又一个“人们插入奇怪的USB棒”的故事

我真的厌倦了讲故事这样地:

电脑磁盘和U盘被丢在政府大楼和私人承包商的停车场,60%的捡到它们的人将这些设备插入办公室电脑。如果驱动器或CD上有官方徽标,则90%已安装。

课程人们插上U盘和电脑磁盘。这就像“75%在公交车上捡了一份丢弃的报纸的人都读了。”人们还应该用它们做什么?

这不是正确的回应:

弗吉尼亚州计算机科学公司(Computer Sciences Corp.)福尔斯教堂(Falls Church)网络安全和隐私咨询主管马克·拉什(Mark Rasch)对彭博社(Bloomberg)表示:“人类所知的任何设备都无法阻止人们成为白痴。”

如果60%的人试着用卡里纳斯(carinas)一样的USB棒玩,或者试着用电脑磁盘做煎蛋卷,这可能是正确的反应。但如果他们把它们插入电脑,就不会这样了。这就是他们的目的。

人们总是得到USB记忆棒。问题不在于人们是白痴,他们应该知道在街上发现的U盘自动坏,而在贸易展览上分发的U盘则自动好。问题是操作系统信任随机的USB记忆棒。问题是操作系统会自动运行一个可以从U盘安装恶意软件的程序。问题是把U盘插入电脑是不安全的。

不要责怪受害者。他们只是想混过去。

编辑添加(7/4):截至今年2月,Windows不再支持USB驱动器的自动运行.

标签:,,

发布于2011年6月29日上午9:13196条评论

评论

维克多2011年6月29日上午9:24

这里有两种人类冲动在起作用。要么找到主人并归还丢失的财产,要么查明他们是否在棍子上留下了什么“有趣”的东西——窥探。我认为这两种感觉经常同时出现。

我当然会把棍子插入电脑。但我可能会仔细选择哪台电脑。

不是匿名的2011年6月29日上午9:28

今天我在H在线上看到的另一个相关故事是关于USB鼠标的,它秘密地还充当键盘。其中一项是笔试。不是自动运行的东西,在这种情况下不会解决问题。

詹姆斯2011年6月29日上午9:29

我在大学的电脑群集中发现了一个U盘。我问房间里的其他人是否有人把它弄丢了,然后插上电源寻找它的用户。我认为安全风险很低,原因如下:
1) 它已经插到电脑上了,很可能是学生留下的个人手杖
2) Uni有足够的杀毒软件
3) Uni机器不是我清除病毒的责任
4) 如果它被感染了,那么uni-box很可能已经被感染了。(见1)

总之,在上面找到了一些文件,里面有主人的电话号码,然后它就重新组合了。

是的,那些该死的棍子不应该自动运行。带着打印好的简历和记忆棒上的简历四处奔波。由于存在病毒风险,所有人都希望他们发电子邮件。办公桌

奥拉夫2011年6月29日上午9:37

孩子们被教导不要从陌生人那里拿糖果。但成年人完全可以使用来自未知来源的USB记忆棒…

卡尔德2011年6月29日上午9:38

“……而且在贸易展览会上赠送的U盘自然是好的。”

贸易展览也是一个很好的地方,当人们走过时,可以把一个名牌USB驱动器放进他们的包里。

或者把一个“有毒”的USB驱动器扔到其他公司的公司代表分发的堆栈中。如果它看起来像其他的,它将击中某种目标。

这些方法在贸易展览会上启用。但如果一家公司想对一种数据类型进行企业袭击,那么商业展示USB驱动器就是一个很好的载体。

只要操作系统自动运行任何插入的USB记忆棒,那么这将成为攻击的载体。

尤尔根2011年6月29日上午9:39

反病毒软件在真正的攻击中是无济于事的——它取决于特征码,只有当有人已经看到了相同的恶意软件并将其报告给AV供应商时,才能执行这些操作。

把装有定制恶意软件的U盘放在一个大型公司停车场(尤其是Execs停车场),你几乎肯定会得到大量有趣的东西。

唯一真正的问题是从公司网络中获取数据,但即使如此,也有一些方法…例如DNS隧道。

一个2011年6月29日上午9:41

我在火车上发现了某人的U盘。我没有相信失物招领,而是查看了里面的内容,找到了失主的联系信息,这样我就可以把它寄回她。这位女士随后寄给我一张感谢信和一张圣诞卡。

Windows仍自动运行文件?!

卡洛·格拉兹亚尼2011年6月29日上午9:41

根据这个故事,

http://www.theregister.co.uk/2011/06/27/mission_impossible_mouse_attack/

“操作系统信任随机USB记忆棒”只是问题的一种变体。原则上,任何USB设备都可以包含一个微控制器,该微控制器可以确定它是什么类型的设备。如果USB记忆棒机箱中隐藏的控制器芯片告诉操作系统它实际上是一个键盘,它可以发出任意击键,从而发出任意命令(具有控制台用户的权限)。游戏结束了。

解决方案是不可简化地权衡便利性和安全性。如果安全性是一个不容忽视的问题(就像在许多政府和公司办公室一样),那么未经授权的USB设备就无法插入。如果易用性是生产力的重中之重,那么必须接受USB携带恶意软件的一些风险。这里没有魔法子弹。

格雷格2011年6月29日上午9:53

是的,操作系统不应该信任所有的USB记忆棒,但这并不能成为白痴们的借口。我敢打赌,他们中没有一个人会从停车场捡起勺子,放进嘴里而不先洗。

乔什·温斯洛2011年6月29日上午9:57

“教孩子也很愚蠢。”

这是一种简单的总结经验教训的方法,即有人试图玩系统游戏(在这种情况下,期望给你东西的人是好人),你需要保持警惕,避免被人利用。当然,更好的规则是“当不认识的人给你东西时要谨慎,并试图推断出他们的动机”,但由于大脑发育不足,这种能力在特定年龄段的儿童中根本不存在。

丹尼尔·维克2011年6月29日上午10:07

格雷格:不同的是,人类作为一个整体,已经有好几年的时间来发现街头存在大量的物理病毒,而没有多少年来发现数据采集设备通常不会感染任何东西。真的是双刃剑问题。

萨维可2011年6月29日上午10:11

“但如果他们把它们插入电脑,就不会了。这就是它们的用途。”

食物是用来吃的,但人们通常会捡起地上的食物来吃吗?拜托,用户必须承担一些责任……不要让他们变得愚蠢,让他们承担责任。

杰夫2011年6月29日上午10:20

萨维克,人们知道吃的安全模式是什么:你吃的任何东西都是可信的(也就是说,可以杀死你)。但你不会死于被污染的食物。当你看到它时,没有什么神奇的力量会自动把它塞进你的嘴里。

为什么仅仅看一下U盘上的东西就能自动让你“吃”东西(运行任意代码)?为什么你希望用户知道这个事实?

亚当·肖斯塔克2011年6月29日上午10:34

使用推荐的自动更新设置运行的Windows计算机不再从USB设备运行autorun.inf文件。尚不清楚这项研究是何时进行的。

请参见http://blogs.technet.com/b/msrc/archive/2011/02/08/deeper-insight-into-the-security-advisory-967940-update.aspx

我完全同意布鲁斯的观点,责备(和侮辱)受害者充其量只是浪费时间,实际上可能会适得其反。

以及一些影响:
http://blogs.technet.com/b/mmpc/archive/2011/06/14/autorun滥用-malware-where-are-they-now.aspx

帕特里克·W·巴恩斯2011年6月29日上午10:39

@维克多:还有拨款的意图。

我完全同意操作系统不应该自动从U盘执行任何操作,但“自动运行”恶意代码并不是唯一的风险。脑海中浮现出其他一些想法:

  • 设备可能有故障(偶然或故意),并可能损坏计算机。
  • 设备上的某些东西可以精心设计来利用驱动程序漏洞,即使没有正常的“自动运行”功能,也可以执行任意代码。
  • 该设备的内容可能不是有害代码,但可以通过多种方式为社会工程精心制作,例如伪造文件,导致观众做出有害的行为。

我可以插上驱动器吗?可能吧,但我会采取一些预防措施,比如使用为任务配置的低值计算机。我可能真的希望有一些恶意的东西,只是为了有机会研究一下。

对用户进行风险教育肯定会有一定的价值,但我希望大多数人都会出于这样或那样的原因插入设备。

TS公司2011年6月29日上午10:47

@帕特里克

当然,这就是为什么我们有独立的机器和Mac电脑来检查可疑的U盘。

不过,我还是看到了许多USB记忆棒发出的恶意软件警报……太疯狂了,有那么多人感染了设备却不知道。

本·埃文斯2011年6月29日上午10:48

@乔什–不。绝大多数成年人并不意味着对儿童有任何伤害。

伤害儿童的绝大多数成年人已经被他们伤害的儿童所知。

《陌生人的危险》告诉孩子们的不是准确评估风险,也不是相信大部分虚构的妖怪。我们已经有了相当地够了。

库尔特·维斯默2011年6月29日上午10:51

@亚当·肖斯塔克
“我完全同意布鲁斯的观点,责备(和侮辱)受害者充其量只是浪费时间,事实上可能会适得其反。”

它(可以说)可能不会帮助实际的受害者,但它肯定可以帮助其他人了解他们可以做些什么来避免自己成为受害者。

它与传统行为规范的建立和执行方式没有太大区别。就在这种情况下,这是出于计算机安全目的的规范。

这很重要吗?2011年6月29日上午10:53

我认为马克·拉什说得对。USB记忆棒是用来插入电脑的,这并不能成为你在电脑/网络中引发问题的借口。如果我遵循你对USB记忆棒的想法,那意味着如果其中一个“白痴”在地上找到一个火腿三明治,他们会把它塞进嘴里,然后开始咀嚼。因为这就是火腿三明治的用途,对吧?你跟着我吗?

尼尔2011年6月29日上午10:53

至少从安全角度来看,你错过了最痛苦的统计数据。通过在程序上放置有效的徽标,90%插入驱动器的用户安装了该程序!这不是一个自动运行问题,也不是一个容易解决的问题。自动运行是一个糟糕的想法,这就是为什么它被禁用的原因,但如果用户只需要信任一个图标程序,这确实是一个“用户是白痴”的故事。一半参加测试的人运行了他们在随机的拇指驱动器上找到的程序,完全基于该程序的图标。

加布里埃尔2011年6月29日上午10:55

关于USB“特洛伊木马”HID设备(操作系统的鼠标/键盘设备),操作系统在当前USB规范下可能提供的最佳防御措施可能是跟踪USB设备描述符中的供应商ID(VID)、产品ID(PID)和序列号(iSerial)。无论何时连接新的HID设备,主机都应在枚举设备并接受输入之前提示用户。因此,一旦设置好默认键盘和鼠标,就会“受信任”,任何新的特洛伊木马设备都将至少等待确认,例如“您插入了一个新的USB键盘。您确定要启用它吗?如果此设备不是键盘,请立即将其拆下。”虽然此系统可能会被击败,但这会使攻击更加困难。攻击者必须获得目标键盘的VID/PID和iSerial,从而大大缩小攻击范围,或者指望用户真的很愚蠢,在插入USB闪存驱动器后接受新的键盘设备。

当然,这些都没有解决USB固有的安全限制:它是一个受信任的总线,没有通过它进行身份验证,并且它通过一个接口公开了几乎所有的功能(输入、存储、显示、音频、网络等)。这不像是可以将伪装成打印机的PS/2键盘连接到并行端口。

詹姆斯·安德森2011年6月29日上午10:56

套用鲍勃·多尔(Bob Dole)的话:愤怒在哪里?默认情况下,大多数操作系统都支持恶意软件。然而,我们成群结队地购买它们。我们的政府、关键的基础设施组织、执法部门和其他严肃的企业纷纷购买它们。为什么我们不停止购买恶意软件友好的操作系统??是因为销售这些产品的公司缺乏制造安全操作系统的设计知识和技能吗?

NobodySpecial公司2011年6月29日上午10:57

假设调到一个新的广播电台可能会毁了你的汽车——我们应该指责司机还是汽车制造商?

NobodySpecial公司2011年6月29日上午11:00

@Gabriel–假设ID系统可以完美实现,您现在就会知道您的键盘是由中国的“Acme键盘公司”制造的

这到底对安全有什么帮助?
就像著名的HTTPS声明一样,这就像开着一辆装甲车在街上行驶,周围都是武装警卫,然后把你的信用卡号码交给一个无家可归的人。

2011年6月29日上午11:07

恶意软件是如此普遍,因此有理由期望使用计算机的人注意风险。如果我在地上发现记忆棒,我会把它扔掉;我不会把它插入我的办公室或家庭系统。
如果一个人在地上发现一把刀,然后用它割伤了自己,我们是否应该指责人类皮肤不够坚韧?不,这个人应该小心,因为刀子可能很危险。

加布里埃尔2011年6月29日上午11:08

@NobodySpecial和Brian:我也提到过。该方案的目的是防止大规模非目标攻击。攻击者必须知道键盘的VID/PID以及通过USB描述符报告的序列号。因此,他们必须走得更远。这将减少贸易展的攻击向量,在那里他们会分发数十或数百个特洛伊木马鼠标。

正如我所说,USB存在固有的安全问题。我的建议是一个简单的过程,可以减少这种特洛伊木马硬件的大多数攻击面。这是低垂的水果。

迪尔伯特2011年6月29日上午11:37

具有讽刺意味的是,从停车场拿起U盘的人可能会因为“谁知道它在哪里!”而急于洗手,然后他们会把它插入电脑,而不采取类似的预防措施。

帕特里克·W·巴恩斯2011年6月29日上午11:38

我不认为硬件或软件供应商可以采取任何措施来消除连接到系统的设备所带来的风险,我也不希望他们采取任何极端措施。当然,他们可以采取一些措施来降低风险——强化驱动程序,始终将可移动设备的内容视为不可信和潜在的有害内容,应用短路和不良电源保护等,但最终总会有风险。

虽然我希望硬件和软件供应商尽可能多地做,但这仍然留下了只有用户教育才能填补的空白。人们必须合理怀疑所有硬件。不仅USB设备会带来危险,而且USB设备的便利性、普遍性和功能也让它们很容易受到攻击。人们需要意识到危险,然后才能决定他们愿意接受的风险水平。

如果公众不知道特洛伊木马硬件的潜在危险,他们可能没有意识到他们需要质疑他们使用的设备的背景。我们已经形成了一种文化,在这种文化中,大多数人天生信任他们遇到的所有电子设备,这种心态需要调整。在上面的评论中,食物的类比已经重复了好几次。也许我们需要教会人们对待电子产品的态度,就像对待食物一样。一旦这种调整后的心态盛行起来,嘲笑那些过度冒险的人可能是公平的,就像嘲笑那些在人行道上吃东西的人一样。

布莱恩22011年6月29日上午11:39

@库尔特·威斯默
“如果你把东西放在电脑里比放在嘴里更不小心,那么你可能是一个安全白痴。”

相反!把错误的东西放在我的电脑里会给我带来不便(可能严重),因为病毒会导致一个空的银行账户,或者可能会导致刑事指控(如果它在我的硬盘上放了非法材料并向FBI发送ping命令)。

OTOH,把错误的东西放进我的嘴里会杀了我。

我不知道你怎么想,但我认为死亡比金钱损失或入狱更糟糕。

特别提款权2011年6月29日12:03 PM

事实上,我曾经在停车场发现一个完整的笔记本电脑包(装有睡眠笔记本电脑)。我当然很担心,想试着找到主人。

我在第二次尝试时猜到了密码,最后找到了一些关于主人的信息。快进几个小时后,我接到了那个家伙的电话,他完全欣喜若狂,我们约好见面,这样我就可以把它还给他了。

长话短说:它被体液“残留物”覆盖,结果我得了非常严重的皮疹。

始终要小心任何未知的it设备,因为我在这里告诉你,感染就是感染!

卢兹克2011年6月29日12:23 PM

我把一根usb棒插入我的肛门,低头看……我感染了病毒🙁 但它治愈了我的血吸虫病。

附言:我刮腋毛。

英仙座2011年6月29日12:27 PM

@加布里埃尔
“”“无论何时连接新的HID设备,主机都应在枚举设备并接受输入之前提示用户。因此,默认键盘和鼠标在设置后都将被“信任”,任何新的特洛伊木马设备都将至少等待确认,例如“您插入了一个新的USB键盘。确实要启用它吗?如果此设备不是键盘,请立即将其拆下。”

他们本可以给他送一个键盘,而不是鼠标。

加布里埃尔2011年6月29日12:28 PM

关于USB特洛伊木马,我们能做的最好的事情是降低风险,而不是消除风险。任何有决心的攻击者都可能窃取您的鼠标/键盘,并在USB电缆和鼠标控制器之间插入一个小微控制器。新的控制器将假定代理设备的描述符,而其中一个并不明智。邪恶的微控制器然后可以执行脚本化的输入命令或通过RF接受它们。

最好的选择是采用驱动程序/主机更改,这样可以降低风险并使大规模攻击变得非常困难。这可能包括对此类设备进行沙盒处理,并将其文件内容视为不可信。此外,USB类规范为HID、MSC和CDC提供了基本身份验证。同样,这些对我上面概述的MITM攻击没有任何作用。为此需要安全通道,而这种加密对于此类设备上的低端1美元到5美元控制器可能不可行。

乔什·温斯洛2011年6月29日12:36 PM

@本
有一条规则是“如果有人做了让你感到不舒服的事,告诉一个成年人你信任他”,以涵盖不幸的更常见的情况。然而,这并不能排除对陌生人有点不信任这一规则的必要性。除此之外,规则不是“对任何与你交谈的陌生人尖叫”,而是“不要从陌生人那里拿走糖果”。在我的家庭里,这意味着不要相信你所不知道的东西的来源。也许这不是标准。

安迪·R。2011年6月29日12:38 PM

从某种意义上来说,布鲁斯的原始文章中引用了迈克·拉什的话是正确的:如果有人不知道如何安全地使用他们拥有的工具,那不是工具制造商的错。如果你有一个旋转锯,你不知道不要到处把随机的东西锯成两半,你会把锯子弄断或把胳膊割下来。如果你有电脑,不知道不要四处引入随机的设备或文件,你会感染病毒、特洛伊木马或键盘记录程序。告诫皇帝!

但这并不意味着工具制造商不应该继续寻找使工具更安全的方法,这样那些愚蠢到到处乱跑并看到随机物品的人就有更好的机会不把弹片放进眼睛,而那些愚蠢到连找到的每个USB驱动器都插上的人,更有可能不破坏公司网络。让产品更安全是让产品更好的主要方法之一,无论是电动工具、汽车、网上银行服务还是操作系统。

布鲁斯,当你说“问题是操作系统信任随机的USB记忆棒。问题是,操作系统会自动运行一个可以从USB记忆棒安装恶意软件的程序。”时,我同意你的说法。但并非所有操作系统都是这样。苹果的OSX不会在插入的USB记忆棒上自动运行任何东西。企业环境中的Linux可以设置为自动运行,也可以设置为不自动运行,这取决于管理员的意愿。谷歌上的一个简短浏览显示,Solaris在20世纪90年代的某个时候关闭了自动运行。

在我看来,对于那些选择信任微软以确保其在操作系统级别安全的人来说,这种攻击工具主要是一个问题。这种威胁的持续存在,以及你对听到这些故事的持续沮丧,表明这对他们来说不是一个很好的选择。由于其他一些公司和团体已经解决了这个问题,也许担心这个攻击向量的用户应该升级到这些操作系统中的一个。问题解决了。

哈利2011年6月29日12:40 PM

这里存在选择素偏向。我一点也不奇怪,大多数拿起USB的人都把它插上了。那些知道这是个坏主意的人一开始就不太可能拿起它。

加布里埃尔2011年6月29日12:44 PM

@英仙座:是的,在这一点上它是一个看起来像马的特洛伊木马。但系统可能会被配置为管理员必须批准新设备。同样,这个想法是为了更难伪装成其他东西,更难在受害者的机器上执行代码、io或命令。事实上,有一些低挂起的水果,在不破坏USB的情况下,将大有帮助,但尚未实现。

迈克·沃特2011年6月29日下午1:15

不是用户的问题,而是缺乏合理的安全模型。主流系统中仍然缺乏基于功能的安全性,这种情况将继续发生(与蠕虫、病毒等一起),直到这种情况发生变化。

如果用户可以在默认情况下对东西进行沙盒处理,并且只根据需要授予功能,那么这种事情发生的频率就会低得多。目前没有一种简单的方法可以做到这一点。

德克·普拉特2011年6月29日下午1:24

一如既往,真相介于两者之间。

首先,我们需要区分无知和疏忽。前者没有理由称某人为白痴。不幸的是,后者往往与愚蠢紧密相连。然而,这两者都会给你带来严重的麻烦,而不仅仅是从法律角度来看。以无知为理由不遵守路标或其他交通规则不会阻止你获得罚单。根据侵权法,因疏忽而对第三方造成的损害将产生后果。

此外,私人环境和办公室环境之间存在明显差异。如果一个普通的电脑(安全)文盲在家里把一个未知的USB插入他的个人电脑,盲目地相信操作系统的默认设置和行为,那么随后就会感染恶意软件,这太糟糕了。大多数COTS操作系统的可用性优于安全性权衡,这些设置在成为常见攻击向量之前不会更改。Windows的自动运行功能只是众多功能之一。用户在灾前或灾后是否投资自我教育基本上取决于他,记住,如果安全故障危及或以其他方式损坏了他的机器,起诉任何供应商可能是没有意义的。可悲的事实是,连接到任何设备或网络都可能像操作链锯一样危险。尽管这永远不能成为供应商或服务提供商离开他们的借口,但忽视这一简单事实等于否认自己在这件事上的责任和义务。

IMHO在企业环境中的情况完全不同。在IT安全方面未进行尽职调查的公司并不比那些不进行适当会计管理的公司好。如果他们没有适当的培训/教育,对IT政策和程序漠不关心,或者无法安装Windows GPO以防止非工程人员插入USB设备,那么问题不在于用户,而在于公司。但正如上面已经指出的,这样的做法也应该得到高管的充分支持和实践。不幸的是,根据我的经验,在太多的环境中,正是这个群体是正确安全协议的主要障碍,因为他们认为自己可以免除。

