V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jsou
V2EX  ›  程序员

无意间发现 CNNIC 也出了开源镜像站

  •  
  •   jsou · 2017-02-13 08:45:10 +08:00 · 12189 次点击
    这是一个创建于 2822 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天下载 tomcat,一看下载链接有 cnnic.cn 几个字,打开进去一看, 几个大字: 中国互联网络信息中心开源镜像站

    105 条回复    2017-02-15 14:52:35 +08:00
    1  2  
    xvx
        1
    xvx  
       2017-02-13 08:57:57 +08:00 via iPhone
    敢用?
    cocochan
        2
    cocochan  
       2017-02-13 09:01:44 +08:00 via iPhone   ❤️ 4
    @xvx 每个文件都有数字签名的 为啥不能用
    SourceMan
        3
    SourceMan  
       2017-02-13 09:05:47 +08:00 via iPhone   ❤️ 2
    @xvx 请告知不敢用的原因
    skylancer
        4
    skylancer  
       2017-02-13 09:11:58 +08:00
    这类东西要么有签名要么有 checksum, 实在不知道不敢用的原因在哪
    xvx
        5
    xvx  
       2017-02-13 09:12:05 +08:00 via iPhone
    @cocochan
    @SourceMan 只因为 CNNIC 。
    Ouyangan
        6
    Ouyangan  
       2017-02-13 09:18:49 +08:00
    为啥不上官网下载
    linux40
        7
    linux40  
       2017-02-13 09:20:20 +08:00 via Android
    眼瞎,没有看到。。。
    imlonghao673
        8
    imlonghao673  
       2017-02-13 09:22:33 +08:00 via Android
    @Ouyangan 官网下载?
    cnZary
        9
    cnZary  
       2017-02-13 09:24:00 +08:00
    linbiaye
        10
    linbiaye  
       2017-02-13 09:29:07 +08:00   ❤️ 1
    ccnic 签过 github 的证书,再签一个 apace 证书也可以。
    SourceMan
        11
    SourceMan  
       2017-02-13 09:29:25 +08:00
    @xvx #5 V2EX 已经过了为黑而黑的时代了
    不信的话,把你这个观点发给贴,看看楼下大家评论的观点。
    imlonghao673
        12
    imlonghao673  
       2017-02-13 09:33:33 +08:00 via Android   ❤️ 1
    @linbiaye 没记错的话 这是 WoSign
    https://crt.sh/?id=29647048
    bubuyu
        13
    bubuyu  
       2017-02-13 09:33:45 +08:00
    只有 apache 的...
    rssf
        14
    rssf  
       2017-02-13 09:36:43 +08:00 via iPhone
    cnnic 天生自带邪恶标签
    linbiaye
        15
    linbiaye  
       2017-02-13 09:37:13 +08:00
    @imlonghao673 多谢指正, ccnic 签的是 google 。反正这 2 个都不信任。
    mazyi
        16
    mazyi  
       2017-02-13 09:50:54 +08:00   ❤️ 14
    CNNIC 洗不白的,注定只是一个互联网上的小丑。

    那么多地方可以安全放心的下,为何要去一个曾经卖过假药还害死了人还被发现的地方去下呢?
    Systemd
        17
    Systemd  
       2017-02-13 09:53:11 +08:00 via Android
    CNNIC 还有 CT (证书透明度)服务器呢

    虽说不敢用…
    squid157
        18
    squid157  
       2017-02-13 09:56:06 +08:00 via iPhone
    PGP 签名过的,为什么不敢用。
    只是我觉得速度不会比网易 /阿里 /各个高校的镜像强多少
    RqPS6rhmP3Nyn3Tm
        19
    RqPS6rhmP3Nyn3Tm  
       2017-02-13 09:57:18 +08:00 via iPhone   ❤️ 1
    包管理都要校验 gpg 签名或 checksum 的,请告知我不敢用的理由
    gpg 本身就是 Web of Trust
    wizardoz
        20
    wizardoz  
       2017-02-13 09:58:41 +08:00
    @mazyi 说的对,卖过假药的人,我一辈子不会找他买药。
    jimzhong
        21
    jimzhong  
       2017-02-13 10:05:48 +08:00 via Android
    最关心出口带宽多少?会比 ustc 快吗?
    flyingghost
        22
    flyingghost  
       2017-02-13 10:15:35 +08:00   ❤️ 13
    今天你敢用,是因为还没有发现在证书、签名和 checksum 之下还有为非作歹的可能性。

    昨天你被黑,也是因为没想到 https 证书也有假的可能。

    前天你被劫持,也是因为当时没觉得自己 http 浏览正常网站还有做安全防护的必要性。

    道高一尺魔高一丈,技术天天在进步,我的智商和见识却每次都是吃了亏以后才见长的。

    如果可能,我真不愿意每次都点这些和工作未必有关的奇怪技能点。更不愿意,每次都是吃亏之后。
    wy315700
        23
    wy315700  
       2017-02-13 10:21:19 +08:00
    旗下某个实验室做的吧
    loading
        24
    loading  
       2017-02-13 10:52:24 +08:00 via Android   ❤️ 9
    都是嘴上说着正义戴着有色眼镜的人。
    scys
        25
    scys  
       2017-02-13 10:56:18 +08:00
    更多的镜像是好事情
    HLT
        26
    HLT  
       2017-02-13 10:58:04 +08:00
    有那么多的选择,为什么要用 CNNIC
    otakustay
        27
    otakustay  
       2017-02-13 11:08:41 +08:00
    我以为程序员是最能遵守对事不对人原则的人群,看来并不是这样
    flyingghost
        28
    flyingghost  
       2017-02-13 11:13:18 +08:00   ❤️ 2
    @loading 验证正义是有试错成本的。在镜像市场充分丰富的情况下,如何快速选择一个优秀的安全的未来有保障的镜像?
    如果前提是“现在大家都挺靠谱”,那么历史信用值就是一个快速选择的有效依据。

