重温《我是风筝》

2007-02-14 10:39 | Life

昨天走路回家，到家很晚。我认为最近我忽略了一些很重要的事情，包括很多细节，有很多的事情需要重新review。

回到家，翻出了一张CD，里面正有这首《我是风筝》，搜索了以前的blog，发现有这么一篇blog。生活总是有许多需要自己一个人去面对的东西，我发觉自己非常需要一段安静的、没有人打扰的时间去思考。

有关招行网银安全，回应一位网友

2007-02-12 22:57 | Security

针对这篇blog，一位名为"醉梦流仙"的朋友给出了下列回应：

要破，也要立。如果像你这样只是破，那毫无意义。。网银的安全要怎么做？我是研究游戏安全的，顺便也研究了一下网银，实际上网银做不到绝对安全，只要你用计算机，不管你用什么技术手段都不可能有绝对安全，只是需要增加难度，通过增加门槛让木马制作更困难些。。
你一味的追究数字签名这样的问题，更是舍本逐末，对大部分用户而言是否签名没有意义，签名也保护不了程序安全—-可以运行时修改内存。。
总之，程序放在客户端执行，不可能做到完美，只能通过把事情搞复杂，提高技术门槛，来减少木马。。
加了这个ActiveX控件，起码通用型木马截取不到其密码，难道不是进步？
安全不能建立在别人不知道的基础上，这是过于理想化。你的银行卡，为什么我不能网上取你的款，那就是因为我不知道你的卡号/密码/身份证等等；你的这个BLOG为什么我不能冒充你的身份登录发表文章，只是因为我不知道你的用户名/密码；为什么现在有大量的加壳软件？就是要把程序搞复杂，让人难破解。。
实际上运行在客户端的东西，总是可以研究透的，只是时间问题，那还加壳干嘛，以前很多公司用软件狗，现在很多共享软件用序列号，难道它们都是不能破解的？不可能，只是难度问题。复杂度和难度达到一定程度，就可以挡住很多或者说多数攻击者，这样至少比祼奔要安全。

这位朋友为招商银行着急，我完全可以理解，但是，你对安全存在很多常识上的误解，我不得不为你所开发的网游的安全性捏一把汗。

阅读全文…( 本文约 2933 字，阅读大致需要 6 分钟 )