2018-04-07 19:21
这两年经常有人问类似“做安全研究挖不到漏洞怎么办”这样的问题,这里统一答复一下。
早年没有信息安全专业,搞漏洞研究的全都是因为爱好这个,自己主动来搞的。不适合干这个,搞不出来的,自然也就还干本行去了。所以早年没有人抱怨为什么研究不出东西。
现在信息安全专业开设的越来越多,有些同学看别人搞漏洞研究,自己也想搞。搞不出来,就四处找人问为什么自己搞不出来,怎么才能搞出来。
首先,必须要先泼一瓢冷水:由于性格、能力等多方面原因,无论是不是学信息安全专业的,世界上大部分人都不适合做漏洞研究,就像大部分人都不适合做职业运动员一样。
你们琢磨一下漏洞是什么?漏洞是程序员犯的错误。那些著名大公司软件的漏洞是什么?是一些面试好多轮才能入职的名校毕业的程序员犯的错误。而且这些公司里还有很多面试好多轮才能入职的名校毕业的人在做安全。他们都没查出来,才能留下来让你去发现。
我曾给微软中国的 QA 做过培训,和他们连续接触了数天。这些人体现出来的平均水平肯定在国内安全行业(不特指漏洞研究)之上,其中有几个还相当出色。
所以,挖不到漏洞是正常的,挖到才不正常。信息安全工作有很多方向,学信息安全,不一定非要都做漏洞研究。
2021-11-11 11:06
昨晚做了一个奇怪的梦。
第一段情节是微软建了一个体育场,并以前 CEO 的名字将其命名为“鲍尔默体育场”。然后在这个体育场里举办了一场中美友谊赛。具体什么项目梦里没展现。总之看台上有很多中国观众。然后一些反华组织就带着摄影机来碰瓷中国观众。一个观众愤怒地夺过摄影机扔到看台下面。
然后,画面一转,是一个研发中心。原来微软那个体育场不是真实存在的,而是微软元宇宙里的。微软在元宇宙领域已经实现了巨大突破,大致就是能达到头上插电缆,真假难辨的程度。微软在世界上每个国家都邀请了一个用户来到他们的研发中心,作为元宇宙的首批体验者。
画面又一转。一个用户被微软的保安按到了墙上,原来发现他是俄罗斯情报人员。然后大屏幕上一个个显示出这些用户的身份,原来所有用户都是各国情报部门派来的。
然后我被猫拍醒了。
2019-07-14 16:40
山东大学陈哲宇案又被人翻出来了:🔗把长江学者送进监狱的科研制度,是个怎样的存在?。类似例子不少,比如清华的付林、浙大的褚健。这让我想起 2009 年有人在豆瓣上写的一篇文章《发票》。这篇文章的链接 🔗网页链接 前几天还可以访问,不过刚才看已经被作者设置为 “仅本人可见”了。想看可以搜索这篇文章的第一句话:“说不清,这是苏三第几次到中国人民币大学的财务处报账了”。
2011-03-11 13:42
新华网:两对新人拍婚纱照,两新娘一死一伤 网页链接
2014-12-29 10:04
基因的差异、不同的成长和教育经历等,让人有了或激进或保守的政治观点。政治观点本身无善恶,但对自己所持政治观点的偏执维护,则可能影响你的善恶,发自内心地产生出一些坚定的邪恶视角,比如觉得因为《意志的胜利》(🔗网页链接)是部好片子,所以里芬斯塔尔给第三帝国的导演们上了一课。