作为一则轶事,我想以一个我曾经工作过的公司为例来结束我的演讲,该公司的(外部)设施经理有一天进行了一次未经宣布的徽章政策执行练习。任何出现在门口且无法出示公司徽章的员工都被拒绝进入公司,并被送回家。其中一位是大区经理。猜猜谁的头被砍掉了。

托尼·P2011年6月29日下午1:32

你不能指望这家设备制造商继续在他们的产品中添加安全保护装置来迎合愚蠢的人。“做一些白痴证明,他们会成为一个更好的白痴。”这是我们整个社会的问题。我们不断地让人们变得更懒惰和愚蠢。(电影:Idiocracy)只要阅读一些警告标签,你就会发现,对于大多数警告,实际上有人做了警告所说的不该做的事,从而提示了警告。教育是起点,更严格的执行/惩罚是如何贯彻到底。让人们变得愚蠢,最终愚蠢消减人群。

悲歌2011年6月29日下午1:41

几年前(现在这种情况可能不太常见),在某个公共图书馆系统中,有这样的情况:一本书的背面的塑料袋中会有一张软盘(3.5英寸(或8.89厘米))。(对于某些书籍,这是一种方便的方式,可以包括随书附带的软件或源代码。)据我们所知,对于此类书籍,图书馆会在磁盘口袋附近添加一个标签,警告用户在使用之前检查磁盘是否有病毒。(对于那些考虑借出软盘用于传输软件或预先生成的内容的库来说,完全删除写保护标签以从本质上使磁盘永久受写保护可能不会有什么坏处。)根据我们的记忆,图书馆分支机构也有VHS磁带,磁带上添加了标签,警告图书馆不对用户播放器的任何损坏负责。

如果有人借了一本包含软盘的图书馆图书,并在磁盘上发现了恶意软件,图书馆很可能会求助于之前借书的一方(取决于此类借书记录的保存时间。)即使如此,前借款人可能很容易证明他们不可能知道恶意软件或它是如何在磁盘上出现的。

关于未知来源食品的消费,以下可能是有趣的。在布鲁斯·兰斯基(Bruce Lansky)的书《墨菲母亲定律》(Mother Murphy’s Law)(梅多布鲁克公司,1986年)中,第32页有一个有趣的观点,关于婴儿吃在地上发现的食物(或类似的“恶心”食物)的情况:婴儿吃这样的食物可能不会生病,但看着婴儿吃这种东西的父母会生病。虽然这可能是为了幽默,但实际上可能离现实并不遥远。(事实上,仅仅表现出一种有害的行为就可能引起旁观者的恐慌。)

库尔特·威斯默2011年6月29日下午2:09

@布莱恩2

如果你认为USB恶意软件只能做到这一点,那么你对电脑被用来做什么的看法就比我要有限得多。

stuxnet是USB恶意软件(及其影响)的明显例子,您的论点未能解释。

杰夫·舒劳德2011年6月29日下午2:54

@布鲁斯:真不敢相信还没有人抓到你的大猩猩。

“”“当然有人插上了瑞银棒和电脑磁盘。”“”

应为:
当然,人们会插入U盘和电脑磁盘。

克里斯2011年6月29日下午3:03

这让我想起了一位终端用户曾对我说过的最有趣的话:“每次我从家里带来一张磁盘,你的防病毒软件就会弹出,告诉我它被你的一台电脑感染了。”

有些用户是白痴,但管理员的工作是使他们的系统尽可能防白痴。如果我仍然负责台式机,我会在4年前第一次听说这个“社会工程”的小把戏时锁定USB自动运行功能。如果你负责环境的安全,但现在还没有这样做,谁是白痴?

切洛维克2011年6月29日下午3:05

关于特洛伊木马鼠标……即使你的电脑弹出一个通知说:“嘿!你刚刚插入了鼠标+键盘+闪存驱动器!”普通的乔会在意吗?普通技术人员会在意吗?如果我插上一个鼠标,它也可以识别自己是键盘,我会想,“整洁。也许这东西有宏功能!”那真的是一个有用的设备!如果鼠标(像这样设计,看起来像一个随机的宣传片)也将自己标识为闪存驱动器,我会翻白眼,想知道营销天才是怎么想的那个向上。一个组合鼠标/闪存驱动器肯定不会是我收到过的最愚蠢的一块卖家的东西。

简而言之,这是一项了不起的社会工程。我认为除了最偏执的人之外,我们所有人都会上当受骗。

尼克·P2011年6月29日下午3:39

@Bruce Schneier谈用户为什么要受到指责

“人们还应该用它们做什么?”

丢弃它们。许多年长的非专业人士仍然知道病毒通过软盘和电子邮件传播。(他们以前也对我说过很多。)人们也理解这样一个普遍概念:将功能未知的设备放入另一个重要设备中是危险的。

如果你看到5W-30贴有标签的机油躺在地上,你会自动把它放进车里吗?如果你看到一个杯子,你会自动从中喝水吗?如果你看到制冰装置,你会自动尝试将其连接到冰箱吗?在所有情况下都不是。普通人都知道使用野外发现的未知物有风险。像往常一样,他们可能只是对数字风险漠不关心。这是他们的错。此外,许多人将这些东西插入以窥探或尝试获取有价值的东西。这是一项道德上有问题的活动,经常伴随着风险。双重失败。

“问题是,操作系统会自动运行一个可以从U盘安装恶意软件的程序。”

大多数人没有,但这肯定是一个问题。为什么存在这个问题?因为制造商不专注于构建安全系统。他们为什么不建立安全的系统?>>因为用户不会购买<<<

大多数用户希望采用风险管理模式,即他们购买快速、美观、廉价的不安全系统,然后偶尔处理数据丢失或系统修复。愿意为质量支付高额费用的人群总是非常少,并且有针对该市场的供应商(例如TIS、GD、波音和Integrity Global Security)。

因此,如果用户要求的是与安全相反的东西,那么资本主义系统生产者不应该给他们想要的东西吗?这是基础经济学,布鲁斯。他们做了有利于盈利的事情。他们唯一一次开始大规模建设安全的个人电脑是在政府授权的时候。一些公司,作为质量部门的一部分,甚至要求他们保护孵化公司的I.P.并降低银行的内部风险。当政府扼杀了这一点,需求再次下降时,他们都开始再次生产不安全的系统。那么,如果用户的需求是必需的,而他们没有要求,那又是谁的错呢?用户。他们过去是,将来也是。

好的一面是,这些用户正是我可以用一款纤薄漂亮的智能手机向朋友发送照片的原因。他们还为我们提供了寿命短的1TB硬盘,这些硬盘的低成本使得寿命短的部分可以忍受。他们也可能是我为什么在家里有一个功能齐全、快速、廉价的无线路由器的原因。因此,至少一些好处来自用户对需求的选择。但是,他们绝对不接受真正安全性的权衡,他们不要求安全性,生产安全性不值得,这就是他们的错。

(老实说,进化和人类大脑的固有模式才是真正的罪魁祸首。社会/文明的发展速度远远快于人类大脑与之适当互动和评估风险的能力。这是一个我一直在考虑写一篇论文的宠物理论,它详细地展示了每个缺陷和交互作用。但是,人们也足够聪明,知道自己的弱点,并采取负责任的行动。他们通常故意保持无知或冷漠。所以我责备他们。)

尼克·P2011年6月29日下午3:45

@帕特里克·巴恩斯

“我认为硬件或软件供应商无法采取任何措施来消除连接到系统的设备所带来的风险,我也不希望他们采取任何极端措施。”

IOMMU单元限制设备访问的内存区域的读/写访问。像这样的技术存在于80年代的硬件领域。一些90年代早期的B3/A1安全内核使用段来限制某些非DMA设备的访问。与Aegis&SecureCore一样,集成RAM加密和芯片签名,使得恶意设备只能导致可用性损失。SecureCore的修改很少。IOMMU的修改是最小的,SecureCore保留了许多遗留的VHDL/Verilog代码。

我们已经拥有在COTS系统中使用不受信任设备的技术。我们差不多有三十年了。工业界并没有这样做。PCI本可以内置访问控制。USB可以使用唯一标识符进行设备和芯片加密传输,使用快速算法。有很多可能性。事实仍然是:他们可以负担得起地解决问题,但他们不在乎,因为用户也不推他们。我看到的唯一例外是高端智能卡:MULTOS、Caernarvon、某些Infineon芯片等。

2011年6月29日下午3:59

@尼克·P:

他们为什么不建立安全的系统?>>因为用户不会购买<<<

大多数用户想要风险管理模式,即他们购买快速、美观、廉价的不安全系统,

你怎么知道的?您是否曾尝试过首先向“用户”销售真正安全的系统?

或者你有没有把“大多数用户”塞进谷仓,告诉他们在回答完你的100个问题的用户购买习惯问卷之前,不允许他们上厕所?

实际上,我确信,如果你为“大多数用户”提供了一个安全的系统或一个非常不安全的系统,他们中的大多数可能会选择前者。“快”和“便宜”这两个其他因素可以忽略,因为你只是添加了它们来支持你的观点。

“安全系统”(相对术语,nb)也可以制造得既快又便宜,但在这个系统中,当它们现在安全时,谁会有附加值呢。因此,让我们从用户身上榨取更多的钱。

无效2011年6月29日下午4:06

@尼克·P。

“如果你看到5W-30贴有标签的机油躺在地上,你会自动把它放进车里吗?如果你看到一个杯子,你会从中自动喝水吗?如果看到制冰装置,你会尝试自动把它连接到冰箱上吗?在所有情况下都不是。普通人都知道使用野外发现的未知物有风险。像往常一样,他们可能只是对数字风险漠不关心。这是他们的错……”

一些海报在这里使用了类似的比喻。但你似乎没有读过那些指出这些类比是错误的帖子。仅仅看一瓶放在地上的机油不会伤害你的车。普通用户认为插入usb驱动器只会让他们查看内容。如果他们对看到的任何文件都不做任何处理,那也没有什么害处。这种假设虽然在许多情况下是错误的,但对大多数人来说是相当合乎逻辑的,不像吃一块地上的食物或往曲轴箱里倒东西。

尼克·P2011年6月29日下午4:18

@al在

“你怎么知道的?你有没有试过首先向“用户”销售真正安全的系统?”

过去许多公司都这样做了。棘手的是,安全系统在设计的每一个级别都需要三件事:对每一次信息访问的中介(受制于对象);抑制主要隐蔽通道;可验证性。这些原则意味着安全系统的性能将大幅下降,在可用功能方面始终落后于不安全的市场,使用/管理更麻烦,成本更高。这些问题中的每一个都可能出现在安全设计中。有多少不同。

此外,你可以看到客户一直在以便利/美观/成本换取安全。这里有几个例子。

锁匠说,你可以花30美元买一把像样的锁,也可以花80美元买一个几乎没人能买到的Medeco/Assa,以保护你的家。他们很少选择Medeco/Assa。

沃尔沃很少能战胜外观更好、规格类似的汽车。

买得起钢门的人通常会出于美观的原因选择木门。

大多数公司和个人的安全预算很少。他们认为这是可以自由决定的。

更安全的橡胶夹钳价格仅为几美元,而其他产品的售价则低得多。

意识到身份被盗的人仍然经常在结账线上向陌生人手签自己的全部个人信息,因为他们的支票簿在以后平衡预算时更方便。

依此类推。这是一个持续的趋势。安保/安全只占很小的一部分,其他因素在大多数时候都是有利的。

“实际上,我确信,如果你为“大多数用户”提供了一个安全的系统或一个非常不安全的系统,他们中的大多数可能会选择前者。”

询问任何百思买销售人员,哪些因素最能决定哪些人在那里购买电脑。是因为它们的外观/感觉、速度和价格吗?或者它们的可靠性和安全性如何?具体来说,问问他们有多少次有人在一周内要求购买性能可接受的最可靠、最安全的PC。如果他们有答案,我敢打赌他们能记住每个人,他们将是如此的少。

“另外两个因素“快”和“便宜”可以忽略,因为你只是为了支持自己的观点而添加了这两个因素。”

哦,当然。人们对拨号速度、视频编辑中极长的等待时间以及缓慢的互联网访问感到很酷。他们不想少花钱多办事……我想知道你是在耍花招还是真的?我倾向于前者。

尼克·P2011年6月29日下午4:22

@空隙

“这里有几个海报使用了类似的类比。但你似乎没有读过那些指出这些类比是错误的帖子。仅仅看一瓶放在地上的机油不会伤害你的汽车。普通用户认为插入usb驱动器只会让他们看内容。如果他们不做任何事情他们看到的任何文件,都不会造成任何伤害。”

这是一个有争议的观点。许多用户会这样想,但这种类比对他们来说是失败的。许多用户还知道,在电脑中插入内容会带来风险,至少他们打开的其中一个文件可能有病毒。知道这一点的用户比人们认为的要多。他们做什么?打开他们在地上找到的存储介质上的随机文件。他们只是忽略了任何风险考虑。对于这些用户来说,这个类比很合适。

然而,我更重要的一点是那篇文章的第二部分。关于用户需求、投放市场和退出市场的部分。安全性很少是需求的一部分,市场只会满足需求,让用户负责。我想听听人们对用户责任经济方面的看法。

T博士2011年6月29日下午5:10

@托尼·P:“……让人们变得愚蠢,最终愚蠢地消减人群。”

在我们当前的社会中,愚蠢的人很少英年早逝。他们几乎和聪明人一样长寿,而且他们的孩子往往比平均水平还要多。在智力方面,我们有反向达尔文主义。

布莱恩·菲尔2011年6月29日下午5:11

@切洛瓦克:
“鼠标/闪存组合驱动器肯定不是我收到过的最愚蠢的供应商大礼。”

实际上我在家里有一个Compaq品牌的USB鼠标,鼠标的扶手向上翻转,露出SD卡插槽。所以它实际上是一个组合鼠标/驱动器。当时,只需一个USB端口,没有SD卡插槽,就可以连接到我的旧笔记本电脑。考虑到我多年来从未见过有这种连接限制的笔记本电脑,现在它就没那么有用了。

迈克2011年6月29日下午5:38

发现废弃注射器的人通常会拿起注射器并将其刺入怀中吗?这不同吗?

王蛇2011年6月29日下午5:51

最近在某个地方看到一篇文章,他们黑客攻击了一只老鼠,然后把老鼠送到指定的目标,让他们把鼠标插上,然后老鼠自己抓住了所有的好东西并把它们传回了基地…

帕特·卡哈兰2011年6月29日下午6:09

我喜欢人们比较USB记忆棒的方式(几乎每个人都有,通常使用无害,经常丢失)…

……其他大多数人从未单独使用过的物品(制冰装置?),或不能无害使用的物品(非消毒注射器),或通常不会丢失的物品(罐装机油?)

为了记录在案,如果我在一家汽车店的停车场看到一罐密封的机油放在地上,我会认为有人不小心把它忘在了那里,然后把它带回家用在我的割草机上。是的,有人可能会用邪恶的东西填满它。把这个邪恶的罐子放在汽车店的货架上会有多困难?如果你想相信汽车店会给你提供未经加工的机油,而汽车店几乎没有任何安全对策,为什么你不相信停车场的罐装机油呢?

如果你看到地上有一个U盘,几乎在所有情况下都会掉下来。如果上面有你的标志,几乎在所有情况下都会被删除由你自己组织中的某人.

试图弄清楚它属于谁不仅是正常的人类行为,而且值得称赞。即使你很自私,打算只保留这个东西,但发现它有多大完全是正常的人类行为。

自动运行问题实际上就是问题所在,因为它假定正常的非权威操作(插入U盘以读取文件)是权威操作(请运行/安装软件)。

这就像说,“哦,有人登录了机器。我会给他们root权限,以防他们需要”是一个合理的安全模型。

鲍勃·凡·瓦尔扎2011年6月29日下午6:11

我希望我的孩子们在这样一个世界里长大:在安全设施工作的人对他们在停车场发现的东西不那么信任。我希望他们成长在一个默认操作系统策略受到世界上不可否认存在的恶意意图影响的世界。但在未来到来之前,我谴责那些部署如此不安全的基础设施的人,因为他们的行为如此可预测。

罗伯特·T2011年6月29日下午6:55

我记得听说有传言说Stuxnet的发行也以使用掉落的USB记忆棒为目标。我不记得它在什么网站上。

我想这是分发任何自定义恶意软件的理想载体,因为您可以在任何AV包收到签名之前在整个组织中传播并获得广泛感染。我想我只是感到惊讶的是,没有更多这样的事情发生。问题是大多数公司电脑的USB端口都被封锁了(我想知道为什么?)

德克·普拉特2011年6月29日下午7:25

@铝

“实际上,我确信,如果你为“大多数用户”提供了一个安全的系统或一个非常不安全的系统,他们中的大多数可能会选择前者。”

呃,不。除了通常的嫌疑人外,没有任何个人或公司会对安全系统发表评论,除非/直到他们受到恐惧或遵从性的驱使。我以前可能说过,但几年前,当一些决策者购买我们的设备时,我放弃了理性销售,不是因为价格或功能,而是因为他喜欢机架上的荧光前面板和存储单元上非常酷的蓝色灯。

Windows成为主导的桌面操作系统,因为多年来它很容易复制,而且基于x86的机器比mac便宜。苹果从灰烬中苏醒过来,因为OSX是光滑、性感和直观的。史蒂夫·乔布斯不仅从许多M/S和IBM的失败中吸取了教训,他还了解是什么促使人们选择购买苹果产品。从历史上看,安全或隐私问题从来都不是平衡的真正部分。

除了一些利基参与者外,供应商、制造商和服务提供商都不提供安全系统,除非客户明确要求,并且愿意(并且能够)接受随之而来的常见可用性不便。最不幸的是,他们仍然喜欢把头埋在沙子里,即使他们的屁股着火了也要把头埋到沙子里。

几天前,当我追溯到一家比利时天主教组织时,我又一次痛苦地证明了这种行为。当时,我把一个未指定密码的数据库放在了pastebin上,并在推特上由一家荷兰匿名/反安全组织发布。常见的东西:5000多个电子邮件地址和附带的来自SQL表的DES-passwords,很可能是通过简单的SQLi获得的。尽管我给该组织的联系人和网站的创建公司都发了一封电子邮件,但我没有收到任何回复,迄今为止也没有对此采取任何行动。除非向媒体披露,否则他们可能根本不会采取行动,我自己也不打算这样做,因为我担心他们会枪杀信使,而不是实际处理这个问题。

罗伯特·T2011年6月29日下午8:22

还有一个想法,如果你认为PC上的USB存在这个问题,那么你会喜欢这种攻击向量的变化,这在支持蓝牙的智能手机上是可能的。

林恩2011年6月29日下午8:26

当我读初中的时候,我的一个朋友和我为mac制作了一张恶作剧自动运行软盘,它改变了mac操作系统的所有注册表项,使之变得有趣(青少年恶作剧)。

我们复制了一张磁盘,贴上了“请勿插入计算机”的标签,并将其放在了某处。

在几周内,到处都有几十个拷贝(我们没有制作),几乎该地区的每一台计算机都被感染了(而且它不是病毒或蠕虫,它不会自行传播,也不会感染其他软盘或其他任何东西)。

所以它似乎仍然有效。

钻石Geeza2011年6月29日下午8:34

这里有一个好奇的因素在起作用——我的意思是,如果你碰巧看到一个刻有D.H.S.标志的官方U盘,谁会对它上的内容不感兴趣呢?如果他们用一个看起来像垃圾的破旧U盘进行同样的测试,我相信他们会得到不同的结果。考虑到用户肯定在运行防病毒软件,他们可能认为自己无论如何都会受到保护。顺便提一下,有一次当我在酒店停车场上车时,我碰巧把一个上面有重要东西的U盘掉了下来(源码也不少)。几小时后,我沿着原路返回,它仍然在那里(!),躺在我掉下来的地上。幸运的是,它看起来像一块旧垃圾。

尼克·P2011年6月29日下午8:42

@德克·普雷特

我在阅读的一篇新论文中找到了对我们的主张的更多支持。它被称为“从构建高保证加密网关中吸取的教训”。它基本上是通过不受信任的网络(如互联网)连接COTS工作站。在此过程中,它维护数据的机密性和完整性。它还提供了强制访问控制(我认为是Bell Lapadula),以确保COTS工作站只获得其许可的数据,其他警卫也知道其许可。

从描述中我可以看出,该设备的设计旨在评估为EAL7,这是最高级别的保证。他们满足了所有的要求:正式的设计规范;正式安全政策;抽象设计、具体设计和代码之间的形式&半形式映射;功能和渗透测试。当现实来临时,他们正要进入评估阶段:

“从这个项目中学到的最大教训是很难的。在我们完成产品认证之前,管理层切断了我们的资金。他们为这个惊喜辩解的理由是,我们的产品没有市场。”

他们详细说明,他们并没有真正得到他们所需要的高级管理层的赞助。这导致产品终止。然而,我认为这适合于这次对话。这是一个海军项目。海军安全工程项目的管理人员认为,即使在政府部门,也没有真正安全的MLS/IPSec VPN的“市场”。即使他们错了,也可以准确地重申:“高保障安全的市场非常小,存在现有的解决方案/合作伙伴关系,很难向任何人,甚至是他们,推销新的高保障产品。”

IEEE链接
http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?isnumber=5705585&arnumber=5669248

注:仍有公司尝试并瞄准这些细分市场。波音公司的SNS服务器为A1,正在对EAL7进行评估。MULTOS根据类似EAL7的ITSEC E6标准进行评估。完整性-178B为EAL6+。BAE公司的XTS-400/STOP生产线已从A1/EAL7(SCOMP)逐渐下降到B3/EAL6(XTS-200至400),再下降到B2+/EAL5+(XTS-500)。大多数高保证认证都是数据二极管,它们只是非常有用。政府也不允许高保证供应商使用RAMP跳过对未更改代码/规范的重新评估,这是他们最初承诺的。这使得GEMSOS、Trusted Xenix等产品远离市场。

不,根本没有市场。我有一个应对方案,但在美国无法做到。如果你同意保密,我会通过电子邮件私下与任何人分享。我很想看看人们对新商业模式的看法。

洛尔伍特2011年6月29日下午9:45

好的,我已经浏览了评论,我没有看到任何人提起这个,所以我会提起。

我做联邦雇员已经三年了。每一年,我所在机构的每个人都要参加强制性的年度安全培训模块。“把神秘的U盘扔在走廊或停车场”的伎俩被明确地认定为文学上的小闪光灯和危险标志,比如“如果你在地面上发现一个不是你的USB设备,把它交给安全人员,无论你做什么,都不要把它插入你的电脑,因为这是一个安全威胁。”

稍后,我们在模块的末尾进行了一个小测验,问题是“Bob在停车场的地上发现了一个U盘。他应该怎么处理?”我相信每个机构都设计了自己的安全培训,所以我并不是说每个人都会收到相同的警告,但拜托。如果我的机构中有人被发现通过这个技巧意外引入恶意软件/黑客,我不会担心过度的受害者欺骗。我建议他们被解雇,因为他们显然不能被信任不做这件每年都会被提醒的事情。

理查德·史蒂文·哈克2011年6月29日11:19 PM

哇,有很多评论,所以我没有费心把它们都读一遍——只是注意到我前几天提到的那个被操纵的鼠标有多少次被提及而没有归功于我。🙂(我不在乎,记住,我只是觉得很有趣。)

底线是:除非人们被训练去思考他们的个人安全,事实上没有人是这样的,即使是在“不信任陌生人”的模因(这是对孩子和成年人的宝贵建议,因为这是绝对正确的,尽管它应该延伸到“不信任任何人”),人们几乎没有机会不做像这样危险的事情。

如果你想让人们正确地思考安全问题,那就让他们报名参加Togakure忍术课程,在那里他们会教你安全是一种生活方式,是对生活的承诺。而且根本不存在所谓的“安全”

否则,像“不要在你的电脑里随机插入USB驱动器”这样的小迷因并不能消除它。

这当然让我回到了我的迷因:没有安全保障。把它吸干。

这正是因为你在与99.9999%的人打交道,他们没有接受过个人安全方面的培训(更不用说计算机安全了)。

儿童教育中最重要的改进可能是从幼年开始进行广泛的武术训练,包括武术哲学。它不仅可以改善我们肥胖孩子的身体健康,还可以通过减少恐惧、提高心理稳定性、改善反应能力、教会他们面对危险(911事件后这将大有帮助)和个人问题时保持冷静等方式改善他们的精神状态。

它还将通过在普通人中产生适当和可控的一般安全意识来改善计算机安全,然后可以以此为基础向他们灌输“技术安全”,包括计算机安全。

史提芬2011年6月29日11:42 PM

这与几乎所有社交游戏都面临的问题相同。人们往往根据自己知道的事情行事。

如果受到压力,人们往往要么否认无知,要么对自己的无知一无所知:也就是说,大多数人认为自己知道的比实际知道的多。这就是假设的工作原理。

[我想知道有多少人插上了usb记忆棒,看看能不能把它们还给主人?这主要是出于善意或不信任的猜测。]

阿洛斯:一些“安全”诉讼指责人们“愚蠢”,因为他们做了显而易见的事情,这只会加剧普通人对这些人的不信任和低评价,以及他们之间的差距。

我的问题不是“这些人为什么要这样做”;问题是“为什么系统没有预料到/期望人们会这样做,并设计了应对措施?”?

