V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  lhx888  ›  全部回复第 1 页 / 共 2 页
回复总数  25
1  2  
2023-05-29 12:32:06 +08:00
回复了 lhx888 创建的主题 程序员 npm 用淘宝源替换官方源,会不会有资安问题啊?
@Mooon 不必回应 @woshipanghu ,如果他同意自己的观点,这样的奇人我等只有参观与猎奇的份,思维不在一个维度上不需要反驳。如果他不认同自己的观点,仍然维护它,就是有目的的。他的方法就是抛出谬论附带人身攻击,把讨论环境搅和的乌烟瘴气。非蠢即坏,何必搭理。再一个我想起一句话:“看头像,知成份”
2023-05-27 21:04:46 +08:00
回复了 lhx888 创建的主题 程序员 npm 用淘宝源替换官方源,会不会有资安问题啊?
@woshipanghu 你的逻辑 1:免费的就一定是好心的,所以不需要质疑。逻辑 2:免费的就不可以质疑,质疑就是坏。。。 。。。
2023-05-27 16:43:58 +08:00
回复了 lhx888 创建的主题 程序员 npm 用淘宝源替换官方源,会不会有资安问题啊?
@ysc3839 如果 npm 不会主动校验,那开梯子好了。信任没有绝对,只能选择相信相对可信的。
2023-05-27 16:40:37 +08:00
回复了 lhx888 创建的主题 程序员 npm 用淘宝源替换官方源,会不会有资安问题啊?
@magicdawn 那也许会有,之前不是坐实什么讯公司的游戏会扫 firefox 的访问历史记录吗。新闻可以搜到的。 这不是很离谱的行为吗?一个游戏为什么想知道我访问了哪些网站。。。 。。。 后来闹大了,x 讯公司的解释是反外挂。。。 。。。真的无法相信它的解释
2023-05-27 16:37:23 +08:00
回复了 lhx888 创建的主题 程序员 npm 用淘宝源替换官方源,会不会有资安问题啊?
@dawei211 您说的对,国产的一些软件,有些不得不用,比如大厂的即时通讯和移动支付,google play 有我就安 play 版的,没有就 shelter 沙盒里运行。 信任边界窄 真的是害人也害已,因为在乎的人需要付出一些成本,才能放弃或使用到那些软件的功能。
2023-05-27 16:34:09 +08:00
回复了 lhx888 创建的主题 程序员 npm 用淘宝源替换官方源,会不会有资安问题啊?
@dfkjgklfdjg 夹带一私货就是进行修改加后门等别人安装,安装之后就有了后门,然后就可就通过这个后门对设备进行控制,或者主动上传信息啊。
收集信息不是无法感知,而是不容易感知,对文件 IO 监测,流量监测,也能发现点蛛丝马迹。
肉身翻墙太难了,希望你说的不是走线哈哈。
2023-05-27 16:23:56 +08:00
回复了 lhx888 创建的主题 程序员 npm 用淘宝源替换官方源,会不会有资安问题啊?
@totoro52 您说的有道理,学到了。校对 md5 是默认打开,安装软件的时候 npm 主动进行的吗?打比方,npm install 一些东西,不需要我人工进行校对,电脑自己就把这事做了。
2023-05-27 16:17:21 +08:00
回复了 lhx888 创建的主题 程序员 npm 用淘宝源替换官方源,会不会有资安问题啊?
@dawei211 思考了,那就是我需要好好的学一下英语,因为查官方文档一定能得到答案,可惜英语不过关
2023-05-27 16:09:01 +08:00
回复了 lhx888 创建的主题 程序员 npm 用淘宝源替换官方源,会不会有资安问题啊?
@t
@RRRSSS 明白了,谢谢您的回复。
2023-05-27 16:00:22 +08:00
回复了 lhx888 创建的主题 程序员 npm 用淘宝源替换官方源,会不会有资安问题啊?
@dfkjgklfdjg 关于为什么要夹带私货,因为搜集信息是有价值的,你看看安卓上那些国产毒瘤,因为安卓版本迭代限制越来越严现在是好一些了,以前简直丧心病狂。虽然我这也没什么怕他注意的,但是本身有些抵触这样的行为 。
2023-05-27 15:54:49 +08:00
回复了 lhx888 创建的主题 程序员 npm 用淘宝源替换官方源,会不会有资安问题啊?
@iqoo 这是自建的吧,我用的机场的。。。 。。。真的挻贵的。自建我也有,被封了套 cdn 呢,那速度。。。 。。。
2023-05-27 15:52:00 +08:00
回复了 lhx888 创建的主题 程序员 npm 用淘宝源替换官方源,会不会有资安问题啊?
@dlsflh 别闹啊大哥,很严肃的在问。也有可能不会有资安问题。如果它像 debian 的 apt 一样,无论从哪里下载的包,都要在本地来签名验证,就不存在第三方镜像和官方镜像不一样的问题。因为修改后会验证不通过进而不安装。

最多是版本落后于官方,但一定是从官方原版镜像的。因为作了个修改,本地验证就不可能通过。因为本地验证用的证书是官方的。

其实,我觉得大概率 npm 也是这种验证机制。但不完全确定,就问问啊。
2023-05-27 15:47:35 +08:00
回复了 lhx888 创建的主题 程序员 npm 用淘宝源替换官方源,会不会有资安问题啊?
@wudicgi 您这一提,资安是台湾的说法,经常看相关资讯,不自觉的用上了。。 。。。
2023-05-27 15:04:05 +08:00
回复了 nosugar 创建的主题 程序员 用了快一年的 Rime 小狼毫,还是卸载又用回了微软拼音
跳出框架,学五笔。肓打,爽的飞起。
2023-05-27 15:02:50 +08:00
回复了 thinkm 创建的主题 NAS 老哥们,我这是病了吗
这个时候,要有原则。
购物三大原则:你喜欢,你需要,适合你。
@flyqie 嗯谢谢您的回复,我明白您的意思了。举一反三,以后使用任何 github 上下载的软件,都适用。
@feedcode
@lolizeppelin 谢谢您的回复,有可能这是 ubuntu 使用的版本的原因吧,而我的系统是 debian,把 Type=notify 改成 Type=simple , 再删除 WatchdogSec=30s ,后台就可以稳定运行了。
@xinJang 你说的有道理,所有不开源的软件或系统。都有可能被放后门。但是也要看是谁放的后门,对象不同,危害程度不同。
@AkideLiu 用源码编译,还是很可信的。因为项目都是一步步成长起来的,总有人会关注每一次提交的 commit.所以源码有问题的可能性还是很小的,个人认为。
@lhbc `opkg install less` 解决了我的问题,安装之后,无论是 bash 还是 op 自带的 ash ,都可以正常显示 git show 的结果。
1  2  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2781 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 18ms · UTC 08:06 · PVG 16:06 · LAX 00:06 · JFK 03:06
Developed with CodeLauncher
♥ Do have faith in what you're doing.