2015-06-17 20:16
在给话题配图方面,我还是比较有自信的。比如这条新闻 🔗仨女孩街头相中帅哥硬拽上车,明后天没准会在微博上火起来,但大家的配图可能都不如我这个好:
2015-06-17 13:30
我作为一个搞二进制的,为啥会研究 JSONP 呢?同样是利用浏览器漏洞,寻常挂马相当于炸弹,炸到谁算谁;水坑攻击相当于导弹,有目的地攻击一类目标;而结合 JSONP 识别的浏览器漏洞利用则相当于狙击,除了指定目标,不会误伤任何人,所以难检查难发现。要研究怎么检测 APT,自然要研究这类高级技巧。
2015-06-17 09:47
测试效果可以点这个链接看看:🔗网页链接
2015-06-16 15:21
这条微博 🔗网页链接 说的是啥意思呢——比如你登陆过微博(或其它有类似问题的网站),然后用了很多层国外代理,从保加利亚连到南斯拉夫,最后到天涯上新注册一个账号,匿名发帖谈自己的一夜情经历。这时候,天涯实际上可以知道你的微博账号是什么,能控制信道的人也可以知道。
2015-06-16 15:40
至于纽约时报那篇文章说“中国那15家网络服务平台似乎从未修补过该漏洞”,实在是不了解中国而产生的阴谋论。国内对用户隐私相对要马虎一些,常有过分强调安全要给业务让步的情况,有些厂商是真的不认为 JSONP 是需要解决的问题。还有些厂商其实已经修复了很多此类问题,但实在是太多了,修不过来。