看帖神器
未名空间
追帖动态
头条新闻
每日新帖
最新热帖
新闻存档
热帖存档
文学城
虎扑论坛
未名空间
北美华人网
北美微论坛
看帖神器
登录
← 下载
《看帖神器》官方
iOS App
,体验轻松追帖。
马工的问题在于相信技术可以解决一切
查看未名空间今日新帖
最新回复:2021年4月22日 7点20分 PT
共 (32) 楼
返回列表
订阅追帖
只看未读
更多选项
阅读全帖
只看图片
只看视频
查看原帖
a
abyssdragon
大约 3 年
楼主 (未名空间)
不论多么完善的防火墙,都是人来操作,人才是最大的漏洞
在公司安全防卫教材中,人永远是最需要完善的步骤。
比如,你可以在公司大楼后面的吸烟区穿着衬衣领带吸烟,然后和其他吸烟的人一起回大楼,公司门禁就算破了,根本不需要什么暴力破解密码之类的高端玩意。你要是给旁边的烟友递一根烟,对方还会给你指路。
曾经有安全专家做过测试,你就穿一身维修工的制服,带着个工具箱,基本可以随意进出任何大楼,门卫直接放行。
如果你去翻垃圾箱,铁定被人盘问。但是如果你穿着ebay上买过来的制服,直接把垃圾箱退走,没人会查你。那些机密文件即使被粉碎了,也可以用软件复原。
像linux的安全漏洞,摆明了就是个安全漏洞,黑客和阴谋者才不会傻到跟你拼技术,
有这么好的loophole为什么不用?linux气急败坏才是难看。
i
insect9
大约 3 年
2 楼
也没有那个正经公司会觉得直接用开源版本的Linux
是安全的呀。
【 在 abyssdragon 的大作中提到: 】
:
:不论多么完善的防火墙,都是人来操作,人才是最大的漏洞
:
:在公司安全防卫教材中,人永远是最需要完善的步骤。
:
:比如,你可以在公司大楼后面的吸烟区穿着衬衣领带吸烟,然后和其他吸烟的人一起
回大楼,公司门禁就算破了,根本不需要什么暴力破解密码之类的高端玩意。你要是给旁边的烟友递一根烟,对方还会给你指路。
:
:曾经有安全专家做过测试,你就穿一身维修工的制服,带着个工具箱,基本可以随意
进出任何大楼,门卫直接放行。
:
:如果你去翻垃圾箱,铁定被人盘问。但是如果你穿着ebay上买过来的制服,直接把垃
圾箱退走,没人会查你。那些机密文件即使被粉碎了,也可以用软件复原。
:
:像linux的安全漏洞,摆明了就是个安全漏洞,黑客和阴谋者才不会傻到跟你拼技术,
a
abyssdragon
大约 3 年
3 楼
你怎么确定你用的版本里没混入有漏洞的代码?
代码都一行一行检查过了?
【 在 insect9 (insect9) 的大作中提到: 】
: 也没有那个正经公司会觉得直接用开源版本的Linux
: 是安全的呀。
: :
: :不论多么完善的防火墙,都是人来操作,人才是最大的漏洞
: :
: :在公司安全防卫教材中,人永远是最需要完善的步骤。
: :
: :比如,你可以在公司大楼后面的吸烟区穿着衬衣领带吸烟,然后和其他吸烟的人一起
: 回大楼,公司门禁就算破了,根本不需要什么暴力破解密码之类的高端玩意。你要是给
: 旁边的烟友递一根烟,对方还会给你指路。
: ...................
d
dachu
大约 3 年
4 楼
你不是码工。码工想的正好相反。
i
insect9
大约 3 年
5 楼
要么公司自己检查代码,要么买商业版呀。没能力自己看一遍所有代码的,就愿赌服输咯。
【 在 abyssdragon 的大作中提到: 】
:
:你怎么确定你用的版本里没混入有漏洞的代码?
:代码都一行一行检查过了?
:【 在 insect9 (insect9) 的大作中提到: 】
:: 也没有那个正经公司会觉得直接用开源版本的Linux
:: 是安全的呀。
:: :
:: :不论多么完善的防火墙,都是人来操作,人才是最大的漏洞
:: :
:: :在公司安全防卫教材中,人永远是最需要完善的步骤。
:: :
:: :比如,你可以在公司大楼后面的吸烟区穿着衬衣领带吸烟,然后和其他吸烟的人一起
a
abyssdragon
大约 3 年
6 楼
愿赌服输就不要被人查出漏洞来还气急败坏
【 在 insect9 (insect9) 的大作中提到: 】
: 要么公司自己检查代码,要么买商业版呀。没能力自己看一遍所有代码的,就愿赌服输
: 咯。
: :
: :你怎么确定你用的版本里没混入有漏洞的代码?
: :代码都一行一行检查过了?
: :【 在 insect9 (insect9) 的大作中提到: 】
: :: 也没有那个正经公司会觉得直接用开源版本的Linux
: :: 是安全的呀。
: :: :
: :: :不论多么完善的防火墙,都是人来操作,人才是最大的漏洞
: ...................
