星期五, 十二月 01, 2017

macOS重大安全漏洞:无密码获得管理员权限

  开发者 Lemi Ergin 在 macOS High Sierra 中发现了重大的安全漏洞,可以在不输入密码以及安全检查的情况下获得 root 权限。在 macOS 的系统用户登陆界面上,用户名使用 “root”,密码留空,能够成功登陆或解锁系统,对电脑完全控制。 ​​​​
  这个严重的安全漏洞影响的系统版本包括 macOS High Sierra 10.13.1,以及正在测试中的 macOS 10.13.2。
  苹果官方提供的解决办法是更改 root 密码:
  进入系统偏好设置,用户&群组;点做左下角的小锁头,输入密码;点击登录选项;点击“打开目录实用工具”;在菜单栏中,选择编辑——更改 Root 密码;输入密码。

星期六, 十一月 25, 2017

小蓝单车李刚的父亲:要钱没有

  小蓝单车李刚的父亲:要钱没有!我给你们打工,我老婆给你们做饭:11月22日,小蓝单车CEO李刚的父亲李文生现身北京,与从深圳等地赶来的供应商见面。李文生在嘈杂无章的屋子里扯大了嗓门解释着:“我现在没钱。谁要钱,我跟谁走,我去你厂里打工,我老婆到你厂里做饭。”
  晚上八点多,得知了李文生出现的消息,北京、天津等地未收到还款的十几位供应商和此前小蓝单车的30多位运维人员陆续赶来,要求李文生与李刚通话,并拿出还款方案。
  李文生在嘈杂无章的屋子里扯大了嗓门解释着:“我现在没钱。谁要钱,我跟谁走,我去你厂里打工,我老婆到你厂里做饭。”
  李刚的父亲李文生此前主要在深圳帮李刚负责深圳小蓝单车的运营,当小蓝单车最初被爆倒闭、无法退还用户押金的同时,深圳的分部就遭到了供应商的上门讨债,办公室里不仅拉起了咒骂的横幅、还散落了满地的冥币。
  办公室的玻璃墙上,也用油漆写上了“李文生,还钱”,“李刚,还钱”的字样。
  据了解,目前小蓝单车拖欠供应商款项高达2亿元,涉及70余家供应商,大部分供应商被拖欠款项在100万元左右,部分供应商被拖欠款项高达800万元。
  昨晚,一位运维厂商称,“我们看到网上李刚的认错信了,但直到李刚也没出来和我们见面,他父亲一直在替他顶雷。他一老人,在公司也没有职位,我们也拿他没有什么办法。”

星期一, 十一月 20, 2017

特朗普推特爆料:三名美国球员释放全靠自己

  前几日,加州大学洛杉矶分校三名运动员(里安吉洛·鲍尔、科迪·莱利和贾伦·希尔)随队到中国杭州参加比赛时,在下榻的酒店旁边的一家路易威登店内盗窃太阳眼镜而被捕,在特朗普总统亲自向中国主席求情后,这三名运动员已经踏上了返美的旅程。
  UCLA事件的三名球员重返美国后,在机场遭到大量记者围堵追问,有记者提问“你包里是什么?有带纪念品吗”“太阳镜在哪里?”“你以后还会用LV吗?”“有没有话想对特朗普说?”,他们三人一直保持沉默,乘坐大巴离开了当地机场。之后,三人在洛杉矶召开记者会,向中国人民道歉,并感谢特朗普。
  特朗普亲自发推夸耀自己在UCLA事件里的功劳:“你们认为这三位加州大学洛杉矶分校的学生该感谢特朗普总统吗?他们本该在中国坐十年牢!”
  《刑法》规定,外国人在中国犯罪的处理,必须适用中国法律。加州大学洛杉矶分校三名运动员在路易威登店内盗窃的太阳眼镜价格五千多,十四副眼镜价值超过六万,按照刑法量刑标准,属于“数额较大”,应处三年以下有期徒刑,上述三名球员并没有外交豁免权,按照道理的确有可能追究刑事责任。
  但是,利安吉洛的父亲拉瓦尔.鲍尔则似乎对此并不领情,他在接受采访时,贬低了总统在这件事情上的作用,称儿子偷窃眼镜只是一件小事。
  特朗普对此发表了强烈的回应,他在推特上发飙:现在那三个球员都从中国回来了,免去了牢狱之灾,但球弟的父亲拉瓦尔却不知感恩,认为行窃都只是小事情而已,早知道就让这三人在中国坐牢。商店行窃在中国是很严重的,将会被判5-10年。但对拉瓦尔来说这竟不是大事?当初就该把他们扔到监狱里不管,等我下次访华时再把他们弄出来。

