geelaw 最近的时间轴更新 geelaw 最近的时间轴更新 |
geelaw🏢 UW / 博士生 V2EX 第 202505 号会员,加入于 2016-11-22 23:09:06 +08:00今日活跃度排名 9748 |
geelaw.blog/
Seattle
GeeLaw
| 求指导 .cn 域名的使用方法 站长 • geelaw • 105 天前 • 最后回复来自 fenglangjuxu | 10 |
| 在 V2EX 摸鱼引出的密码学研究,论文终于出版了,感谢一下 @sillydaddy
33 分享创造 • geelaw • 273 天前 • 最后回复来自 good1uck
|
90 |
| [转载] 有趣的 MD5 碰撞:仅包含字母数字、只有一个字节不同、原像相当短
2 分享发现 • geelaw • 306 天前 • 最后回复来自 0o0O0o0O0o
|
13 |
| Clubhouse 真的很像不久以前我测试过的一个 app 分享发现 • geelaw • 2021-06-25 16:12:06 PM • 最后回复来自 nullcoder | 9 |
| 如何在 C# 里写出零额外开销(避免虚拟方法调用)的 CRTP 成语 分享发现 • geelaw • 2021-06-25 16:12:48 PM • 最后回复来自 nullcoder | 4 |
| C# 泛型、duck typing、高效枚举 C# • geelaw • 2020-09-28 04:59:01 AM • 最后回复来自 good1uck | 1 |
| HTML 里的“词边界” 分享发现 • geelaw • 2020-02-25 05:22:00 AM • 最后回复来自 geelaw | 3 |
| 如何自动化“固定到任务栏” 分享创造 • geelaw • 2020-02-14 19:00:25 PM • 最后回复来自 ysc3839 | 4 |
| 谨慎安装 Edge (Chromium) 稳定版 分享发现 • geelaw • 2020-02-21 22:00:12 PM • 最后回复来自 ericguo | 13 |
| 在 Windows 上轻量地隔离 app:以百度云管家为例
1 分享创造 • geelaw • 2022-11-23 15:35:11 PM • 最后回复来自 723X
|
26 |
geelaw 最近回复了
1 天前 回复了 importmeta 创建的主题 › 程序员 › Win11 使用 IE 浏览器 |
Windows 计划在 2027 年去掉 VBScript 的支持,届时可以用 PowerShell
(New-Object -ComObject InternetExplorer.Application).Visible = $true;
如果要命令行(创建快捷方式)的话
PowerShell -NoProfile -Command (New-Object -ComObject InternetExplorer.Application).Visible = $true;
(New-Object -ComObject InternetExplorer.Application).Visible = $true;
如果要命令行(创建快捷方式)的话
PowerShell -NoProfile -Command (New-Object -ComObject InternetExplorer.Application).Visible = $true;
1 天前 回复了 Kartone 创建的主题 › Android › 安卓手机的剪贴板有隐私泄露风险吗 |
@niubiman #21 不太确定你说的 Ctrl/Cmd+V 的 API 是什么,Windows 上发生的事情也是:用户按了 Ctrl+V ,程序意识到了这一点,然后调用 OpenClipboard, GetClipboardFormatNameW, GetClipboardData 读取剪贴板,操作系统不知道程序为什么调用它:可以是 Ctrl+V ,可以是上下文菜单的“粘贴”,可以是工具栏的“粘贴”,可以是这个 app 就是想查看剪贴板。
我没有仔细看过 WinRT 是如何限制剪贴板 API 只有前台才能访问的,有两种可能:WinRT 剪贴板 API 单纯选择在非前台时不访问剪贴板,实际无权限约束,直接用 Win32 API 就可以访问(当然,这样做的 app 无法通过审核就是了,但可以 sideload ); AppContainer SID 拒绝非前台线程访问剪贴板,即实际上有权限约束。