在大楼入口处的一笔简单的“遗失财产押金”可能会大大有助于解决这个问题,甚至在它进入网络之前。

安迪2011年6月30日12:27 AM

让我想起一句谚语。
操作系统不是为了帮助你,而是为了确保子弹打到你的脚上

布瑞恩2011年6月30日12:45 AM

@洛尔伍特:

联邦安全人员认为,为了防止人们将U盘插入电脑,每年对员工进行培训是必要的,这一事实应该告诉你一些事情。显然,随机的USB记忆棒仅仅通过插入就可以接管你的电脑,这并不是人们自然期望的。也许工程师和程序员不应该在界面中设计出如此糟糕的安全性,而不是训练和骚扰人们以一种明显与他们相反的方式行事。

我的意思是,USB驱动器必须被操作系统自动信任,并且必须被允许在插入时运行各种代码,这不像是宇宙的物理定律。这是设计师做出的愚蠢的安全决策,然后,每个人都相信,问题实际上是用户没有补偿糟糕的技术。

现在,作为一个有安全意识的计算机用户,我个人非常小心地将USB驱动程序插入我的计算机。每当这个问题出现时,我都会想到操作系统设计师在可移动媒体安全方面做得多么差劲。

yetanothergeek公司2011年6月30日12:57 AM

有一件事我没有看到(也许我错过了),那就是大多数现代电脑也可以靴子直接从U盘。因此,这不仅仅是哪个操作系统或是否启用自动运行的问题,因为如果你的BIOS设置为从USB启动,你插入设备,然后启动/重新启动机器,它可能会在你的操作系统看到之前将自定义的Linux/Mac/Windows rootkit直接放入你的系统。

至于机油/糖果棒/注射器的争论,一个更好的类比可能是:如果你看到地上有一个钱包,你会捡起来吗?毕竟,它可能被炸药操纵或被生物毒素污染!

地下2011年6月30日上午1:15

同样的问题是,为什么人们会接受签名表单的传真,而不是电子邮件中同一文档的扫描图像。

伊恩2011年6月30日1:25 AM

当然,应该有一种“USB避孕套”设备,您可以将其用作PC和USB记忆棒之间的适配器,它(1)通过不允许自动运行来防止病毒从记忆棒跳到PC,(2)通过有效地使记忆棒只读来防止病毒从PC跳到记忆棒?我对将随机的USB记忆棒插入我的电脑持谨慎态度,但同样我也对将USB记忆棒放入网吧或印刷店中不受信任的电脑持警惕态度,因为它似乎总是带着病毒回来。

汤米2011年6月30日2:44 AM

@伊恩和其他人:

冒着让一个难题变得荒谬简单的风险,我刚刚在Sandboxie中打开了我自己的一个USB闪存驱动器,这是一个通常用于浏览器沙盒的免费/nagware或付费程序,但实际上可以打开沙盒中的任何程序或文件。我创建了一个新文件夹“肮脏的邪恶程序”,然后关闭沙盒,沙盒将其清空。当我正常打开闪存驱动器时,肮脏的罪恶程序不在那里。

这意味着它也以相反的方式工作。如果找到的USB上有“Nasty”,它试图写入HDD的任何内容都将包含在沙盒中,并在关闭时转储。因此,您可以安全地查找所有者信息等。

这里的基本问题不是让人们对街上发现的USB驱动器进行沙盒处理,而是要理解,直到高保证系统成为规范,所有浏览器必须在某些类型的虚拟或沙盒环境中运行几乎100%的时间。然后,在沙盒或虚拟机中打开未知的USB驱动器、word文档、PDF、电子表格、视频、音频文件、CD等的概念将成为第二天性。

免责声明:我与Sandboxie没有任何个人或财务联系,我的经验不能保证结果,也不能为您的结果承担责任。仔细调查后,选择您自己的虚拟化解决方案。

csrster公司2011年6月30日凌晨3:00

上面提到的图书馆问题很有趣。我参与了一个国家网络存档项目。对于基于网络的恶意软件,正确的做法是什么?一方面,我们有一项法律授权,将我们的整个国家网络域名存档,用于文化遗产目的。恶意软件、链接垃圾邮件等都是传统的一部分,

另一方面,我们不想感染或欺骗用户。如果我们真的拥有相关的技术和资源,这将是一个有趣的道德和法律两难境地!

亚当·达德利2011年6月30日凌晨3:00

一半的问题是,人们确实想窥探一下,看看,但是的,我们都知道如果我们丢了U盘,我们会非常感激有人把它还给我们,所以我们也这样做。

另一半的问题是,人们正在使用USB记忆棒,那里有更好的方式来移动数据。我使用http://www.lushbackup.com去免费试用吧,如果你喜欢备份,你会喜欢Lushdrive的。它基本上是一个存在于互联网上的U盘。你可以在所有电脑上安装Lushdrive,它就像USB驱动器一样启动。将笔记本电脑上的文档保存到L:驱动器,它会自动显示在所有其他计算机的L:驱动器上。

为什么人们还在使用USB记忆棒,啊,它们很便宜。我想你买什么就买什么。

USB记忆棒很简单,你可以“握住”,这让人们感到安全,很遗憾他们迷路了。

还有其他一些服务与繁琐的备份功能完全相同,我不是建议一个接一个,但这一个很便宜,当我看到其他服务在多台计算机上运行时价格也很昂贵。

丹尼斯2011年6月30日凌晨3:05

很棒的帖子。很高兴看到有人站出来支持非回声的paranoid。坏的记忆棒是你打开UAC的原因!🙂

J S C公司2011年6月30日4:33 AM

问题出在原来的USB所有者身上,而不是那个拿起USB并试图负责追踪其所有者的人。所有USB设备都应加密。我的唯一未加密部分是驱动器卷标,它被设置为我的电子邮件地址(.com部分没有空间,因为最多有11个字符,但足够xxxxx@xxx).

弗兰克2011年6月30日凌晨4:45

就像“75%的人
在公共汽车上读到的被丢弃的报纸。

这更像是“75%捡到钱包的人打开钱包,看看是否有线索表明它属于谁”。至少我和我认识的很多人会这样做。这就是为什么我会考虑插入U盘的原因。也许这些数据有助于追踪所有者。

不同的是,我可能会对我插入的机器更明智。

果然,我想找回我丢失的U盘,而且——是的,这可以说是太天真了——我相信有更多诚实的人而不是不诚实的人,就像不是所有留胡子的外国人都是恐怖分子一样😉

德克·普拉特2011年6月30日上午5:01

@尼克·P。

“如果你同意保密,我会通过电子邮件私下与任何人分享”。

是的,请。

@主持人/布鲁斯:你能把我的邮件地址转发给尼克吗?

@洛尔伍特

虽然这是一件好事,至少有些组织会花时间进行用户意识和安全培训,但你提到的所有实际用途的网络研讨会都是一个彻底的失败。大多数情况下,它们只受合规性规则的驱动,通常外包给第三方,而第三方对此无动于衷。工作人员应该在其他日常任务之间或在空闲时间完成这些任务,因此大多数人都会在尽可能短的时间内浏览这些任务,而不会与同事进行任何互动或讨论。通常在最后的突击测验是一个笑话,在我曾经工作过的几家公司,总有一个人做了测试,写下所有正确的答案,然后把它们传给他的同事,然后他们迅速点击整个测试,得到满分。这不是教育的工作方式,在“培训”一周后,95%的员工仍然记不住,仍然像以前一样愚昧无知,这真的不足为奇。

至于你所指的纪律处分:只要管理层认为同样的规则不适用于他们,就不会发生,因为这是不可执行的。

@布赖恩/洛尔维特

“设计师在做一个愚蠢的安全决策”

不,不是。设计师和工程师不会做出这样的决定。这是销售和产品管理团队所做的。问问任何一位工程师,他每天有多少次因为“为不存在的疾病制定治疗方案”、“非直观的用户体验”或“破坏发布时间表”而遭到抨击。

BF斯金纳2011年6月30日上午6:52

Nick P“海军安全工程项目的经理们认为真正安全的MLS/IPSec VPN“没有市场”,即使在政府部门也是如此。”

这就是为什么需要一个政府版本的SourceForge。或者甚至应该要求保留像这样的孤儿项目。

设计和开发是用税款支付的,即使一组管理人员看不到这一点,也不意味着其他人不会看得到。

里基·贝内特2011年6月30日上午7:31

在贸易展览会上赠送的U盘并不一定是好的。在波士顿的一次贸易展览会上,我收到了一根带有病毒的U盘。这是一根发给所有参加展会的人的U盘,所有展示都在上面。

鲍勃!!2011年6月30日上午8:10

地面上的食物类比是一个特别破碎的类比,因为我确信没有任何人他们的母亲一直提醒他们“我们不使用在地上找到的USB记忆棒。”。虽然吃是食物的正常用途,但对放在地上的食物的正常使用。

对于剩下的地面类比,我在地上找到一罐三分之一满的挡风玻璃清洗液,捡起放进我的车里。我还用过笔、钱、手电筒和其他地上的东西(我不记得所有的东西,因为在地上找到东西并让它使用,这种情况发生得太频繁了,以至于通常都难以记忆)。

杰森2011年6月30日上午8:42

对布鲁斯来说,今天早上在上班的路上,我在停车场发现了一袋薯片。因为它看起来是一个全新的密封背,我把它们捡起来,带到里面吃了——因为这就是它们的用途。

贵族服务2011年6月30日上午8:58

这里也有年龄或知识因素。

如果我的老板在停车场发现了一个USB记忆棒,她会保护好它,可能因为我们的盒子禁用了USB,所以无法查看,然后尝试寻找所有者(可能通过发送整个电子邮件列表,然后创建一个对所有级联故障的回复),因为她认为USB记忆棒“昂贵”(她认为任何与IT相关的东西都很昂贵)。

我会给USB上的数据赋值,并将其保存在安全办公室(负责保管失物招领处)。

斜线笔2011年6月30日上午9:07

正如他们在Slashdot上所说:

当然,人们在工作中使用棍子,如果棍子被感染了,他们在家里使用,那么他们必须处理它。在工作中,这是别人的问题。

完全理性的行为。

BF SK内部2011年6月30日上午9:20

斯拉什多特的完美理性行为

合理的人构造是一个谎言。

人们不会认为“这可能是一个风险,所以我会在工作时打开它。”人们的安全意识并没有那么细致入微,除非他们已经被某种特定的媒介烧毁了。

相反,正如上面提到的,他们会想“我不知道上面有什么。”或者“如果我能看到谁拥有它,我可以把它还给它的主人”

不退出伐木工人2011年6月30日上午9:34

“可悲的事实是,连接到任何设备或网络都可能像操作链锯一样危险。”

很明显,你从未使用过电锯。

T800型2011年6月30日上午9:53

这就是为什么您需要手头有linux live cd。从光盘启动,然后检查usb记忆棒。
如果您的硬盘驱动器位于可更换的机箱中,那就更好了。

德克·普拉特2011年6月30日上午9:55

@不退出伐木工人

“你显然从来没有用过电锯”

实际上我有。不止一次。只需在谷歌或youtube上搜索“链锯事故”。冷却。

帕特里克·G。2011年6月30日上午10:00

有很多不同意见的帖子。

我想知道这些人是否参加过任何会议:想象一下有很多人,有很多文件要传递和共享。
当然,每个人都会使用别人的U盘,插上U盘,读写等等。

这是事实,这些人并不是傻瓜,他们使用的是一种设计好的工具。
给他们一个安全的、像棍子一样简单的转移方法,他们就会使用它。
但在你抱怨之前,不要抱怨。

从荆棘补丁2011年6月30日上午11:12

有时那个白痴不是白痴,有时那个电脑就是蜜罐。我喜欢恶意软件攻击我…

尼克·P2011年6月30日12:35 PM

@BF斯金纳

“这就是为什么需要一个政府版本的SourceForge。甚至应该要求将这样的孤立项目保存到SourceForge中。”

一定地。这么多项目的交付物本可以被公众使用,但却被丢弃了。这个绝对有用。只有经过正式验证的加密组件才能在商业和开源项目中使用。我还试图让公司告诉我,如果有人的话,谁拥有一些旧项目(如Secure Ada Target、DTOS和Trusted Xenix)的源代码或权限。到目前为止,当我接到回电时,请继续进行推介。

我们现在拥有的最接近的东西是验证软件库和Verisoft存储库。Verisoft项目旨在从一系列演示项目开始,在行业中进行普遍的正式验证。当他们制作东西时,通常会将其放在存储库中供同行审查和/或第三方使用。到目前为止,他们已经有了编译器、微控制器RTOS、微内核、处理器和一些软件库。

Verisoft XT公司
http://www.verisoft.de/GoalsAndResults.html

Verisoft存储库
http://www.verisoft.de/VerisoftRepository.html

验证软件库是验证软件项目国际大挑战的一部分。该组织正试图在未来50年内使正式软件工程在全球范围内普及。祝你好运,哈哈。他们的一个次要目标是在一些小功能上完成一系列项目,并将其放在免费的在线存储库中。这让我们逐步建立一个正式验证的软件库。这是个好主意。

验证软件大挑战
http://vstte.ethz.ch/pdfs/vstte-hoare-misra.pdf

已验证的软件库
http://vsr.sourceforge.net/

如果政府一直这么做的话,我们已经有了六个安全的操作系统,最近还有一个VPN。(叹息)

丹·S。2011年6月30日下午3:09

@本,你是爸爸吗?!?诚然,从陌生人那里拿走糖果,或者在很大程度上“信任”陌生人而导致伤害的可能性很小。然而,这种可能性是存在的,在“信任”和“不信任”之间有一个阶段,那就是不信任,那就是谨慎。我的孩子不会在陌生人面前尖叫着跑开,但他们知道要谨慎。

加里·H。2011年6月30日下午3:28

你好,布鲁斯。I、 首先,感谢您对这个主题的慈善、以用户为中心的观点。在我接受适当的教育之前,我在公共汽车上发现了其中一个,上面有IBM徽标,我打算把它擦干净,用作我自己的数据。这是愚蠢的,但我是在无知中做的。我同意你的观点。

英国比尔2011年6月30日下午3:49

RobertT写道:“问题是大多数公司电脑的USB端口都被封锁了(我想知道为什么?)”

哈哈!这是一个好主意。

-圣诞老人

弗莱斯2011年7月1日1:27 AM

CPU的NX位?大声笑

在操作系统中,USB端口也应该有这样的机制![仅数据]

弗兰克2011年7月1日4:27 AM

CPU的NX位?大声笑
在操作系统中,USB端口也应该有这样的机制![仅数据]

实际上,有一些操作系统已经存在;做:

mount-o noexec、nosuid、nodev

敲钟吗?🙂

绿松鼠2011年7月1日6:10 AM

@阿德姆·杜德利,

像Lush Backup(和dropbox)这样的东西很好,但它们永远不会取代USB驱动器。

花大约15英镑,我可以买到一个16gb的USB记忆棒,我可以在任何需要的地方使用(有或没有互联网连接),数据传输率意味着,如果我有理由把所有的16gb都换掉,我就不会在这个过程中老去。同样,这也是我现在所做的永远,我可以选择什么样的安全措施以及如何实现。如果我可以控制谁可以访问它的内容,我可以将它连接到任意多台计算机。

然而,Lush Backup确实为从有限数量的计算机备份基本文件提供了一个极好的资源。它受到互联网带宽(以及适用的下载上限)的限制,这意味着作为一种文件传输解决方案,它不如备受诟病的USB记忆棒那样高效或灵活。

这里有一个不仅指责受害者,还指责中立技术的因素。USB记忆棒对好事和坏事都同样有用。如果我需要与人们共享几GB的数据,那么通过USB驱动器进行共享就太棒了。

正如Bruce指出的那样,问题是我们的操作系统容易受到不可信数据的攻击。

如果我们都转向通过云系统共享文件,情况不会有任何好转(c.f.bittorrent)。去除USB并不能解决用户共享文件的问题。

弗莱斯2011年7月1日上午7:59

mount-o noexec、nosuid、nodev

他们在政府大楼中使用这种技术吗?(或私人承包商)

听起来是个解决方案!

凯里·文斯特拉2011年7月1日上午10:29

Microsoft不会禁用Autorun自动病毒安装程序,因为它被一些开发人员滥用来安装合法程序。

困惑的2011年7月1日上午10:53

食物、油、钱包……为什么不在讨论中进行类比?如果一个用户偶然看到一个网页,而他们不知道它的来源,那么如果他们单击该网页上的任何按钮,是否应该受到保护?

任何形式的计算机输入都会受到攻击,因此唯一真正安全的系统将是计算器线路上的某个东西。用户必须做出合理的决定或排除后果。

给那个在停车场发现油桶并将其用于割草机的家伙;如果发动机停止工作,你会责怪割草机制造商吗?

尼克·P2011年7月2日12:01 AM

@全部

我看过很多关于糟糕类比的评论。也许他们是。但是,这只是我回复布鲁斯时的一个小问题。我指责用户的真正原因,他们的经济选择,还没有被讨论过。我会在这里转载。有人对这个角度有什么想法吗?