C
Coho
大约 3 年
7 楼
党可以解决一切
盹盹盹
【在abyssdragon(疯帽子的茶会)的大作中提到:】
:不论多么完善的防火墙,都是人来操作,人才是最大的漏洞
:在公司安全防卫教材中,人永远是最需要完善的步骤。
:比如,你可以在公司大楼后面的吸烟区穿着衬衣领带吸烟,然后和其他吸烟的人一起回大楼,公司门禁就算破了,根本不需要什么暴力破解密码之类的高端玩意。你要是给旁边的烟友递一根烟,对方还会给你指路。
:曾经有安全专家做过测试,你就穿一身维修工的制服,带着个工具箱,基本可以随意进出任何大楼,门卫直接放行。
:如果你去翻垃圾箱,铁定被人盘问。但是如果你穿着ebay上买过来的制服,直接把垃圾箱退走,没人会查你。那些机密文件即使被粉碎了,也可以用软件复原。
:像linux的安全漏洞,摆明了就是个安全漏洞,黑客和阴谋者才不会傻到跟你拼技术,
:有这么好的loophole为什么不用?linux气急败坏才是难看。
r
retry
大约 3 年
8 楼
属实
一帮子脑残老是他妈的上蹿下跳地代表跟它们不在一个世界的人们……
【 在 dachu (Big Chef) 的大作中提到: 】
: 你不是码工。码工想的正好相反。
a
acrofred
大约 3 年
9 楼
社会工程嘛
l
lsunspot
大约 3 年
10 楼
妈了个蛋,门禁卡piggyback是严禁的,所有没卡的都要登记贴条
【 在 abyssdragon (疯帽子的茶会) 的大作中提到: 】
: 不论多么完善的防火墙,都是人来操作,人才是最大的漏洞
:
: 在公司安全防卫教材中,人永远是最需要完善的步骤。
:
: 比如,你可以在公司大楼后面的吸烟区穿着衬衣领带吸烟,然后和其他吸烟的人一起回
: 大楼,公司门禁就算破了,根本不需要什么暴力破解密码之类的高端玩意。你要是给旁
: 边的烟友递一根烟,对方还会给你指路。
:
: 曾经有安全专家做过测试,你就穿一身维修工的制服,带着个工具箱,基本可以随意进
: 出任何大楼,门卫直接放行。
:
: 如果你去翻垃圾箱,铁定被人盘问。但是如果你穿着ebay上买过来的制服,直接把垃圾
: 箱退走,没人会查你。那些机密文件即使被粉碎了,也可以用软件复原。
:
: 像linux的安全漏洞,摆明了就是个安全漏洞,黑客和阴谋者才不会傻到跟你拼技术,
: 有这么好的loophole为什么不用?linux气急败坏才是难看。
a
abyssdragon
大约 3 年
11 楼
一根烟的情谊,让你扶个门过分吗?我忘带门卡了啊
【 在 lsunspot (小手) 的大作中提到: 】
: 妈了个蛋,门禁卡piggyback是严禁的,所有没卡的都要登记贴条
a
abyssdragon
大约 3 年
12 楼
首先你永远无法保证你的版本是100%安全的,完全有可能混入了漏洞代码;
其次,就算你的系统是安全的,你能保证所有员工的系统是安全的吗?比如我要窃取用户信息,我只需要其中一个有权限员工的用户名和密码就足够了
【 在 insect9 (insect9) 的大作中提到: 】
: 要么公司自己检查代码,要么买商业版呀。没能力自己看一遍所有代码的,就愿赌服输
: 咯。
: :
: :你怎么确定你用的版本里没混入有漏洞的代码?
: :代码都一行一行检查过了?
: :【 在 insect9 (insect9) 的大作中提到: 】
: :: 也没有那个正经公司会觉得直接用开源版本的Linux
: :: 是安全的呀。
: :: :
: :: :不论多么完善的防火墙,都是人来操作,人才是最大的漏洞
: ...................
i
insect9
大约 3 年
13 楼
员工登陆需要2段验证,物理加密呀。至少05年的时候百度就用这种系统了。
跑服务的系统嘛,那就自求多福咯。
【 在 abyssdragon 的大作中提到: 】
:
:首先你永远无法保证你的版本是100%安全的,完全有可能混入了漏洞代码;
:其次,就算你的系统是安全的,你能保证所有员工的系统是安全的吗?比如我要窃取
用户信息,我只需要其中一个有权限员工的用户名和密码就足够了
:【 在 insect9 (insect9) 的大作中提到: 】
:: 要么公司自己检查代码,要么买商业版呀。没能力自己看一遍所有代码的,就愿赌
服输
:: 咯。
:: :
:: :你怎么确定你用的版本里没混入有漏洞的代码?
:: :代码都一行一行检查过了?
:: :【 在 insect9 (insect9) 的大作中提到: 】
:: :: 也没有那个正经公司会觉得直接用开源版本的Linux
:: :: 是安全的呀。
a
abyssdragon
大约 3 年
14 楼
假如我黑进你老板的邮箱,发邮件让技术人员copy一份xxx的信息过来呢,很急,现在
就要的那种
【 在 insect9 (insect9) 的大作中提到: 】
: 员工登陆需要2段验证,物理加密呀。至少05年的时候百度就用这种系统了。
: 跑服务的系统嘛,那就自求多福咯。
: :
: :首先你永远无法保证你的版本是100%安全的,完全有可能混入了漏洞代码;
: :其次,就算你的系统是安全的,你能保证所有员工的系统是安全的吗?比如我要窃取
: 用户信息,我只需要其中一个有权限员工的用户名和密码就足够了
: :【 在 insect9 (insect9) 的大作中提到: 】
: :: 要么公司自己检查代码,要么买商业版呀。没能力自己看一遍所有代码的,就愿赌
: 服输
: :: 咯。
: ...................
