《美国密歇根大学计算机安全专家发现“绿坝”存在严重的安全漏洞》的评论 http://xysblogs.org/fangzhouzi/archives/5004 心中有道义 脑中有科学 Wed, 03 Jun 2026 12:03:14 +0000 http://lyceum.ibiblio.org/?v=1.0.3 由:golq http://xysblogs.org/fangzhouzi/archives/5004#comment-21659 Fri, 19 Jun 2009 14:50:18 +0000 http://xysblogs.org/fangzhouzi/archives/5004#comment-21659 建议工信部强制google安装此软件,以后“纯情大学生”就不会心神不宁了 建议工信部强制google安装此软件,以后“纯情大学生”就不会心神不宁了

]]> 由:方舟子 http://xysblogs.org/fangzhouzi/archives/5004#comment-21611 Thu, 18 Jun 2009 17:45:16 +0000 http://xysblogs.org/fangzhouzi/archives/5004#comment-21611 楼上怎么看的原文?J. Alex Halderman是助理教授,计算机安全是其研究方向之一,还不够专家? 楼上怎么看的原文?J. Alex Halderman是助理教授,计算机安全是其研究方向之一,还不够专家?

]]> 由:shift10000 http://xysblogs.org/fangzhouzi/archives/5004#comment-21584 Thu, 18 Jun 2009 08:28:46 +0000 http://xysblogs.org/fangzhouzi/archives/5004#comment-21584 看了原文 作者应该是3个学生 但是版主在标题中说是"专家" 有夸大的嫌疑 即使不是学生 文章中没有信息说这3个人就是"专家" 看了原文 作者应该是3个学生 但是版主在标题中说是”专家” 有夸大的嫌疑 即使不是学生 文章中没有信息说这3个人就是”专家”

]]> 由:滤霸 http://xysblogs.org/fangzhouzi/archives/5004#comment-21428 Mon, 15 Jun 2009 14:12:58 +0000 http://xysblogs.org/fangzhouzi/archives/5004#comment-21428 绿坝是一款不折不扣的抄袭+山寨软件 http://bbs.xinmin.cn/frame.php?frameon=yes&referer=http%3A//bbs.xinmin.cn/viewthread.php%3Ftid%3D153812 绿坝是一款不折不扣的抄袭+山寨软件
http://bbs.xinmin.cn/frame.php?frameon=yes&referer=http%3A//bbs.xinmin.cn/viewthread.php%3Ftid%3D153812

]]> 由:准非医 http://xysblogs.org/fangzhouzi/archives/5004#comment-21312 Sun, 14 Jun 2009 01:06:34 +0000 http://xysblogs.org/fangzhouzi/archives/5004#comment-21312 中国的有些事,确实够荒唐。 中国的有些事,确实够荒唐。

]]> 由:mean008 http://xysblogs.org/fangzhouzi/archives/5004#comment-21285 Sat, 13 Jun 2009 12:54:13 +0000 http://xysblogs.org/fangzhouzi/archives/5004#comment-21285 参加过多次软件项目验收会,国内的软件基本上都是垃圾,安全类软件就更不用说了。 国企的企业信息系统更好笑,动则几百万,加上信息基础设施上个千万还不需要抬眉毛。反正业内是不会也没能力(专家也外行)客观评价的,齐骗才好做大产业。 感谢方老师多年来提供的信息,有一点不明白,我们一般水平的软件从业者都清楚绿坝这类软件必然水平低下,漏洞百出,为什么这几个美国同志会有兴趣来评测一下?即使是简单玩玩,也真够无聊的了。 参加过多次软件项目验收会,国内的软件基本上都是垃圾,安全类软件就更不用说了。
国企的企业信息系统更好笑,动则几百万,加上信息基础设施上个千万还不需要抬眉毛。反正业内是不会也没能力(专家也外行)客观评价的,齐骗才好做大产业。
感谢方老师多年来提供的信息,有一点不明白,我们一般水平的软件从业者都清楚绿坝这类软件必然水平低下,漏洞百出,为什么这几个美国同志会有兴趣来评测一下?即使是简单玩玩,也真够无聊的了。

]]> 由:cuber http://xysblogs.org/fangzhouzi/archives/5004#comment-21284 Sat, 13 Jun 2009 12:07:43 +0000 http://xysblogs.org/fangzhouzi/archives/5004#comment-21284 花了那么多钱就买了这么个东西 花了那么多钱就买了这么个东西

