第一级代理在伊朗，第二级在俄罗斯，第三级在荷兰。有人通过这串起来的三级代理，在一个美国的技术社区注册了一个账号，叫“谢廖沙”。

谢廖沙发了一个帖，帖子里详细描述了你们公司某产品的一个严重漏洞。帖子的文字非常晦涩，因为这是用翻译软件生成的，以去除可能被识别的语言文字特征。然而帖子的内容又是如此详细，以至于任何精通计算机技术的人都可以很快写出攻击程序。谢廖沙没有直接给出攻击程序，这样就不会留下可能被识别出来的个人特征。

很快，网上到处都是关于这个漏洞的讨论，很多人发布了很多攻击程序。

也许，这个漏洞可以从业务服务器上偷走大量用户隐私数据，你们为了阻止迫在眉睫的攻击，权衡再三，还是不得不暂时关闭了业务的某些功能，这样又造成了更大的负面舆论。

也许，这个漏洞可以入侵用户的终端，所以你们必须给每个用户升级。然而这根本不可能在短时间做到。你们一筹莫展，甚至想到是不是要动用在产品里留下的一个后门。然而，如果宣布已经给所有用户修复了漏洞，而记者问起是如何做到的，你们该怎么回答呢？

我在安全研究这个领域干了 20 年，见过不知道多少鼠辈。最典型的一种就是认为安全研究者发布研究成果乃至一点点消息就是为了有针对性的攻击某个企业。

如果真打算通过发布漏洞来攻击一个企业，合理的作法是像谢廖沙那样，而不是像我们那样。

现在怎么才能不注册 Insider Preview 也可以通过 Windows Update 升级到 Windows 10 2004？

虽然已经有了可以操作触屏的手套，但使用指纹解锁的时候还得摘手套。理论上当然可以通过定制，实现也能指纹解锁的手套，不过带来的安全隐患也是显而易见的。

忽然想起来件事儿：前好些年，有一伙中东的黑客，专门偷 MSN 账号，然后大概是用了一套自动化程序，批量向账号的所有好友传教、发经文，而且还会识别账号的信息，发对应语言的经文。比如我有个同学中招了，我就收到了他账号发来的中文版经文。

#甲流进入高发期奥司他韦被抢断货# 你看，如果现在才开始准备，就有点晚了。