i
insect9
大约 3 年
15 楼
没人会理他,因为产品代码压根就没办法下载到个人电脑,跟不会有人用邮箱发送了。哪个老板有这个要求,就可以直接转邮件给HR,赶人下课了。
【 在 abyssdragon 的大作中提到: 】
:
:假如我黑进你老板的邮箱,发邮件让技术人员copy一份xxx的信息过来呢,很急,现在:就要的那种
:【 在 insect9 (insect9) 的大作中提到: 】
:: 员工登陆需要2段验证,物理加密呀。至少05年的时候百度就用这种系统了。
:: 跑服务的系统嘛,那就自求多福咯。
:: :
:: :首先你永远无法保证你的版本是100%安全的,完全有可能混入了漏洞代码;
:: :其次,就算你的系统是安全的,你能保证所有员工的系统是安全的吗?比如我要窃取
:: 用户信息,我只需要其中一个有权限员工的用户名和密码就足够了
:: :【 在 insect9 (insect9) 的大作中提到: 】
:: :: 要么公司自己检查代码,要么买商业版呀。没能力自己看一遍所有代码的,就愿赌
S
ScarletRope
大约 3 年
16 楼
人家说信息你说代码
马工果然脑子里只有技术
【 在 insect9 (insect9) 的大作中提到: 】
: 没人会理他,因为产品代码压根就没办法下载到个人电脑,跟不会有人用邮箱发送了。
: 哪个老板有这个要求,就可以直接转邮件给HR,赶人下课了。
:
: 【 在 abyssdragon 的大作中提到: 】
: :
: :假如我黑进你老板的邮箱,发邮件让技术人员copy一份xxx的信息过来呢,很急,现在
: :就要的那种
: :【 在 insect9 (insect9) 的大作中提到: 】
: :: 员工登陆需要2段验证,物理加密呀。至少05年的时候百度就用这种系统了。
: :: 跑服务的系统嘛,那就自求多福咯。
: :: :
: :: :首先你永远无法保证你的版本是100%安全的,完全有可能混入了漏洞代码;
: :: :其次,就算你的系统是安全的,你能保证所有员工的系统是安全的吗?比如我要窃取
: :: 用户信息,我只需要其中一个有权限员工的用户名和密码就足够了
: :: :【 在 insect9 (insect9) 的大作中提到: 】
: :: :: 要么公司自己检查代码,要么买商业版呀。没能力自己看一遍所有代码的,就愿赌
T
Tianzi
大约 3 年
17 楼
脖子上都挂着门卡,有照片,你没门卡,别人又不认识,没人会让你进门。
【 在 abyssdragon (疯帽子的茶会) 的大作中提到: 】
: 不论多么完善的防火墙,都是人来操作,人才是最大的漏洞
: 在公司安全防卫教材中,人永远是最需要完善的步骤。
: 比如,你可以在公司大楼后面的吸烟区穿着衬衣领带吸烟,然后和其他吸烟的人一起回
: 大楼,公司门禁就算破了,根本不需要什么暴力破解密码之类的高端玩意。你要是给旁
: 边的烟友递一根烟,对方还会给你指路。
: 曾经有安全专家做过测试,你就穿一身维修工的制服,带着个工具箱,基本可以随意进
: 出任何大楼,门卫直接放行。
: 如果你去翻垃圾箱,铁定被人盘问。但是如果你穿着ebay上买过来的制服,直接把垃圾
: 箱退走,没人会查你。那些机密文件即使被粉碎了,也可以用软件复原。
: 像linux的安全漏洞,摆明了就是个安全漏洞,黑客和阴谋者才不会傻到跟你拼技术,
: ...................
t
terryfox
大约 3 年
18 楼
一看就是不知道业界软件安全如何工作的
S
ScarletRope
大约 3 年
19 楼
社会工程专家就专门干这个的
实际数据是十次有九次能进去
【 在 Tianzi (偷月亮的人) 的大作中提到: 】
: 脖子上都挂着门卡,有照片,你没门卡,别人又不认识,没人会让你进门。
: 【 在 abyssdragon (疯帽子的茶会) 的大作中提到: 】
: : 不论多么完善的防火墙,都是人来操作,人才是最大的漏洞
: : 在公司安全防卫教材中,人永远是最需要完善的步骤。
: : 比如,你可以在公司大楼后面的吸烟区穿着衬衣领带吸烟,然后和其他吸烟的人一起回
: : 大楼,公司门禁就算破了,根本不需要什么暴力破解密码之类的高端玩意。你要是给旁
: : 边的烟友递一根烟,对方还会给你指路。
: : 曾经有安全专家做过测试,你就穿一身维修工的制服,带着个工具箱,基本可以随意进
: : 出任何大楼,门卫直接放行。
: : 如果你去翻垃圾箱,铁定被人盘问。但是如果你穿着ebay上买过来的制服,直接把垃圾
: : 箱退走,没人会查你。那些机密文件即使被粉碎了,也可以用软件复原。
: : 像linux的安全漏洞,摆明了就是个安全漏洞,黑客和阴谋者才不会傻到跟你拼技
术,
: : ...................
S
ScarletRope
大约 3 年
20 楼
那这次linux的安全漏洞算不算安全漏洞?
【 在 terryfox (狸狸) 的大作中提到: 】
: 一看就是不知道业界软件安全如何工作的
t
terryfox
大约 3 年
21 楼
是漏洞
码农在公司代码提交的大部分都有安全漏洞
不知道业界如何做的,才是这么多人对这次的恶劣行为,还沾沾自喜的原因
【 在 ScarletRope (大红袍) 的大作中提到: 】
: 那这次linux的安全漏洞算不算安全漏洞?
S
ScarletRope
大约 3 年
22 楼
哪里恶劣了?人家指出你的漏洞你就说恶劣?
