怪不得“拼多多”故意使用漏洞提权,主要源自于墙国小白多、没底线的开发者也多,相辅相成的
如果忘了拼多多干了什么事,这里有前情提要:
《知名互联网厂商利用漏洞非法控制用户手机窃密,数亿设备受影响》https://www.sohu.com/a/656642277_121648035
《卡巴斯基实锤:拼多多存恶意代码!》https://www.51cto.com/article/750487.html
《美媒:拼多多侵害用户隐私规模前所未见》https://www.rfa.org/mandarin/yataibaodao/junshiwaijiao/hx1-04042023080535.html
一年后的现在,有个mac程序员发帖提问:《自己做的软件用快速提权还是让用户手动授权》https://www.v2etwitter.com/t/1028980
这个程序员说,知道某些版本的macOS存在漏洞,可以用来无感知获得高权限,全程无须告知用户、无须获取用户授权。
于是他就问,该不该利用这个漏洞。
底下的某些回答几乎没有底线,支味十足:
「安全问题不用考虑用户体验」
「减少用户操作,提高用户体验」
「参考 PDD ,直接 root ,给自己做窝」
「只有专业人士才会注意安全问题,对于用户来说步骤越少越好」
虽然反对声更多,但还是有人一针见血:
「别听楼里那帮洁癖的,如果是面向小白用户的话一个弹框授权会让一些用户体感认为“更不安全”。具体想得到有价值的回馈可以去小红书问问」
关于小白用户的这段话,确实很现实。
支国小白觉得授权弹窗烦,确实是会主动让渡自己的权限的,比如:
《教你如何让Win10默认所有软件以管理员身份运行?》https://www.bilibili.com/read/cv9242100/
一开头就这么讲:「经常会跳出“以管理员身份运行”的弹窗,对于肥鱼这种脾气的人来说,一次两次还行,多了就烦了」
可能这个用户不知道,苹果电脑和Linux桌面版不但也有授权弹窗,而且还要求输入密码。Windows授权弹窗不用按密码都嫌烦,那么用苹果电脑和Linux桌面版应该会烦得它砸电脑吧。
这也难怪会有程序员提问该不该利用漏洞,不把“提权请求”告诉用户。
《知名互联网厂商利用漏洞非法控制用户手机窃密,数亿设备受影响》https://www.sohu.com/a/656642277_121648035
《卡巴斯基实锤:拼多多存恶意代码!》https://www.51cto.com/article/750487.html
《美媒:拼多多侵害用户隐私规模前所未见》https://www.rfa.org/mandarin/yataibaodao/junshiwaijiao/hx1-04042023080535.html
一年后的现在,有个mac程序员发帖提问:《自己做的软件用快速提权还是让用户手动授权》https://www.v2etwitter.com/t/1028980
这个程序员说,知道某些版本的macOS存在漏洞,可以用来无感知获得高权限,全程无须告知用户、无须获取用户授权。
于是他就问,该不该利用这个漏洞。
底下的某些回答几乎没有底线,支味十足:
「安全问题不用考虑用户体验」
「减少用户操作,提高用户体验」
「参考 PDD ,直接 root ,给自己做窝」
「只有专业人士才会注意安全问题,对于用户来说步骤越少越好」
虽然反对声更多,但还是有人一针见血:
「别听楼里那帮洁癖的,如果是面向小白用户的话一个弹框授权会让一些用户体感认为“更不安全”。具体想得到有价值的回馈可以去小红书问问」
关于小白用户的这段话,确实很现实。
支国小白觉得授权弹窗烦,确实是会主动让渡自己的权限的,比如:
《教你如何让Win10默认所有软件以管理员身份运行?》https://www.bilibili.com/read/cv9242100/
一开头就这么讲:「经常会跳出“以管理员身份运行”的弹窗,对于肥鱼这种脾气的人来说,一次两次还行,多了就烦了」
可能这个用户不知道,苹果电脑和Linux桌面版不但也有授权弹窗,而且还要求输入密码。Windows授权弹窗不用按密码都嫌烦,那么用苹果电脑和Linux桌面版应该会烦得它砸电脑吧。
这也难怪会有程序员提问该不该利用漏洞,不把“提权请求”告诉用户。
11 个评论
h好像是这么回事
我觉得还是需要让客户知道的
我觉得还是需要让客户知道的
这个文章不错
软件申请权限,无脑点个是,具体申请了什么,会去想知道的那是凤毛麟角
腾讯的Wegame是需要UAC权限的,为了扫你的盘,拿你的浏览器记录
大多数用户根本阻挡不了,也不会想去阻挡.
给了腾讯,百度等支国企业无下限的勇气.
好在你现在使用的浏览器不是支产浏览器,注册品葱没有要你实名认证,直通中南海器官库
软件申请权限,无脑点个是,具体申请了什么,会去想知道的那是凤毛麟角
腾讯的Wegame是需要UAC权限的,为了扫你的盘,拿你的浏览器记录
大多数用户根本阻挡不了,也不会想去阻挡.