iOS 上,我不确定用户点击菜单的时候,是真的有权限隔离,还是系统菜单和 app 主动访问都在同一个进程里,只是系统菜单访问剪贴板用的是私有 API (和 app 主动调用的 API 是两套路径),所以主动调用之以绕过弹框的 app 无法通过审核。
我的点在于:要区分用户是否主动,需要权限隔离(操作系统内核所施加的安全性)而非仅仅是审核(本质上是所有上架 app 被迫自律);权限隔离需要的模型可以做,但不简单。
我没有仔细看过 WinRT 是如何限制剪贴板 API 只有前台才能访问的,有两种可能:WinRT 剪贴板 API 单纯选择在非前台时不访问剪贴板,实际无权限约束,直接用 Win32 API 就可以访问(当然,这样做的 app 无法通过审核就是了,但可以 sideload ); AppContainer SID 拒绝非前台线程访问剪贴板,即实际上有权限约束。
iOS 上,我不确定用户点击菜单的时候,是真的有权限隔离,还是系统菜单和 app 主动访问都在同一个进程里,只是系统菜单访问剪贴板用的是私有 API (和 app 主动调用的 API 是两套路径),所以主动调用之以绕过弹框的 app 无法通过审核。
我的点在于:要区分用户是否主动,需要权限隔离(操作系统内核所施加的安全性)而非仅仅是审核(本质上是所有上架 app 被迫自律);权限隔离需要的模型可以做,但不简单。
2 天前 回复了 Kartone 创建的主题 › Android › 安卓手机的剪贴板有隐私泄露风险吗 |
@niubiman #10 用户无法调用 API ,只能用手按一下屏幕,然后程序知道用户按了一下某个按钮的时候,调用 API 去访问剪贴板。
此问题根源在于无法准确建模访问剪贴板的时机,解法也只能是正确建模。一个可以考虑的思路是这样的:
1. 系统进程可以任意访问剪贴板
2. 所有 app 都默认不能访问剪贴板,但可以被用户同意访问(类似于地理位置的权限模型)
3. 提供一个新的按钮控件,此控件生活在系统进程里,点击此按钮时,系统进程读取剪贴板并传送到 app 进程的事件处理程序里
因为新按钮控件位于系统进程,在合适的权限模型下,app 进程无法访问系统进程,所以无法假装点击。
另外商店审核也可以加入规则,但在 API 和进程权限、隔离上建模是最重要的部分。
@Linho1219 #15 原生文本框的代码只要依然运行在 app 进程里,app 就完全可以选择把原生文本框里访问剪贴板的代码抽取出来。
当然,能这样做是因为 app 的代码并不是严格受控的,一般地,剪贴板 API (或者任何本机代码)并不知道自己的调用者是谁——对比 JavaScript ,后者可以做到“只有用户点击按钮的时候,才能用代码开启新标签页而不被默认阻拦”,是因为“谁、什么时候调用的”的信息来自 JS 引擎。
此问题根源在于无法准确建模访问剪贴板的时机,解法也只能是正确建模。一个可以考虑的思路是这样的:
1. 系统进程可以任意访问剪贴板
2. 所有 app 都默认不能访问剪贴板,但可以被用户同意访问(类似于地理位置的权限模型)
3. 提供一个新的按钮控件,此控件生活在系统进程里,点击此按钮时,系统进程读取剪贴板并传送到 app 进程的事件处理程序里
因为新按钮控件位于系统进程,在合适的权限模型下,app 进程无法访问系统进程,所以无法假装点击。
另外商店审核也可以加入规则,但在 API 和进程权限、隔离上建模是最重要的部分。
@Linho1219 #15 原生文本框的代码只要依然运行在 app 进程里,app 就完全可以选择把原生文本框里访问剪贴板的代码抽取出来。
当然,能这样做是因为 app 的代码并不是严格受控的,一般地,剪贴板 API (或者任何本机代码)并不知道自己的调用者是谁——对比 JavaScript ,后者可以做到“只有用户点击按钮的时候,才能用代码开启新标签页而不被默认阻拦”,是因为“谁、什么时候调用的”的信息来自 JS 引擎。
2 天前 回复了 rareMango 创建的主题 › 职场话题 › 公司问要源码应不应该给 |
>按照之前的框架(是朋友从他们公司给我的一份学习代码)写了一套新的框架替代其中的某一部分
问题 1:朋友从朋友公司拿代码给楼主阅读,这件事情合法吗?“朋友公司”是“朋友的公司”,还是“朋友供职的公司”?此公司同意把代码给楼主阅读吗?
问题 2:“按照……写了一套新的”是几乎背诵,还是内化之后重新写出来?
>新框架的具体实现被我封装成库了
问题 3:楼主新公司允许员工把未知源代码的、编译后的程序,作为工作成果使用?