这叫whistle blower
【 在 terryfox (狸狸) 的大作中提到: 】
: 是漏洞
:
: 码农在公司代码提交的大部分都有安全漏洞
:
: 不知道业界如何做的,才是这么多人对这次的恶劣行为,还沾沾自喜的原因
:
: 【 在 ScarletRope (大红袍) 的大作中提到: 】
: : 那这次linux的安全漏洞算不算安全漏洞?
t
terryfox
大约 3 年
23 楼
故意提交有问题的代码,证明一个大家早就知道的东西
这还不恶劣?
【 在 ScarletRope (大红袍) 的大作中提到: 】
: 哪里恶劣了?人家指出你的漏洞你就说恶劣?
: 这叫whistle blower
S
ScarletRope
大约 3 年
24 楼
早知道还不说,恶劣的是其他人
这就是敢于挑战业界潜规则的勇士被恶势力排挤的故事
【 在 terryfox (狸狸) 的大作中提到: 】
: 故意提交有问题的代码,证明一个大家早就知道的东西
:
: 这还不恶劣?
:
:
: 【 在 ScarletRope (大红袍) 的大作中提到: 】
: : 哪里恶劣了?人家指出你的漏洞你就说恶劣?
: : 这叫whistle blower
t
terryfox
大约 3 年
25 楼
这是无知的人去证明安全领域早就知道的东西
这人对安全一窍不通,还用这种方法去发文章,人家不封他才怪
【 在 ScarletRope (大红袍) 的大作中提到: 】
: 早知道还不说,恶劣的是其他人
: 这就是敢于挑战业界潜规则的勇士被恶势力排挤的故事
S
ScarletRope
大约 3 年
26 楼
安全领域早知道但是不说
结果被一个外行打脸
气急败坏还要封人
【 在 terryfox (狸狸) 的大作中提到: 】
: 这是无知的人去证明安全领域早就知道的东西
:
: 这人对安全一窍不通,还用这种方法去发文章,人家不封他才怪
:
: 【 在 ScarletRope (大红袍) 的大作中提到: 】
: : 早知道还不说,恶劣的是其他人
: : 这就是敢于挑战业界潜规则的勇士被恶势力排挤的故事
t
terryfox
大约 3 年
27 楼
什么不说,不说我怎么知道
他自己不研究别人怎么做的,为了发文章,用黑客手段
【 在 ScarletRope (大红袍) 的大作中提到: 】
: 安全领域早知道但是不说
: 结果被一个外行打脸
: 气急败坏还要封人
S
ScarletRope
大约 3 年
28 楼
其实就是安全界内部心照不宣
拿着低端的东西骗钱
结果被明尼这么一搞以后不能骗钱了
所以气急败坏了
【 在 terryfox (狸狸) 的大作中提到: 】
: 什么不说,不说我怎么知道
:
: 他自己不研究别人怎么做的,为了发文章,用黑客手段
:
: 【 在 ScarletRope (大红袍) 的大作中提到: 】
: : 安全领域早知道但是不说
: : 结果被一个外行打脸
: : 气急败坏还要封人
t
terryfox
大约 3 年
29 楼
就是胡扯,但凡了解一点安全常识的,都知道业界怎么做的
还不如说转行CS,狗屁不通,上来乱搞
【 在 ScarletRope (大红袍) 的大作中提到: 】
: 其实就是安全界内部心照不宣
: 拿着低端的东西骗钱
: 结果被明尼这么一搞以后不能骗钱了
: 所以气急败坏了
r
retry
大约 3 年
30 楼
白痴
一看就没在厂子干过
各种公司security隔三差五的培训都有这种case怎么应对。还有故意的phishing email
【 在 abyssdragon (疯帽子的茶会) 的大作中提到: 】
: 假如我黑进你老板的邮箱,发邮件让技术人员copy一份xxx的信息过来呢,很急,现在
: 就要的那种
: 【 在 insect9 (insect9) 的大作中提到: 】
: : 员工登陆需要2段验证,物理加密呀。至少05年的时候百度就用这种系统了。
: : 跑服务的系统嘛,那就自求多福咯。
: : :
: : :首先你永远无法保证你的版本是100%安全的,完全有可能混入了漏洞代码;
: : :其次,就算你的系统是安全的,你能保证所有员工的系统是安全的吗?比如我要
窃取
: : 用户信息,我只需要其中一个有权限员工的用户名和密码就足够了
: : :【 在 insect9 (insect9) 的大作中提到: 】
: : :: 要么公司自己检查代码,要么买商业版呀。没能力自己看一遍所有代码的,就
愿赌
: : 服输
: : :: 咯。
: : ...................
S
ScarletRope
大约 3 年
31 楼
说的这么牛逼,那人家展示的这个漏洞怎么没补上?
【 在 terryfox (狸狸) 的大作中提到: 】
: 就是胡扯,但凡了解一点安全常识的,都知道业界怎么做的
:
: 还不如说转行CS,狗屁不通,上来乱搞
:
: 【 在 ScarletRope (大红袍) 的大作中提到: 】
: : 其实就是安全界内部心照不宣
: : 拿着低端的东西骗钱
: : 结果被明尼这么一搞以后不能骗钱了
: : 所以气急败坏了
S
ScarletRope
大约 3 年
32 楼
说的这么牛逼,那人家展示的这个漏洞怎么没补上?