]]> 由:吴刚 http://xysblogs.org/fangzhouzi/archives/5004#comment-21282 Sat, 13 Jun 2009 10:44:18 +0000 http://xysblogs.org/fangzhouzi/archives/5004#comment-21282 刚刚又看了一下方舟子给的这个报告的原文: 有几个问题有意思, 绿坝用了开源的图形库 openCV,我没有记错的,这个是intel公司几年前开放的一个计算机视觉开发库,在绿坝里面主要用来识别色情图片。识别的方法是看皮肤暴露的面积,挺可笑的。其实完全可以用识别隐私部位来优化识别率,至少不出现加菲猫被过滤的笑话。不过要实现真正识别色情图片还真不是用用openCV糊弄一下就能解决的。 老外的文章中还提出说绿坝存在一个缓冲区溢出的漏洞,只要点击黑客恶意构造的特殊字符串就有可能被植入恶意代码从而被黑客控制。还给了一个链接来验证这个漏洞。 还有一个说绿坝的升级软件有问题,如果你的网络已经被黑客攻破了,有可能让你的绿坝升级程序下载黑客指定的程序。这个严格来说不算绿坝的严重漏洞,实际上应该只有一个缓冲区溢出的漏洞。 看了这片报告,我觉得4000万的软件写成这样,安全意识如此淡漠,真是叫人扼腕。我建议绿坝公司还是开源算了,说不定在7月1号前就能解决。 刚刚又看了一下方舟子给的这个报告的原文:
有几个问题有意思,
绿坝用了开源的图形库 openCV,我没有记错的,这个是intel公司几年前开放的一个计算机视觉开发库,在绿坝里面主要用来识别色情图片。识别的方法是看皮肤暴露的面积,挺可笑的。其实完全可以用识别隐私部位来优化识别率,至少不出现加菲猫被过滤的笑话。不过要实现真正识别色情图片还真不是用用openCV糊弄一下就能解决的。
老外的文章中还提出说绿坝存在一个缓冲区溢出的漏洞,只要点击黑客恶意构造的特殊字符串就有可能被植入恶意代码从而被黑客控制。还给了一个链接来验证这个漏洞。
还有一个说绿坝的升级软件有问题,如果你的网络已经被黑客攻破了,有可能让你的绿坝升级程序下载黑客指定的程序。这个严格来说不算绿坝的严重漏洞,实际上应该只有一个缓冲区溢出的漏洞。

看了这片报告,我觉得4000万的软件写成这样,安全意识如此淡漠,真是叫人扼腕。我建议绿坝公司还是开源算了,说不定在7月1号前就能解决。

]]> 由:吴刚 http://xysblogs.org/fangzhouzi/archives/5004#comment-21281 Sat, 13 Jun 2009 09:43:17 +0000 http://xysblogs.org/fangzhouzi/archives/5004#comment-21281 4000万真是不值得,确实有必要做成一个开源的项目,工信部每年只要提供200万的资金支持,就可以做成质量好得多的产品。 绿坝这东西是不是强制安装我倒是不感兴趣 而是工信部作为国家的信息技术行业的主管机构,花4000万招标一个质量如此低劣的产品,实在是寒心。 我也是搞软件的,中国的软件行业的技术水平与国外没有太本质的差异,但是管理能力却十分低下。特别是这种给大规模用户使用的软件产品,测试开发能力都还很原始。 如果工信部能像做点像美国政府机构的工作,哪怕只是10%的标准化工作,中国的软件产业都能超过印度。 其实这种公众类的软件,最好是做成有政府支持的开源软件是最合适的,质量和安全性都会好很多。 4000万真是不值得,确实有必要做成一个开源的项目,工信部每年只要提供200万的资金支持,就可以做成质量好得多的产品。
绿坝这东西是不是强制安装我倒是不感兴趣
而是工信部作为国家的信息技术行业的主管机构,花4000万招标一个质量如此低劣的产品,实在是寒心。
我也是搞软件的,中国的软件行业的技术水平与国外没有太本质的差异,但是管理能力却十分低下。特别是这种给大规模用户使用的软件产品,测试开发能力都还很原始。
如果工信部能像做点像美国政府机构的工作,哪怕只是10%的标准化工作,中国的软件产业都能超过印度。
其实这种公众类的软件,最好是做成有政府支持的开源软件是最合适的,质量和安全性都会好很多。

]]> 由:芸珜 http://xysblogs.org/fangzhouzi/archives/5004#comment-21271 Sat, 13 Jun 2009 05:01:37 +0000 http://xysblogs.org/fangzhouzi/archives/5004#comment-21271 这类软件,应该国家研发或者买版权,然后公开源码,所有人都能以不同形式参与维护。4000万只买了一年免费使用权,即使软件功能很好,也说不过去,何况自身还有安全问题…… 这类软件,应该国家研发或者买版权,然后公开源码,所有人都能以不同形式参与维护。4000万只买了一年免费使用权,即使软件功能很好,也说不过去,何况自身还有安全问题……

]]>