ghost

一则旧闻：一款名为 glassworm 的蠕虫病毒，利用不可见的 unicode 字符组成恶意代码，感染开发者的编辑器安装的插件（vscode extension），企图盗取开发者加密货币，和各种认证信息（npm ，github 等等）以进一步感染更多软件。 这款病毒的牛逼之处在于: 即使软件作者盯着被修改的源码，也只能看到一堆空白符，无法发现恶意代码。 来源：

First Self-Propagating Worm Using Invisible Code Hits OpenVSX Marketplace

First self-propagating worm with invisible code targets the OpenVSX Marketplace, silently spreading across developer environments undetected.

所以我之前说的是不严谨的，有些恶意代码，即使你盯着源代码都看不出来…… View quoted note →

Firefox 老是这样无脑跟风，以前 VR 流行，搞VR。现在 AI 流行搞AI。 View quoted note →

软件的分发应该像文件一样自由。谷歌既要开发者注册，还要收费，甚至要求开发者提供政府认证的ID，理由居然是“为了你的安全”。 想想吧各位，那些开发翻墙软件的开发者，那些开发电子货币钱包的开发者，那些开发暗网软件的开发者，这些邪恶政府不喜欢的人。你强迫这些人提供政府认证的ID，谷歌是巴不得他们死吧。 很显然谷歌已经和政府站在一起了，早已不是那个：不能接受中国政府审查而退出中国的谷歌了。 决定一个软件对用户是否安全，只能看软件的源代码，千万不要盲信权威。不管这个权威是软件商店，还是其他软件下载站，甚至是软件开发者。要确保一个软件对软件用户是否安全，是一件极其困难的事情。软件源代码的检查，不是一般人能胜任的。而且一个软件可能有几十上百个版本，必须检查每个版本的修改是否安全，而且即使软件自身的源代码检查过是安全的，还需要考虑这个软件依赖的其他软件是否安全。检查一个软件都如此困难，更何况把市面上绝大多数软件集中在一起，妄想用一个公司之力就能解决这个超级难题。 过去，开发者和用户给了谷歌太多信任了。导致它变成权威，变成单点故障。现在它想要推动的事情，绝不是「为了你的安全」。而是想要在安卓系统级别上，夺取绝对的控制权，杀死第三方软件商店（如f-droid），给安卓开发者套上枷锁，阉割用户安装软件的自由。 View quoted note →

文明社会：帮助弱小 流氓社会：欺负弱小 View quoted note →