• 邮件反馈
  • 支持 TK
  • 那年今日
  • 微博

    • 看看最新
    • 那年今日
    • 随便看看
    • 过去一年
  • 文章

    • 皮相专栏
    • 百度空间
    • 焦点博客
  • 探索

    • TK猴子

  • 支持
下个页面那年今日

点右侧微博标记去微博订阅真爱粉群👉

加入tk真爱粉群
tombkeeper
2017-01-23 20:16
每个精神上的白左都应该看一看的网易评论:网页链接 ​​​
详情
tombkeeper
2017-01-23 12:12
感觉有必要回顾一下这个: ​​​

图片描述 by gemini-3-flash-preview

详情
tombkeeper
2017-01-23 09:08
感觉很多人误会了第一段——我说的老专家真的是老专家,不是老讲师啊。
tombkeeper
2017-01-22 13:14被tk转发1次
2013 年,一位数据通信行业的老专家,认为数据通信设备不可能有后门,也不可能被入侵。你跟他认真讨论技术,他就用一种特别浪催的语气绕来绕去。而且一直到 2014 年还在嘴硬。

然而啊,2015 年,某款网络设备被发现存在后门,而这位老专家当年正是该款产品的主要研发人员之一。当然,从时间上看后门不是这位老专家植入的。但是这仍然是一件欢天喜地大快人心的事儿啊。当然,即使如此,你想让他承认自己错了,门儿也没有。

偷换概念,把自己维护的概念无限收窄,是此类人最常用的诡辩武器。比如有人认为手机关机窃听是不可能的。2014 年我在 GeekPwn 上设立了这个挑战,给了一点提示,然后就有同学做出来了。你以为他们会认输吗?当然不可能。他们可以把“关机窃听”的概念收窄到“所有器件完全断电才叫关机”,然后宣布你这个关机窃听不是真正的关机窃听。

再比如有人认为“使用不安全 WiFi 导致网银被窃”是不可能的。假如你找出一个通过 WiFi 植入木马窃取网银的例子,他可以把“使用不安全 WiFi 导致网银被窃”的概念缩窄为“通过 WiFi 嗅探到网银密码”,必须是这种才算。

还有人认为“用了 SSL 就不可能被嗅探”,你找出一个实现漏洞,类似 iOS 那个著名的“Goto Fail”,他会说这个不算,必须是破解了算法才算。其实即使实现了破解算法他也不会认帐的。毕竟诡辩主要靠脸皮,不靠调试器。只要有那个脸皮,很容易从一个胜利走向另一个胜利,实现“微博打假无一失手”。

当然,偷换概念还算是人类行为范畴内的。还有更下贱的。比如你跟他们谈技术,他们狗急跳墙的时候会丢出一句:“那你们公司的产品也会被嗅探吗?请正面回答我”。

所以,作为信息安全从业者,把跟这些人争吵的时间和精力用来向大众宣传安全知识,才是更有意义的使用方式啊。
详情
tombkeeper
2017-01-22 18:37
云舒提了一个问题:为什么很少见安全人员跨界去点评研发或者网络,反过来则有不少?他觉得可能是因为信息安全出现得比较晚,大家觉得只是自己领域的一个分支。

这可能确实是一个因素,过去很多年,信息安全一直挂在计算机等专业下面。不过现在国内的高等教育领域已经基本想明白了:信息安全是一类比较特殊的技术,和很多学科有关,又有自身的独特之处。所以,2016 年信息安全成为了一级学科。

正因为信息安全是一个比较特殊的方向,尤其是攻击技术,要在不可能中寻找可能,把魔幻变成现实,所以,信息安全中的一些东西(例如,十几年前很多网站登录时用 ' OR '1'='1 就可以进入任何人的账户),虽然背后有着坚实的逻辑和清晰的技术,但表面看来则是违反常识,违反直觉的。而人们天生不喜欢违反常识,违反直觉的东西。所以难以理解是正常的。

当然,不讲理是人品和教养问题,不是缺乏安全知识导致的。
详情
tombkeeper
2017-01-22 13:14被tk转发1次
2013 年,一位数据通信行业的老专家,认为数据通信设备不可能有后门,也不可能被入侵。你跟他认真讨论技术,他就用一种特别浪催的语气绕来绕去。而且一直到 2014 年还在嘴硬。

然而啊,2015 年,某款网络设备被发现存在后门,而这位老专家当年正是该款产品的主要研发人员之一。当然,从时间上看后门不是这位老专家植入的。但是这仍然是一件欢天喜地大快人心的事儿啊。当然,即使如此,你想让他承认自己错了,门儿也没有。

偷换概念,把自己维护的概念无限收窄,是此类人最常用的诡辩武器。比如有人认为手机关机窃听是不可能的。2014 年我在 GeekPwn 上设立了这个挑战,给了一点提示,然后就有同学做出来了。你以为他们会认输吗?当然不可能。他们可以把“关机窃听”的概念收窄到“所有器件完全断电才叫关机”,然后宣布你这个关机窃听不是真正的关机窃听。

再比如有人认为“使用不安全 WiFi 导致网银被窃”是不可能的。假如你找出一个通过 WiFi 植入木马窃取网银的例子,他可以把“使用不安全 WiFi 导致网银被窃”的概念缩窄为“通过 WiFi 嗅探到网银密码”,必须是这种才算。

还有人认为“用了 SSL 就不可能被嗅探”,你找出一个实现漏洞,类似 iOS 那个著名的“Goto Fail”,他会说这个不算,必须是破解了算法才算。其实即使实现了破解算法他也不会认帐的。毕竟诡辩主要靠脸皮,不靠调试器。只要有那个脸皮,很容易从一个胜利走向另一个胜利,实现“微博打假无一失手”。

当然,偷换概念还算是人类行为范畴内的。还有更下贱的。比如你跟他们谈技术,他们狗急跳墙的时候会丢出一句:“那你们公司的产品也会被嗅探吗?请正面回答我”。

所以,作为信息安全从业者,把跟这些人争吵的时间和精力用来向大众宣传安全知识,才是更有意义的使用方式啊。
详情
1...40274028402940304031...6595