【 在 retry (及时行乐,随遇而安) 的大作中提到: 】
: 白痴
: 一看就没在厂子干过
: 各种公司security隔三差五的培训都有这种case怎么应对。还有故意的phishing
email
:
: 【 在 abyssdragon (疯帽子的茶会) 的大作中提到: 】
: : 假如我黑进你老板的邮箱,发邮件让技术人员copy一份xxx的信息过来呢,很急,
现在
: : 就要的那种
: : 【 在 insect9 (insect9) 的大作中提到: 】
: : : 员工登陆需要2段验证,物理加密呀。至少05年的时候百度就用这种系统了。
: : : 跑服务的系统嘛,那就自求多福咯。
: : : :
: : : :首先你永远无法保证你的版本是100%安全的,完全有可能混入了漏洞代码;
: : : :其次,就算你的系统是安全的,你能保证所有员工的系统是安全的吗?比如我要
: 窃取
: : : 用户信息,我只需要其中一个有权限员工的用户名和密码就足够了
: : : :【 在 insect9 (insect9) 的大作中提到: 】
: : : :: 要么公司自己检查代码,要么买商业版呀。没能力自己看一遍所有代码的,就
: 愿赌
: : : 服输
: : : :: 咯。
: : : ...................
请输入帖子链接
收藏帖子
不论多么完善的防火墙,都是人来操作,人才是最大的漏洞
在公司安全防卫教材中,人永远是最需要完善的步骤。
比如,你可以在公司大楼后面的吸烟区穿着衬衣领带吸烟,然后和其他吸烟的人一起回大楼,公司门禁就算破了,根本不需要什么暴力破解密码之类的高端玩意。你要是给旁边的烟友递一根烟,对方还会给你指路。
曾经有安全专家做过测试,你就穿一身维修工的制服,带着个工具箱,基本可以随意进出任何大楼,门卫直接放行。
如果你去翻垃圾箱,铁定被人盘问。但是如果你穿着ebay上买过来的制服,直接把垃圾箱退走,没人会查你。那些机密文件即使被粉碎了,也可以用软件复原。
像linux的安全漏洞,摆明了就是个安全漏洞,黑客和阴谋者才不会傻到跟你拼技术,
有这么好的loophole为什么不用?linux气急败坏才是难看。
也没有那个正经公司会觉得直接用开源版本的Linux
是安全的呀。
【 在 abyssdragon 的大作中提到: 】
:
:不论多么完善的防火墙,都是人来操作,人才是最大的漏洞
:
:在公司安全防卫教材中,人永远是最需要完善的步骤。
:
:比如,你可以在公司大楼后面的吸烟区穿着衬衣领带吸烟,然后和其他吸烟的人一起
回大楼,公司门禁就算破了,根本不需要什么暴力破解密码之类的高端玩意。你要是给旁边的烟友递一根烟,对方还会给你指路。
:
:曾经有安全专家做过测试,你就穿一身维修工的制服,带着个工具箱,基本可以随意
进出任何大楼,门卫直接放行。
:
:如果你去翻垃圾箱,铁定被人盘问。但是如果你穿着ebay上买过来的制服,直接把垃
圾箱退走,没人会查你。那些机密文件即使被粉碎了,也可以用软件复原。
:
:像linux的安全漏洞,摆明了就是个安全漏洞,黑客和阴谋者才不会傻到跟你拼技术,
你怎么确定你用的版本里没混入有漏洞的代码?
代码都一行一行检查过了?
【 在 insect9 (insect9) 的大作中提到: 】
: 也没有那个正经公司会觉得直接用开源版本的Linux
: 是安全的呀。
: :
: :不论多么完善的防火墙,都是人来操作,人才是最大的漏洞
: :
: :在公司安全防卫教材中,人永远是最需要完善的步骤。
: :
: :比如,你可以在公司大楼后面的吸烟区穿着衬衣领带吸烟,然后和其他吸烟的人一起
: 回大楼,公司门禁就算破了,根本不需要什么暴力破解密码之类的高端玩意。你要是给
: 旁边的烟友递一根烟,对方还会给你指路。
: ...................
你不是码工。码工想的正好相反。
要么公司自己检查代码,要么买商业版呀。没能力自己看一遍所有代码的,就愿赌服输咯。
【 在 abyssdragon 的大作中提到: 】
:
:你怎么确定你用的版本里没混入有漏洞的代码?
:代码都一行一行检查过了?
:【 在 insect9 (insect9) 的大作中提到: 】
:: 也没有那个正经公司会觉得直接用开源版本的Linux
:: 是安全的呀。
:: :
:: :不论多么完善的防火墙,都是人来操作,人才是最大的漏洞
:: :
:: :在公司安全防卫教材中,人永远是最需要完善的步骤。
:: :
:: :比如,你可以在公司大楼后面的吸烟区穿着衬衣领带吸烟,然后和其他吸烟的人一起
愿赌服输就不要被人查出漏洞来还气急败坏
【 在 insect9 (insect9) 的大作中提到: 】
: 要么公司自己检查代码,要么买商业版呀。没能力自己看一遍所有代码的,就愿赌服输
: 咯。
: :
: :你怎么确定你用的版本里没混入有漏洞的代码?
: :代码都一行一行检查过了?
: :【 在 insect9 (insect9) 的大作中提到: 】
: :: 也没有那个正经公司会觉得直接用开源版本的Linux
: :: 是安全的呀。
: :: :
: :: :不论多么完善的防火墙,都是人来操作,人才是最大的漏洞
: ...................