星期三, 十一月 15, 2017

周鸿祎评小蓝单车CEO:人品有问题

  小蓝单车成为继酷骑单车、町町单车之后,又一家倒闭的共享单车,李刚发飙公开信反思创业错误,承认“融资失败”、“错失并购”、“财务恶化”等现状。他披露,小蓝单车将全权交给第三方拜客出行代理运营,但并未给出“退押金”及拖欠员工工资解决方案。
  曾在10月底就有媒体联系到李刚,询问小蓝单车押金退款问题,当时他给出的答复是:10天内会解决全部退款问题。然而时至今日,这些承诺并没有兑现。
  目前,小蓝单车拖欠供应商款项高达2亿元,涉及70余家供应商。而员工的工资也有拖欠2个月,还有用户方面的押金保守估计数亿元。一时之间,今年虚岁才30岁,1988年出生,传已经身在国外的小蓝单车CEO李刚成为外界关注的焦点。
  360创始人周鸿祎在朋友圈转发了一篇文章《炸锅!小蓝单车被曝宣布解散:CEO不知所踪HR开始甩卖办公家具》并附上了自己的一句话评语:这个CEO一直都有人品问题。
  李刚毕业于上海交通大学,他于2013年回国创立了快按钮,快按钮产品初发布后得到了许多关注,但随之而来的,是当时已经初见端倪的行业巨头360的加入。
  2014年4月,李刚和360方面达成合作意向。9月,李刚的快按钮和360智键的团队正式合并,周鸿祎把360的智键团队并入快按钮,并由李刚操盘。
  李刚在360周鸿祎手下没有呆满1年,时间可能更短,就带核心团队出走了。
  在这次小蓝单车出事后,360老总周鸿祎在朋友圈公开评价了李刚,称他“人品有问题”。

星期六, 十一月 11, 2017

贾跃亭表示暂时还不会回国

  贾跃亭日前在接受《棱镜》采访时表示,自己最值得反思的地方还是冒进,“方向是对的,生态战略是对的,但是节奏上完全错误,应该循序渐进。”贾跃亭还表示,自己暂时还不会回国,只有这样才能保住“个人已经投资近10亿美元”的FF。
  11月2日,在位于美国洛杉矶Gardena市的FF(Faraday Future)研发总部,腾讯《一线》作者独家对话乐视创始人贾跃亭。贾跃亭表示,在美的四个月里,他有大量独处的时间反思过往。
  操作层面,贾跃亭自称意识到从电视业务到整个生态转型的冒进,“虽然我认为造车的方向没错,但对造车的时机发生了重大误判,远远的超出了我的能力,从而拖累了整个乐视生态,不过好的方面在于,现在我可以全部精力都投入造车项目上。”
  外因方面,贾跃亭认为乐视成在资本市场的推波助澜,败也是其在资本市场快速下滑。
  贾跃亭对腾讯《一线》表示,中国对创新的金融配套措施不足,美国的创新都是用股权投资来支持,中国的创新却都是用个人股票质押贷款,用银行的贷款支持,个人来进行担保。
  “资本市场好的时候,银行巴不得给你钱,资本市场不好的时候,银行就会抽贷。”贾跃亭说。
  贾跃亭表示,自己最值得反思的地方还是冒进,“方向是对的,生态战略是对的,但是节奏上完全错误,应该循序渐进。”

星期一, 十一月 06, 2017

腾讯获得weixin.com域名所有权

  据Whois查询显示,weixin.com域名的所有权已经正式属于腾讯,注册和管理信息中可以明确地看到腾讯公司的企业名称和地址信息,同时域名服务器也已经变更。weixin.com域名注册于2000年,而腾讯微信是2011年发布。2015年,腾讯针对该域名提起诉讼仲裁,2016年2月胜诉。
  weixin.com域名注册于2000年11月,但腾讯微信直到2011年才发布。2015年4月,9秒社团创始人李明从名圈大佬队长手中收购了weixin.com,有传闻说这个域名的价格超过3000万元。2015年底,腾讯针对该域名的所有权提起诉讼仲裁,2016年2月胜诉,专家组裁定将weixin.com归属于腾讯控股有限公司,李明随即提起上诉,轰动了整个互联网。三个月后,腾讯和李明最终达成和解,weixin.com归腾讯所有,但所有权一直没有转移。

星期四, 十一月 02, 2017

麦当劳改名金拱门

  根据中国国家企业信用信息系统显示,消费者熟悉的麦当劳中国总部企业名字,近日已变更为“金拱门(中国)有限公司”。
  网友对麦当劳更名这一事件各抒己见,畅所欲言,吐槽争论层出不穷。
  麦当劳官方回应称,公司名称确实出现了变动,但改名只是营业执照层面,餐厅名称依然会是“麦当劳”。
  据业内人士分析,这一变动主要还是牵扯到了上市公司的资产运作和资本运作,更名后的名字符合企业文化,是一次牵扯多方利益、涉及谨慎评估的一次更名,既达成了自己的目的,又巧妙地将风险降到了最低。