“问题是操作系统会自动运行一个可以从U盘安装恶意软件的程序。”(布鲁斯·施奈尔)

大多数人没有,但这肯定是一个问题。为什么存在这个问题?因为制造商并不专注于构建安全的系统。他们为什么不建立安全的系统?>>因为用户不会购买<<<

大多数用户希望采用风险管理模式,即他们购买快速、美观、廉价的不安全系统,然后偶尔处理数据丢失或系统修复。愿意为质量支付高额费用的人群总是非常少,并且有针对该市场的供应商(例如TIS、GD、波音和Integrity Global Security)。

因此,如果用户要求的是与安全相反的东西,那么资本主义系统生产者不应该给他们想要的东西吗?这是基础经济学,布鲁斯。他们做了有利于盈利的事情。他们唯一一次开始集体构建安全PC是在政府授权的时候。一些公司,作为质量部门的一部分,甚至要求他们保护孵化公司的I.P.并降低银行的内部风险。当政府扼杀了这一点,需求再次下降时,他们都开始再次生产不安全的系统。那么,如果用户需求是需要的,而他们没有需求,谁又有错呢?用户。他们过去是,将来也是。

好的一面是,这些用户正是我可以用一款纤薄漂亮的智能手机向朋友发送照片的原因。他们还为我们提供了寿命短的1TB硬盘,这些硬盘的低成本使得寿命短的部分可以忍受。他们也可能是我为什么在家里有一个功能齐全、快速、廉价的无线路由器的原因。因此,至少一些好处来自用户对需求的选择。但是,他们绝对不接受真正安全性的权衡,他们不要求安全性,生产安全性不值得,这就是他们的错。

(说实话,进化和人脑的硬连线模式才是真正的罪魁祸首。社会/文明的发展速度远远快于人类大脑与之适当互动和评估风险的能力。这是一个我一直在考虑写一篇论文的宠物理论,它详细地展示了每个缺陷和交互作用。但是,人们也足够聪明,知道自己的弱点,并采取负责任的行动。他们通常故意保持无知或冷漠。所以我责备他们。)”

汤米2011年7月2日4:47 AM

@尼克·P:

作为经济学MBA的一员,你的帖子完全同意我们这些经济人保守的一个秘密,即“供求规律”。(这一定是一个秘密,因为国会、波图斯和所有其他政客经常试图藐视它。现实总是最终获胜,这就是为什么我们现在处于混乱之中,除非做出根本性的改变,否则我们不会走出困境。)

唯一的小诡辩是,大多数普通家庭用户天真地认为Gov、MS、他们的AV供应商等会保护他们的安全。他们不知道这些威胁有多危险;对家用电脑的随机调查显示,80-90%的人感染了至少一种形式的恶意软件,通常是几种。

我从一个非常聪明的用户那里收到了一个受感染的Word文档,他有两个艺术和教育硕士学位。我看到一位CSci理学硕士的朋友拿起了一个间谍软件“工具栏”。他们只是不教显然,安全是CSci的必要组成部分。它们应该作为单独的模块和每门课程的一部分。但我离题了。

用户冰箱安全;他们的汽车相当安全;这两种设备都是可以使用的,不用担心。他们自然而然地将其扩展到了IT领域,因为他们对此一无所知。似乎市场需求将不得不来自那些在美元、英镑或欧元方面损失更多的企业,而只有严格的责任才能迫使他们这样做。否则,损失将由用户承担。

进化点是好的。一只老虎出现了。试着杀死它,然后获取食物?或者疯狂奔跑,避免成为食物?数字化在人类历史上是如此新奇,如此不同——威胁是无形的。即使是军队也知道要害怕伏击。但不是0和1。这些不是我们进化来评估的威胁。

“人们也足够聪明,知道自己的弱点,并负责任地行事。”

他们可以,但他们没有。人类保持自尊和舒适度的自我封闭能力几乎是无限的,我们的美国学校正在牺牲知识,开设虚假的“自尊”课程。(这是我的一位公立学校教师、教育硕士的朋友的真实报告。)

人们成为酗酒者;吸毒者;投票给那些承诺从“其他人”那里获得利益的政客。

如果人们开车都很好,而且从不受影响,那么就不需要汽车上的安全装置。美国政府终于意识到他们的驾驶性能不好,于是开始要求使用约束装置、安全气囊、防抱死制动系统(我曾参加过一些比赛,并在防滑垫上驾驶,但大多数司机在打滑时都会惊慌失措)、防撞区和保险杠、带衬垫的仪表板和方向盘等…。

恐怕我们在IT领域也必须“保护人们免受自身伤害”。政府监管或互联网监管。

“您无法使用不安全的设备连接到IPv6。您必须使用IPv4,这将在X年后结束。”

不久前,斯坦福大学(我认为是)启动了一个思考项目,“如果我们能够在知道我们现在所知道的情况下,从头开始重建互联网,该怎么办?”我急切地期待着这份报告,假设他们能够确保网络安全。相反,大多数想法都是为了提供更先进的方式,如果你明白我的意思。如果斯坦福这样想…

唯一的选择是梭罗的非暴力反抗:公开支持LULZ型攻击,但一定不要造成实际伤害,只需在网站或浏览器上发布“你被黑客攻击了。我们本可以做得更糟。想想看。”当每个网站和几乎每个用户都看到了这一点……如果这不起作用,可能有必要变得/有点/讨厌,尽管我当然不提倡任何犯罪活动。

美国和苏联只是在一些接近大屠杀边缘的事件发生后才开始削减核储备。It安全可能也是如此。

这些是我对你的看法。

为什么我们会陷入当前的经济混乱,以及这一切与试图规避供求法和其他基本现实原则之间的关系:

http://www.amiright.com/parody/70/donmclean152.shtml

弗莱斯2011年7月2日7:20 AM

汤米,谢谢你的链接。你解释价值的方式(或重新估价->贬值的过程)促使我——对不起,偏离主题——问你:你对数字商店有什么看法?他们肯定会打破供求定律,因为存在无限的供应?当供应接近无限时会发生什么?

还有那个梭罗兄弟和你的“如果一点不服从都不起作用,那就加大赌注”让我想起了泰德·卡钦斯基的宣言,这个方向肯定不是一件好事吗?那么我们不应该更像加纳人吗?

汤米2011年7月2日10:30 PM

@尼克·P:

“新软件的第一个副本花费了一百万美元,其余的都不花任何钱”。你是对的,以接近零的成本无限复制数字信息的能力为等式引入了一个新元素——这正是当前DRM、盗版、盗版等问题背后的原因。

五十年前,很少有人会花钱制作(盗版)书籍的实体副本并在黑市上转售。尽管作者的版税被削减了,出版商已经为您做了广告和促销,但印刷、存储和运输成本仍然大幅削减了盗版的利润率。尤其是因为他必须首先降低出版商的价格,以达到扭转销售的目的。

此外,盗版者还必须宣传其可用性,在互联网之前的世界里,要覆盖所有可能的市场需要花费大量资金。这将为LE留下一条追踪海盗的线索。

所有这些都改变了,这就是为什么盗版已经成为一个主要行业。我在Phillipines网站上读到过,一张破解且可用的Windows DVD的售价只比一张空白DVD的价格高出一点点。

与你关于数字威胁与传统威胁的进化观点类似,这确实改变了过去一万年的经济模式,而执行的困难正在创造新的挑战:如何在不破坏用户机器的情况下保护作者的知识产权等。显然,这远未解决,制定立法的过程才刚刚开始。

一个可能的成功例子是音乐下载。唱片业习惯了,比如说,一张乙烯基专辑要15-20美元,一张(双面)单曲要几美元。他们试图通过CD和数字提单来维持这种价格结构,为盗版者创造足够的利润空间,以承担风险并获取利润。

因此,他们降低了MP3 d/l的价格——我迄今为止看到的最低价格是0.63美元一张,从而向买家传递了一些数字复制的经济效益。此外,还消除了很多海盗的动机:你必须以40美分的价格(低价出售)卖出很多东西才能赚到钱,包括处理付款的成本。

纯粹的用户复制,无利可图,需要彻底重新思考版权法。从理论上讲,我可以(当然,从来没有)观看YouTube视频并自己制作mp3或视频文件。上传的很多内容都已经是受版权保护的材料——原始的乙烯基或CD;他们因违反TOS而关闭用户帐户;但与此同时,可能已经制作了数以百万计的副本,这些副本现在可以无限传递。

食物、材料和劳动力的成本一直都很高,无论是在时间、精力还是金钱上,都代表着一个人的时间和精力。几乎免费复制字节的能力改变了一切,需要我们的思维和法律发生重大变化。你用你提议的HA sw来面对这个问题:显然你已经投入了大量的时间和精力;任何人都可以在没有补偿的情况下复制它,这对吗?

一种市场反应已经出现:捐赠模式。将有免费搭车者,正如传统经济案例中已经存在的那样,但许多人确实希望支持他们所希望的软件或内容的持续开发和发布。但有时,捐款是附带条件的:谷歌向Mozilla捐赠了大量资金,Mozillas提供了回报,例如将谷歌用作钓鱼网站或恶意软件网站的“安全浏览”审查程序,这实际上为谷歌提供了完整的浏览历史和使用情况,这对于广告来说很有价值。或者像Firefox 3+中介绍的那样,地理位置,不仅仅是通过IP(我的通常距离大约20-50英里,这很适合我),而是直接到用户的街道地址。

有F3的副本吗?(当然,我摆脱了F4,因为这一宣布已无可挽回,我不相信F5,因为它显然是在预期发布之前匆忙推出的——F4只推出了三个月,显然还没有经过充分测试,所以F5怎么可能测试得那么多呢?)

对于F3,导航到(Windows XP或操作系统中的等效路径)
“C:\Program Files\Mozilla Firefox\components\NetworkGeolocationProvider.js”

使用写字板或等效工具打开.js文件。它不是一个大文件。查找

函数WifiGeoAddressObject

并查看所有参数,从街道地址到纬度/经度和海拔。

谁负责地理定位?

关于:config>geo.wifi.uri字符串值=https://www.google.com/loc/json

我告诉你,我很震惊!😉 (不是)

所以现在谷歌可以将你的确切街道地址添加到他们关于你的其他档案中。

顺便说一句,代码中的注释很有趣:

//如果我们在5秒钟内没有看到任何东西,就启动一次IP地理查找。
//如果我们正在测试,只需敲击这个回调,这样我们就或多或少地
//始终发送数据。我们是否有接入点并不重要。

//将我们的请求发送给wifi地理定位网络提供商:

//这是后台加载
xhr.mozBackgroundRequest=真;

我不喜欢在背后装东西或打电话回家。

您可以用空格替换该地理URL字符串,并将默认值geo.enabled=true切换为false

我已经要求Giorgio Maone在NoScript GUI中添加一个默认选中的框,以禁用此“功能”,大多数家庭用户肯定不知道这一点,也不知道如何禁用它。他的回答是,无论如何,它都是opt-in,因为想使用此功能的网站会提供一个弹出栏,您可以选中“共享我的位置”,或者“不要共享…”是的,但考虑到过去对历史、缓存、css等的攻击。,它们根本就不应该被分享,肯定有人会找到绕过请求许可这件事的方法。他们找到了绕过一切的方法。

一旦数据出现在那里,你就永远无法删除它们,尽管Fx荒谬地声称清除你自己的历史会以某种方式将其从谷歌数据库中删除。

但你认识我,波利先生。😉 我认为确保没有文件被利用、行为不当、发现缺陷等的最佳方法是将其完全从机器上删除。这里的主要例子。眨眼是的,F3在没有这一点的情况下运行得很好,还有它的同伴,

“C:\Program Files\Mozilla Firefox 3\components\GPSDGeolocationProvider.js”

更不用说了

\组件\nsFormAutoComplete.js
\组件\nsLoginInfo.js
\组件\nsLoginManager.js
组件\nsLoginManagerPrompter.js
\组件\nsPlacesAutoComplete.js
\组件\nSearchService.js
\组件\nsSearchSuggestions.js
\组件\nsSessionStore.js

这也是潜在的隐私泄露,以及

\组件\nsTaggingService.js。(对我来说没用,但有些人可能会用)
\组件\nsUrlClassifierLib.js。
\组件\nsUrlClassifierListManager.js。
\组件\nsSafebrowsingApplication.js。

和“模块”文件夹中,

“C:\Program Files\Mozilla Firefox\modules\CrashSubmit.jsm”

因为崩溃提交会告诉MZ你在做什么,以及崩溃发生的时间和地点。更多不受监控的人打电话回家。在主程序文件夹中添加文件:

程序文件\Mozilla Firefox\crashreporter.exe。
\crashreporter.ini公司。
\crasherporter-override.ini。

在Profile文件夹中:

profiles(配置文件名)\search.json
\urlclassifier键3.txt

我似乎离题了。🙂请原谅个人的咆哮,但关键是捐款往往附带条件。(弦乐——另一个双关语…😉

那么,免费Linux发行版是如何支持自己的呢?如果每个人都自愿,他们就必须有白天的工作…

总之,我不知道答案,其他人也不知道。这是一个不断发展的领域。

这是你所说的“商店”的意思吗,还是这里没有包括其他含义?

我希望克莱夫不会认为我在偷他的“博客评论文章”桂冠。在回复你评论的第二部分之前,我会先休息一下,但是,“加大赌注”是个坏主意。我只是没有看到任何其他东西会让政府、公司管理、公司管理员或家庭用户要求HA,是吗?

尼克·P2011年7月3日上午12:47

@汤米

我很确定你刚刚回复了Vles的帖子,并在上面写上了我的名字。说真的,伙计,他流畅的句子片段甚至和我的帖子相似吗?没有表情符号?哇!?😛

不过,说真的,谢谢你发布了所有关于Firefox的信息。我不知道那个特殊的数据泄露。和往常一样,你的最小化列表很棒。如果我在我的Linux机器上找到这些文件,如果Firefox仍然没有这些文件,我肯定会删除它们。🙂

罗伯特·T2011年7月3日上午1:18

@汤米

我不知道一张DVD在菲律宾的价格是多少,但在中国,市价在3到5元之间。(约为美国40至70摄氏度)。无论磁盘内容是电视、电影、音乐、操作系统还是应用程序。所有的价格都一样。展台上通常会有您选择的Win7、Vista、XP/SP3的副本。如果你从二级供应商那里买了一台新电脑,他们会问你想让他们预装什么应用程序,所有这些都是免费的。Autocad、Officesuite、Adobe、Photoshop都没问题,异国情调/专业的应用程序通常需要几个小时才能找到(所以午饭后再来)

当然,与所有东西一样,没有免费的午餐,因此每个重要的应用程序都有自己独特的rootkit,并伴随病毒负载,有时rootkit会从其他rootkit窃取资源,直到一切都变成梨形。实际上,最好的rootkit也是很棒的AV资源,因为它们在安装后会关闭所有可能的门,有点像安全内核。

汤米2011年7月3日1:21 AM

@尼克·P:

(双面手掌)

人因工程的另一堂课,我特别感兴趣。

“我们看到了我们期待看到的”(或想看到的)。我期待着你的回复,所以我甚至没有看名字。最糟糕的借口可能是:这些讨论非常发人深省,人们希望尽快将想法放在磁盘上。🙁

请告诉我们您在Linux上使用Fx的结果。我真的不知道这些文件怎么能在适当的位置,也不是为什么当W.上的Fx继续为我工作时,L上的Fx会中断。

顺便问一下,你和乔治·马恩认识吗?我对他说的是99%的用户,甚至是NoScript用户,都不知道这个地理“功能”。如果一个像你这样技术含量很高的用户不知道这件事,那么普通家庭用户又有什么机会呢…我也许可以把他指给你,邀请他根据你的帖子做出自己的判断,但我认为他已经下定决心了。我非常尊重他,无论是从个人还是从专业角度来看,他一个人就让许多光技术用户的网络变得安全了,所以我不会推他。

现在,请原谅我,我去再吃一份乌鸦-0

@Vles公司:

谦逊,谦逊的道歉。见以上蹩脚的借口和自我鞭笞。

我同意尼克·P所说的(我检查了他的签名三次😉 在TDSS Rootkit线程:

http://www.schneier.com/blog/archives/2011/07/tdss_rootkit.html#评论

“我不得不说,我同意少数安全专业人士的观点:我喜欢LulzSec,也想念他们。他们,以及像他们这样的人,都表明了当前安全方法的脆弱性。他们提供了更强大的解决方案,一些免费广告,让许多非专业人士问他们的极客朋友:“谁能避免这种东西?”答案各不相同,但可能会让我们大家更安全

如果不起作用该怎么办是一个棘手的问题。你说得对,这是一个糟糕的方向。布鲁斯曾讨论过这样一个问题,即当机器的主人不知道,因此也不会采取任何措施时,将检测和纠正“病毒”输入一台被称为僵尸网络的机器是否合法。我们可以作恶行善吗?不,我不喜欢。未经授权擅自更改另一台计算机或网络在法律上和道德上都是错误的,尽管No-harm LULZ可能会挤在那里的电线下面。有点像,如果我在停车场看到一辆车的前照灯还亮着,而车门没有锁上,我可以关掉前照灯,让车主免受电池耗尽的痛苦——这并不是“犯罪意图”。

但是甘地方法是如何工作的呢?不使用互联网?现在生意上不可能。抵制不安全的场所、产品等。?这几乎是全部。绝食?美国的大多数人都可以减肥,但这并没有给小贩带来真正的压力,除了食品小贩…😉

我乐于接受各种想法。有吗?

附言:很高兴你喜欢我的论文,我是一名男性。请随意阅读其他任何内容,并在此处留言。发表评论不需要注册或身份验证,就像这里一样。社区自治政策很好。

我的个人作品涉及政治和经济以外的许多领域:

http://www.amirght.com/parody/authors/tommyturl.shtml
其中包括对美国房地产泡沫与爆炸的解释,

http://www.amirght.com/parody/misc/williamshakespearehamletlordpolonius0.shtml

还有99人与一位合著者合作,其中包括你读到的:

http://www.amirght.com/parody/authors/fiddlegirlandtommyturle.shtml

@尼克·P:

请您让SCHNEIER BLOG BETA基于线程的模型启动并运行好吗????>咧嘴一笑<

汤米2011年7月3日1:26 AM

@罗伯特·T:

谢谢你提供的信息。正如你所说,没有什么是真正的“免费”的——你买什么就买什么,当然还包括间谍软件等等。LOL@所有的rootkit组成了一个安全内核!

弗莱斯2011年7月3日凌晨3:28

这是你所说的“商店”的意思吗,还是这里没有包括其他含义?

我指的是销售数字产品的“商店”:电影、音乐和书籍。最近,我一直在努力实现“价值”和“信任”。

说真的,伙计,他流畅的句子片段甚至像我的帖子吗?没有表情符号?哇!?😛

哈哈,我是罪过。(我承认这不是我最好的写作)我会怪自己是个外国人,在发帖前没有进行足够的错误检查o)

我只是没有看到任何其他东西会让政府、公司管理、公司管理员或家庭用户要求HA,是吗?

从媒体的反应来看,我想说Lulzsec的努力比任何其他努力都更接近。我什么都不知道。

我们可以作恶行善吗?
好人当然可以不做坏事。
有很多以恶报善的例子。我注意到一些最近的文章:

秘书处的困境:
http://www.nrc.nl/nieuws/2011/06/03/het-aivd-dilemma-hoe-deper-de-infilterie-hoe-vuiler-de-handen网址/
(松散翻译:渗透越深,手越脏)

谷歌为非荷兰语使用者翻译:
http://translate.google.com.au/translate?js=n&prev=_t&hl=en&ie=UTF-8&layout=2&eotf=1&sl=auto&tl=en&u=http%3A%2F%2Fwww.nrc.nl%2Fnieuws%2F2011%2F06%2F03%2Fhet-avd-dilemma-hoe-dieper-de-inflatrie-hoe-vuilder-de-handen%2F

未经授权更改另一台计算机或网络在法律上和道德上都是错误的,尽管no-harm LULZ可能会挤压到那里的电线下面。

通过对病毒进行反向工程并指示其卸载来关闭僵尸网络…(Coreflood和Bredolab被提到为示例)
http://www.wired.com/threatlevel/2011/04/coreflood/

我听说有传言说,白帽编写自己的“修复程序”(有时会损害AV供应商的利益),使他们的产品具有蠕虫般的功能,可以“继续进行清理”。但在这一点上,必须有人支持我。

我乐于接受各种想法。有吗?
更多LULZ?我不知道:/

到时候,我会读你所有的滑稽模仿:o)–谢谢分享。

关于FF、谷歌和地理定位(以你的wifi的mac地址为例),它会被归类为“行善有点邪恶”的例子吗?(给你更好的增强现实体验?)

汤米2011年7月3日下午4:52

@阀门:

“Re FF、google和geolocation(以你的wifi的mac地址为例),它会被归类为一个做好事有点邪恶的例子吗?(给你更好的增强现实体验?)

如果它未经我允许就这么做。如前所述,肯定会有人找到解决方法。如果我需要帮助,我总是可以将自己的地址或自己获得的GPS坐标输入到询问表单中(附近的餐厅在哪里等)

乔纳森2011年7月4日凌晨2:06

@加布里埃尔:
1.我的键盘坏了。
2.我再拿一个,拔下坏的,插上新的。
3.对话框显示“您插入了新键盘X,按Y接受”
4.我按了Y……具体在哪个键盘上?

汤米2011年7月4日凌晨3:57

@Vles公司:

“通过对病毒进行反向工程并指示其卸载来关闭僵尸网络……(Coreflood和Bredolab被提及为示例)
有线.com/threatlevel/2011/04/…”

故事的开场白:

“在一次特别干预中,司法部寻求并获得了联邦法官的许可……”

你看到区别了吗?联邦调查局并没有自己采取行动。他们将证据和案件提交给法官,法官做出了有利于他们的裁决。这就是美国的缔造者在著名的《美国宪法第四修正案》(“人权法案”)中所想的,该修正案要求只有在向法官宣誓提供可能的不当行为原因的证据后,才能签发搜查令。

这就是为什么美国的隐私倡导者对所谓的“美国爱国者法案”(是的,它实际上是一个缩写词,一个愚蠢的词——维基有它)感到愤怒的原因——对那些没有不当行为证据的自营各方进行无担保的窃听和大量电子邮件扫描,希望能在大海捞针中找到策划下一次邪恶袭击的人。

如果他们相信X先生打算这样做,他们可以向法官说明他们相信的理由,如果证据令人信服,就会发出逮捕令。这是在保护个人权利的同时实现执法所需的适当检查和平衡系统。

当僵尸网络机器或服务器能够被可靠地检测到并在事先得到司法批准的情况下进行纠正时,我当然鼓励这样做。

关于无线定位,已经有网址:http://www.wigle.net/它在交互式、可浏览的世界地图中绘制了许多(并非全部)无线路由器和网络。这些数据最初是由wardrivers提供的,以便于旅行者“借用”不安全的网络。我想这些其他数据源现在也包括在内了。

我很高兴我自己的家庭无线网络不在那里,尽管WPA2的安全性让我感觉相当不错。一个朋友的家庭网络在那里,虽然没有Firefox未来的“街道地址”地理定位功能的准确性。大约100米远。

“如果它未经你的允许就这样做了,那么做好事就是邪恶的吗?”