党可以解决一切
盹盹盹
【在abyssdragon(疯帽子的茶会)的大作中提到:】
:不论多么完善的防火墙,都是人来操作,人才是最大的漏洞
:在公司安全防卫教材中,人永远是最需要完善的步骤。
:比如,你可以在公司大楼后面的吸烟区穿着衬衣领带吸烟,然后和其他吸烟的人一起回大楼,公司门禁就算破了,根本不需要什么暴力破解密码之类的高端玩意。你要是给旁边的烟友递一根烟,对方还会给你指路。
:曾经有安全专家做过测试,你就穿一身维修工的制服,带着个工具箱,基本可以随意进出任何大楼,门卫直接放行。
:如果你去翻垃圾箱,铁定被人盘问。但是如果你穿着ebay上买过来的制服,直接把垃圾箱退走,没人会查你。那些机密文件即使被粉碎了,也可以用软件复原。
:像linux的安全漏洞,摆明了就是个安全漏洞,黑客和阴谋者才不会傻到跟你拼技术,
:有这么好的loophole为什么不用?linux气急败坏才是难看。
属实
一帮子脑残老是他妈的上蹿下跳地代表跟它们不在一个世界的人们……
【 在 dachu (Big Chef) 的大作中提到: 】
: 你不是码工。码工想的正好相反。
社会工程嘛
妈了个蛋,门禁卡piggyback是严禁的,所有没卡的都要登记贴条
【 在 abyssdragon (疯帽子的茶会) 的大作中提到: 】
: 不论多么完善的防火墙,都是人来操作,人才是最大的漏洞
:
: 在公司安全防卫教材中,人永远是最需要完善的步骤。
:
: 比如,你可以在公司大楼后面的吸烟区穿着衬衣领带吸烟,然后和其他吸烟的人一起回
: 大楼,公司门禁就算破了,根本不需要什么暴力破解密码之类的高端玩意。你要是给旁
: 边的烟友递一根烟,对方还会给你指路。
:
: 曾经有安全专家做过测试,你就穿一身维修工的制服,带着个工具箱,基本可以随意进
: 出任何大楼,门卫直接放行。
:
: 如果你去翻垃圾箱,铁定被人盘问。但是如果你穿着ebay上买过来的制服,直接把垃圾
: 箱退走,没人会查你。那些机密文件即使被粉碎了,也可以用软件复原。
:
: 像linux的安全漏洞,摆明了就是个安全漏洞,黑客和阴谋者才不会傻到跟你拼技术,
: 有这么好的loophole为什么不用?linux气急败坏才是难看。
一根烟的情谊,让你扶个门过分吗?我忘带门卡了啊
【 在 lsunspot (小手) 的大作中提到: 】
: 妈了个蛋,门禁卡piggyback是严禁的,所有没卡的都要登记贴条
首先你永远无法保证你的版本是100%安全的,完全有可能混入了漏洞代码;
其次,就算你的系统是安全的,你能保证所有员工的系统是安全的吗?比如我要窃取用户信息,我只需要其中一个有权限员工的用户名和密码就足够了
【 在 insect9 (insect9) 的大作中提到: 】
: 要么公司自己检查代码,要么买商业版呀。没能力自己看一遍所有代码的,就愿赌服输
: 咯。
: :
: :你怎么确定你用的版本里没混入有漏洞的代码?
: :代码都一行一行检查过了?
: :【 在 insect9 (insect9) 的大作中提到: 】
: :: 也没有那个正经公司会觉得直接用开源版本的Linux
: :: 是安全的呀。
: :: :
: :: :不论多么完善的防火墙,都是人来操作,人才是最大的漏洞
: ...................
员工登陆需要2段验证,物理加密呀。至少05年的时候百度就用这种系统了。
跑服务的系统嘛,那就自求多福咯。
【 在 abyssdragon 的大作中提到: 】
:
:首先你永远无法保证你的版本是100%安全的,完全有可能混入了漏洞代码;
:其次,就算你的系统是安全的,你能保证所有员工的系统是安全的吗?比如我要窃取
用户信息,我只需要其中一个有权限员工的用户名和密码就足够了
:【 在 insect9 (insect9) 的大作中提到: 】
:: 要么公司自己检查代码,要么买商业版呀。没能力自己看一遍所有代码的,就愿赌
服输
:: 咯。
:: :
:: :你怎么确定你用的版本里没混入有漏洞的代码?
:: :代码都一行一行检查过了?
:: :【 在 insect9 (insect9) 的大作中提到: 】
:: :: 也没有那个正经公司会觉得直接用开源版本的Linux
:: :: 是安全的呀。
假如我黑进你老板的邮箱,发邮件让技术人员copy一份xxx的信息过来呢,很急,现在
就要的那种
【 在 insect9 (insect9) 的大作中提到: 】
: 员工登陆需要2段验证,物理加密呀。至少05年的时候百度就用这种系统了。
: 跑服务的系统嘛,那就自求多福咯。
: :
: :首先你永远无法保证你的版本是100%安全的,完全有可能混入了漏洞代码;
: :其次,就算你的系统是安全的,你能保证所有员工的系统是安全的吗?比如我要窃取
: 用户信息,我只需要其中一个有权限员工的用户名和密码就足够了
: :【 在 insect9 (insect9) 的大作中提到: 】
: :: 要么公司自己检查代码,要么买商业版呀。没能力自己看一遍所有代码的,就愿赌
: 服输
: :: 咯。
: ...................
