在Google上指定“site:gov.cn”，搜索"百家乐代理"，结果不少。其中可能有相当多是入侵后放置的赌博网站广告。

我在最近的演讲中从另一个角度解释了漏洞：某事物具有能产生安全风险的特性，但没有足够多的该事物直接使用者知道这一点，就是漏洞，无论这些特性是否文档化。比如MS06-001，不仅有公开文档，相关定义在WinSDK里就有；再比如.CHM和.HLP都能运行程序，这也有公开文档，但大多数人不知道。@yuange1975

我报告的漏洞是由MSRC这篇Blog中“Know the defaults”第一条特性所引发的，也就是去年在这条微博 🔗网页链接 中提到的问题。

虽然微软给MS14-023中我报的漏洞申请的编号是“CVE-2014-1756”，但实际上我是2012年报告的:-)，这个月终于修复了（可能他们需要时间检查其它代码中是否存在类似问题）。我觉得很荣幸的是，微软安全团队同时为该漏洞涉及的问题写了一篇Blog：🔗网页链接，推荐大家阅读，避免犯类似错误。

正好昨天和朋友谈起阿里员工对“阉党”的抱怨，讨论了安全和业务的矛盾和统一，了解到某些公司的对安全重视到那根红线碰一次就辞退，连我们这些干了十几年安全的人都觉得似乎有些过，然后今天就看到小米800万用户数据库泄漏的事，真是感慨万千。安全和业务难免会有冲突，双方都不容易，且行且珍惜吧。