    大多数人其实没那么记仇,如果 CNNIC 以后能长期保持节操做的优秀,逐渐总会有人尝试,然后肯定,然后给别人推广的。可惜,时间还太短,每个人心里的信用列表,有效期还没过哪。
    ragnaroks
        29
    ragnaroks  
       2017-02-13 11:15:28 +08:00
    @imlonghao673 #12 第 673 个账号?
    skylancer
        30
    skylancer  
       2017-02-13 11:17:32 +08:00 via Android
    @linbiaye 有种东西叫证书链
    flyingghost
        31
    flyingghost  
       2017-02-13 11:22:04 +08:00   ❤️ 7
    话又说回来,有色眼镜这件事,就一定是坏事吗?

    这玩意其实是演化的自然结果。先验经验可以极大的提高决策速度。这在分秒必争的自然竞争中意义非常重大。

    羚羊绝对不会思考“这只狮子是不是一只肉食动物?值不值得尝试一下做朋友?”直接有色眼镜一瞄就撒丫子跑了。认真思考的羚羊,都没有成功的把自己严谨求真的基因遗传下来。
    代价是,羚羊与一头与众不同的值得做一辈子朋友的食草狮子擦肩而过,留下了一辈子的遗憾,后来还拍了一部言情剧。
    收获是,绝大部分羚羊都安然活到了今天。岁月静好。
    tracymcladdy
        32
    tracymcladdy  
       2017-02-13 11:28:12 +08:00 via Android
    我敢用,但这货洗不白
    402645707
        33
    402645707  
       2017-02-13 11:30:03 +08:00
    这玩意本来就不是给民间用的
    目测是搞国产 linux 系统附带的服务
    linbiaye
        34
    linbiaye  
       2017-02-13 11:37:54 +08:00
    @skylancer 你要说什么?
    withlqs
        35
    withlqs  
       2017-02-13 11:42:16 +08:00
    有色眼镜好,你们都不用,我自己用,速度快啊!(偷笑
    wql
        36
    wql  
       2017-02-13 11:42:40 +08:00 via Android
    @402645707 国产的用 USTC 或者 HUST 带宽更大,我想不出用 CNNIC 的理由来。
    skylancer
        37
    skylancer  
       2017-02-13 11:48:32 +08:00 via Android   ❤️ 1
    @linbiaye 我要说的就是 CNNIC 签发假证书的理由根本站不住脚
    linbiaye
        38
    linbiaye  
       2017-02-13 11:51:04 +08:00
    @skylancer 你信你相信的,我信我自己的,不用来劝我信你所信的。
    skylancer
        39
    skylancer  
       2017-02-13 11:53:52 +08:00 via Android
    @linbiaye 嗯,一个连证书链都不敢信的确实没什么好说的
    linbiaye
        40
    linbiaye  
       2017-02-13 11:58:33 +08:00
    伪造证书被抓了个现行,还有这么多人来洗白。原来还有 xx 主义码农。
    skylancer
        41
    skylancer  
       2017-02-13 11:59:57 +08:00 via Android
    @linbiaye 笑死我了, CNNIC 签发 GitHub 证书的上层签名链你看看是什么,然后摸摸你脸疼不疼
    linbiaye
        42
    linbiaye  
       2017-02-13 12:02:34 +08:00
    @skylancer 烦不烦啊你, 追着回复,说了你信你爱信的。
    skylancer
        43
    skylancer  
       2017-02-13 12:04:26 +08:00 via Android
    @linbiaye 我也不是回复你啊,是打算给后面来的人看的,你自己要回复。顺带说一句要按回复才能跳转到你那层,我建议互相 b 了,更省事
    linbiaye
        44
    linbiaye  
       2017-02-13 12:06:51 +08:00
    @skylancer 你爱 b 不 b ,用不着你建议我。
    hahastudio
        45
    hahastudio  
       2017-02-13 12:37:58 +08:00   ❤️ 2
    然而你们觉得上面站在高地的那几位到底会有几个去用的= =
    neilp
        46
    neilp  
       2017-02-13 12:47:29 +08:00 via iPhone   ❤️ 1
    魔高一丈, 我不想在多年以后才知道 我艹,它门还有这个技能啊, 图样。
    bumz
        47
    bumz  
       2017-02-13 13:04:39 +08:00   ❤️ 4
    @flyingghost 是的,造假总是可能的。

    就算你不用 CNNIC ,如果直接在 ISP 上部署用于造假的劫持,那么你用任何非局域网镜像也都同样危险。

    我们可以不信赖任何技术。那我们将没有什么可以信赖的了。在现代社会没有人能够独立完成所有工作,不依赖外界。如果我们不选择一种机制去信赖,我们将寸步难行。

    是的 HTTPS 一样可以劫持,证书也可以伪造, checksum 也可以失效。但是正是这样的技术存在,选择相信这些技术本身,才可以在不可信的渠道下建立可信的通信。