但为什么它是好的?到底怎么样我的浏览到我的知道我住哪里的网站增强了网站的选择?如果我希望我可以提供个性化信息,例如附近的餐厅在哪里,或者驾驶方向志愿者在专门设计的网站上填写表格。(有很多。)。。顺便说一句,我通常填写几条街以外的地址,只是为了给这些数据库添加虚假信息。我的网络邮件认为我住在30公里外。(他们还认为我是一个17岁的女孩,如果没有广告块软件的话,这将是一个有趣的广告。)

我不希望有人违背我的意愿或未经我的允许“对我好”。我认为我而不是他们应该决定什么对我“好”——除非我的行为(被机器人控制)伤害了其他人(例如,我的机器发送垃圾邮件)。否则,我会从do-gooder那里逃跑。

美国的一个老笑话:有史以来最可怕的话:“我来自政府,我是来帮助你的。”

新版本:“我来自谷歌,我在这里帮助你”。不用了,谢谢;当我需要帮助时,我会寻求帮助。

顺便说一句,尼克·P是在开玩笑——以我为代价,而不是以你为代价。你的英语很好,人们经常在没有校对的情况下快速地留下博客评论-相信我而在更正式的场合,他们会更加小心。

Vrede,
汤米

克莱夫·罗宾逊2011年7月4日4:26 AM

@汤米,

首先,早上好(来自英国,但如果你在美国,那么这个时候你到底在做什么8^)

关于,

“这就是美国隐私倡导者对所谓的“美国爱国者法案”感到愤怒的原因”

你忘了提到最恶劣的恐怖分子类型(即那些“未能向停火组织提供援助”的恐怖分子)。

最终,这就是爱国者法案下所有无担保入侵行为的目的,即提取税款。

在英国,据说税务和海关正在开发和部署软件,以查找在易趣等网上交易的人,并对他们进行评估,以获得30%的最高折扣和增值税等。

针对沃达丰(Vodafone)和特斯科(Tessco)等主要逃税者的长期行动被“财政顾问”悄悄阻止,他们正是为主要会计公司工作的那些人,他们首先想出了“逃税”系统并将其出售给了这些公司…

再次证明,重要的不仅仅是你知道什么,也不仅仅是你认识谁,而是他们会为你影响谁…

弗莱斯2011年7月4日上午6:07

@汤米

故事的开场白:
“在一次特别干预中,司法部寻求并获得了联邦法官的许可……”

我看到了区别,但受感染的计算机不在司法部或荷兰安全与司法部的管辖范围内呢?Tbh我不知道他们的逆向工程工作和随后的卸载说明是否排除了这些……法律是受国家约束的…。(尽管海牙在追究国际违规者责任方面有着良好的记录。)

谢谢你链接到wigle!以前从未去过那里。 

我很高兴我自己的家里没有无线设备,尽管WPA2的安全性让我感觉还行

http://www.wpacracker.com/
学习另一种语言,而不是英语、德语或任何有彩虹表的语言。或者像托尔金一样,自己编。:o)
我还没有使用过这个网站,但有一天我会检查我自己的WPA2密码。(无论结果如何,我都会重置)

一个朋友的家庭网络就在那里,虽然没有Firefox的“街道地址”定位功能的准确性。大约100米远。
你会告诉他吗?

“如果它未经你的允许就这样做了,那么做好事就是邪恶的吗?”
但为什么它是好的?到底怎么样我的浏览到我的知道我住哪里的网站增强了网站的选择?

正如之前有人在这个博客上所说:好是我喜欢的。邪恶是我不喜欢的。为什么FF首先发布geologication.js?因为他们可以?因为他们喜欢?没有多少人知道它的存在,所以对他们来说,他们没有机会不喜欢它,也不知道位置感知冲浪是如何工作的。这是件坏事吗?
我想这会剥夺你的一些自由。但它不是为你提供了与被拿走的东西同等的价值吗?只显示您所在城市的电影列表,而不是idk鹿特丹的电影列表是否会让您更容易?还是你附近的图书馆,而不是艾因霍温的图书馆?还是街角的花店,而不是格拉斯哥一家同名的花店?有些人相信魔法或圣诞老人(Sinterklaas)
如果你不知道自己拥有自由,自由的价值是什么?如果你知道别人不知道,你应该告诉他们吗?

顺便说一句,我通常填写几条街以外的地址,只是为了给这些数据库添加虚假信息
我的网络邮件认为我住在30公里外。(他们还认为我是一个17岁的女孩,如果没有广告块软件的话,这将是一个有趣的广告。)
我不希望有人违背我的意愿或未经我的允许“对我好”。 

这就是为什么我们有时不诚实吗?

当以牺牲(某些)自由为代价时,真的有价值吗?
当我们在一夫一妻制的关系中安顿下来时,我们不交换单身身份吗?我们难道不通过遵守国家的规则和法律来服从国家的主权吗?为了更大的利益?还是为了一种善,它等于我们失去的自由,但它对所有受其约束的人都有特别的好处?公平竞争?

理查德·史蒂文·哈克2011年7月4日上午8:03

Vles:“为什么FF首先要发布geologication.js?因为他们可以?因为他们喜欢它?”

答对 了!这些想法很好地解释了所有软件开发,尤其是开源软件开发。商业软件开发也能做到这一点,但开源完全致力于程序员的自我保护:“嘿,看看我做了什么!忽略它不可用、不可靠和不安全的事实!它很酷!”

再加上为了获得程序采用而吹嘘“功能”的必要性——这对egoboo来说是必要的——我们注定要失败。需要…更多…“功能”…无论是否有人要求。

整个软件行业基于(向Slashdot致歉):

1) 编写程序;

2) 出售(或在OSS中采用);

3) 添加更多功能;

4) 重复2)和3);

5) 利润!!!(金钱方面,利己主义或两者兼而有之。)

有人认为地理定位对于“某人”来说可能是“有用的”,因为“某物”——这就是现在要在应用程序中获得一个功能所需要的一切——以及所有的想法。

不考虑可取性、可用性、可靠性或安全性。

齐戈2011年7月4日12:31 PM

我不确定USB记忆棒是用来插入别人的电脑的。当有人将一堆现成的部件连接在一起时,这项技术应运而生,这些部件是为不同的用例设计的。我想说,从工程的角度来看,从顶级应用程序协议到物理连接器形状,所有内容都是设计用于计算机之间的例行数据传输。

UMS中的SCSI协议是为具有可信固件的存储设备(如CD-ROM驱动器、软盘驱动器或ATA控制器业务端的硬盘)设计的,操作系统代码将驱动器视为可信实体(“我的CD-ROM驱动器”)同时将驱动器中的媒体视为至少潜在的不可信(“其他人的恶意软件光盘”)。其他可移动存储介质技术,如CompactFlash和SD/MMC卡,也有一个受信任的主机接口,它留在主机上,而不是介质上。这些设备都有很好的安全含义(好的和坏的),但特别是USB记忆棒与所有设备都略有不同。

USB记忆棒将接口和存储功能结合到一个设备中,从而在USB堆栈中暴露出以前从未暴露过的许多非存储相关层。它们可以以CD-R光盘和软盘所没有的方式与主机进行交互访问。如果操作系统对不熟悉的USB设备有一定程度的偏执,USB记忆棒很快就会变得不方便甚至无法使用,这就忽略了一个问题,即你如何可靠地知道USB设备是熟悉的。

USB的其余部分(在闸门打开之前,人们开始将USB用于一切用途)设计时考虑到了鼠标和键盘等设备,这些设备往往由单个用户拥有。从那时起,USB总线的速度提高了两个数量级以上。20世纪90年代中期设计的USB代码无法处理2011年的常见用例,这并不奇怪,到目前为止,流行的USB堆栈尚未更新以修复底层漏洞,我们都不应该感到惊讶。就在几年前,将一只新鼠标插入一台旧电脑可能会导致其操作系统崩溃——现在你不仅希望它能继续运行,还希望它能抵抗蓄意攻击?

其他设计用于计算机之间数据交换的硬件和有线协议看起来一点也不像U盘。比较蓝牙上的OBEX(包括发现和配对协议,该协议通常允许用户不仅允许或拒绝连接,还限制设备可以使用的服务)或USB上的IRDA、MTP或PTP、SD/MMC的物理连接器,或十几种流行的近场和短程无线协议。

即使是USB连接器也表示“不要将其用作数据交换设备”。大多数USB记忆棒(以及大多数计算机!)上的标准USB a连接器都很脆弱,比专门制造的数据交换连接器(甚至是手机等设备上后来的标准USB连接器)磨损得更快。即使我们修复了软件,例行使用USB记忆棒在计算机之间传输数据也只会破坏两台计算机的USB端口。

兰德尔2011年7月4日下午3:47

请记住这篇博客文章并发表意见。下次我发现一个奇怪的U盘时,我可能会像玩陶笛一样玩它。

汤米2011年7月4日下午7:23

@克莱夫·罗宾逊:

谢谢您。我希望你今天感觉好多了。

至于我的工作时间,你知道我可能住在美国夏威夷州,那里是UTC-10(没有夏令时),因此,那篇帖子可能是在晚上早些时候或下午晚些时候写的?此外,今天(星期一)是美国的节日,是235年前与英国发生的一些愚蠢的误解,但现在一切都好了😉 — 那么第二天不上班就不需要早睡吗?

(大多数美国公民鲜为人知的事实:这一天本应是7月2日。这一差异在下面的脚注[7]中以讽刺的形式进行了解释,该脚注讽刺了美国人对你们文化的历史了解得多么贫乏,通过约翰·洛克(John Locke)等启蒙思想家,这给了我们灵感。)你可能会喜欢以下对美国人无知的自嘲:

http://www.amirght.com/parody/60/hermanshermits130.shtml

税收:“重要的不仅仅是你知道什么,也不仅仅是你认识谁,而是他们会以你的名义影响谁……”

确实如此,先生。奥巴马总统对于他的几位内阁成员和其他高级官员或提名人都是逃税者的消息感到尴尬(也许没有)。然而,没有人入狱。“我犯了一个错误”——数十万或数百万美元。作为一名普通公民试试看……众议员兰格尔被发现少报了大量收入。他被告知“淘气,淘气”,但仍然坐在他的位子上,他的选民重新选举了他。

@弗尔斯:(后来,@Richard Steven Hack)

“WPA Cracker允许您访问一个400CPU集群,该集群将根据1.35亿单词的字典运行网络捕获……”。或1.35 x 10^8。

http://www.grc.com/haystack.htm

没有运行实际的PSK,但使用了一个字符相同的PSK(大小写、数字等)

搜索空间大小(10的幂):1.26 x 10^25

彻底搜索此密码空间所需的时间:

在线攻击场景:
(假设每秒1000次猜测)4.01万亿世纪

离线快速攻击场景:
(假设每秒1000亿次猜测)40008千世纪

大规模破解阵法场景:
(假设每秒猜测100万亿次)40.08世纪

因此,我的WPA2密钥破解比他们攻击愚蠢、脆弱的密钥要耗时17个数量级。此外,当我坐在这里时,我可以从邻居那里找到两个不安全的网络,那么为什么有人会费心尝试我的呢?(我并不富有,也不是一个高价值的目标——唉!😉

“一个朋友的家庭网络在那里……/你会告诉他吗?”

已经做了。但同样,这个密钥比那个破解网站更强大,也是一个低价值的目标,附近也有不安全的网络。没有什么好失眠的。只需使用强密码!

“但它不是为你提供了与被拿走的东西同等的价值吗?它不是让你更容易看到你所在城市的电影清单,而不是idk鹿特丹的电影清单吗?”

我已经可以通过许多搜索页面做到这一点,包括本地化页面(用于电影等),而无需透露任何东西关于我自己,除了我正在查询某个特定区域(加上不太准确的IP地理位置。但这很少见。99.9+%的浏览不是这样的,所以他们对我没有任何“好处”。布鲁斯、你或这里的任何其他人真的在乎吗确切地我住的地方-除了克莱夫,他想确保我得到美容休息😉 ?

“我通常会在这些数据库中填写……虚假信息……”

“这就是我们有时不诚实的原因吗?”

当然可以。我希望布鲁斯看到这个。(对不起)。我撒谎是为了保护自己不受侵犯。我从来没有对电视机撒谎过。(我没有Tivo,我有一个独立的DVR。)我的电视无法跟踪我看的内容、何时、静音或音量增加的内容(Tivo可以,也可以。Tivo用户,明智的一句话。)所以我不必撒谎。OTOH,网站可以设置Cookie、网络信标、Flash Cookie,现在,这个地理定位的东西,等等。这就像对生活水平、家里物品的价值等方面不太好的人撒谎一样……可能是一个潜在的小偷,所以如果提到这个话题,就轻描淡写了。并谎报珠宝的存放地点。***也许是布鲁斯新书中的一节,关于“防御性谎言?”

“当以牺牲(某些)自由为代价时,真的有价值吗?”

我仍然认为地理定位对我来说没有任何真正的价值,也没有必要再重复了。

“在建立一夫一妻制关系时,我们不换单身汉身份吗?”

自愿!(大多数时候,哈哈)我仍然忽略了我的志愿服务和Firefox在我背后尖叫的区别。

“没有多少人知道它的存在,所以对他们来说,他们将没有机会不喜欢它,也永远不会知道位置感知冲浪是如何工作的。这是一件坏事吗?”

对。毫无疑问,是的。

至于为什么将地理位置添加到Firefox中:

理查德·史蒂文·哈克(Richard Steven Hack)所说的^10。此外,来自谷歌的捐款也为Mozilla提供了大量支持。

@理查德·史蒂文·哈克(Richard Steven Hack):

你说了什么。此外,Nick P.喜欢这种以歌曲模仿形式进行的无党派反政府咆哮。别以为你见过,但没有义务,如果你不满意的话,可以加倍退款:

http://www.amirght.com/parody/misc/francisscottkey21.shtml

@合子:

“大多数USB记忆棒(以及大多数计算机!)上的标准USB A连接器都很脆弱,比专门制造的数据交换连接器磨损得快得多”

是的,我发现这几乎很难。一个开始失败了,因为它已经被使用过了,与其说是用于数据xfr,不如说是用于备份和存储那些不需要把高清弄得乱七八糟的东西。这就是为什么我的整个HD占用空间始终小于900 MB(这不是印刷错误),这反过来又使备份更快、更容易、更小。

但连接器开始出现故障。我很幸运最后一次阅读了它,并将全部内容复制到高清,然后购买新的闪存驱动器,并将内容复制到两者。将这些东西复制到CD或DVD也是一种惯例。在备份的情况下,即使在刻录到CD之后,最新的完整磁盘映像备份及其增量也会保存在闪存驱动器中,因为从闪存进行恢复要快得多。但你的观点被接受了。

弗莱斯2011年7月4日10:17 PM

@汤米
我承认,我很惊讶苏格拉底和他古老的对话超越了这些无形的东西(信任、价值、善、恶、诚实、不诚实)。然而,我会第一个站出来说,我与他的智力和修辞能力相去甚远,尤其是用一种我还没有——也永远不会——完全掌握的语言。我希望我已经并且会小心行事。我不是有意冒犯或激怒别人!但我的帖子措辞有助于促进讨论。我来到这里是为了学习技术,就像我是为了听海报和学习海报一样。有时很接近音乐。

虽然我们有点偏离主题,但OP的关键是“男人的错误——即使他/她应该更清楚”。RSH的迷因:当人们插入陌生/外国/未知的USB记忆棒时,“没有安全措施,吸干它”听起来很正确。许多人在使用异物之前放弃了自我保护。信任的意愿会从健康的怀疑中胜出。拥有足够的“良好安全性”(无论以何种形式)有助于验证,因此我们知道我们可以安全地表达自己的情感(信任纽带),而不是采取敌对的立场。我没有受过心理学教育,但也许有人可以反驳或同意以下观点:如果个人没有任何可以想象的危险,没有什么安全感来帮助验证或决定性地判断善恶,并且有可感知的收益,那么建立信任关系是一个相当正常和即时的过程?时间会告诉他/她获得了什么真(或假)值?

“如果它未经你的允许就这样做了,那么做好事就是邪恶的吗?”
但为什么它是好的?到底怎么样我的浏览到我的知道我住哪里的网站增强了网站的选择?

如果他们的意图是好的(他们的结果使返回的数据更加相关,从而节省了您的时间),那么他们在这方面采取的行动是好的吗?你说这不会使他们的行为变得好,因为你不相信他们的意图。他们觉得自己是预先决定好的(geolocation.js放在文件夹中等待),整个过程排除了信任交易,即使这是明确的、有保证的,并且你承认他们的善意,你仍然没有发起或批准。
它们以你的欲望为前提,而你没有欲望。他们认为你需要,而你不需要。
但是通过同样的眼镜:电视广告也是如此!基督徒拿着一双鞋向无家可归的人伸出援助之手也是如此。(如果无家可归的人转过身来,只是说:“滚开?”-我肯定这已经发生了)-我们生活在一个大多数人都认为行动必须是好的,如果意图是好的世界里,我们是不是太习惯了?

“当以牺牲(某些)自由为代价时,真的有价值吗?”
我仍然认为地理定位对我来说没有任何真正的价值,也没有必要再重复了。

我尽量不重复:o)也许这里真正的价值是“信任”?(增加信任是以牺牲一些自由为代价的吗?)。然而,既然我们一开始并没有要求,有人会说我们是在进行“不诚实的交易”吗?所以我们采用防守性谎言?假设你知道这种情况正在发生:顺其自然并承诺=不快乐的秘诀?
告诉和告知他人并冒着让他们不开心的风险是件好事吗?(维基解密网站Lulzsec)(当你需要康德与苏格拉底对话时,他在哪里?)
讨厌一个不在乎你在乎什么的人,你就会得到一剂冷漠。(我妈妈不在乎8位PIN码/我的客户不在乎以管理员身份运行,即使当他感染病毒时,当他的电脑再次死机时,他支付不起我的费用/当其他人反复告诉他们关于公共空间中的救火羊的事时,这4个脸书用户没有注销)
我们不怕脆弱。我认为我们害怕别人知道(并利用)它而感到羞耻。我妈妈并不觉得用不太安全的PIN到处乱跑感到羞耻,她含蓄地相信,如果旧的PIN被破坏,我会帮她设置一个新的PIN。所以她从不长时间不快乐。我的客户在以管理员身份运行时,如果病毒攻击他的计算机,他不会感到羞愧,他会暗中信任我帮他修复病毒。所以他从不长时间不快乐。脸谱网?它将更新补丁。如果我们想让人们在网上更安全,我们需要提高认识并相应地教育他们。这需要时间。

安迪2011年7月4日11:22 PM

@Vles,“如果他们的意图是好的(他们的结果会使返回的数据更加相关,从而节省您的时间),这会使他们在这方面采取的行动好吗?您声明这不会使他们的行动好,因为您不相信他们的意图”
不得不考虑一下,试着把它比作一个信号。当时正在为某人做园艺工作,在一个看起来被遗忘的地方找到了一把园艺叉……把它搬到一个更容易看到的地方。
我想如果他们没有注意到这件事,并且花更多的时间进行调查,那么结果会很好的话……我们就很低了。
如果一家公司进行了地理定位,那么在发布之前,这一想法所造成的损失可能会很小,但如果有人发现了黑客攻击,那么损失将急剧上升。

试着把这种逻辑运用到自由语言中,人们可以说任何东西都有,只要它不会伤害任何人(这不是基于某人的观点(扔掉它))

2美分

汤米2011年7月5日凌晨3:32

@Vles公司:

简言之,你的论点似乎是“无知就是幸福”。“如果我不知道自己被搞砸了,那么我不会不高兴”。对不起,我只是不同意。(正如所说,你的英语很好。)

“他们以你的欲望为前提,而你却没有欲望。”

他们没有预设我的欲望。他们只是没有给我想要的东西。这些数据对他们来说很有价值,因为它创造了“有针对性的广告”,广告商理所当然会支付比大规模广告更多的费用。

18岁的女孩和50岁的男人可能对非常不同的产品和服务感兴趣。(男性对18岁的女孩感兴趣,哈哈)。我是对他们的广告感兴趣;如果我是,我会自己研究产品或服务。你愿意有人每天24小时跟在你后面,记录你去的每一个地方,你看的每一扇橱窗,你买的每一件东西,你看了但没有买的每件东西,以及你和谁说话,等等。?这就是“1984年”对一个全方位、“老大哥”极权主义警察国家愿景的定义。

但这就是数据管理员正在做的。一名女性起诉互联网广告公司DoubleClick,发现他们在她身上有一个文件,相当于968个单倍行距的打印页面,都是关于她的习惯、偏好和购买的。2008年,谷歌以30亿美元(10亿美元=10^9)收购了DoubleClick。我相信他们现在知道得更多了。

他们欺骗了我们一半的人,通过脸书等渠道泄露了我们的私人数据。

请阅读布鲁斯关于“隐私的价值”的精彩文章

http://www.schneier.com/blog/archives/2006/05/the_value_of_pr.html(http://www.schneier.com/blog/archives/2006/05/the_value_of_pr.html)

它太棒了,我把它收藏在五年前的书签里。今天它更适用。干杯。

克莱夫·罗宾逊2011年7月5日上午5:05

@汤米,

“谢谢。我希望你今天感觉好多了”

不幸的是,我现在被困在家里了,然而一些讽刺确实让时间过得更轻松。

和大多数男人一样,我也有一两个讨厌的习惯(我的亲戚和朋友都知道😉 其中之一是唱歌(根据我儿子的说法,而不是他的奶奶或妈妈的说法)。结合插入新单词以适应当前情况。因为他的罪过,我儿子既讨厌我这样做,也讨厌他自己嘲笑那些小曲,尤其是那些围绕儿歌的粗俗小曲。

当然,这让我不禁要问,为什么RAP歌手会因为我只是为了娱乐而做的事情而得到愚蠢的报酬(有些人认为这样做要好得多)。

所以我想我可以借鉴你的做法,把一些放在网上😉

关于你的位置,我只是假设你在《美洲共和殖民地陛下》中与其他3亿名“我们的殖民堂兄弟”(人数迅速增加)在一起,“我们发现你对大陆魔鬼咖啡的偏爱超过了对健康有益的英国茶的偏爱,而英国茶最奇特,为此我们只能对那些法国人和他们的叛徒支持者吹嘘”😉

(轻轻地靠边站)我一直对大多数WASP国家缺乏历史知识感到惊讶。请注意,我不知道美国是如何教授这门课的,但当我年轻时,它是以适合“公务员委员会考试”的方式教授的,因此是官僚式的登船,只需要记住名字、日期和地点。并不是很多背后有趣的阴谋、血腥、胆识、剥削和竞争。

我儿子对历史很感兴趣,特别是对它的血肠和污秽,尤其是因为他妈妈和我花时间给他涂上了他最喜欢的血淋淋的东西,幸运的是我们住在离伦敦肯辛顿博物馆不远的地方,科学博物馆有“欢迎”字样除了其他血淋淋的东西外,还展示了真正的“萎缩的头”…

尼克·P2011年7月5日上午8:23

@克莱夫·罗宾逊

祝你早日康复。但我得说…

“当然,这让我不禁要问,为什么RAP歌手会因为我只是为了娱乐而做的事情而得到愚蠢的报酬(有些人认为这样做要好得多)。”

……你不可能比艾米纳姆或扬·杰西“好得多”。我的意思是,你甚至在名字上落后于时代:他们现在叫它“嘻哈”。所以,如果我打电话给你寻求技术建议,请原谅我,让Jeezy来主持我的派对。😉

克莱夫·罗宾逊2011年7月5日上午10:49

@尼克·P,

“……你的名字甚至落后于时代:他们现在叫它“嘻哈””

嗯,你把嘻哈文化(包括RAP音乐和嘻哈音乐)与现代嘻哈音乐混淆了吗?

