三字母机构指的是ccp吗
It is called MSS.
過去式囉
Between April 21st and May 4th of 2018, the motto was removed from the code of conduct’s preface and retained in its last sentence.
1 个赞
作为直接相关的业内人士,我很长时间都在实际负责帖子里讨论的某些产品部分模块的 Privacy 相关工作。
系统层级的 Privacy team 是实实在在非常认真的做工作去保护用户隐私的。作为普通个人用户,不用特别担心。
但是说实话,Privacy 和 security 一样,都没有 silver bullet。因为用户最终还是需要能更新更多功能而不是一块板砖的设备,永远有需要做的隐私保护工作。
比如说 iOS 和 Android 都有 Find My Device 功能,如果开启,某些手机甚至在关机时也会发送位置,anti-theft。那这就必须要通过某种方式发送设备位置信息到一个云端服务器。Privacy 能做的是怎么尽可能保证这个位置信息只有用户自己可以看到(用端到端加密),而不是说为了隐私就不做 anti-theft feature 了。
上面讨论提到一些隐私事故的确是发生过的,但是只是故事的一个面向,就像再好的程序员也会写出 bug 一样。
当然了,整个链条因为太复杂,没人能独立验证一切流程都没有 backdoor。哪怕是一个 open source custom OS,你又怎么能保证用来编译的编译器没有在编译过程中添加后门呢?
所以很不幸,还是最终需要用户在一定程度上相信平台宣称的隐私保护。To a regular user, being a privacy absolutist is impossible and unnecessary.
19 个赞
苹果被抓得少,只是因为苹果越狱困难,拿不到高级权限。谷歌这个被抓,也是用了root权限的。这个收集数据也是通用做法了。其实做过前后端的开发都会知道,很多东西没啥秘密,什么隐私几乎都是公开的。所以才会强制隐私条款,让厂商承诺不卖数据。这就是一个潜台词,厂商本来就很容易拿到数据。
3 个赞
游戏厂商不开发是因为图形api垃圾吧
iPhone in lockdown mode is fine.
苹果会直接给第三方安全研究人员提供能够越狱/root权限的设备。
2 个赞
Windows的权限细分比mac差很多?基本就是sudo和非sudo两级。相比之下mac可以分很细
当然这个是历史遗留原因,windows需要支持当年那些没有权限api的远古程序
这只是US
而且企业用户,特别是工业用工作站里Windows还是dominant,这些才是高价值目标
这个ask app not to track真是形式重于实质。有些事情不太能说但是都被报道了一些公开的。
https://www.washingtonpost.com/technology/2021/09/23/iphone-tracking/
符合条件的安全研究人员去找 Apple 申请一个专门设备还需要 Apple 批准,相比任何人随便从市场上买一个 production Pixel/Android 设备都可以解锁 bootloader 拿到 Root 权限并进行研究,难度和普及度是完全不同的
从阴谋论/不信任的角度你怎么知道 Apple 给出的特殊版本和普通人买到的 production device 用的是完全一样硬件和 iOS 系统?
2 个赞
你要是专业的安全人员作为第三方安全审计公司雇员去申请这个许可或者参与这个审核,你会不会想搞个大新闻?但是如果你只是一个it爱好者+自媒体想引流,你是不是搞谷歌更容易?毕竟安卓用户很多会刷机,刷个面具都是顺手的事。看到这个新闻我本来就毫无波澜,不觉得是啥事,但是前几楼就搞起些搞笑言论就绷不住了。
怎么说呢,这新闻就和某小哥发视频论证Costco的水不好一样有意思。他说不好的理由是Costco的水来自于市政水源,水源不好。用塑料瓶,会有微塑料balabala。最终结论和网友讨论的结论大概就是不如市政水源,因为市政水源有政府保障,而Costco是商业公司,没法保障,无人监管质量 
我对于OSS会受到更多自备干粮的安全审计一直是存疑的
openssl事件很好的证明了这一点
比起自备干粮的白帽审计员来说,卖0day的黑帽去审计OSS的incentive会大得多
当盯着你的黑帽多于白帽的时候,开放性在安全上是在降低黑帽获取0day的门槛
2 个赞
好像没有吧
另外clarify一下
我最讨厌的桌面系统是macos没有之一
只不过这不代表macos任何方面我都要当成一坨屎来喷
发给Google还是比发给什么反诈中心小米华为服务器好一些。
1 个赞
说起这个,iOS会默认把中文用户的浏览记录发给腾讯哦,这比英文世界发给Google SafeBrowsing坑多了。而且安卓要自己装反诈,iOS直接内置反诈,领先一个版本。
1 个赞
我倒不是一直存疑,我是一直都不相信 
。那么庞大的代码,我不觉得会有足够多的人会自备干粮去做白帽审计。没啥可预见确定的收益。如果是开发写代码的时候,恰好看到,修正了,倒是很正常。之前很多oss事件都说明,很多时候,人们就不会去审核,甚至开发往里面写漏洞或者干点恶心事,而且都是事后一段时间才被发现。
我原来说的是为了表达有些自媒体或者有时候一些大媒体为了流量喜欢乱说。就比如这个,很多爱好者都会root,学个抓包啥的都很正常,只是恰好看到了谷歌的一个机制而已,没啥值得大惊小怪的。同理苹果的设备一样会定时收集数据,甚至就算收集得比其他厂商更多也不足为奇,比如find my,你的所有设备的定位信息都会定时发送上云,甚至都不需要是你自己的网。
这种事就像当年超算被十来岁的小孩发现了漏洞的新闻一样。明里暗里讽刺这么多专家搞出来的世界排行第一的超算不如一个十来岁的孩子。看具体内容其实是小孩无意中发现超算的密码是123456,太简单了
2 个赞
就这?咋不说手机每隔1分钟就连接一次基站呢?咋不说微信每隔1秒钟就连一次服务器呢
1 个赞
(我不参与Android Custom OS之间的fanboy大战,所以不提及其他OS)
我的理解大约是这样。
最顶上是Pixel 8以上硬件配合GrapheneOS。
同级别或者稍低是iPhone15以上硬件配合Lockdown Mode。
然后是不开启Lockdown Mode的iPhone。
再下面是Stock OS Pixel。
三星、一加在内的其他OEM安卓在更下方。
所有EOL的老手机更别提了,毫无安全和隐私可言。
所有的打着自由开放旗号的非Android Linux手机也都在底下。