    和卖假药不同——个人没有条件去从分子级别上校验药物的成分,只能选择从可信渠道获取。

    但在互联网上,任何人都可以通过密码学手段实现信息传输的安全性、保密性以及防篡改性,从而在不可信的渠道下依旧信任传输的内容。也只有这样,互联网才成为可能。

    我们生活在一个危机四伏的环境中,不止 CNNIC , ISP ,骨干路由器等等一系列中枢都不可信任。

    如果你选择不信任数字签名和 checksum ,不敢用 CNNIC 镜像

    那你又为何敢让 ISP 为你提供互联网接入服务呢?
    flyingghost
        48
    flyingghost  
       2017-02-13 14:33:47 +08:00   ❤️ 2
    @bumz 确实,我不得不信赖技术,但我的技术也有限,技术本身也有其自身的局限性。在这种情况下,倾向于信任一个值得信任的伙伴,一个没有任何黑历史的伙伴,成本和风险是不是更低一些?

    具体的说, USTC 或者其他我没有听说过劣迹的服务商是可信的(我这人比较容易相信别人,大牌无劣迹默认白名单,除非听说过有什么黑历史劣迹才会拉黑名单)。数字厂这种正在劣迹的服务商是不可信的。 CNNIC 这种曾有劣迹但改正的服务商是待考察的(虽然从它的基因来说我依然不放心)。

    就算对技术的信任,也无法绝对化。本来我信任 MD5 和 SHA1 ,但因为安全技术的进步,计算能力的提高,这些我曾经信任的技术,纷纷落入不被推荐不被支持的范围。那么,谁能保证数字签名和 checksum 之类的技术明天会如何?

    至于 ISP ,真的是在抬杠了。我倒是想选 google ,没的选啊!

    综上,信任已知技术,但不完全技术至上。信任大厂名厂,对曾经有过劣迹的厂子持警惕态度,有选择的情况下尽量绕道,尽量选择风险成本低的,同时尽量降低选择成本。不管是镜像还是买车还是买食品,我们不正是这样一路战战兢兢过来的吗?
    jarell
        49
    jarell  
       2017-02-13 14:43:39 +08:00
    还有个问题是: 为什么 http://mirrors.cnnic.cn/下面偏偏只有一个 apache 系列的镜像? 难道是因为这个方便加料? 建议比较闲而且无聊的人用脚本监控一下上面文件的变化,并对比一下官网的校验值
    d7101120120
        50
    d7101120120  
       2017-02-13 14:59:21 +08:00 via Android
    虽然不用,不过多一个开源镜像站总归是好的,单就开设开源镜像站这件事应该是值得鼓励的,而至于其他作恶依然是恶,两者不冲突。

    很多时候很多事物是没办法看做一个总体的, Google 也做过恶,百度也为过善。有时候善与恶很可能只是其中的一个个体所为,比如央视,纪录片频道部门的优秀纪录片会让人不禁赞誉国内只有央视能拍出这么好的纪录片,而 315 晚会之类的丑恶行径又让人为之厌恶,这又是另一个部门的锅。
    imlonghao673
        51
    imlonghao673  
       2017-02-13 15:24:08 +08:00 via Android
    @ragnaroks 我原先有帐号 然后手机贪方便直接用谷歌帐号登录就这样了
    sobigfish
        52
    sobigfish  
       2017-02-13 17:06:14 +08:00
    其实在有其他资源的情况下,没必要纠结这些。
    就像出去旅游,在有卖矿泉水的地方你是买矿泉水,还是喝(漂白过的)自来水呢?
    Macbooker
        53
    Macbooker  
       2017-02-13 17:14:41 +08:00
    那赃物能不能买?跟正品一毛一样。

    精神洁癖啊
    bumz
        54
    bumz  
       2017-02-13 17:15:01 +08:00   ❤️ 1
    @flyingghost 恩,基本同意你的观点,对于我们不了解或者没办法彻底了解的东西,只能看「牌子」了。一个组织一旦有过劣迹,它的牌子就不再受到信任,这也是社会信任机制的基本运行方式。

    举 ISP 的例子只是想说,不用 CNNIC 但继续使用不可信任的 ISP ,真的不能提升什么安全性,如果你不信任 checksum 和签名这类技术的话。
    ZE3kr
        55
    ZE3kr  
       2017-02-13 17:17:30 +08:00
    每个文件都有数字签名,没啥不敢用的。镜像就是哪个快用哪个就好

