威胁。

个人理解就是这样。

@jim9606 你要说怎么提高小白用户的安全性，我也感觉，可能有了 secureboot 之后（貌似安卓手机这边也叫 secureboot，然后这个“secure”估计也属于被 RMS 炮轰的范围之内吧，我看很多年前 FSF 对微软已经开过炮了？说 secureboot 名叫“secure”就很鸡贼，应该叫“restricted”还差不多），搞 bootkit 就至少会面临一定的阻碍。

但是……就像微软很多年前就开始搞 DSE 一样，其实黑灰产不仅可以钻 DSE 政策过于宽松的漏洞（我记得过期吊销证书签名照样可以加载进内核，当年 Win10 1607 说收紧了，但我记得当时自己实测一下基本还是老样子，表面上安装驱动时报错，实际上还是加载进内核了），还可以注册一个公司来拿到“真正”的签名。前一阵子甚至还爆出一个黑灰产内核 rootkit 驱动被微软签名的案例（ solidot sid=68143 ）。