没人会理他,因为产品代码压根就没办法下载到个人电脑,跟不会有人用邮箱发送了。哪个老板有这个要求,就可以直接转邮件给HR,赶人下课了。
【 在 abyssdragon 的大作中提到: 】
:
:假如我黑进你老板的邮箱,发邮件让技术人员copy一份xxx的信息过来呢,很急,现在:就要的那种
:【 在 insect9 (insect9) 的大作中提到: 】
:: 员工登陆需要2段验证,物理加密呀。至少05年的时候百度就用这种系统了。
:: 跑服务的系统嘛,那就自求多福咯。
:: :
:: :首先你永远无法保证你的版本是100%安全的,完全有可能混入了漏洞代码;
:: :其次,就算你的系统是安全的,你能保证所有员工的系统是安全的吗?比如我要窃取
:: 用户信息,我只需要其中一个有权限员工的用户名和密码就足够了
:: :【 在 insect9 (insect9) 的大作中提到: 】
:: :: 要么公司自己检查代码,要么买商业版呀。没能力自己看一遍所有代码的,就愿赌
人家说信息你说代码
马工果然脑子里只有技术
【 在 insect9 (insect9) 的大作中提到: 】
: 没人会理他,因为产品代码压根就没办法下载到个人电脑,跟不会有人用邮箱发送了。
: 哪个老板有这个要求,就可以直接转邮件给HR,赶人下课了。
:
: 【 在 abyssdragon 的大作中提到: 】
: :
: :假如我黑进你老板的邮箱,发邮件让技术人员copy一份xxx的信息过来呢,很急,现在
: :就要的那种
: :【 在 insect9 (insect9) 的大作中提到: 】
: :: 员工登陆需要2段验证,物理加密呀。至少05年的时候百度就用这种系统了。
: :: 跑服务的系统嘛,那就自求多福咯。
: :: :
: :: :首先你永远无法保证你的版本是100%安全的,完全有可能混入了漏洞代码;
: :: :其次,就算你的系统是安全的,你能保证所有员工的系统是安全的吗?比如我要窃取
: :: 用户信息,我只需要其中一个有权限员工的用户名和密码就足够了
: :: :【 在 insect9 (insect9) 的大作中提到: 】
: :: :: 要么公司自己检查代码,要么买商业版呀。没能力自己看一遍所有代码的,就愿赌
脖子上都挂着门卡,有照片,你没门卡,别人又不认识,没人会让你进门。
【 在 abyssdragon (疯帽子的茶会) 的大作中提到: 】
: 不论多么完善的防火墙,都是人来操作,人才是最大的漏洞
: 在公司安全防卫教材中,人永远是最需要完善的步骤。
: 比如,你可以在公司大楼后面的吸烟区穿着衬衣领带吸烟,然后和其他吸烟的人一起回
: 大楼,公司门禁就算破了,根本不需要什么暴力破解密码之类的高端玩意。你要是给旁
: 边的烟友递一根烟,对方还会给你指路。
: 曾经有安全专家做过测试,你就穿一身维修工的制服,带着个工具箱,基本可以随意进
: 出任何大楼,门卫直接放行。
: 如果你去翻垃圾箱,铁定被人盘问。但是如果你穿着ebay上买过来的制服,直接把垃圾
: 箱退走,没人会查你。那些机密文件即使被粉碎了,也可以用软件复原。
: 像linux的安全漏洞,摆明了就是个安全漏洞,黑客和阴谋者才不会傻到跟你拼技术,
: ...................
一看就是不知道业界软件安全如何工作的
社会工程专家就专门干这个的
实际数据是十次有九次能进去
【 在 Tianzi (偷月亮的人) 的大作中提到: 】
: 脖子上都挂着门卡,有照片,你没门卡,别人又不认识,没人会让你进门。
: 【 在 abyssdragon (疯帽子的茶会) 的大作中提到: 】
: : 不论多么完善的防火墙,都是人来操作,人才是最大的漏洞
: : 在公司安全防卫教材中,人永远是最需要完善的步骤。
: : 比如,你可以在公司大楼后面的吸烟区穿着衬衣领带吸烟,然后和其他吸烟的人一起回
: : 大楼,公司门禁就算破了,根本不需要什么暴力破解密码之类的高端玩意。你要是给旁
: : 边的烟友递一根烟,对方还会给你指路。
: : 曾经有安全专家做过测试,你就穿一身维修工的制服,带着个工具箱,基本可以随意进
: : 出任何大楼,门卫直接放行。
: : 如果你去翻垃圾箱,铁定被人盘问。但是如果你穿着ebay上买过来的制服,直接把垃圾
: : 箱退走,没人会查你。那些机密文件即使被粉碎了,也可以用软件复原。
: : 像linux的安全漏洞,摆明了就是个安全漏洞,黑客和阴谋者才不会傻到跟你拼技
术,
: : ...................
那这次linux的安全漏洞算不算安全漏洞?
【 在 terryfox (狸狸) 的大作中提到: 】
: 一看就是不知道业界软件安全如何工作的
是漏洞
码农在公司代码提交的大部分都有安全漏洞
不知道业界如何做的,才是这么多人对这次的恶劣行为,还沾沾自喜的原因
【 在 ScarletRope (大红袍) 的大作中提到: 】
: 那这次linux的安全漏洞算不算安全漏洞?
哪里恶劣了?人家指出你的漏洞你就说恶劣?
这叫whistle blower
【 在 terryfox (狸狸) 的大作中提到: 】
: 是漏洞
:
: 码农在公司代码提交的大部分都有安全漏洞
:
: 不知道业界如何做的,才是这么多人对这次的恶劣行为,还沾沾自喜的原因
:
: 【 在 ScarletRope (大红袍) 的大作中提到: 】
: : 那这次linux的安全漏洞算不算安全漏洞?
故意提交有问题的代码,证明一个大家早就知道的东西
这还不恶劣?
