101
no1xsyzy 2020-01-14 14:38:55 +08:00
@swiftg 不要黑 CNNIC 和 WoSign,Symantec 也错误签发过不少(一说 127,一说 3 万),前几年被各大浏览器群封了,这个是实锤,不是 CNNIC 和 WoSign 的 zz 背景问题。
|
102
no1xsyzy 2020-01-14 14:41:23 +08:00
@manami 所以说你分不清 risk 是什么意思吗?拿成绩谈水平是不是还要我掏出 pg/lesson 及该文在 yc 的评论跟你讲讲?
|
103
no1xsyzy 2020-01-14 14:46:03 +08:00
@manami risk 是 “风险”,即没有实际证据表明其存在或不存在。
指不定现在已经有人做出量子计算机能够一秒破解 HTTPS,那 HTTPS 确实是不安全的。就宽泛而言的安全来说,拒绝连公共 Wi-Fi 减少攻击面也无可厚非,但拿一般情况(浏览器)套特例(支付宝)和拿特例套一般情况不都是错的?相比之下,前者更可能自认为聪明,所以也更脆弱。 |
104
manami 2020-01-14 14:48:16 +08:00 via Android 1
@no1xsyzy 你再回头看看自己的逻辑和我的观点,我列举的东西都是在质疑“随便连 wifi 也能保证安全”这个论调,然后连 wifi 有“risk”你跟我说还符合“随便连 wifi 也能保证安全”?什么叫做“保证”?我怎么发现你开始自我逻辑混乱然后在替我说话(笑
|
106
no1xsyzy 2020-01-14 15:44:01 +08:00
@manami
1、 @mxT52CRuqR6o5 #19 提出:支付宝号称随便连 wifi 也能保证安全 2、 @manami #21 提出: “随便连 wifi 也能保证安全” 不可行,并请求来源 3、 @no1xsyzy #26 提出:数据交互即一切,保证安全是可行的 4、 @manami #27 提出:《任何国内外的一个黑客论坛》认为 “随便连 wifi 也能保证安全” 错误(注意此处已抛弃主体该句主体),并且视同 “笑话”(嘲讽) 5、 @no1xsyzy #47 回应:“Wi-Fi” 和 “代理” 没有差异,都是将自己的网络出口交给第三方 6、 @manami #48 突然论坛降级成 Quora (神奇吧),不过至少给出了链接和截图,其中指出「 “there is always a risk” —— “所困”,翻译错误;提出方法《 POODLE 》 “Maybe not Snowden safe as Tony mentions but good enough for most.” —— “也许斯诺登并不安全”,翻译错误,应为 “也许没有 ‘斯诺登级’ 安全” “Short answer: Yes.” “In general, yes. ” “(In contrast to the paid version of VPN,) The free versions may be slower, with more users and have more advertising.” —— 这不就证明了免费 VPN 更不安全吗? “Most of the modern proxy servers now comes with dedicated SSL inspection engine. This can de-crypt and re-encrypt the page with its own SSL certificate. So, its always advisable to check the padlock sign details on the browser address bar for any discrepancies.” —— 假证书前面说过不可行了。 “Yes, you should use HTTPS everywhere ” —— 这是 sslstrip 的防御方案。 “MITM is one the example of this” —— 笼统地使用 “中间人” 一词,可以想见能力。 下一个卖 VPN 的就算了 还有一个卖 VPN 的 一个充满广告的视频 」总结全部 11 个回答,基本是 yes,接着来点 risk,然后是大量的学术不精学词就用型,最后几个广告机。我难以想象这怎么叫视同 “笑话”,反而这些回答更像是笑话。 7、 @no1xsyzy #98 嘲笑 @manami 的英语水平,指出 risk 的词义理解错误,并对《 POODLE 》攻击进行反驳,回归主体《支付宝》,指出支付宝可以很容易地使用 SSL pinning 来杜绝 POODLE 攻击。并指出翻译软件只会简单的和错的。 8、 @manami #100 提出:其自己六级分数 583 (我不知道这是高是低)以此来想要证明自己英语不差。 9、 @no1xsyzy #102 提出 pg/lesson 进行反驳; 10、 @no1xsyzy #103 提出 risk 的正确含义,并再引一种极端例证 “非对称加密本身已被破解”。此外提出 “随便连 wifi 也能保证安全” 的主体应是支付宝,而不是一般安全含义,并以 “黑天鹅” 相关原理为证(脆弱性)。 看不懂对方的隐喻就说对方逻辑混乱,你,学到了吗? |
107
no1xsyzy 2020-01-14 15:57:37 +08:00
@manami 我 #102 #103 说得太绕了,大概是不适合脑筋转不过弯的人。分论点表述:
1、分数不代表能力: http://www.paulgraham.com/lesson.html https://news.ycombinator.com/item?id=21729619 “For example, it's long been known in the physics education research community that students come away from introductory courses with very little physical understanding, even if they can do the plug and chug problems on typical tests just fine. Students can all recite Newton's third law, but immediately afterward claim that when a truck hits a car, the truck exerts a bigger force.” “Goodhart's Law (Popular formulation): When a measure becomes a target, it ceases to be a good measure.” 2、risk 表示的是潜在风险,但风险这个词在中文太强了,risk 更中性,并且是在一定程度上 “必定存在” 且 “必要接受” 的,“投资有风险” 的意思不是 “应当没有人参与任何投资”; 3、就 risk 来说,你连接一个未知 Wi-Fi 可能增加攻击面,但同样,甚至你只是把 Wi-Fi 开关打开而不连上任何网络,你依然也有增加攻击面,你在不进行任何数据交互时保持连接到自家 Wi-Fi 同样是攻击面,这一风险等于废话; // 另外回应下 #104 4、什么叫 实体 A 对 行为α 作出保证?即是指 实体 A 对 行为α 的风险有认知,且认为承担此风险和相应的收益比较下来可以为此收益承担该风险,并承诺承担此风险。它并不要求 “绝对安全”,而只要求 “足够安全”。 |
109
helloworld000 2020-01-14 17:53:59 +08:00
|
110
no1xsyzy 2020-01-14 18:16:53 +08:00
@manami
一来保证的含义还包括 “作为担保的事物” http://www.hydcd.com/cidian/1098.htm 二来法律含义上 http://www.npc.gov.cn/npc/c2418/flsyywd_flwd_list.shtml http://www.npc.gov.cn/npc/c2418/200204/e4dc95222d71403a87c2f661085dd408.shtml 三来现在的 SSL+CA 机制确实是万中无一失的,甚至可以说是百万无一失的。你连一百万次免费 Wi-Fi 都不会产生一次渗透,因为这除了极低成功率的广撒网(会被 SSL pinning 轻松防住)就是 APT (一般人根本接触不到,我有幸被预警邮件发到过;并且支付宝通常不是 APT 的目标)了 |
111
arraysnow 2020-01-14 18:57:15 +08:00
@fancy111 不好意思啊,你还真的是不懂,而且还愚昧无知,自己去搭一个 https://v2ex.com 的 helloworld 空白页,绑定 host,试试去,你试过再来截图 bb。你真是搞笑~
|
112
terrytw 2020-01-15 09:23:28 +08:00
|
113
terrytw 2020-01-15 09:26:09 +08:00
|
114
wooyuntest 2020-01-15 11:18:44 +08:00
CVE-2020-0601 能在 Windows 上实现监听 https 无视了 (手动狗头)
|
115
wooyuntest 2020-01-15 11:19:00 +08:00
@wooyuntest CVE-2020-0601 能在 Windows 上实现监听 https 无视证书了 (手动狗头)
|