测试效果可以点这个链接看看：🔗网页链接

至于纽约时报那篇文章说“中国那15家网络服务平台似乎从未修补过该漏洞”，实在是不了解中国而产生的阴谋论。国内对用户隐私相对要马虎一些，常有过分强调安全要给业务让步的情况，有些厂商是真的不认为 JSONP 是需要解决的问题。还有些厂商其实已经修复了很多此类问题，但实在是太多了，修不过来。

这条微博 🔗网页链接 说的是啥意思呢——比如你登陆过微博（或其它有类似问题的网站），然后用了很多层国外代理，从保加利亚连到南斯拉夫，最后到天涯上新注册一个账号，匿名发帖谈自己的一夜情经历。这时候，天涯实际上可以知道你的微博账号是什么，能控制信道的人也可以知道。

纽约时报这篇《网络隐私保护工具已无法阻挡中国黑客》（🔗网页链接）讲的，其实就是这个：<script>function callback(weibo) { alert(weibo.userinfo.uniqueid + ":" + weibo.userinfo.displayname); } </script> <script src="hxxp://weibo.com/sso/login.php?callback=callback"></script>

Google 最近这篇讲利用 MemoryProtector 过 ASLR 的 Blog （🔗网页链接）写的颇有点怨气。其实从时间线上很容易看出， HP 的报告一定早于 Google。按规则，重复报告后者是啥都没有的。但因为 Google 的内容里可能有些不同于 HP 的东西，所以微软还是给了部分奖金，其实很合理。