当谈到RAP和嘻哈音乐之间的区别时,它们分为三个主要方面,

1、音乐功能。
2、文化。
3、社区信息。

对未受过教育的人来说,重要的是,RAP是关于时事的,是诗歌或音乐节奏或节奏的即兴设置,而且它经常“非常适合你”。因此,技巧在于词语的选择及其对听者的影响。

你可能会称之为经典RAP的东西起源于布朗克斯,来自20世纪70年代和80年代,但它的根源可以追溯到60年代的斯卡音乐。这是关于当时时事的社会评论,媒体要么没有给予关注,要么很少关注。直到1979年,随着糖山帮的成功,它才出现在普通的音乐雷达上(如今经常被用作广告的后盾)。

更现代的,或者你可以称之为流行RAP。像阿姆这样的人现在更注重商业,对社会习俗或个人关系等感知或实际的事物发表附加评论,这大大拓宽了其消费者基础。它通常缺乏经典RAP的独创性和活力,同样经常使用低级的假象,反复使用脏话和某些迷因(如黑帮RAP)。[作为旁注,我经常认为《Em-in-Em》是一个解剖学上困难的独奏动作的委婉说法;)]

嘻哈音乐以现代R&B和拳击为基础。从20世纪70年代后期开始,现代R&B又以灵魂音乐和流行音乐为基础。很少注意诗歌的假设,只稍微注意押韵。由于对灵魂/流行音乐的关注,它的商业基础比流行或经典RAP都要广泛得多。

重要的是,与RAP不同,嘻哈音乐传统上是关于快节奏和节奏的,复杂的身体舞是按照这些节奏进行的。舞蹈风格通常更多的是身体动作,而不是手和脚的动作(因为节奏快)。在这方面,它更接近于传统的西非舞蹈,而不是起源于中世纪欧洲“宫廷舞”的欧洲舞蹈。

这就带来了嘻哈音乐和RAP音乐之间的文化差异。RAP与舞蹈无关,尽管表演者经常会摆姿势强调抒情内容。RAP通常由个别男性执行,并有一些支持(通常不是团体,也很少有女性)。另一方面,嘻哈音乐是由男性和女性表演的,但目前主要是女性,而且经常是在相当知名的群体中分享歌词等。

因为通常有更多的女性一边跳复杂的舞蹈一边唱歌,这种风格通常涉及大量的胸部和盆腔运动。因此,它为嘻哈音乐在某些圈子里赢得了女性和年轻女孩性欲化的声誉,而许多女性表演者倾向于将其视为一种形式的女性解放,摆脱WASP文化中压迫性的从属女性角色规范。

我希望这能帮助你理解RAP和嘻哈音乐之间的区别,这两种音乐都属于嘻哈文化,嘻哈文化包括其他几种风格,包括某些风格的图形艺术,许多人将其归类为“涂鸦”。

哦,如果你真的让“年轻的杰西”为你举办一个聚会,问问他们之间的区别,我相信你会听到他们的强烈意见。

正如我之前提到的那样,当你在广播行业工作时,你会遇到并认识谁,这很有趣,尤其是当你从AM转到FM时,如果你与盗版广播有联系的话。

比尔·索伦森2011年7月5日12:56 PM

“……在贸易展上赠送的U盘自然是好的。”

如果我是一名黑客,我会在贸易展上从供应商的鱼缸里捡起U盘,将恶意软件复制到U盘上,然后将其放回鱼缸。

也许我们需要独立的闪存驱动器格式化程序。

IT Dave2011年7月5日下午7:48

但我不得不说,在这一点上我确实不同意施耐尔先生的观点。他说,问题不是人们应该知道不信任一个奇怪的USB记忆棒,而是操作系统不应该自动信任它。

如果我们将同样的逻辑应用于性,比如说性,那么在“插拔”之前,确保他/她的情人没有性病不应该是一个人的责任——他/她的生殖器应该足够聪明,如果对方被感染,就不应该像预期的那样工作。

理查德·史蒂文·哈克2011年7月5日下午7:53

克莱夫:补充一句,我相信说唱出自美国监狱系统,而不仅仅是布朗克斯监狱。没有乐器,只能凑合着用。

实际上,联邦监狱(我不知道州立监狱)为囚犯提供乐器。在科罗拉多州佛罗伦萨,FCI,IIRC,他们甚至举办了一场“监狱乐队之战”音乐会,不同的囚犯乐队参加了比赛。

弗莱斯2011年7月5日下午8:19

@汤米
昨晚我不小心离开了网站,失去了回应/

简言之,你的论点似乎是“无知就是幸福”。“如果我不知道自己被搞砸了,那么我不会不高兴”。对不起,我只是不同意。(正如所说,你的英语很好。)

谢谢你的夸奖o)

“如果我不知道自己被搞砸了,那么我不会不高兴”
有人能证明我错了吗?我觉得很多商业态度都是遵循这个前提卖给我们的。

尽管我的语气和风格可能会掩盖事实:我实际上是站在你这边的。只需站在争论的另一边就够了。
我们都意识到了同样的错误:你的女人起诉DoubleClick的例子就足够了。无论是公开收集还是私下收集,记录下的有关您习惯的数据,然后进行存储和分析,其结果用于建立有关您的个人资料,从而促进“定向广告”,这是有害的,违反隐私。如果您没有主动提交并明确批准其使用,地理位置感知也是对隐私的冒犯。

但我相信律师们会用目录和大量的小字(进入条件,使用条件)来覆盖这一点。另一种选择很简单:不要使用那个网站或服务。但据我所知,没有一个网站提供选择:输入带有目标广告的全自动无广告易用网站,或手动填写带有一般广告的网站。

我读过布鲁斯的文章,昨晚我又重读了一遍,还有80%的评论。

我相信隐私是一种值得捍卫和维护的价值观,但我同意内斯特的第一句评论:“我不认为隐私是一种固有的权利。”

“隐私,这一术语在西方被普遍理解,并不是一个普遍的概念,直到最近,在一些文化中几乎还是未知的”[1]

我也很难找到它的荷兰语对等词(就像我们与英语交织在一起一样——请看伟大的革命)。“Persoonlijke levenssfeer/个人生活领域”最接近,而出于其他目的,荷兰人借用了这个词:“隐私”。(具有讽刺意味的是,我们甚至使用了这个英语单词,因为它带有维多利亚时代的个人羞耻的含义。众所周知,老荷兰人不太担心隐私的这一方面:我们不介意在海滩上脱衣服穿泳裤,还有许多其他荷兰式的姿态,外国人典型地将其归因于我们,具体来说毫无疑问,涵盖了诸如性、毒品、优生优育等话题。这部给世界带来“无隐私”的电视剧首次在荷兰播出,我并不感到惊讶:《老大哥》[2]——我只看了第一季。

我仍在考虑,但我几乎倾向于认为隐私、自由和安全就像一个项目三角:任选其二。

  1. http://en.wikipedia.org/wiki/隐私
  2. http://en.wikipedia.org/wiki/Big_Brother_(电视系列)

汤米2011年7月5日10:12 PM

@克莱夫·罗宾逊:

很高兴我的小讽刺帮助你减轻了负担。你知道夏威夷实际上是HM的光荣美国殖民地之一,对吧…也就是说,如果我住在那里,我仍然和其他3.07亿人在一起-D类

我个人更喜欢茶而不是咖啡,尽管我没有英国血统。😉

@Vles公司:

“隐私,这一术语在西方被普遍理解,并不是一个普遍的概念,直到最近,在一些文化中几乎还是未知的”

个人人的自由和不可剥夺权利的概念也是一个新颖的概念。大多数文明都由酋长、暴君或拥有无限权力的国王统治。约翰·洛克(John Locke)和其他启蒙思想家将自由视为一项权利,而托马斯·杰斐逊(Thomas Jefferson)仅在235年零一天前在《美国独立宣言》(the US Declaration of Independence)中将其奉为神圣的权利。

而且在美国还没有普及。直到20世纪初,这些权利才扩展到黑人和女性。可以肯定的是,历史上非常新颖的概念。这会使它们无效吗?

顺便说一句,我知道许多欧洲人对公共裸体的态度没有大多数美国人那么拘谨。事实上,当他们参观我们的海滩时,我很欣赏他们开明的态度。😉 但是,他们会赞成布鲁斯写博客的案例吗?在该案例中,一所公立学校让学生们把笔记本电脑带回家,相机由遥控器秘密打开,拍摄(可能)学生的卧室,洗澡,脱衣,性交等等。?

适当的模仿:

“我在外面(向内看)”——小安东尼和帝国
(模仿的标题是一样的——克莱夫也很自由)

http://www.amirght.com/parody/60s/littleanthonyandtheimperials0.shtml

“我仍在考虑,但我几乎倾向于认为隐私、自由和安全就像一个项目三角:任选其二。”

1769年2月23日,美国开国元勋之一本杰明·富兰克林(Benjamin Franklin)表示:“那些为了暂时的安全而放弃基本自由的人,既不值得自由,也不值得安全。”。

弗莱斯2011年7月6日凌晨3:02

而且在美国还没有普及。直到20世纪初,这些权利才扩展到黑人和女性。可以肯定的是,历史上非常新颖的概念。这会使它们无效吗?

因此,如果意图是“好的”(将人的自由视为一项不可剥夺的人权),但实施它的行动是“邪恶的”。(他们只是有选择地实施,因为黑人和女性直到20世纪初都是例外的)我必须重复一下:“我们生活在这样一个世界里,大多数人认为如果意图是好的,那么行动就必须(自动)是好的吗?”。这里我们需要一个健康的提示/安全措施…
经过内战和各种左翼运动,才“平整了比赛场地”,并将这些不可剥夺的人权扩展到其他“人类”人口。讽刺(多么讽刺!)
因此,尽管这并没有使它们无效,但它只是突显了主权国家行政部门的严重问题。我想总会有人不喜欢放弃(对他人的)控制权。

但是,他们会赞成布鲁斯写博客的案例吗?在该案例中,一所公立学校让学生们把笔记本电脑带回家,相机由遥控器秘密打开,拍摄(可能)学生的卧室,洗澡,脱衣,性交等等。?

这种情况有太多的错误,我想任何人都会以同样程度的厌恶反应!
我相信这句话:“你在控制别人的机器,你不想让他们知道你在做什么”,这一切都说出来了。
谁在乎你是在和你最好的朋友做女朋友,还是在厕所里度过美好的时光!此外:1]用户在公共(学校使用)和私人(而不是设备)之间划清界线。但该设备甚至不知道如何尊重这一点。2] 最终用户似乎没有意识到它的存在和功能。3] 当怀疑发生时,他们被告知一个谎言。(我们报告了多次,每次都得到回应:“这只是一个故障。如果你愿意的话,我们会调查一下,然后给你一台借来的电脑。”)哇…。公然违反信任!谈论不诚实的交易!我甚至不能说一开始就有“好”的意图。(“寻找间谍活动证据”的前提)。整个事件充满了傲慢、不尊重、对控制的痴迷和对技术的错误使用。

再说一次,我相信狮子座使用同样的技术来监视其公民。IIRC我也在这里读到过。

我对你的滑稽模仿笑了一场!有件事告诉我你会理解荷兰式(粗俗)幽默!

“我仍在考虑,但我几乎倾向于认为隐私、自由和安全就像一个项目三角:任选其二。”
1769年2月23日,美国开国元勋之一本杰明·富兰克林(Benjamin Franklin)表示:“那些为了暂时的安全而放弃基本自由的人,既不值得自由,也不值得安全。”。

他可能错了?(j/k)
也许你可以拥有自由和安全(如果我们同意它是安全的替补),但不能拥有隐私…
或者,当你不知道自己因为没有意识到交易而失去了基本自由时,你的无知就是幸福。(不是你的福气,而是他们的福气。他们,是把你夺走的人。)

不诚实的少数人万岁!
万岁!

;o)

马西亚拉2011年7月6日上午7:53

@RHS有趣的是,你应该提到Togakure ryu,我已经训练Bujinkan Budo Taijutsu(九所非常古老的学校的组合,包括Togakure ryu)12年了,确实对生活的各个方面都有了非常不同的见解。

不是不尊重你,但我建议任何人都不要去听那些讲授忍术的老师,这是市场营销:试图利用忍者的流行形象……这是一个非常重要的因素,也是为什么现在的Togakure ryu(以及其他8所组成布津坎的学校)的特级大师Masaaki Hatsumi决定称他所教的为布津坎。

挖掘结束。

另外,Teensy是一个非常方便的小棋盘(我也是一个电子爱好者)

雅各布2011年7月6日上午10:40

对不起,布鲁斯,你搞砸了。用户应该受到一些指责。我在会议上有很多次这样说:“它在这个闪存盘上,只需插入你的电脑即可”
不。注意你贴的是什么,贴在哪里。我将把马桶坐垫和拉链砰砰砰摔的类比留到另一个讨论中。😉

建筑业在计算机方面落后于时代。

米里亚姆R2011年7月6日上午11:47

我感到奇怪的是,在所有关于该怪谁的讨论中,没有人真正谈到我所认为的安全意识的“意识成本”。

大多数(如果不是全部)评论员花了多年时间熟悉讨论中的技术。“不要插入来自未知来源的不受信任的设备”这句看似直截了当的话,对大多数最终用户来说是完全不透明的。

时间和意识是有限的个人资源。如果我认为学习计算机技术和持续的安全意识并不总是每个人花费这些资源的最有价值的方式,我希望你会原谅我。

数十亿人可以花费数万亿小时来提高他们的技术技能和安全意识。训练有素的数百万软件和硬件工程师可以花费支付(通常)设计更好的内在安全性的时间。每种方法都有自己的效用,但最好的“物美价廉”来自后者。

我希望医生精通医学,会计师知道如何应用税法,秘书能够打字和存档。实际上,我们用我们的专家服务换取他们的服务,因为我们没有时间或兴趣来获得这些技能。他们学习rootkit的工作原理,或者当他们插入USB驱动器时在幕后发生的事情,并不符合每个人的利益。

如果最终用户知道如何提问以保护他们的安全和隐私,那就太棒了。

不幸的是,信任的本质是希望拥有比你更多技能/信息/权力/资源的人能够公平行事。当我们在技术和信息安全领域拥有上述优势时,我们真的该停止称终端用户为“白痴”了。

雅各布2011年7月6日下午1:02

米里亚姆,
好观点。正如您和Bruce所指出的那样,安全行业需要更好地设置系统和教育最终用户。我并不指望每个人都精通最新的安全威胁,正如我不指望每个人为了驾驶汽车而成为汽车修理工一样。

我确实需要基础知识。我教孩子们换轮胎,加满汽油,检查基本液体。甚至有些更先进的,比如更换刹车片。没什么大不了的。我被家规所约束,绝不使用电动工具。😉

我不希望有人在把柴油放进车里之前,至少问一次“我能这样做吗?”这只是我的想法。
我看到一家证券公司的供应商在开标时说
他的出价……没错。我打赌24小时后它会被接入某个城市网络。我的观点完全正确。

汤米2011年7月6日9:22 PM

@电压:

“因此,如果意图是“好的”(将人类自由奉为不可剥夺的人权),但实施行动却是“邪恶的”。(直到20世纪初,黑人和妇女才被豁免,所以他们只是有选择地执行这些规定)”

不,他们不是邪恶的,他们是片面的。这对白人男性公民来说仍然是一个巨大的进步,这是人类历史上第一次朝着正确的方向开始。(莱特兄弟的第一次飞行持续了12秒,坠毁了。但如果没有它,我们会有大型喷气式飞机吗?)正如我们永远不会实现完美的it安全一样,但这方面的每一步都有帮助,应该受到鼓励。

杰斐逊自己也有奴隶,尽管他在遗嘱中解放了奴隶,并且生了一个孩子。伪君子?是的,但他是他那个时代的产物,就像我们大家一样。他的概念在人类历史上是如此新颖……许多伟大的哲学家并不总是符合他们自己的想法,这仅仅意味着所有人都是不完美的。这并不意味着他们的理想或论点是错误的。

艾恩·兰德(Ayn Rand)是我一直以来最喜欢的哲学家,她抽烟并服用安非他命来支持她疯狂的日常工作+写史诗小说的时间表。也有一段公开的无聊的恋情很长时间了。我看的是想法,而不是背后的人。(与此相反的是“人与人之间的争论”的逻辑谬误,这种谬误目前正在流行。)

“我对你的滑稽模仿一笑置之!有些东西告诉我你会理解荷兰式(粗俗)幽默!”

越粗糙越好!该网站有一位芬兰作家,他非常聪明、博学,但在幽默类型上似乎有点保守。如果荷兰式幽默能很好地翻译成英语,我很想看。许多双关语和许多幽默在不同语言中翻译得不太好。

当奥巴马被提名为美国最高法院的一名种族主义西班牙裔女性公开表示,她比任何白人男性都能做出更好的决定(是种族主义还是什么?)引发争议时,我用她自己的语言(西班牙语)嘲笑她,翻译如下:

http://www.amirght.com/parody/60s/jayandtheamericans17.shtml

而且,由于这首模仿曲在翻译时没有恰当地进行,所以它在英语中的表现略有不同(与原曲相同):

http://www.amirght.com/parody/60s/jayandtheamericans18.shtml

然后是著名的百老汇音乐剧和电影《西区故事》,它本身就是关于种族仇恨的,还有它的伟大歌曲《美国》

http://www.amirght.com/parody/misc/westsidestorybernsteinsondheim6.shtml

希望你喜欢他们,并期待任何关于这条信息的评论:索托马约尔法官是一个种族主义者,一种不局限于白人男性的品质,这些模仿是反种族主义的。

“也许你可以拥有自由和安全(如果我们同意它是安全的替补),但不能拥有隐私……”

Bruce在博客中反复提到隐私和安全之间的错误二分法。仔细搜索。(比谷歌更私密,谷歌为你的搜索建立档案并将其出售给广告商——想知道为什么这里的搜索框使用谷歌而不是https://ssl.scroogle.org/? )

@米里亚姆·R:

欢迎来到博客圈中最好的智库!

Nick P.毕生致力于做你所说的事情:设计具有“固有”高安全性的系统,即使是针对无知或社会工程用户。想尝尝他的味道,请看他在TDSS Rootkit上的帖子,

http://www.schneier.com/blog/archives/2011/07/tdss_rootkit.html#评论

也可以在这个博客上搜索“Nick P.”(使用Scroogle!)干杯!

尼克·P2011年7月6日晚上11:09

@米里亚姆/雅各布/弗尔斯

欢迎来到博客。你会发现这个博客的评论部分通常比许多博客有更好的内容,还有更深思熟虑的讨论。包括我在内的许多人都用它来集思广益地解决问题。(我会自己做,但曝光对同行评议很重要,布鲁斯有很多这样的机会8)。

@汤米

你太善良了。但是,尽管信息丰富,但这是一种激烈讨论的一部分。我在这里确实有一些帖子,给出了细节并告诉了如何正确地做。如果新来的人愿意,我很乐意把他们挖出来,贴在这里。它主要是安全设计的原则,来自现在/过去的示例,以及人们必须如何看待安全系统开发。

@米里亚姆/雅各布/弗尔斯

如果你看到tommy发布的链接,请跳到我的上一篇帖子@RSH。我给出了许多系统的示例,如果你愿意,可以用谷歌搜索这些系统,以及它们实现了什么样的安全性。至于流程、技术等,我会根据需要发布链接或概述。

汤米2011年7月7日12:42 AM

@尼克·P:

发帖后,我意识到“电子银行安全”这条线索可能是我应该为新手高安全思维入门提供的,

http://www.schneier.com/blog/archives/2011/06/court_ruling_on.html

但不幸的是,一个人不能在这里编辑自己的帖子,不像论坛那样,注册用户可以在这里编辑他们的……n/m,我知道你太忙了;D类

由于Miriam、Vles和Jacob似乎仍在关注该线程,您可以发布两三个Schneier线程的主要链接,您认为其中包括介绍HA思想的最佳示例,并让他们扫描这些链接。然后,正如你所说,他们可以要求更多,或者搜索你给他们的东西。

如本帖所述,Bell-LaPadula模型,
http://www.schneier.com/blog/archives/2011/06/open-source_sof.html

以及你与David Bell论文的链接,
http://www.acsac.org/2005/papers/Bell.pdf

可能是很好的先发球员。

弗莱斯2011年7月7日凌晨3:15

“不,他们不是邪恶的,他们是片面的。”
如果你想一想,这种行为绝不可能是片面的(这是邪恶的部分),我希望你同意我的观点。
一旦你决定将其铭记于心,并使其成为你的社会道德、规则和法律的一部分,就没有中途站。“不可剥夺的人权”要么得到落实,要么得不到落实。如果是这样,它将成为一项不可剥夺的人权。这意味着——从其定义来看——它是为合作体系中的所有人类(个人)服务的。
将范围限制在特定人群的行为本身就是不诚实的。这样做还意味着黑人和女性突然间“不是人”,这显然是不正确的!(更明显的不诚实迹象)。
更重要的是,“被排斥者”会感到“被欺骗了”。(所有人都有明显的收益->信任纽带->被排除在外->讨价还价得不到支持->信任被打破->感觉被欺骗)
不诚实的交易(如“邪恶”或“不喜欢”)是不快乐的良好前兆,根据我们讨论的内容,我冒昧地假设这些交易会导致“被骗者”使用“防御性谎言”。毕竟,防御性谎言是一种很好的策略,可以在人们预期会有更多不诚实行为时,不断过滤真相。
不诚实的交易会破坏信任,如果对我们努力遵守的不成文规则没有信任(道德:诚实,信守诺言),我们就会慢慢地瓦解我们社会赖以生存的结构……(无论如何,我相信)根据梭罗的《公民不服从》(我的理解)培养和信任你的人民是无价的,也是前进的道路,因为这意味着政府管理(控制)更少。这也可能会让你的人民更加幸福!