    我递归 DNS 还在用 CNNIC 的呢,速度大概是国内最快的了吧,至少感觉比运营商的好
    xupefei
        56
    xupefei  
       2017-02-13 17:46:04 +08:00   ❤️ 4
    怎么说呢,某些人看到中国就无脑就黑的姿势真的很难看。
    太平洋没加盖,向往不作恶的西方世界那就游过去啊,现在这边吃饭边无脑骂娘算什么本事。
    然而其中挺多人没那个本事游过去,只能望着对面继续骂娘以期出淤泥而不染,哈哈笑死人了。
    Balthild
        57
    Balthild  
       2017-02-13 18:48:53 +08:00
    @linbiaye 但 CNNIC 没法签让人信任的 GPG
    Balthild
        58
    Balthild  
       2017-02-13 18:53:41 +08:00
    @flyingghost TLS 证书没有作假的可能,这可以被数学严格地证明。 CNNIC 可以在 HTTPS 上做文章,那是因为 CNNIC 是被信任的 CA ,并不等于 TLS 被破解。
    而软件源的 GPG 验证则不像 TLS 那样,把信任源交给镜像来控制。如果你非要说 CNNIC 的镜像不可用,请你给出 CNNIC 可以破坏 /伪造 GPG 的信任链的数学证明。
    techyan
        59
    techyan  
       2017-02-13 18:54:22 +08:00   ❤️ 1
    Balthild
        60
    Balthild  
       2017-02-13 18:59:16 +08:00
    补充 #58 ,添加条件:在可接受的时间内
    Quaintjade
        61
    Quaintjade  
       2017-02-13 19:02:33 +08:00 via Android
    又没什么优势,干嘛去用一个有严重黑历史的公司?莫名其妙。

    就像 360 ,每次总有人说什么洗白啦,结果一看还是连卸载都卸不干净,留几个驱动级别的服务算什么意思?
    linbiaye
        62
    linbiaye  
       2017-02-13 19:35:59 +08:00   ❤️ 2
    @xupefei 应该加一句“不用 ccnic 不是中国人”,这才够铁血。
    lshero
        63
    lshero  
       2017-02-13 19:47:42 +08:00
    难道没人先测个速嘛?
    Quaintjade
        64
    Quaintjade  
       2017-02-13 19:59:25 +08:00 via Android   ❤️ 4
    执着于技术层面的人往往忽视了一件事的本来目的。
    本来证书链就是为了实现“信任”这个目的,而通过历史污点来筛选是成本更低的做法,与 pki 体系、签名之类也不冲突,为什么不拿来排除呢?

    NSA 设计的曲线一开始看起来数学上也没什么大问题嘛,但知道是 NSA 设计的你会去用吗?

    以上是个类比,如果又来纠结 NSA 算法和 GPG 签名算法的区别那说明你并没看懂。
    freethink
        65
    freethink  
       2017-02-13 21:55:07 +08:00
    @linbiaye 应该加一句“不用 ccnic 不是中国人”---- 抓住了终极忽悠的精髓。哈哈。
    xupefei
        66
    xupefei  
       2017-02-13 22:14:23 +08:00
    @linbiaye 你是如何从我的发言推导出你这个结论的?用非黑即白这种实质谬误去反驳别人,是能暴露出自己的逻辑水平太差。
    mazyi
        67
    mazyi  
       2017-02-13 23:43:23 +08:00   ❤️ 3
    @xupefei 非黑即白的应该是你吧

    “怎么说呢,某些人看到中国就无脑就黑的姿势真的很难看。
    太平洋没加盖,向往不作恶的西方世界那就游过去啊,现在这边吃饭边无脑骂娘算什么本事。
    然而其中挺多人没那个本事游过去,只能望着对面继续骂娘以期出淤泥而不染,哈哈笑死人了。”

    这句话里没有任何一句是中立的判断,所以请自重。

    顺带 @bumz ,不是安全性的问题,是信任的问题。我不信任 CNNIC ,不代表我质疑它的安全性,但是我使用电信\移动\联通的 ISP 服务,也不代表我信任它,只是说在我可以选择的条件下部分相信它的安全性。

    我的行为代表着我的态度,在我拥有权力的时候就充分表达我的态度,等到某天没有权利了,大家就知道什么是态度、大家会怀恋那个防火墙还是黑名单的时代、明白原来互联网有一天也是如此的自由,所有的选择是如此的多样化,所有的事情是如此的透明,所有的实现可以经得住每一个人的检验。我不希望也不相信那一天会到来,但是在中国会不会到来,还看所有使用互联网的人的努力了。
    xupefei
        68
    xupefei  
       2017-02-14 00:34:14 +08:00
    @mazyi 我可没说我是在 “中立判断”。另外这世界上有 “中立” 这回事儿?
    我说 “非黑即白”,指的是他对我观点的批判犯了逻辑错误。

    另外,“非黑即白” 是批判法的概念,表示折中的选项被忽略(也就是走极端)。而 “中立的判断” 指的是自己观点的出发点。这两者有什么关系吗?为什么我需要有一个所谓的 “中立判断”?
    xupefei
        69
    xupefei  
       2017-02-14 00:41:02 +08:00
    @xupefei 我第一个回复建立在 “无脑黑” 的基础上,所以后面的文字全是基于这个的。当然,这就是我自己的观点。
    如果想要说我的观点不对,那么最好的办法就是先证明他们不是无脑黑,然后在对我后面的话开炮。
    但是那一句非黑即白的 “应该加一句“不用 ccnic 不是中国人”” 证明了什么?
    mazyi
        70
    mazyi  
       2017-02-14 00:52:45 +08:00 via iPhone
    @xupefei 当然不是无脑啰, cnnic 出的事情还不够嘛,当然如果说这个和镜像无关我也只好说一句抱歉,我就是不信任任何 cnnic 过去,现在以及可见的未来做的事情,当然这可以是无脑,但这是我认为的正义。

