嵌入式设备里留后门，也算业内潜规则。一般也不是真想去入侵谁，多半是为了降低客户支持的成本。早些年这么干问题还不大，但现在继续搞，就比较危险了。一是业界研究水平普遍提高，留的后门很容易被人（也许是好人，也许是坏人）发现；二是用户安全意识提高了，不会再接受这种做法。

国内外信息安全工业界多数人还是赞同纵深防御的，昨天发的 John Lambert 的 10 句话（🔗网页链接），第二句说的其实就是这个。但国内确实有不少人觉得就是有某种神功可以一贴灵一招鲜地阻止入侵。这让我想起第五次反围剿时，王明、李德、博古的“御敌于国门之外”，以及第五次反围剿的结局。

另外，我还有一个独家消息：微软很可能在这个新版浏览器（🔗网页链接）甚至是 IE 12 中彻底封死基于非安全模式脚本调用的漏洞利用技巧，比如说无差别地禁止加载任何危险控件，或无论如何都弹框提示。

我经常说用 IE 和 Chrome 比安全不太公平。Chrome 诞生于对浏览器安全已经有了深刻认识的年代，IE 则要背负很多历史包袱。微软当然也明白这一点，现在终于打算推出全新的浏览器了：🔗网页链接 ，好处是：这可能解决历史包袱的安全隐患；坏处是：以后再也不能用历史包袱作为不安全的借口了。

且不说西方对政治信用的看重，咱们过去也是讲“人而无信，不知其可也”的，现在已经变成为了“更重大的目标”可以轻松牺牲的小节了。