昨天,在网上搜索“信任与社会”时返回了这条消息,我觉得很有趣:
http://eprints.aktors.org/186/01/trust-ohara-kansaigaidai.pdf
苏格拉底,信任与互联网。基伦·奥哈拉。电子与计算机科学系。南安普顿大学。海菲尔德。南安普顿SO17 1BJ

我看的是想法,而不是背后的人。
你读过彼得·沃森的《可怕的美女》吗?国际标准图书编号1842124447。我已经读了四遍了,我想你会很喜欢的

我必须开始阅读有关艾恩·兰德的文章。我承认没有读过她的任何作品。哪一个适合初学者?

至于荷兰式的幽默,要把它带给外国观众并不容易。即使在澳大利亚(我现在居住和工作的地方),这里制作的喜剧节目在美国或英国也不会自动取得好成绩——我会看看能找到什么🙂

不诚实的少数人万岁!
万岁!
朗莱夫·德奥内利克·米德尔海德!

克莱夫·罗宾逊2011年7月7日上午7:51

@汤米,

“我应该为高保证思维的新手入门做准备”

问题是,对于新手来说,大多数事情都不是从正确的角度开始的。

通常情况下,这种解释与“安全-中央情报局三合会”有关,不幸的是,这与“逻辑”方面没有任何关系,与事物的“人性”方面也没有任何关系。

更直截了当的是,计算机理解算法(规则)、数据(信息)和两者的逻辑连接(即进程)。

计算机对CIA的“机密性”、“集成性”或“可用性”三位一体没有绝对的概念,正是我们人类在计算机上安装的程序试图为我们伪造它们。

新手需要了解这一点

1、信息(由处理)
2、软件(运行)
3、硬件(需要共享才能发挥作用)
4、沟通。

新手经常遇到的第一个问题是,信息是无形的,计算机只能以有形的比特和整数形式理解数据,这些比特和整数可以进行通信或存储。

整数形式的数据由“元数据”的各种抽象层进一步赋予其含义。两个简单的例子是ASCII字符(有序的7位映射到可打印文本上)和浮点数,浮点数使用两个或多个整数和两个或更多位来近似实际值。

基本上,软件控制下的硬件只做两件事:移动数据和将数据处理(更改)为另一种形式。

所有计算机的基本设计都得益于Shannon的数据源信息模型,以及通过通道连接的数据接收器,该通道可以传递未经修改的数据或对其进行修改。

这是一个基本的计算块(即CPU机器代码指令),它符合从数据源获取整数、以某种方式对其进行修改并将其输出到数据接收器的模型。

它是对通道中的数据进行修改,使事情变得有趣(并且有用)。这就是如何有效地修改数据,重要的是如何将结果传递给硬件和软件的其他部分。

方法各不相同,但本质上,通道具有内存(CPU寄存器)以及转换数据的能力(在算术/逻辑单元或ALU中)。

因此,修改由一系列指令组成,

  1. 将data1放入reg1;
  2. 将data2放入reg2;
  3. 添加reg1和reg2,将结果放入reg1,状态放入regS;
  4. 发送reg1;
  5. 如果结果不为零,则跳过下一条指令;
  6. 转到XXX;

由此可以看出,第一条指令是数据从数据源移动到通道状态,下一条指令也是如此。第三条指令修改两个数据项的副本并更新通道状态。第四个是将前一条指令的结果从通道移出到数据接收器的数据移动。fith指令是针对“软件”的条件控制指令,因为它根据控制通道的状态(regS)的内容采取操作(更新指令指针)。第六条指令也是一条控制指令,但这不是通道状态的条件。

在这一点上,你看不到CIA三合会的指令、数据源或数据接收器被检查过,你所看到的都是规则(指令)信息(数据),是根据构成当前流程的当前规则(软件)集操作的。

此外,您不会看到从数据源获取数据或将数据输出到数据接收器时采取的任何操作。也就是说,在简单频道的情况下,“软件被假定“知道”它在做什么”没有任何限制。

更精细的通道具有硬件机制来检测软件指令何时尝试从数据源获取数据或将数据输出到不应使用的数据接收器。它导致通道“抛出异常”,并且通道(可以)自动从当前流程上下文转到完全不同的流程上下文。

这是一套新的规则(软件)可以将机密性或完整性的概念强加给渠道的地方。

这是“不理解”,计算机只与(理解)一起工作,

规则(说明),
信息(数据)和
过程

而人类真正理解(并与之合作),

完整性
通信
实体

而且,这两组数据并没有直接从“人”映射到“计算机”,甚至有些模糊,以至于新手可以掌握事物工作的基本原理。

此外,HA系统依赖于人类想出的“规则集”,这些规则集是由异常触发的,而异常又是人类想出的”规则集“。

关于不适合的真正大问题是“流程和实体”。人类对差异的把握很差,从法律上讲,“实体”是“任何合法或自然的人”,其中作为一个过程,是由实体或代表实体执行的一组不可知的规则/行为。

现在,您可以想象,如果您不能有效地定义实体和完整性,那么尝试开发软件来解释正确的“实体之间的数据通信,同时保持数据的完整性”将很难做到。

这并没有诉诸于“挥舞手臂”或道格拉斯·亚当斯式的讽刺“你知道终极问题,生命——宇宙和万物”8)

汤米2011年7月7日下午7:54

@Vles公司:

你说的一切都发生了。但这是否意味着我们根本不应该走上自由之路,让新形成的美国成为它刚刚反抗的那种专制君主政体?(没有冒犯,克莱夫;-D)。。事实上,第一位波图斯·乔治·华盛顿(POTUS George Washington)因其在美国独立战争期间的英勇行为而被授予王冠。根据记忆,他没有抬头,就说了一些类似的话,“我们只是为了生活在另一个暴君的统治下而与一个暴君作战吗?”,然后拒绝了,从而形成了宪法形式的政府。(它一直被颠覆,而且还在继续,但他们的想法是正确的。)

“千里之行始于足下。”奴隶制自《圣经》时代就存在了。在许多社会中,女性一直是男性的动产,今天仍然如此。(也许我们应该一直这样……开玩笑!😉 这一大步打破了一个群体的枷锁;然后,随着时间的推移,采取了更多的措施,包括一场血腥的内战,到目前为止,这场内战使美国人的生命损失超过了所有其他战争的总和(没错)。一名波图斯因敢于解放奴隶而被暗杀。

改变数千年来的传统和思想并不容易。坦率地说,开国元勋们知道,如果他们解放了所有人,南部殖民地/州将永远不会顺从,因为他们已经在经济上依赖奴隶制。这是一个由英国人、西班牙人、法国人、葡萄牙人,还有,嗯,还有谁——哦,是的,是荷兰人——带来新世界的机构。😛

1619年,一艘载有约20名非洲人的船只不请自来地抵达北美,弗吉尼亚是英国在北美的第一个殖民地。因此,早在1560年代就在西班牙殖民地建立的一种做法被扩展到了英国的北美

新国家必须克服欧洲的原产地。从西班牙开始,奴隶制在美国成立之前在新世界已经存在了二百多年。在美国建立起职能政府后的头十年或二十年内,大多数北方州消除了奴隶制。在20年内消除一个超过两个世纪的机构,是历史上一项了不起的成就。

但他们必须从某个地方开始,或者根本不开始。这真的不像翻转二进制开关那么容易…。

对于兰德来说,从她的代表作《阿特拉斯耸肩》开始,这是一部虚构的小说,比她的许多非小说散文等更全面、更有趣地体现和说明了她的原则。就今天发生的事情而言,这本书也很有先见之明。1957年出版的这本书中,主角之一,CEO,花费了大部分时间和精力游说华盛顿,寻求特殊帮助和救助。听起来很熟悉…还有很多例子。

@克莱夫·罗宾逊:

再次,我对自己不够清晰表示歉意,但我担心我的帖子已经太冗长了。(当然,你的不是!)我专门介绍了Nick P.的实际HA系统设计方法,而不是理论基础。

我不知道其他读者的技术水平,但通过“可信”和“不可信”等简单概念,人们可以理解Nick P.的想法,而实际上涉及寄存器、指令、数据转换等可能有点对于那些试图了解商品操作系统(包括基于Linux的操作系统)不安全的原因,以及Nick、您、Richard T.、Mark Currie、RS Hack和其他人正在寻找的获得实际上架的高安全性产品的方法的人来说,有很多详细信息。干杯。

尼克·P2011年7月7日10:14 PM

@汤米和新朋友

“可能有点对于那些试图理解商品操作系统(包括基于Linux的操作系统)为什么不安全的人来说,有很多细节,”

克莱夫关于技术安全的帖子总是包含太多的细节,让外行难以理解。这就是为什么我是他的非官方翻译。😉 不过,在这种情况下,我建议新员工忽略克莱夫正在努力的技术水平,并掌握基本知识。这些链接是一个良好的开端。

索尔泽和施罗德原理
http://nob.cs.ucdavis.edu/classes/ecs153-2000-04/design.html

Qmail经验教训
http://cr.yp.to/qmail/qmailsec-20071101.pdf

微软的10项安全法律
http://technet.microsoft.com/en-us/library/cc722487.aspx

准确描述评估保证水平(EAL)
http://www.cygnacom.com/labs/cc_assurance_index/CCinHTML/PART3/PART36.HTM
EAL5-7是中高保证。关注EAL6和EAL7对EAL4的附加要求。

罗斯·安德森的安全工程
http://www.cl.cam.ac.uk/~rja14/book.html
(关于这一主题的地标性书籍,有大量优秀的例子、规则等。第一版是免费的,第二版的一些是在线的。)

汤米2011年7月7日下午11:56

@尼克·P:

“克莱夫关于技术安全的帖子总是包含太多的细节,让外行难以理解。”罗夫曼…但这是真的,这是对克莱夫的许多合作伙伴以及处理他们之间流量的主模块的赞扬。😉

“这就是为什么我是他的非官方翻译。😉 ” … 那么,让我们正式宣布吧。他当然需要一个,这样我们地球人才能理解他。

(清了清嗓子)“我特此称你为克莱夫翻译爵士”。(把剑碰到尼克·P的每个肩膀)

@任何对此感兴趣的人:

这是一个很棒的列表。我刚刚读完Nick指给我看的QMail文件,但可能会把我的评论留到周五的博客、鱿鱼或其他地方,因为这个帖子很快就会从主页上消失。

当然,享受微软(Microsoft!?!)提供安全课程的讽刺吧……比利·G因黑客攻击学校电脑而被学校开除;你会认为他会运用他所知道的阻止他的哈克索尔同伴。但商业利益胜过了这一点,正如它通常所做的那样(叹息)…

朱莉·安德鲁斯(Julie Andrews)执导的《Supercalifragilisticexpialidocious》,摘自玛丽·波平斯(Mary Poppins):

Tommy Turtle:《Your Humble等》中的“新电脑的窗口非常糟糕”
http://www.amiright.com/parody/60/julieandrewsmarypoppins14.shtml

“Microsoft™因我对Vista™持异议而起诉我”(同一作者):
网址:http://www.amiright.com/combio/60/julieandrews131.shtml

克莱夫·罗宾逊2011年7月8日上午7:09

@汤米,

“(无意冒犯,克莱夫;-D)……事实上,第一位波图斯·乔治·华盛顿(POTUS George Washington)因其在美国独立战争期间的英勇行为而被授予王冠。记忆中,他没有查过,他说了这样的话:“我们只是为了生活在另一个暴君的统治下而与一个暴徒作战吗?”

嗯,我请客,第一位波图斯一定是研究过历史的,因为在1657年第二次会谈中,奥利弗·克伦威尔勋爵(Oliver Cromwell lord High Protector)谈到要让他成为国王时,他并没有说过类似的话(或者,这只是电影中的理查德·哈里斯(Richard Harris)

请注意,许多人都说,华盛顿被提名,更不用说拒绝加冕是一个神话,

http://chss.montclair.edu/english/furt/gbi/docs/kingmyth.html

克莱夫·罗宾逊2011年7月8日上午7:55

@汤米,

说到皇冠,我想起了你在帖子里说的,

“我希望克莱夫不会认为我在偷他的“博客评论文章”桂冠

您谈到了零成本复制的经济考虑。

然而,你忘了提到经济理论中真正令人讨厌的漏洞,这是一个有效的零距离成本指标。

信息是无形的,当你存储它(DVD空白的成本)或从一个地方传输到另一个地方(即每一位实际上都有一个最小的能量值)时,它就变得有形了

经济理论研究的是当今被视为实物和服务的“货物”。然而,许多人错误地认为,“服务”是不有形的,因此经济学确实涵盖了信息。

问题是,传统服务确实有距离成本指标,也就是说,您会选择距离您所在位置较近的服务提供商,因为成本与距离成正比。

同样,电话计费通常会产生距离成本,即本地通话成本低于长途通话成本。

几乎所有与市场及其行为方式有关的理论都将距离成本度量作为一种隐含的假设或公理。

尽管有一些市场模型(即内陆邮政服务)中没有距离成本指标,但该理论忽略了这一点。

其结果是,互联网现在是一个跨越全球的市场,具有零距离成本指标,因此在任何地方都是有效的“本地”市场。这在“无形的”信息市场与“有形的”实物商品和服务市场的不同方面产生了非常显著的影响。

无形产品市场的问题还以许多其他方式影响着我们,因为我们隐含着这样一种假设,即距离从有形或有形世界中带走是有意义的,并且在无形的非物质信息世界中不加修正地向前推进。

你间接提到的一个假设是法律或违反法律(即盗版)。这是适用于司法管辖区的法律,即DMCA不涵盖俄罗斯。因此,俄罗斯出版商可以合法销售在美国不合法的软件工具等。

而且……由于隐含但不正确的假设,我们现在生活在中国的诅咒中(生活在有趣的时代)。

雅各布2011年7月8日上午8:57

@克莱夫。
首先,你让我觉得“如果我只有一个大脑”。
1.监控服务是有形的。你所说的旧商业模式是与IBM及其蓝衫合作的。
2.当人们提到服务经济时,他们往往会想到麦当劳,而不是外包或重组的项目管理或代码管理员。
3.现代经济正试图迎头赶上,并将继续失败。技术、能力和社会互动以极快的速度发展,立法者/监管者正在努力追赶,更不用说走在前面了。问题是,公司正在考虑如何从信息中赚钱,这可以非常创造性地实现。谷歌就是一个典型的例子。骗子们正试图从他人收集的信息中赚钱。

你提到了中国谚语。没错。我还有一个给你。
“那些不学习历史的人注定要重蹈覆辙。那些不正确学习历史的人们注定要失败。

我希望,我相信还有很多人祝你早日康复,身体健康。我怀念杜农、爱丁堡、格拉斯哥(夜生活)和其他地方的乡村。我怀念真正的炸鱼和薯条,只能在美国做自己的了
我很乐意喝一品脱Tenant’s或Guiness,在斯诺克或飞镖比赛中输给你。
保重,让我们了解最新情况。🙂

汤米2011年7月9日凌晨4:07

@克莱夫·罗宾逊:

“尽管有一些市场模型(即内陆邮政服务)中没有距离成本指标,但理论却忽略了这一点。”

这个理论没有忽视任何东西。政府无视经济因素而购买选票。美国邮政服务局(US Postal Service)对跨镇邮寄信件的收费与在全国5000公里范围内邮寄信件的费用相同。尝试通过联邦快递(FedEx)等私人快递发送您的文件,您将看到一张区域地图,距离更长的话成本更高。

政府不承认规模经济。整个美国怀俄明州的人口少于许多美国城市。这意味着在人口密集地区,运营邮局等的成本可以在更多人中分摊。但是,只有在主要城市中才开始服务的私营企业(如联邦快递)会被指控“偷樱桃”等轻蔑行为。好吧,当然。如果你在纽约和洛杉矶之间有足够的运送量来填满一架飞机,但在爱达荷州的德里格斯和新墨西哥州的陶斯之间没有,那么你为后者提供服务是愚蠢的,至少与前者相同。但政府一直在做这样的事情。

“不公平”?生活在大城市也有负面影响:犯罪、污染、拥堵、噪音、房地产成本高。人们选择他们是因为有一些优点吸引他们:更多更好的工作、艺术和文化、便利的公共交通、大量的航空旅行选择//因为对高交通量的激烈竞争//等等。人们选择小城镇或乡村生活来逃避人群和烟雾,但他们天生就放弃了几分钟路程外购物中心的便利条件,他们可能不得不驱车长途前往商业机场,需要通勤飞机的跳跃。这是一种权衡,小农们不应该期望田园生活的好处,同时仍然拥有人口密度在许多地区带来的成本效益。但政府告诉他们可以,并向我们所有人征税。

对华盛顿很感兴趣。但无论皇室的故事是否属实,弗尔斯的观点是,个人在法律面前享有平等权利(即使最初只是部分实现)的想法是新颖的、历史性的。我知道班级制度深深植根于英国文化。你有上议院议员、骑士等。虽然美国可能有按财富等划分的事实阶级,但任何人都可以站在白宫附近的公共财产上,上面写着:“巴拉克·奥巴马是个白痴。”我想知道如果你站在离白金汉宫最近的法定距离处,上面写着“伊丽莎白·亚历山德拉·玛丽(温莎?)是个白痴”,会发生什么

是的,我故意省略了“女王陛下”和“女王”,因为尽管在向美国官员讲话时有某些礼仪,但它们在法律上是不可执行的。(事实上,他们被广泛忽视。用第三人称来指代总统的恰当方式是“总统”。而不是“奥巴马总统”或“乔治·布什总统”,或者更糟糕的是,“布什先生”,这在他任职期间经常在新闻台上听到。但这并没有法律惩罚。你住在哪里呢?)

当然,你是正确的,互联网虽然没有消除,但降低了发送信息的距离成本。如果我使用ISP的电子邮件服务(我不会),我可以向本地ISP的另一个客户发送电子邮件,或访问由该客户托管的企业网站,而无需超出我的ISP范围。如果没有跨洋电缆或卫星,我无法将其发送到欧洲或亚洲。总得有人花钱铺设这些电缆并发射这些卫星,但成本已在数百万或数十亿人中分摊。因此,我的ISP发现对所有流量收取相同的费用比计量成本更低。

这肯定会改变事情,但不会改变经济规律。它有益于消费者。以前,我只有本地的商店可以购物,或者在我自己的国家有邮购目录。现在,我可以从全球各地的供应商那里在线购买软件,从亚马逊和其他在线零售商那里购买有形商品,他们甚至会为我进行价格比较。更多的竞争=价格更低,Win-Win,而不是盗版。如前所述,这确实是一个新问题,为此,国内法和国际法必须找到新的答案。

@雅各布:

轻微的错误引用,即使考虑到它首先是一种转述:

”“那些不学习的人发件人历史注定会重演”,这是对桑塔亚纳的更贴切的诠释。

“那些没有正确学习历史的人注定会失败”

不幸的是,正如我所戏仿和发布的那样,美国大多数人根本不学习历史。但“历史是由胜利者写的。”失败者的说法往往会大相径庭。尽管如此,还是要承认人类一直在重复同样的错误。

如果你如此想念家,我可以毫不讽刺地问一下,是什么在阻碍你?一定有一些优势超过了劣势,因为你做出了一个(经济)权衡的决定。当然,你不必回答。

我和大家一起祝克莱夫身体健康。

在英国CW上大发雷霆,向我在澳大利亚的朋友们致敬:

卷!:
http://www.amiright.com/parody/70s/johndenver81.shtml网站

第二卷:
http://www.amirght.com/parody/misc/raypetersonelvispresley4.shtml

点击我的sig,观看总统的恶搞。我太客气了,不想诋毁女王陛下,但我确实对布莱尔-布什友谊做了一些事。按要求链接。大家欢呼。

雅各布2011年7月9日上午9:26

@汤米。回到过去,经济、家庭等。简单的答案是,早期的冒险经历以不止一种方式毁了我的一生。这里的卫生保健既不实用又不好。也许我需要使用MASH的想法,而不是用肋骨来送来鱼和薯条……;)

这是一种转述,但我很喜欢这种情绪。历史是由胜利者书写的,但失败者的文化记忆却会让人难以忘怀。问问土耳其人和库尔德人。

尝试将此线程循环回USB和安全等。Clive向我介绍了工具以及理解底层进程的重要性。我想知道克莱夫说了什么。最近的黑客攻击是否与这种情况有关?