【 在 ScarletRope (大红袍) 的大作中提到: 】
: 哪里恶劣了?人家指出你的漏洞你就说恶劣?
: 这叫whistle blower
早知道还不说,恶劣的是其他人
这就是敢于挑战业界潜规则的勇士被恶势力排挤的故事
【 在 terryfox (狸狸) 的大作中提到: 】
: 故意提交有问题的代码,证明一个大家早就知道的东西
:
: 这还不恶劣?
:
:
: 【 在 ScarletRope (大红袍) 的大作中提到: 】
: : 哪里恶劣了?人家指出你的漏洞你就说恶劣?
: : 这叫whistle blower
这是无知的人去证明安全领域早就知道的东西
这人对安全一窍不通,还用这种方法去发文章,人家不封他才怪
【 在 ScarletRope (大红袍) 的大作中提到: 】
: 早知道还不说,恶劣的是其他人
: 这就是敢于挑战业界潜规则的勇士被恶势力排挤的故事
安全领域早知道但是不说
结果被一个外行打脸
气急败坏还要封人
【 在 terryfox (狸狸) 的大作中提到: 】
: 这是无知的人去证明安全领域早就知道的东西
:
: 这人对安全一窍不通,还用这种方法去发文章,人家不封他才怪
:
: 【 在 ScarletRope (大红袍) 的大作中提到: 】
: : 早知道还不说,恶劣的是其他人
: : 这就是敢于挑战业界潜规则的勇士被恶势力排挤的故事
什么不说,不说我怎么知道
他自己不研究别人怎么做的,为了发文章,用黑客手段
【 在 ScarletRope (大红袍) 的大作中提到: 】
: 安全领域早知道但是不说
: 结果被一个外行打脸
: 气急败坏还要封人
其实就是安全界内部心照不宣
拿着低端的东西骗钱
结果被明尼这么一搞以后不能骗钱了
所以气急败坏了
【 在 terryfox (狸狸) 的大作中提到: 】
: 什么不说,不说我怎么知道
:
: 他自己不研究别人怎么做的,为了发文章,用黑客手段
:
: 【 在 ScarletRope (大红袍) 的大作中提到: 】
: : 安全领域早知道但是不说
: : 结果被一个外行打脸
: : 气急败坏还要封人
就是胡扯,但凡了解一点安全常识的,都知道业界怎么做的
还不如说转行CS,狗屁不通,上来乱搞
【 在 ScarletRope (大红袍) 的大作中提到: 】
: 其实就是安全界内部心照不宣
: 拿着低端的东西骗钱
: 结果被明尼这么一搞以后不能骗钱了
: 所以气急败坏了
白痴
一看就没在厂子干过
各种公司security隔三差五的培训都有这种case怎么应对。还有故意的phishing email
【 在 abyssdragon (疯帽子的茶会) 的大作中提到: 】
: 假如我黑进你老板的邮箱,发邮件让技术人员copy一份xxx的信息过来呢,很急,现在
: 就要的那种
: 【 在 insect9 (insect9) 的大作中提到: 】
: : 员工登陆需要2段验证,物理加密呀。至少05年的时候百度就用这种系统了。
: : 跑服务的系统嘛,那就自求多福咯。
: : :
: : :首先你永远无法保证你的版本是100%安全的,完全有可能混入了漏洞代码;
: : :其次,就算你的系统是安全的,你能保证所有员工的系统是安全的吗?比如我要
窃取
: : 用户信息,我只需要其中一个有权限员工的用户名和密码就足够了
: : :【 在 insect9 (insect9) 的大作中提到: 】
: : :: 要么公司自己检查代码,要么买商业版呀。没能力自己看一遍所有代码的,就
愿赌
: : 服输
: : :: 咯。
: : ...................
说的这么牛逼,那人家展示的这个漏洞怎么没补上?
【 在 terryfox (狸狸) 的大作中提到: 】
: 就是胡扯,但凡了解一点安全常识的,都知道业界怎么做的
:
: 还不如说转行CS,狗屁不通,上来乱搞
:
: 【 在 ScarletRope (大红袍) 的大作中提到: 】
: : 其实就是安全界内部心照不宣
: : 拿着低端的东西骗钱
: : 结果被明尼这么一搞以后不能骗钱了
: : 所以气急败坏了
说的这么牛逼,那人家展示的这个漏洞怎么没补上?
【 在 retry (及时行乐,随遇而安) 的大作中提到: 】
: 白痴
: 一看就没在厂子干过
: 各种公司security隔三差五的培训都有这种case怎么应对。还有故意的phishing
email
:
: 【 在 abyssdragon (疯帽子的茶会) 的大作中提到: 】
: : 假如我黑进你老板的邮箱,发邮件让技术人员copy一份xxx的信息过来呢,很急,
现在
: : 就要的那种
: : 【 在 insect9 (insect9) 的大作中提到: 】
: : : 员工登陆需要2段验证,物理加密呀。至少05年的时候百度就用这种系统了。
: : : 跑服务的系统嘛,那就自求多福咯。
: : : :
: : : :首先你永远无法保证你的版本是100%安全的,完全有可能混入了漏洞代码;
: : : :其次,就算你的系统是安全的,你能保证所有员工的系统是安全的吗?比如我要
: 窃取
: : : 用户信息,我只需要其中一个有权限员工的用户名和密码就足够了
: : : :【 在 insect9 (insect9) 的大作中提到: 】
: : : :: 要么公司自己检查代码,要么买商业版呀。没能力自己看一遍所有代码的,就
: 愿赌
: : : 服输
: : : :: 咯。
: : : ...................