在长沙 VARA 2014 的演讲中，我重点谈了信息泄露问题。在所有安全问题中，信息泄露最容易被轻视，而实际上从大家熟悉的 SQL Blind Inject，到 Padding Oracle（前几天的 SSLv3 Poodle Bites 就属于这个），再到各种神奇的 Timing Attack，本质都是边信道攻击。而边信道攻击所利用的，就是信息泄露。

刚才想岔了，算成 16 种……另外某人说应该是 256 种——这 4 个都掉漆，说明 4 个同时被用到。当然，如果假设密码其实经常换，但只在这 4 个数字里选，那就是 256 了。

前天在长沙讲“设计环节的攻防思维”，我给大家看了一张图——引入攻防思维去设计密码键盘，你就至少需要考虑物理磨损带来的信息泄露问题。如果密码是 4 位，那么攻击者本来需要猜 10000 种可能，就因为键盘掉漆，现在只要猜 24 种了。没有攻防思维，技术做得再深，也难以成为好的安全工作者。

继号称要约 Apple 和 Google 喝茶（🔗网页链接）后，FBI 局长再次公开说智能手机厂商搞数据加密会“削弱情报和执法机构收集犯罪信息的能力”，把世界带入“非常，非常黑暗的地方”：🔗网页链接——注意没有，也就 FBI 对这事儿特别紧张，NSA 一直不声不响，你们猜是为什么？

我这次在@GeekPwn 的一个重要工作就是设计攻击场景。入侵智能插座后具体能干什么，大家将在 GeekPwn 第二天下午看到。