数字公司旗下的 SSL 服务商好像被 block 完了

刚知道,Apple 早在去年就开始 block Wosign 和 StartCom 作为根签发的 SSL 证书

Symantec 被 google 亲儿子 chrome 拉黑之后,感觉信息安全圈儿的很多事情忽然变了,有『忽如一夜春风来』的感觉。以前是知道有这么些事儿,藏着掖着谁都不说明白,资深的自己玩儿,小弟捡漏,群众连瓜在哪儿都不一定知道。现在是感觉被子掀开,太阳晒进来,虫子晒死一堆——还有大虫子,而侥幸活着的挪个地儿,继续往阴暗处爬。照这趋势,被子迟早彻底掀开,那会儿会怎么样,真不知道。就我知道,glibc 的 hostname resolve 漏洞openssl 心脏滴血都是开胃菜。想对隐藏的『大 boss』有直观感觉,请看斯诺登泄密的那些文件。

开源可持续的其中一个前提是:大多数贡献者积极向善。就像最近很火的区块链,确保账本正确、资金安全的前提是,不诚实节点掌握不了超过全网 50% 的运算力。否则,保存在全网区块链中的账本,被人篡改的几率就大大增加,账本不可信,资金不安全,你账户里面躺着的钱有一天会突然变成 TA 的。随着这些年技术门槛降低,互联网开始普及,互联网经济不再神秘,趋金的商人也越来越多走进来,捞钱。他们在互联网经济中所占的比例会越来越大,最后他们的影响力一定会超过作为『互联网原住民』的工程师。趋金不是个贬义词,由它引发的故事却往往是贬义的。这些故事,最终可能会毁了开源,或者说『进化』开源。

阳光下的 M$ 这么多金,届时 M$ 会不会趁虚而入要了这只企鹅的命,还真不好说。

看开点,随个缘咯。


selinux 也是可怜的孩子,生不逢时。网上的小白教程讨论的都是『怎么关闭 selinux』,知乎上也只有『为什么要关闭 selinux』这一类的问题。

在技术发展水平不变的前提下,安全和方便是一体的两面,要想安全,一定会比较麻烦;想不麻烦,就会不安全。可以选择权衡,本质不会变。没有环境倒逼,恐怕很多企业都不会对安全太上心,这就是现状。安全是非功能需求,往往也是次要需求,安全对应的麻烦则被视为成本,追求『绝对安全』的动力不足,只要相对安全就好。而且,这种『相对』的标准,往往还是领导/客户心理上的相对,跟事实差好远。