    至于后面那句是在嘲讽你不明事理。
    maplerecall
        71
    maplerecall  
       2017-02-14 01:03:37 +08:00
    其实有时候这种心理上的影响还是会有的,并不是所有人都能做到凡事完全用理性思维来处理,我在原理上知道这个是没问题的,但是情感上就是不想去用,这个也是用户信誉的重要性吧,就像很多人宁愿用大牌子的东西也不愿意去用小牌子但实际更好的相同的东西,我觉得这是正常的思维和社会现象,没啥好争论的……
    SoloCompany
        72
    SoloCompany  
       2017-02-14 02:19:35 +08:00
    看完所有回复,只能说 #11 过于乐观了
    linbiaye
        73
    linbiaye  
       2017-02-14 06:37:11 +08:00
    @xupefei ,上来就给前面人扣个“无脑黑”的大帽,签 google 的证书难道是大家伪造的?我好歹还是非白即黑,你这已经是非我即黑了。
    n7then
        74
    n7then  
       2017-02-14 06:56:52 +08:00
    用这个,我为什么不用阿里的.
    你们真有空.
    SharkIng
        75
    SharkIng  
       2017-02-14 07:00:18 +08:00   ❤️ 2
    我居然看完了所有评论
    难道就没人说这其实是官方列表里面的么?
    https://www.apache.org/mirrors/#cn
    hyd20008
        76
    hyd20008  
       2017-02-14 07:54:01 +08:00 via iPhone
    @SharkIng 和你做了同样的举动并赞同你的说法
    mazyi
        77
    mazyi  
       2017-02-14 09:25:16 +08:00   ❤️ 1
    @SharkIng
    @hyd20008
    哈哈哈, CNNIC 也曾经是传说中的被所有企业以及个人所信任的证书颁发机构,只有这样的东西才有机会干坏事嘛~
    SharkIng
        78
    SharkIng  
       2017-02-14 10:24:48 +08:00
    @hyd20008 #76 我只是好奇,说实话我基本上只用官方源(主要因为不在国内没有各种速度及限制)但是对于 LS 那些一口否认的人感觉他们过于武断


    @mazyi #77 的确,个人不信任 CNNIC ,他们的证书及软件基本都不信任,但是说实话并不能说明他们的源就不信任。主要有办法确认软件没有被修改的话还是可以用的(如果必须的话)当然国内源那么多,也不是一定要用他们的。
    kimwang
        79
    kimwang  
       2017-02-14 10:44:17 +08:00 via Android
    看着你们撕很欢乐啊。。。
    Sendya
        80
    Sendya  
       2017-02-14 10:50:08 +08:00
    看楼上这些撕确实欢乐。 我等小白就不发表用不用的评论了
    ryd994
        81
    ryd994  
       2017-02-14 11:04:08 +08:00 via Android   ❤️ 7
    说能破解 gpg 的真的懂么?
    gpg 没有证书链这回事,也没有 CA 。信任与否完全依赖公钥公开传播。普通人的公钥靠公钥服务器协助传播,但新人与否完全取决于个人决定,其他人没有任何权威。发行版的新公钥是用上一版的密钥分配的。如果真的信不过完全可以配置从完全可信的镜像单独获取公钥包。 gpg 一般人用的少就是因为没有 CA ,大家建立信任太麻烦。

    CNNIC 再厉害最多就是滥用 CA 签名,不可能逆向出私钥。所以只能坑 TLS ,坑不了 gpg 。 gpg 要那么容易坑,中本聪早被挖出来了。楼上有说什么“当初想不到 CNNIC 能劫持 HTTPS ”的,呵呵。了解过 PKI 体系的人早都知道这种可能。人傻不能怨社会。

    用不用 CNNIC 源只是个速度和洁癖的问题,爱用不用。没必要拿莫须有的安全问题扣帽子。这就和转基因一样。爱吃不吃,少拿莫须有说事。莫须有特别恶心人,比有色眼镜更恶心。
    outloudvi
        82
    outloudvi  
       2017-02-14 11:58:29 +08:00 via iPhone
    很多时候问题并不在安全性。如果确实用 CNNIC 镜像的时候感觉不舒心,那就用别的咯。
    理解这种不信任。就怕很多人下载完不验证 GPG 签名。
    Cu635
        83
    Cu635  
       2017-02-14 12:31:42 +08:00
    @otakustay
    错,程序员的确是对事不对人,但是那个人做的事情表现出来的却不是他愚蠢而是他的人品有问题,而且是程序员是以自身的吃亏为代价发现的,在这种情况下你说还能信任他么?

    在发现这个人自身人品有问题的情况下,不给予信任才是真正的“对事不对人”。

    @bumz
    因为对于 CNNIC 不可信这个问题来讲,不可信的并不是中间信道。你说的完完全全的不符合这里的情况,偷换概念了。

    @Macbooker
    不能,明知是赃物而购买的是违法行为,要被处罚的,严重的可能会被拘留。

    @mazyi
    “顺带 @bumz ,不是安全性的问题,是信任的问题。我不信任 CNNIC ,不代表我质疑它的安全性,但是我使用电信\移动\联通的 ISP 服务,也不代表我信任它,只是说在我可以选择的条件下部分相信它的安全性。”
    应该是“没的选择”才对啊,“可以选择”这个条件不满足。