>个人认为算是吃饭的本领,不愿意开源给别人……我本人还是出于私心不太愿意给……
问题 4:楼主和现公司的关系是?如果是普通的劳动关系,楼主工作时间写的代码通常是公司的,“开源不开源”“给不给”根本不是楼主需要思考的问题,因为代码本来就是公司的,楼主无权处分公司的代码。如果楼主是现公司的供应商,那么还是可以谈要不要给的问题的。
>二是万一以后泄露可能会牵扯到朋友(虽然几率很小)
问题 5:楼主的意思是明知可能侵权依然要这样做吗?应该提示的是 V2EX 很难删帖,此贴可以成为对楼主不利的证据。
问题 1:朋友从朋友公司拿代码给楼主阅读,这件事情合法吗?“朋友公司”是“朋友的公司”,还是“朋友供职的公司”?此公司同意把代码给楼主阅读吗?
问题 2:“按照……写了一套新的”是几乎背诵,还是内化之后重新写出来?
>新框架的具体实现被我封装成库了
问题 3:楼主新公司允许员工把未知源代码的、编译后的程序,作为工作成果使用?
>个人认为算是吃饭的本领,不愿意开源给别人……我本人还是出于私心不太愿意给……
问题 4:楼主和现公司的关系是?如果是普通的劳动关系,楼主工作时间写的代码通常是公司的,“开源不开源”“给不给”根本不是楼主需要思考的问题,因为代码本来就是公司的,楼主无权处分公司的代码。如果楼主是现公司的供应商,那么还是可以谈要不要给的问题的。
>二是万一以后泄露可能会牵扯到朋友(虽然几率很小)
问题 5:楼主的意思是明知可能侵权依然要这样做吗?应该提示的是 V2EX 很难删帖,此贴可以成为对楼主不利的证据。
3 天前 回复了 FINCTIVE 创建的主题 › 分享创造 › 耗时大半年,折腾了一套无痛阅读外网技术博客的玩意,每天瞄一眼,再也不用读墙内二手内容了... |
@FINCTIVE #24 有心了,不过我 #9 并不是说我想要 newsletter 🤣
3 天前 回复了 yazinnnn0 创建的主题 › 程序员 › 通过逆向开发出来的补丁享有著作权吗? |
当然有,根据
>第十三条 改编、翻译、注释、整理已有作品而产生的作品,其著作权由改编、翻译、注释、整理人享有,但行使著作权时不得侵犯原作品的著作权。
以及通读全文未发现侵权时丧失改编作品的权利,因此是存在的。
当然,改编人的权利仅限于改编的部分,因此:
- 若原版权持有人追责,则改编人需要负责;
- 改编人公开改编资料,原版权持有人无权未经改编人允许将其整合到自己的作品中,即使改编资料侵犯了原版权持有人的权利。
————
再举一个简单的例子:假设 A 以 GPLv2 发布软件 X ,侵权人 B 改编 X 得到 Y 并以专有协议发布,请问 A 或第三人 C 是否有权利对 Y 逆向工程得到源代码并任意使用?
答案是否定的。又问,何种规定禁止对 Y 逆向工程?答案是因为 B 享有 X 到 Y 变化这部分的著作权,虽然 B 的行为是对 A, X 的侵权。
请注意,在这个例子里,B 发布了 Y 但没有按 GPLv2 发布,因此永久失去了 GPLv2 授予使用 X 的权利(除非 A 另行安排),且此种丧失不能因为后续 B 修正了自己的错误(例如以 GPLv2 发行 Y )而自动恢复。
>第十三条 改编、翻译、注释、整理已有作品而产生的作品,其著作权由改编、翻译、注释、整理人享有,但行使著作权时不得侵犯原作品的著作权。
以及通读全文未发现侵权时丧失改编作品的权利,因此是存在的。
当然,改编人的权利仅限于改编的部分,因此:
- 若原版权持有人追责,则改编人需要负责;
- 改编人公开改编资料,原版权持有人无权未经改编人允许将其整合到自己的作品中,即使改编资料侵犯了原版权持有人的权利。
————
再举一个简单的例子:假设 A 以 GPLv2 发布软件 X ,侵权人 B 改编 X 得到 Y 并以专有协议发布,请问 A 或第三人 C 是否有权利对 Y 逆向工程得到源代码并任意使用?
答案是否定的。又问,何种规定禁止对 Y 逆向工程?答案是因为 B 享有 X 到 Y 变化这部分的著作权,虽然 B 的行为是对 A, X 的侵权。
请注意,在这个例子里,B 发布了 Y 但没有按 GPLv2 发布,因此永久失去了 GPLv2 授予使用 X 的权利(除非 A 另行安排),且此种丧失不能因为后续 B 修正了自己的错误(例如以 GPLv2 发行 Y )而自动恢复。
Select Language