Subacme

今 (2011) 年早些时候, 包括作者在内的大陸部分用户开始遭遇到伪造的 Gmail 登录页面。 表面上, 这种页面与普通的 Google 帐户登录页面无异, 但它 (们) 含有被插入的代码, 用於巧妙地收集用户的登录信息。

伪造的登录页面在用户以非加密的 HTTP 协议访问 mail.google.com 时出现, 如图所示。

在正常情况下, 已经登录的用户会经历几个环节, 安全地转到 Gmail 中; 即使需要重新输入密码, 页面地址也应以 https:// 开头, 并且登录表单应该明示当前的登录名。 很显然, 伪造的登录页面并不满足这两点。

这种伪造的登录页面有两个特点, 一是发生不频繁, 二是在加载完成一分钟後, 会自动转到真正的 Gmail 中。 虽然作者所了解的范围内只有自己一人遇到过这种现象, 但是根据报导, 截至本 (3) 月上旬, 这种现象仍然存在。

无论如何, 上述因素使得这种盗窃个人隐私的犯罪活动较为隐蔽, 所以用户更应小心防范。

阅读全文 »

Douban 似乎并不会在用户更改头像时删除现有的头像, 尽管其保存的头像历史并不完整。这些旧头像可以通过固定格式的 URL 查看, 直接暴露给所有人。

Douban 为每个用户分配了一个整数 ID, 它就出现在用户头像的 URL 中。用户头像的 URL 格式如下所示。

其中 (1) 为大头像的地址格式, (2) 为小头像的地址格式; u 为用户 ID, 正整数 n 为头像的序号。

您可以尝试将自己当前的大 (小) 头像位置复制到剪贴板中, 然後粘贴到地址栏裡, 再通过改变 n 来查看其历史。头像的历史似乎并不完整, 但哪些仍被保留, 似乎也没有规律可循。

如果您不希望自己的头像被他人不法利用, 可能最保险的做法是不要在 Douban 上使用它。

IPv6 的普及会对用户的隐私造成新的威胁吗? 有观点认为, 地址空间的急剧扩大, 可能使 ISP 有能力为用户分配固定的 IP 地址, 并由此监视和记录每个用户的行为, 甚至以此来实现所谓的上网实名制。我对这样的观点不以为然。

第一, 为用户分配固定的 IP 地址, 未必真正有利於监视用户行为, 因为用户身份本来就不需要使用其 IP 地址表示。事实上, 即使是现在的 ISP, 也已经掌握了大量客户的个人信息, 而在分配 IP 地址时记录被分配者的身份, 并非难事。

第二, 监视所有用户的行为需要耗费大量资源。而在 IPv6 网路环境下, 地址空间的扩大只会加重这一负担。

由以上两点可见, 如果 ISP 想要监视并记录用户行为, 不转到 IPv6 反而更加容易。

最後, 在 IPv6 得到普及之後, 如果 ISP 真的为用户分配固定 IP, 我们依然可以通过代理服务器, 或其他匿名网路 (如 Freenet, Tor 等) 来隐藏身份。比如, 在使用 Tor 时, 产生自某台计算机上的 traffic 并不能代表用户行为, 因此, “老大哥” 并不能更加容易地拿出对被指控者不利的证据。更何况, 加密技术和隐秘通讯技术 (steganography) 在未来都会得到更进一步的发展。

综上所述, 我以为对於 IPv6 的大地址空间对用户隐私造成潜在威胁的担忧是不必要的。本文仅代表个人意见, 也欢迎您发表自己的看法。

今（5）日中午北京市海淀区联想桥発生联级（cascading）交通堵塞，起因据信是来自三个方向的车流造成的死锁。

事故造成交通瘫痪超过半小时。当中有司机相互斗殴，不少人起身或靠近围观，更有人不时叫好助兴。