    “我的行为代表着我的态度,在我拥有权力的时候就充分表达我的态度,等到某天没有权利了,大家就知道什么是态度、大家会怀恋那个防火墙还是黑名单的时代、明白原来互联网有一天也是如此的自由,所有的选择是如此的多样化,所有的事情是如此的透明,所有的实现可以经得住每一个人的检验。我不希望也不相信那一天会到来,但是在中国会不会到来,还看所有使用互联网的人的努力了。”
    将来也许不止是白名单,还可能会是默认只能访问国内,需要访问国外网站的人要主动申请并且进行政审才能访问那么几个白名单国外网站。
    otakustay
        84
    otakustay  
       2017-02-14 12:34:57 +08:00
    @Cu635 人品有问题就让他做和人品无关的事情,不就这么回事么
    flyingghost
        85
    flyingghost  
       2017-02-14 13:41:00 +08:00   ❤️ 1
    @楼上各位信任技术本身的同学
    并没有人说,现在的校验机制是不可信赖的。从 1 当下的 2 技术角度 这两个视角来看,确实如此。
    但是!
    @Balthild 也知道,非对称加密 /签名的约束之一是计算能力。如果突然 CNNIC 计算出私钥呢?
    @Quaintjade 也指出,使用的具体算法很重要。如果突然大质数、椭圆曲线等算法被发现有漏洞存在呢?
    我再加一种情况,技术上没有发生突变,但,某天一个 gitlab 哥们一样的开发人员,一个低级错误无意中泄露了私钥,怎么办?
    Google 说,卧槽就当没看见。
    Tencent 说,卧槽这趟浑水不能沾会砸招牌。
    Symantec 说,卧槽快雇佣我帮你检查是不是安全体系有问题。
    CNNIC 说,卧槽这下机会来了我们去想办法修改校验值去劫持 https 吧!
    以上都是揣测,都是极低概率才会真正发生。但考虑到各企业的人品值,不同决策方向的概率的大小,你觉得真的没有差别吗?

    其实在大企业里,很多细节管理都有各种各样的问题,有各种各样的机会让你去恶意获取、恶意利用。但一份源码放在面前无任何保护无任何风险,有的人依然会刻意回避,有的人会偷偷瞄一眼然后谁也不告诉,有的人,真的会拿去卖钱。
    同样,一个机会摆在面前,我相信某些企业真的会尽其所能的去利用的。
    我们就不提那些曾经没有机会也要创造机会然后恶意利用的企业了。一举一大把,不利于身心健康。
    skylancer
        86
    skylancer  
       2017-02-14 14:59:47 +08:00   ❤️ 1
    @flyingghost 当年某家公司还真的不小心泄了私匙,然后... hhhhhh
    @techyan 所以这就是为什么一直强调的是检查证书链而不是证书,当然前面是针对 Windows 下来说的, GPG 没证书链这回事



    最后,哪来的破解 GPG 啊.. GPG 就没证书链这种东西
    当然我一开始说的,是针对于 exe 来说的,倒是忘了其它,这个锅我就稍微背一下吧..
    bumz
        87
    bumz  
       2017-02-14 16:11:54 +08:00
    @Cu635 镜像完完全全就是一个中间渠道,提供离本地更近更快的同样资源。我们信赖的是依靠算法保障的内容本身的完整性,不是渠道的可信赖性。
    wql
        88
    wql  
       2017-02-14 16:24:52 +08:00 via Android
    @skylancer 你说的是 DigiNotar 吧,这事情很严重……
    不用 CNNIC 的理由是劣迹及没有优势,但是在技术上来说,暂时可以视作可信赖的。
    sammo
        89
    sammo  
       2017-02-14 17:00:01 +08:00 via iPhone
    难道不是每个公司内部都有自己的一个内网下载站供公司内部人员快速下载软件(就跟学校 ftp 站一样) 么 ...
    mactaew
        90
    mactaew  
       2017-02-14 18:02:22 +08:00 via iPhone
    @otakustay 陈旭元也是人呀
    jasontse
        91
    jasontse  
       2017-02-14 18:20:15 +08:00 via iPad
    这个很有历史了。当初还有人人网的 http://labs.renren.com/apache-mirror/。
    skylancer
        92
    skylancer  
       2017-02-14 19:33:32 +08:00 via Android
    @wql 不止这一家,还有好多家... 最爆炸的那次应该算是鹅厂漏的那次了
    Cu635
        93
    Cu635  
       2017-02-14 19:33:50 +08:00
    @otakustay
    那么有什么事是和人品无关的呢?
    Quaintjade
        94
    Quaintjade  
       2017-02-14 20:46:36 +08:00 via Android   ❤️ 1
    说实在的,假如 CNNIC 真要干点什么的话,我认为更有可能根本不会搞什么 GPG 伪造,直接不管 GPG 报错强行修改。
    因为实际上大部分人都会无视警告按 Y 。

