如何看待奧卡姆剃刀與安全界的爭論？

12-28

如題，奧卡姆剃刀的文章：Sina Visitor System

類似的問題：如何評價奧卡姆剃刀，眾黑客，王思聰，周鴻禕在微博上關於wifi下盜取網銀密碼的罵戰？

謝邀，是真的感謝。昨天在餘弦的微信公眾號上看到了對這件事的點評，由於完全不玩微博，不知道他們在吵啥，今天算是了解到了。同時也希望更多人在提問時能把問題點補充進去，謝謝。

先直接回答問題：我認為奧博士不斷修正、強化自己的釋義，這樣玩就沒意思了。

然後我們一點點來吧，講些道理

事情的起因是央視宣傳無線wifi的不安全性，措辭應是表達了銀行密碼也可竊取，似乎奧博士有黑央視即是正義或對國內媒體的天生不信任感，所以他站出來了，說銀行密碼是密文傳輸的，沒法竊取，你是錯誤的，在誤導群眾，不負媒體責任。

他沒想到，隨後一群安全研究員不但不跟他一起指責媒體誇大宣傳，還指出各種利用無線wifi竊取密碼的手段，包括但不限於釣魚網站、中間人攻擊等。然後他就修正了自己的場景，變成了來實戰用商場wifi黑「他的」「網銀客戶端」的密碼。事情到這裡，已經沒必要繼續討論了。

不管央視有過幾次不科學不嚴謹的「科普」，這次的宣傳點其實是沒違背事實的，也是提高公眾的安全意識，沒必要吐槽。

奧博士是專業領域的，所以理解為央視在暗示銀行密碼明文傳輸，就站出來反對。但其實你不知道央視他懂還是不懂，只應就事論事，所以這麼一說就暴露了自己視野比較狹隘，才會招致很多人反對。餘弦那篇文章的標題很精闢：黑掉你，根本不在你認為的那個點上。

釣魚攻擊成本很低，效果最好，欺負公眾沒有安全意識，不存在說掌握這技術的都是大牛或很有錢，不屑於做。事實上，銀行對釣魚網站有嚴密監控，一個釣魚網站在發布公網解析的24小時之內就會被發現、關閉、追殺，包括國外伺服器，每個月都會有數例，數字證明了想做這事的人很多並敢於將犯罪付諸實踐。但是私網劫持你DNS誰也發現不了。PC端用戶已經是看著證書不信任直接點繼續訪問或是直接接受安裝證書了，移動端想看個url或證書更是極不方便，需要至少三步操作，連我都不願意，移動端的釣魚未來只會更猖獗，也與安卓市場的混亂有關，目前還沒看到有序的希望。

再說說銀行的開發。當我覺悟到，銀行的開發其實很爛後，這個觀點真的是越來越被強化，到處覺得不行。爛到什麼地步呢，就是大量用外包，每個人做一個模塊的需求，很多人只會搬輪子，不會改輪子，代碼發現有問題的時候，他說這是搬來的，不敢動，不知道有什麼影響——呵呵，那你自己造一個吧。一個人這樣可以換人，但是大家都這樣就有點受不了了。銀行發展移動市場是被迫的，是先搞，再完善制度標準流程，所以並不健全，要立刻搞，大力搞。

銀行案件少不能作為信道加密安全的依據，首先他就受國家機器保護，觸犯刑法跟遊戲盜號什麼的犯罪成本完全不一樣，然後還受到監管，必須有一個整體的安全體系，比如加密演算法，雙重驗證，數據校驗，財務對賬等等，雙重驗證是一個關鍵的點，它不是絕對安全的，但是是個大大提高犯罪成本的有效的點，這個點倒沒人提到。沒有案件不代表沒有漏洞，只不過漏洞沒辦法貫穿整個業務流程而已。

銀行比所有國內上市的未上市互聯網公司都安全，你可以這麼相信，出於工作職責，我也願意如此宣傳。我知道已經做了很多，我們知道的攻擊手段都有相應措施，但我也知道剩餘風險還是不少，可能存在我們還未發現的點，我們部署一些東西，試圖去發現來自0day的攻擊或APT的跡象，但是如果要拼誰掌握的信息更多，我並沒有十足的信心。安全只是一個主觀感受，當我知道的少，我信任感就高，我了解的客觀事實越多，我就越缺乏安全感。

正在參加婚宴，老婆罵了我好幾次二十幾的人還跟十二一樣吃飯玩手機，思路都打斷了幾次，就寫到這吧，大家真有興趣再探討。

奧卡姆剃刀可能懂一點基本的網路安全和密碼學，知道個ssl，公鑰加密，但是對於軟體安全和系統安全可謂一無所知。

對於純https的網銀，可以用sslstrip。別和我說什麼密碼控制項，sslstrip的同時把html里載入控制項的代碼去掉就行了，客戶端能看到什麼都是你在控制。

對於手機app，是否驗證了ssl證書都是個問題，證書怎麼驗證的也是個問題，是驗證CN還是驗證證書hash？驗證過程是否有漏洞這些都沒法保證。

你要說網銀手機App都經過安全審計，不會出漏洞，那我只能呵呵。

手機app的自動更新也是可以被利用的，可能自動更新功能沒經過加密通道，用的時候忽然彈個框給你個鏈接讓你下載最新版，多少人會中招？

Android的webview掛馬漏洞，多少app沒補？

ios7.x的safari任意代碼執行，大神們手裡應該也有不少，就算不拿這種0day上，誰能保證ios裡面沒再來個goto fail?

沒有100%的安全，除非這個系統是埋在地下幾十米並且關著機，要想埋那麼深就必須用到挖掘機，那麼現在問題來了，挖掘機技術哪家強？

做黑產的表示我們確實需要多一點像奧卡姆剃刀這樣的專家，這樣我們的收入才能保持持續上升的趨勢嘛。

...

對於這個爭論，真正的黑產之王看了只會當個笑話，然後繼續工作，真正的安全大神看了只會微微一笑，對於國內的安全重視程度或許有些反思，然後繼續工作。他們的事業都使他們工作的意義不允許在這樣的地方浪費時間，即使茶餘飯後的空閑，也懶得亂入長篇大論的紛爭，或許偶爾說幾句評論也無人關注，而他們本身則是一種低調的存在，默默地做著些大事。

有些自稱的白帽子們則開始跟風站隊，樂此不疲，娛樂圈重在自娛自樂。

互聯網與手機的重度使用者們則跟他們看娛樂新聞或者電視劇一樣圍觀。

至於當事人，不作評論。

路人一隻，以上回答權當消遣，胡亂書寫，不可作數，僅為博君一笑。

關注點不同，公眾安全和理論安全完全不是一個概念，