给了腾讯,百度等支国企业无下限的勇气.
好在你现在使用的浏览器不是支产浏览器,注册品葱没有要你实名认证,直通中南海器官库
至于提问,该不该利用漏洞,直接无声提权.是这位程序员心存良知,还会发出这种问题
而在中国,把用户当人似乎是错误的.
所谓的增加用户体验,实际上是让用户自己都不知道被卖了
这也体现在了中国的方方面面上
现在更高级的是自热青蛙,自己pushy自己.
妈耶,这个富文本的列表内的问号会被吞掉.也太白痴
而在中国,把用户当人似乎是错误的.
所谓的增加用户体验,实际上是让用户自己都不知道被卖了
这也体现在了中国的方方面面上
- 支企越来越多的服务都需要你使用APP才能正常使用.而腾讯在这方面做到了登峰造极.就不详述了
- 生产事故层出不穷,老员工带新员工,可是老员工自己都不遵守规范,甚至完全不知道规范,就会出事.因为麻烦,老员工的师傅也没有告诉他.
- 餐馆里的菜可能根本没有洗,油可能也是地沟油.你怎么能让吃饭的人知道呢
现在更高级的是自热青蛙,自己pushy自己.
- 天下乌鸦一般黑,哪个国家没有这种事情
- 相信国产,要的权限全部给,我的命都是国家的,一点隐私算什么.
- 你的隐私根本不值钱,你不会真的以为自己的隐私很重要吧
- 不干坏事怕什么隐私泄露 那些说隐私的,都是做过什么见不得人的事,不会是间谍吧
妈耶,这个富文本的列表内的问号会被吞掉.也太白痴
全世界除了支那国还有那个国家软件有特供版?
连孟加拉人都没有中国人好欺负。
连孟加拉人都没有中国人好欺负。
**该用户被封禁,内容已自动替换**
刘慈欣核心思想就是费拉右派https://pincong.rocks/article/item_id-723648
阿姨有一个著名论断:
费拉右派最后一定会投共,和费拉左派一样。
言外之意,费拉是根本不理解什么是真正的左右的, 他们只能依靠片面的单片机思考,得出一个荒谬的结论,当西方社会做正常运作的时候,他们就会高呼:左派工会剥夺了工作,政府搞了太多钱,财政要崩溃,社会要分裂了。
最后的结果一定是他们发现,也许中国真的做得还比西方左派更好呢?
==========================================
记得著名右派悉尼奶爸有几期节目大谈“战争来临的时候,西方会怎么排华”。就很好的体现了这一点。
节目里面他就主张 - 极端情况下,国家政策要保持一定兽性。所以需要集中营去管理华人。
结果被人指出和《三体》维德的话几乎一样-
失去人性,失去很多。失去兽性,失去一切。
奶爸马上解释,我是反对三体的思想的,对于兽性说,他表示,共产党是正常情况下,也要采取极端的情况,这是不对的,但是真的到了极端的情况下,比如战争状态,还是要保持兽性。
但是显然奶爸没有太深入了解过大刘,因为大刘在很多个采访中都表示,他之所以写黑暗森林法则,就是一种思想实验。这个思想实验就是 -
在非常极端的情况下,兽性会才能保存自己。而人类文明的存亡,无疑是最最最最极端的情况。
这和悉尼奶爸的思想是一致的,大刘从来没说不极端的情况下也要保持兽性,相反他自己评价程心的时候,就表示,程心是道德正常的人,但是正是因为她的道德是正常的,所以在极端情况下她会做出错误判断。最后导致地球毁灭!
v2ex的站长恶心的要死,阴险的很
>>这个文章不错软件申请权限,无脑点个是,具体申请了什么,会去想知道的那是凤毛麟角腾讯的Wegame是需...
三问: 你的操作系统是国产或者中国厂商或者国行定制的吗
你的系统上运行着能够获得系统权限的国产软件吗
你是否使用代理服务器访问品葱(最好是tor)?
第一问,系统是中国或者中国定制的就别说话了,也别看啥高危的东西,你用中国定制系统的话,我建议你在网上买一个二手外国手机或者另外买一台bare的电脑,自己装操作系统
第二问,如果你运行着中国的国产软件,而且这些软件有足够权限访问你的资源,比如可以全盘扫描,可以截屏之类的话,后果和第一条一样
第三条,即使你的系统是安全的,国产软件全进了沙盒,如果你不用代理服务器访问品葱,只要政府方能够拿到品葱的log,和中国国产软件的log一比对,就能发现你的ip和国产软件对应关系,然后直接把你开盒了。
已隐藏
墙内的这些所谓“大厂”在数据安全、权限滥用、广告推广这些问题上简直是毫无底线,怪不得喷的人这么多。
$ sudo 大法保平安,前提是要时刻注意不要敲入并执行类似于$ sudo rm -rf / 这类令人昏厥的指令