    别说什么程序员大都有安全意识 blah-blah 。仔细想想某些 V2EX 证书过期的月经帖为啥会发出来 :doge:
    类似 Gitlab 之类事后诸葛亮的事情更别提了。
    uuair
        95
    uuair  
       2017-02-14 21:02:38 +08:00   ❤️ 1
    官老爷的解决问题的方法,不是有病看病,而是有病,滚蛋,眼不见心不烦。所以谁会相信呢?
    ryd994
        96
    ryd994  
       2017-02-14 22:07:06 +08:00 via Android
    @flyingghost CNNIC 计算出私钥?那可是 RSA+SHA 有这能力 CNNIC 还对付你?直接怼美国国防部啊。
    Balthild
        97
    Balthild  
       2017-02-14 22:59:43 +08:00
    @flyingghost 省省吧,「 CNNIC 突然计算出私钥」还不如「 Ubuntu 突然混进内鬼」的几率高
    lhbc
        98
    lhbc  
       2017-02-14 23:21:52 +08:00
    -----BEGIN CERTIFICATE-----
    MIIDjTCCAnWgAwIBAgIIW9JIiAnDTTYwDQYJKoZIhvcNAQELBQAwPDELMAkGA1UE
    BhMCRUcxEzARBgNVBAoMCk1DU0hPTERJTkcxGDAWBgNVBAMMD01DU0hPTERJTkcg
    VEVTVDAeFw0xNTAzMTExNjQ4MTRaFw0xNTA2MDkwMDAwMDBaMGcxCzAJBgNVBAYT
    AlVTMRMwEQYDVQQIDApDYWxpZm9ybmlhMRYwFAYDVQQHDA1Nb3VudGFpbiBWaWV3
    MRMwEQYDVQQKDApHb29nbGUgSW5jMRYwFAYDVQQDDA13d3cuZ21haWwuY29tMIIB
    IjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuayfhFJXagbzJnHHKiW1Ej+4
    obnbUn1kyed5sslAy+oCCD/4PLjqHQdc5w3oMfZN/HZRtTLal6uL757iqVw8aUi6
    WibdLfwvC5NkPZb7W/dTZnUAk68NbQocPewjZBIAKBEalmo5jj8ntpNgCHdBAv/h
    zGKox9Yk200o5AS7lhYbvfqXemoIv0WCslN3JfP5EmFLbd3kmJKtvj4wAwgo1u8H
    nEfkDmAulTqmt8khhCr3ulmcaKDkSXKDtWN7W47FcAi1wQcUxAwPBF7nLycswN9s
    5MJiKDYE2wHe1bWzsXR8qdlfkkC3i4llv+sN0VlqNadtYlGwo6O1Q182QW/TnQID
    AQABo2gwZjAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwGAYDVR0RBBEw
    D4INd3d3LmdtYWlsLmNvbTAdBgNVHQ4EFgQUOgPhiBTE5XpRJQY5aV7dSdE/lPIw
    DAYDVR0TAQH/BAIwADANBgkqhkiG9w0BAQsFAAOCAQEATGAh+HrfGKgURnJyz2Jm
    GijUqYK4012AiLJRkMLsmTQrQKJEFw6D5NswjCh8jsMjKLZeodEvrCsIlFQocpx2
    uhR19D7tDadGLTdfGPFlxFPROzozD5knbZV3UFMMQt3KzI8/LvE/wz70OD6roOnB
    ZD33D2mHIM4+H6DWbbyGE4brgK7uZc6iL4dlloDQGM890rY9l0TBYAY0CjeB39nP
    Y/K7h3r7cEV7EgHASu1Cu9G/LXuGb6XbkthEXzS+tiWhpoRUTNdQdwJdd8lm98ZJ
    AY2DpTOJGo6JHBCAUWTO2sMcocYN1LUXq+KvaWzoLRR+jk3bU+J0z6sheKOHbJ8z
    Rg==
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    MIIEkjCCA3qgAwIBAgIESTMAjjANBgkqhkiG9w0BAQsFADAyMQswCQYDVQQGEwJD
    TjEOMAwGA1UEChMFQ05OSUMxEzARBgNVBAMTCkNOTklDIFJPT1QwHhcNMTUwMzE5
    MDYyMDA5WhcNMTUwNDAzMDYyMDA5WjA8MQswCQYDVQQGEwJFRzETMBEGA1UECgwK
    TUNTSE9MRElORzEYMBYGA1UEAwwPTUNTSE9MRElORyBURVNUMIIBIjANBgkqhkiG
    9w0BAQEFAAOCAQ8AMIIBCgKCAQEApfl1DAau7gwRzZYzTWvOwEoMPV3r0ksJf+dH
    LKxxAPkIrzTxo2rH/OarztC+ys0qmJi50I4zSQdhINFaNM6DFAZ5jhq/2+SgODru
    lLmjoFg6iRSsYD4D1MfNOxywmogaSRCpsLL95ejhBOLqgm3+DFFFka11Iq7/T5AL
    wFNldz4ewla1NsbWhcwOgxozH3aZWyuXK4vX0RQVTJ1Z14AvpKKF1Yg2AmBVyljf
    k/xKYgeW08T6v40BJ5cvplx08TpCbl15FDAxGjzZsldN4Lg/D2kxop1lmdnWMYe1
    mCbf8Mu7FcAkE2JSGmvLRQeX48SUXskNRyzpz+n0j/414TLnMQIDAQABo4IBpDCC
    AaAwdgYIKwYBBQUHAQEEajBoMCkGCCsGAQUFBzABhh1odHRwOi8vb2NzcGNubmlj