  1. 我已经足够大了,能够记住CP/m编程。计算机语言是关键。如果一个人只知道使用嗅探器、megaspoit、bt5等,那么这与了解apache结构的人有很大不同。如果有人知道“过程”或步骤……“如果我在这两个步骤之间穿插……”小偷小摸和抓贼的区别。(电影参考)
    2.雇佣的人都知道如何使用工具,而不是底层结构。
  2. 早在80年代,黑客就被雇佣了。现在更多的是有证书的人。这是一个很大的实际差异。
  3. 大多数现实世界中的东西是丢失的usb和数据或ebay硬盘。
  4. 我怀疑最近的大多数袭击都是因为没有花足够的钱,也没有合适的人员到位。(可能人数不够)
  5. 我想知道政府从私营部门吸走了多少人才。看看招聘广告,或者公司试图雇佣公共和私人后台频道。如果你曾与这些公司中的一些人交谈,你会意识到他们真的不明白这一点,而且他们没有受到损害的唯一原因是有人没有尝试过,或者认为这不值得。我相信一些固执的人在不知不觉中加强了他们(出于对训练他们的人的同情)。大声笑

只是我的想法。您的里程数可能会有所不同。

雅各布2011年7月9日上午9:51

@汤米一个后续想法。你能想象让SANS、infosec或一些会议放松对公司信息结构的控制吗?这就像一只小狗在一个小狗农场里被放生一样。也许如果一份设置和公司匿名标识的副本能够真正加强信息结构。奖品、免费杰格满贯还是认可?有一个人才库没有被使用。

克莱夫·罗宾逊2011年7月9日下午1:45

@雅各布、汤米、,

我曾在世界各地从事各种行业的工作,包括穿着环保、石油和广播行业,并在大部分行业中专攻通信和计算机安全。因为我的罪过,我已经足够大了,能够用位片处理器和之前的ECL(如果有人记得的话)制造出我们现在所说的CPU内核,并切割出我自己的状态机,编写出微码。

我去过很多地方,很想再去一次,但出于医疗原因,我不能再飞了,也不能去真正的山上。在经历了许多国家的医疗设施后,我很高兴自己没有住在这些国家,而其他国家的医疗服务和保险费用我都负担不起。一些所谓的高级医疗保健系统确实让你失望了(一位美国医疗保健提供者没有意识到我有多个PE,反而给了我一些抗生素来治疗“胸部感染”)。

然而,我确实住在英国,尽管国家卫生服务局提供的医疗服务有很多不足之处,但它确实让人们在大多数问题上得以生存。然而,这并不是说它无论如何都是完美的,对于一些危及生命的问题,你最好去另一个欧洲国家。例如,在德国,肿瘤学在许多情况下会更好。

因此,由于医疗原因,我只能局限于水面旅行,我能理解为什么人们无法到达他们想去的地方。我想回到西雅图和雷蒙德,再次回到圣海伦山,以及北美沿海和加拿大南部的其他地区,同样是新西兰。我的一个遗憾是,由于当时看来非常重要的个人原因,没有抓住在南极度过一年的机会。

至于鱼和薯条,可能是你用的土豆,面糊用的面粉和啤酒让你失望。除非你喜欢北英格兰、苏格兰和北爱尔兰的味道,否则你可能也会发现牛肉在滴水。

好消息是,这些东西可以而且确实可以很好地旅行,所以你的(动脉堵塞)炸鱼薯条晚餐可能还有希望

克莱夫·罗宾逊2011年7月9日9:54 PM

@雅各布,

以下内容可能会让人觉得有趣,

http://www.computing.co.uk/ctg-news/2083236/microsoft-blames-recent-sony-rsa-hacks-rookie-mitages

微软“高级主管”约翰·霍伊(John Howie)基本上说,索尼和RSA做出了“新秀”(这很可能是真的)。

但是……他还声称,由于“训练”、“修补”和“伪装带宽”,微软对此类攻击免疫…

我想知道骄傲是否会在跌倒之前到来

另一方面,苹果对iPhone和iPad进行了又一次零日攻击。具有讽刺意味的是,有一个补丁可用,但只适用于那些拥有“越狱”设备的人…

http://blogs.forbes.com/andygreenberg/2011/07/06/jailbreakme-hackers-expose-gaping-security-hole-in-iphones-and-fix-it-only-for-cailbreakers/

《福布斯》的同一作者还发表了一些关于维基泄密和支付卡行业的文章。看起来欧盟反垄断立法将被用来对付支付卡行业的各个成员。

汤米2011年7月9日9:54 PM

@雅各布:

不知道你所说的“最近的黑客风波”是什么意思。它甚至在互联网出现之前就已经存在了。(参见德国黑客事件,IIRC,1988。)

主要问题是错误的激励措施。布鲁斯经常谈到这一点,作为一名经济学家,我会独立地说同样的话:

安全成本由生产商(如微软)承担,但不安全成本由用户承担。微软将不得不花费更多资金来创建更安全的系统,但当你被屏蔽时,他们不会赔钱,所以他们不会。如果他们这样做了,并且相应地增加了系统的成本,那么他们在市场上就没有竞争力了——因为大多数人和企业不知道风险程度,他们不会支付额外费用。询问Clive和Nick P.等人,销售安全解决方案有多难。

由于上述原因,大学没有将综合安全教学纳入其IT课程,因为这不是雇主想要的毕业生。

“未使用的人才库”是笔测试人员。那些愿意为其支付费用的公司通常会受到粗暴的冲击,以及更好的安全保障。一些供应商和第三方为那些在常见产品中发现可验证的关键安全漏洞的人提供奖励。这是一种激励爆竹爱好者以有益的方式使用技能的方法,应该加以扩展。

@克莱夫·罗宾逊:

我希望看到《星际迷航》(Transporter Beam),这样我就能看到这个世界,包括你们美丽国家的一些模仿者同伴。金钱是一个问题,尤其是在当前的混乱中,时间也是一个问题(赚钱需要时间)。我很抱歉你的局限性——我自己也有一些小局限性——但我很高兴能尽我所能去旅行,我相信你也是。

离我几个街区远的地方有一家“爱尔兰酒吧”。当然,我无法判断它的真实性,但我喝了一两杯烈性黑啤酒或淡啤酒,味道很好,味道更浓郁。我一点也不喜欢美国啤酒——它们混在一起大米因为大麦更便宜,他们使用化学物质和其他方法将发酵速度从2-3周提高到2-3天。一些墨西哥啤酒仍然是正宗的、浓郁的,但不是那些做广告最多的啤酒——不是一直都是这样吗?

墨西哥啤酒,致“Eleanor Rigby:
http://www.amirght.com/parody/60/thebeatles1404.shtml

愿道路永远是下坡路,阳光照在你的脸上。干杯!(大口大口)

克莱夫·罗宾逊2011年7月9日11:05 PM

@汤米,

现在大约是早上5点,简单的答案是,在最好的时候,我睡得很轻,医院里很吵。

在我的情况下,当我的睡眠节奏受到干扰时,有时需要几周的时间来纠正自己=8-(

我不知道你在美国怎么称呼它,但在英国,当谈到睡眠障碍患者时,医生们会提到“睡眠卫生”。他们说不仅不喝咖啡或茶,也不吃巧克力。显然,它含有兴奋剂,这显然是女性比男性更喜欢它的原因之一(显然大多数男性的会话能力没有足够的刺激性😉

现在我并不是说我的睡眠障碍真的很严重,但一位医生在检查后在报告中写道,“感谢上帝,这个人不会开车”。

汤米2011年7月10日下午6:27

@克莱夫·罗宾逊:

“在最好的情况下,我睡得很轻……就我而言,当我的睡眠节奏受到干扰时,有时需要几周的时间来纠正自己-(

加入俱乐部。我相信,那些头脑不断运转的人——也就是更聪明的人——更有可能出现睡眠困难。(请注意,我的b/g并不总是输出任何有价值的东西。😉 研究发现,“最好的”睡眠者往往非常循规蹈矩,对传统价值观不屑一顾:他们不担心事情;他们接受现状,等等。这些人并不是给人类带来巨大突破的人,这些突破来自那些质疑现状并希望改善现状的人。

“医院是吵闹的地方。”

去过那里,做过了。你会认为他们会意识到安静的休息有助于康复,但事实并非如此…。“睡眠阶段逆转”(白天/晚上)在住院几天或一周以上的患者中很常见。

巧克力含有(天然)兴奋剂,包括“爱情分子”,这就是为什么男人把它作为礼物送给女人,而女人喜欢它的原因。(大多数男人已经有了很多“爱情分子“,尽管是不同类型的,眨眼:)

巧克力中的刺激性化学物质,脚注[1]和[4],模仿形式,自然:

http://www.amirght.com/parody/60/theswinginmedallions1.shtml

罗伯特·T2011年7月10日下午10:03

@克莱夫R
OT“我在最好的时候睡得很轻……而在我的情况下,当我的睡眠节奏受到干扰时,有时需要几周的时间来纠正自己”

我不知道你是否试过完全遮光窗帘,但我过去有严重的睡眠问题,尤其是当我每个月飞一次美国-亚洲航班时。我发现真正管用的是完全黑暗。遮光窗帘+没有DVD或其他发光二极管,没有照明时钟,如果你在早晨的阳光下出去散步也会有帮助(但我对英格兰的回忆表明,这几乎是不可能的)

你说你在石油和国防行业工作,提到比特片和ECL,听起来像是在为费兰蒂工作。我自己在阿伯丁花了一些时间做石油平台控制系统,但那是很久以前的事了。

谈到晦涩难懂的半导体逻辑技术,我甚至设计了集成注入逻辑(I2L)。实际上,如果你想笑,如果我想保护设计不被复制,我有时会在关键阶段使用I2L。如果你真的想让一个年轻的工程师感到困惑,那么就采用一个普通的CMOS工艺,使用带有多个收集器的寄生横向PNP来构建NAND门。秘密是你需要使用硅化物块掩模,防止“通道阻断”植入该区域。由于你看不到这两个口罩中的任何一个,这让复印机感到非常沮丧。这很刻薄,但很有趣,尤其是当他们多年后接近你时,他们仍然没有弄清楚。

安迪2011年7月10日10:28 PM

开/关主题,关于将未知内容粘贴到处理系统中。。关于抗精神病药物的轻微披露。
它们是有效的(应该先进入大脑,然后再通过自分泌或亚意识进行思考)。
我想知道反间谍组织成员的性/谋杀/狩猎(范围)犯罪率下降了多少。

如果concius被禁用,你怎么能控制自动驾驶呢。

奇怪的帖子抱歉😉

弗莱斯2011年7月11日2:44 AM

@汤米

“对于兰德来说,从她的代表作《阿特拉斯耸肩》开始”
干杯🙂
“弗尔斯的观点是,个人在法律面前生来就享有平等权利(即使最初只是部分实现)的想法是新颖的,具有历史意义”
是的,但1863年就不那么新颖了。在全球范围内,这场运动提前了一段时间:
http://en.wikipedia.org/wiki/Abolition_of_slavery_timeline
“王室谴责”的轶事让我想起了古罗马时代“雷克斯”/“国王”的头衔。它具有如此强烈的负面含义,以至于共和国不复存在后,它就不再被重新利用。在遗产中引入的新词是“凯撒”/“凯泽”/“沙皇”,以该男子本人的名字命名。历史在重复…
权力会腐败,以你的例子来说,我只是想证明,即使意图是好的/高尚的/值得的,也不会自动跟随行动。
每一种形式的政府,不仅仅是君主政体,都可能达到一个阶段,即其所选择的象征被赋予(强烈的)负面含义。它是王冠、其他象征或旗帜。特别是国旗容易被滥用。他们似乎被烧焦了很多…

(
-“电子银行安全”线程
-Bell-LaPadula模型,如本文所述,
http://www.schneier.com/blog/archives/2011/06/
-以及你与David Bell论文的链接,
http://www.acsac.org/2005/papers/Bell.pdf
)>接下来的几周我会安静下来,再次感谢🙂

@尼克·P
(
-Saltzer&Schroeder原则
-Qmail经验教训
-微软的10项安全法律
-准确描述评估保证水平(EAL)
-罗斯·安德森的安全工程
)>谢谢你,我已经把它们打印出来了——完成了djb文章,并发给了RAnderson。

@克莱夫

“这是“不理解”,计算机只与(理解)一起工作,
规则(说明),
信息(数据)和
过程
而人类真正理解(并与之合作),
完整性
通信
实体
而且这两个集合并没有直接从人类映射到计算机,甚至有点模糊,新手可以掌握事物如何工作的基本知识。”

因此,计算机确实“控制”得很好(比人类更好?),但没有信任的概念。难点是标记化/编码信任?
信任是来自控制还是来自信任?诡计,就是那个。😉

向这里的银盾鞠躬。我承认我对在虚拟世界中感到安全几乎没有信心。现实世界已经够难的了。如果我想使用在线服务(银行、购物),我不得不“建立信任关系”,但我周围的证据让我觉得我不应该如此暴露于这些风险之中。未经授权重复使用本质上属于我的代币的风险。机器人以我的身份登录我的银行,我将等同于遭到人身攻击和钱包被偷,但我可能甚至没有意识到这一点。这是一种我们正在应对的极为负面的新感觉(这种人为的不确定性,还是仅仅是我自己?)。与我交谈的一些老人坚决反对电脑和互联网。我经常想知道为什么,但我觉得他们理解并非常强烈地感觉到信任显然是地方性的和人性化的。

我承认我喜欢虚拟世界中联网的计算机给我的“王国王子”的感觉/错觉。(但不要玩farmville游戏)然而,当我帮助别人解决计算机问题时,我感到有负担。要真正帮助他们,让他们感到安全,就要用我所知道的一切来教育他们(遵循最佳实践等),即使这样,我仍然有很多不知道的地方。这里是新手。此外,如果我不完全相信这一点,我也不能指望我帮助的人会这么做。我最不想为我关心的人做的事就是与他们进行“不诚实的交易”。

在这里找到一点安慰。我只会坚持阅读🙂

亲切问候,

弗莱斯

汤米2011年7月11日凌晨3:40

@Vles公司:

“是的,但1863年就不那么新颖了。”

我更多的是指1776年美国独立宣言中这一概念的最初表述。并且已经同意,该书的主要作者托马斯·杰斐逊(Thomas Jefferson)向他之前的启蒙思想家(如约翰·洛克)借了很多钱。

我想说的不是概念这是一个新的概念,但实际上实施一个将这些概念纳入基本原则和法律的政府是一件新鲜事,即使最初只是部分实施。

“权力腐败”——阿克顿勋爵(Lord Acton)的整个引语以及上下文都值得一读。他甚至包括教皇。

多年来,我们自己的宪法和《权利法案》一再遭到颠覆,因此,美国在某些方面正在接近一个民选君主政体(波图斯发明了宪法中不存在的权力),而民选贵族政体在其他方面=国会也通过了宪法没有权力通过的法律。实际上,这些天通过的大多数法律都是在国会缺乏宪法权威的领域。否则,联邦预算最多只能是现在的1/4,也许是1/10;不需要债务,也不存在债务,税收也会低得多。

创始人忘了限制非紧急赤字支出。这样的修正案被反复提到,但一旦人们习惯了他们的面包和马戏团(罗马),他们就不想削减福利,也不想提高税收,所以这不会发生——美国将破产,成为一个二流大国,最终成为第三世界国家。

我对这段历史的分析,以模仿的形式,已经在这里链接了好几次了,但如果你有兴趣但还没有看到,请再次链接:

网址:http://www.amiright.com/combio/70/donmclean152.shtml

“通过你的例子,我只是想证明,即使意图是好的/诺贝尔的/值得的,也不会自动遵循行动是好的。”

哦,ab_so_lute_ly!事实上,英语里有句俗语:“通往地狱的路是由善意铺成的。”善意的人做了很多坏事。所以我们毕竟没有这么多分歧。也许有一点语言障碍,但我认为,正如我们所说,我们现在“站在同一个立场上”(思想一致)。

当然,David Bell论文的链接是由Nick P.提供的,他让我注意到了Bell-LaPadula模型。信用到期时的信用。🙂

汤米2011年7月11日凌晨3:47

@Vles P.S:(忘了)

当你读完《阿特拉斯耸肩》时,我很想知道你的反应,在任何一个帖子上——这个帖子就要消失了——或者通过电子邮件提醒我,让我知道你发了帖子,在哪里。其他读者可能会对你的反应和这本书感兴趣,因为兰德坚定地倡导布鲁斯和其他许多人所追求的价值观——言论自由、新闻自由、个人自由、有限的政府权力,尽管她在互联网面前去世,不幸的是,在看到苏联解体之前,她之所以回避,只是因为她的家人在布尔什维克革命期间逃离了。她知道极权主义是什么样的。

雅各布2011年7月11日上午9:44

@汤米。确切地。我确实了解证券销售的需求和问题。该行业是由事件驱动的。与此同时,我们需要更好地解释和销售它。我所说的“鲁莽”是针对索尼等公司的广为宣传的黑客攻击。

不管这意味着什么,微软可能会更好。如果他们真的认为自己不是目标,那就太愚蠢了。此外,他们正在对访问进行收费,因此可能会在安全方面花费更多。索尼犯下的新手错误,令人惊讶,但并不令人震惊。令我惊讶的是RSAsecureID。这是他们的商业模式。我认为可能是社会工程导致了他们。

美国啤酒里的啤酒花太多了。我几十年没吃过的租户很好。吉尼斯或PBR;)。很难找到味道不像柠檬的美国啤酒。

@克莱夫。听起来我们好像在同一条船上。你的是有氧运动,我的是骨骼运动?心灵和心灵都愿意,但身体却说:“哦,天哪!”

我把鱼吃完了,薯条还是不对。我会继续努力。(只吃三天后的沙拉)我没有错过完整的英式/苏格兰早餐。那是一场烧心的狂欢节。不要错过哈吉斯。我总是喝不下足够的啤酒来让它美味可口。😉

希望你做得更好,并随时通知我们。地面上的任何一天都意味着我们可以有所作为。\米/

主持人2011年7月11日上午10:35

请不要在一个随机的帖子上开始“阿特拉斯耸肩”的讨论。我建议把它带到另一个网站。

彼得·雷特普2011年7月11日上午11:05

安迪·R取得了一枚好硬币的一面。
这个测试确实揭示了
(a) 一个人的安全意识水平,

(b) 他们对手头设备的关注。
我自己管理每一个U盘,甚至购买的那种,
首先通过我的工作保障计划。

由于大多数人的安全意识很低,
大多数人使用电脑、工作站、局域网和互联网接入设备,
对风险的感知是电锯类比不完美的原因。
你可以看到一把锯子划破了木头。

对大多数人来说,计算机的内部工作方式是
“意志驱动”,因为他们必须让它做任何事情,
顽固,因为它常常做不到他们想要的,
“神奇”是因为他们不知道它是如何工作的,否则
看不见,因为他们看不见。
因此,他们假设它是空闲的、被动的、狭义的响应——如果有的话——

回想一下.gov试图将无法阅读的英语传输视为联邦重罪,
没有通过三年前的测试,
并重罪所有越轨项目——
它没有通过执行中断下载测试。

他们不认为电脑等于一把混凝土锯,在装满珍贵数据的鸡蛋箱旁边全速运转,是吗?

主持人2011年7月11日12:04 PM

@安迪:

“开/关主题”

我几乎说不出你在这篇评论中说的是什么,但它似乎完全脱离了主题。请不要那样做。

丽莎2011年7月11日下午6:32

是的,人们会自动与他们在街上发现的第一个吸毒的流浪汉发生性关系。性爱是一种本能,这取决于环境,以防止人们做一些愚蠢的事情,比如与坐在街上的第一个随机的人性交。

把奇怪的USB记忆棒插入电脑的人都是白痴。

三维2011年7月11日下午7:41

嗯,我在这里看到两种观点:

1) 从微软首次推出AutoPlay的第一天起,我就相信它是魔鬼的化身,它将使从“邪恶”媒体安装病毒变得更加容易

2) 即使没有AutoPlay,大多数傻瓜也会毫不犹豫地运行驱动器上的任何东西。看:任何傻瓜都会从电子邮件中看到附件。

所以我在这里部分同意和不同意你,布鲁斯。正如在棒球中所说的那样,“啊,好吧,你知道这是一个团队的努力,我想这是每个球员共同努力的结果。”

弗莱斯2011年7月11日11:12 PM

“用我所知道的一切教育他们(遵循最佳实践等)”

“这取决于环境,以防止人们做一些愚蠢的事情,比如与街上第一个随机坐着的人发生性关系。”

不,这取决于人们对其他人这样做。社会控制这种本能的自然过程被称为道德化。(尽管宗教在很大程度上宣称这是他们的领域。)——我希望这将在即将出版的书中讨论。

在信息技术领域,道德观念一闪而过的原因是,IT行业没有足够多的母亲用木勺把孩子打得头晕目眩,因为她们插上了外国U盘!!!!!

@汤米——是的,船长🙂 – 我会投票决定你的滑稽模仿,只需要找到音乐并先唱出来。

弗莱斯2011年7月11日11:59 PM

@汤米-请原谅双重职位

“如果你想讨论这本书”
已完成此操作。大约2小时前给您发送电子邮件。🙂

古兹玛·明2011年7月12日2:35 AM

我找到一个U盘,把它放在我的屁股上。

从那以后,我的大脑一直很慢而且有毛病。

汤米2011年7月12日下午6:06

@谷歌促销公司:

为什么?谷歌目前的工具和其他工具一样受到黑客攻击,有什么安全可言?

@主持人:

该帖子中没有任何事实依据。如果它确实来自谷歌,那么应该有一个链接,但无论如何它都是垃圾邮件。如果有人虚假地声称代表谷歌写作,那不仅是垃圾邮件,而且是冒充。

它不应该被删除吗?干杯。

迈克2015年4月13日凌晨3:30

说到吃地上的食物,我吃的大部分食物都是在地上(和地里),比如土豆、洋葱、小麦、大麦(啤酒)、大米、花生…

BlahName(BlahName)2020年5月22日上午11:50

事情是这样的。有一些特殊的恶意软件黑客设备可以模拟键盘。你不需要防病毒,甚至不需要启用自动运行。他们仍然可以攻击你。这些设备使用键盘快捷键打开提示符,键入shell代码,并执行各种有趣的操作。只需要插上电源。所以,在外面要小心。

克莱夫·罗宾逊2020年5月22日下午1:09

@BlahName公司,

有一些特殊的恶意软件黑客设备可以模拟键盘。

许多USB的主要安全缺陷之一是键盘和鼠标等“人机界面”设备。简单地说,它们根本不是“USB设备”,而是带有USB接口的传统PS2型设备。

当你知道这一点,并且习惯于在成本低至0.03美元(3美分)的设备上进行低级微控制器编程时,模拟PS2键盘只需要很少的“比特敲击”代码。

因此,你可以自己在他那里生产这些设备,价格不到1.00美元,包括USB连接器、PCB和芯片……如果你通过中国的出口大规模生产,那么你将以“Yanky美元的几分之一”的价格退回

所以我的“两分钱”😉

-2021年1月5日5:37 AM

@主持人:,

以上来自“solutioninfotech”的内容是未经请求的服务广告。

留下评论

登录

允许的HTML•<a href=“URL”>•<em><cite><i>•<strong><b>•<sub><sup>•<ul><ol><li>•<blockquote><pre>额外降价语法通过https://michelf.ca/projects/php-markdown/extra/

Joe MacInnis拍摄的Bruce Schneier的侧栏照片。