星期二, 十月 31, 2017

韩国议员用平底锅说明《绝地求生》现象级成功

  近日,在韩国国会的听证会上,一名国会议员拿出了金色平底锅说明《绝地求生》代表的韩国游戏产业取得的现象级成功,提议国会全力支持韩国开发商以及游戏产业。他说:“我国开发的《绝地求生:大逃杀》在半年卖出1200万份,超过199万玩家同时在线,这是在韩国游戏史上前所未有的。”
  据报道,《绝地求生:大逃杀》中平底锅是一个神奇的存在,他的确有一些防弹效果也可用于肉搏,不过在游戏中更像是一个象征性的护身符存在,金平底锅更是作为了科隆展上《绝地求生》邀请赛事的奖杯。近日,在韩国国会的听证会上,一名国会议员拿出了金色平底锅说明《绝地求生》代表的韩国游戏产业取得的现象级成功,提议国会全力支持韩国开发商以及游戏产业。
  国会议员Dong Sub Lee手持黄金平底锅参与议会,称:“我国开发的《绝地求生:大逃杀》在半年卖出1200万份,超过199万玩家同时在线,这是在韩国游戏史上前所未有的。”他提议国家给PUBG足够的支持,这样韩国会有更多如此成功的游戏。

星期五, 十月 27, 2017

推特禁止俄媒发布广告

  社交媒体推特发表声明,宣布将禁止来自俄罗斯新闻机构,包括“今日俄罗斯”电视台和俄罗斯卫星网的所有广告,声明称,“这一决定的基础是我们所做的围绕2016年美国大选的回顾以及美国情报委员会得出的关于这两家媒体试图代表俄罗斯政府干预大选的结论。”
  推特公司解释说这是一项艰难的决定,但是根据推特自己和美国情报界的调查,这两家新闻机构试图干预选举:“今年年初,美国情报界认为RT和Sputnik实施俄罗斯资助的措施,以干预2016年总统选举,这不是我们在推特上所希望看到的。根据我们对其行为的内部调查以及将其列入2017年1月的DNI报告,这一决定仅限于这两个实体。此决定不适用于任何其他广告客户。根据推特规则,RT和Sputnik可能仍然是我们平台上的有机用户。”
  推特公司在其声明中补充道,“我们并不是草率地作出这个决定,我们持续地致力于帮助维护用户在推特上的体验,我们正在采取的措施正是这一努力的一部分。”
  对此,俄卫星网在其网站发表声明称它“在推特上打广告时从来没有违反任何规则”,且“从没散布任何类型的有意误导信息”。

星期四, 十月 26, 2017

中国部分网络开启国外端口白名单

  从本月24日开始,中国部分ISP已经实施国外端口白名单政策,国内用户无法访问国外服务器的大部分端口,只能访问指定的几个白名单端口,目前我在深圳用的一个电信网络已经实施,该白名单实施的效果是,用户无法远程SSH管理国外服务器,大部分访问国外的软件和游戏都会异常,如此广泛而无区别的高强度审查,是历史上最严厉的一次,几乎和断网无异。 ​​​​
  实施端口白名单政策,对于个人用户来说,会带有一些不便,但也可以避规,经过测试我发现,对于可以修改端口的软件或服务来说,将国外服务器端软件的通讯端口号修改为一个常用的端口号,就可以正常使用软件了,具体端口号我就不说了,大家自己试试就能试出来。
  但对于企业来说,这一刀切政策的误伤性实在太大,带来的安全风险也不可忽视。
  最先发现问题的可能是阿里云的云服务器租用业务,因为很多管理员无法远程访问自己的服务器了,对于服务器管理来说,通常使用SSH或远程桌面来管理,默认的SSH端口是22,默认远程桌面端口是3389,然而,为了防止恶意攻击和恶意扫描,大多数服务器不会使用默认端口进行远程管理,这也就是服务器业务被大量误伤的原因之一。
  云服务器供应商阿里云发布公告称“北京时间2017年10月24日 09:15左右开始,国内无法通过ssh远程访问香港及其他海外地域个别ECS服务器(海外客户访问正常)。阿里云已经第一时间向运营商报障,目前运营商尚未反馈恢复信息。当前进展:国内用户无法远程(ssh、rdp协议)访问香港及其他海外地域个别ECS服务器(海外客户访问正常),目前运营商尚未确认恢复信息。如果您的业务仍受到影响,建议您尝试更换服务器并迁移服务,并确保您的业务中不要包含违规信息或违规服务。 ”
对于企业用户来说,这政策对外贸企业和外资企业的影响也很大,端口白名单几乎是完全切断了国内和国外的通讯端口,企业软件业务大多使用的并非80这样的常用端口,复杂的企业管理软件往往都是使用不常用端口,以免和其他软件发生冲突,并且一般来说服务器端口在软件里也不易修改,这种政策实施后直接导致一大批使用国外服务器的企业软件无法正常工作,对外贸外资等企业打击甚大,很可能会影响企业的关键业务流程。
  更新:10月26日下午,我用深圳电信测试,ISP的端口白名单疑似已经取消,国内用户访问国外服务器的各个端口已经恢复正常。