    cm9vdC5jbm5pYy5jbjA7BggrBgEFBQcwAoYvaHR0cDovL3d3dy5jbm5pYy5jbi9k
    b3dubG9hZC9jZXJ0L0NOTklDUk9PVC5jZXIwHwYDVR0jBBgwFoAUZfIxrSr3991S
    lgrHAsEO76bVOxEwDwYDVR0TAQH/BAUwAwEB/zA/BgNVHSAEODA2MDQGCisGAQQB
    gekMAQYwJjAkBggrBgEFBQcCARYYaHR0cDovL3d3dy5jbm5pYy5jbi9jcHMvMIGG
    BgNVHR8EfzB9MEKgQKA+pDwwOjELMAkGA1UEBhMCQ04xDjAMBgNVBAoMBUNOTklD
    MQwwCgYDVQQLDANjcmwxDTALBgNVBAMMBGNybDEwN6A1oDOGMWh0dHA6Ly9jcmwu
    Y25uaWMuY24vZG93bmxvYWQvcm9vdHNoYTJjcmwvQ1JMMS5jcmwwCwYDVR0PBAQD
    AgEGMB0GA1UdDgQWBBREpImrFF89byA8qnz6Ga70SGAFtTANBgkqhkiG9w0BAQsF
    AAOCAQEAXLT1U5tPueCEiTG+ni7qniFLpY9toabzL0jr6dutHjGA0Hk7EO+aJPeT
    GzXzGsLHwiwKf29b8V9zkQT7DXkN6RoG1oP9TmCdbJJDTOpkmESr1/tH0K8fZEzi
    3XdoFsIsoaCBlwBCH34geOjGUB0LfxWTWVhAFITwp5BrNgVn6n8ibbvRpSZNszCk
    WNRbtRqMUIy4DeGgB7MPWM7XBbV9NXlvotsMACpoJIx+nMF2Sbp8ZhHe8kfO/tDO
    Vb4I2vJ5JioVOc5rGKbf2IcomZQOLWihms5SNpwr7LRos2wVrMtwQvLEQaXI/CF4
    U3cyIKkhTHLi07LJdhsYWEILQpKz5A==
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    MIIDVTCCAj2gAwIBAgIESTMAATANBgkqhkiG9w0BAQUFADAyMQswCQYDVQQGEwJD
    TjEOMAwGA1UEChMFQ05OSUMxEzARBgNVBAMTCkNOTklDIFJPT1QwHhcNMDcwNDE2
    MDcwOTE0WhcNMjcwNDE2MDcwOTE0WjAyMQswCQYDVQQGEwJDTjEOMAwGA1UEChMF
    Q05OSUMxEzARBgNVBAMTCkNOTklDIFJPT1QwggEiMA0GCSqGSIb3DQEBAQUAA4IB
    DwAwggEKAoIBAQDTNfc/c3et6FtzF8LRb+1VvG7q6KR5smzDo+/hn7E7SIX1mlwh
    IhAsxYLO2uOabjfhhyzcuQxauohV3/2q2x8x6gHx3zkBwRP9SFIhxFXf2tizVHa6
    dLG3fdfA6PZZxU3Iva0fFNrfWEQlMhkqx35+jq44sDB7R3IJMfAw28Mbdim7aXZO
    V/kbZKKTVrdvmW7bCgScEeOAH8tjlBAKqeFkgjH5jCftppkA9nCTGPihNIaj3XrC
    GHn2emU1z5DrvTOTn1OrczvmmzQgLx3vqR1jGqCA2wMv+SYahtKNu6m+UjqHZ0gN
    v7Sg2Ca+I19zN38m5pIEo3/PIKe38zrKy5nLAgMBAAGjczBxMBEGCWCGSAGG+EIB
    AQQEAwIABzAfBgNVHSMEGDAWgBRl8jGtKvf33VKWCscCwQ7vptU7ETAPBgNVHRMB
    Af8EBTADAQH/MAsGA1UdDwQEAwIB/jAdBgNVHQ4EFgQUZfIxrSr3991SlgrHAsEO
    76bVOxEwDQYJKoZIhvcNAQEFBQADggEBAEs17szkrr/Dbq2flTtLP1se31cpolnK
    OOK5Gv+e5m4y3R6u6jW39ZORTtpC4cMXYFDy0VwmuYK36m3knITnA3kXr5g9lNvH
    ugDnuL8BV8F3RTIMO/G0HAiw/VGgod2aHRM2mm23xzy54cXZF/qD1T0VoDy7Hgvi
    yJA/qIYM/PmLXoXLT1tLYhFHxUV8BS9BsZ4QaRuZluBVeftOhpm4lNqGOGqTo+fL
    buXf6iFViZx9fX+Y9QCJ7uOEwFyWtcVG6kbghVW2G8kS1sHNzYDzAgE8yGnLRUhj
    2JTQ7IUOO04RZfSCjKY9ri4ilAnIXOo8gV0WKgOXFlUJ24pBgp5mmxE=
    -----END CERTIFICATE-----
    msg7086
        99
    msg7086  
       2017-02-15 00:13:08 +08:00
    @Cu635 数学体系?
    terence4444
        100
    terence4444  
       2017-02-15 00:29:03 +08:00 via iPad
    打个比方,现在有一种技术可以从屎里提取出食物,理论上健康安全,你愿不愿意吃。
    相信技术的人乐意尝试,觉得来源不好的人就不尝试。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1221 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 23:06 · PVG 07:06 · LAX 15:06 · JFK 18:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.