号称全球最权威的监控软件 FlexiSPY 被黑，相关源码、编译、文档被泄漏,

在4月22日,由 @fleximinx 储存整理.

Source files:

bb_cyclops.zip d84f692b12c732e14ad463b4d7d0ec34 from Tweet Mega : files in 2012-01-11_v.1.03.2 folder

Gamma.zip cff15a5bad15118a7e43c1c3f0d13df1 from Tweet Mega : Gamma Symbian malware certs/signatures in Gamma folder

bin.zip aa735cb779ce9089665eb821f596a7eb from Tweet Mega : binaries of apps in bin folder

omni.zip 4677a66eab2d44e410dfb36da64705c5 from Tweet Mega : source code of Android app in 1.00.1 folder

android_cyclops.zip 5c80bcb6576d5c58143ea48ee43de5f8 from Tweet Mega : source code of Android Cyclops in Cyclops -1.00.4 folder

iphone_phoenix_4.9.1.zip 25b7416a26624ffec76b3197f84f0d59 Tweet Mega : source code of IOS app in FlexiSPY Phoenix 4.9.1 folder

github备份地址: https://github.com/Mrxn-code/flexidie

其实 FlexiSPY 就是个灰色地带的“间谍”软件。

FlexiSPY 官网有中文页面，可以细细了解下它在干什么：

https://www.flexispy.com/zh/

刚看到微步出了报告，感觉也只是冰山一角，这个漏洞最早由卖咖啡和火眼爆出，看nccgroup报告16底就已经出现，近期开始特别活跃起来，有用于rat/rookit/银行木马。

样本会是一个rtf格式的文档，后缀可以是doc等office文档。

一个关键点是攻击者需要搭建一个服务器，通过olelink对象产生的请求可以返回成一个pplication/hta类型，运行脚本完成最终的payload。

因此，样本会具有实时性，黑客如果关闭下载hta的服务器将很难追踪分析到最终的payload。

想了解详情的同学，推荐关注火眼和nccgroup的报告，完整的exploit估计也快公开了~

宅客频道谢幺最近发现了一个神奇的网站 ，看名字就感觉牛逼轰轰的：

No more Ransom( 不再付赎金）

No more Ransom ，不再付赎金！没钱！“要钱没有，要命一条” 。

打开首页，依然调性十足，上来就直入主题：“小伙，需要帮你解锁被黑客加密勒索的数据吗？”

上来就问我需不需要服务， 我当然不能示弱，“NO”，不需要！

然后静静等待接下来发生的事情……结果出现了一条网络勒索的预防建议（注：我看不懂英文所以用机器翻译成中文了），感觉还挺贴心的。

如果点击“Yes” (需要服务）, 一个“密码警长”（Crypto Sheriff）的头像出现了，他会让你提交勒索者加密的文件以及勒索信息，然后为你搜寻目前网上的解密方案，如果有的话，会免费提供方案下载。

警长的意思似乎是：

“别怕，告诉我是谁，警长罩着你！”

除了提供被勒索的解决方案，这个网站还提供了数十款勒索软件的解密工具和使用指南，最关键是完全免费。

其实，这位“密码警长”的背后真的是警察在做支撑，还是国际刑警。

这个名为“No more ransom ”的项目是一年前由荷兰警署、欧洲国际刑警出资，联合卡巴斯基、因特尔安全两家安全机构共同建立的国际“反勒索”平台。

据外媒报道的数据，这个平台成立至今，已经有超过10,000 名来自世界各地的受害者来到这个网站寻求帮助，并成功在没花一分钱的情况下完成数据解密。

平台还充分发挥了众筹的精神，上面的大部分勒索软件解密工具都是由来自世界各地的安全机构和个人开发者免费提供的。

项目刚推出几个月，就汇聚了非常多的解密工具。2016年底，又有 15个新的勒索解密工具加入了“反勒索”豪华午餐，为勒索受害者带来了新的希望。

提供这些解密工具的分别有（好人好事必须点个名）：

Avast、Bitdefender、CheckPoint、Trend Micro、Eleven Paths、Emsisoft、Kaspersky Lab

在网站的“合作伙伴”一栏，有非常多的组织LOGO，宅客频道算了算，差不多已经有一百家组织加入其中，有的提供解密工具，有的提供资源和技术支持。

这表明防御网络勒索已经成为了一个全球性的问题，需要一起并肩作战。

除了免费的工具提供和技术服务，网站还有一个勒索问答，从网络勒索的历史一直讲到如何防范和解决勒索问题。

但是，以上内容全部没有中文版本（上面的中文全是翻译的）。

根据有关数据，目前该网站大多数访问者来自 俄罗斯、荷兰、美国、意大利、德国。

最初，该网站主要提供英语、法语、意大利语、葡萄牙语和俄语，而现在已经支持了更多语言，包括芬兰语、德语、日语、韩语、斯洛文尼亚语、西班牙语等。

所以目测未来还会支持更多语言，为世界上更多的人提供反勒索服务。（也不知什么时候支持中文）

目前这一组织也已得到了来自澳大利亚、比利时、以色列、韩国、俄罗斯、乌克兰等多个国家执法机构和国际刑警的支持。

各国执法机构出动，国际刑警支持，看来这反网络勒索的决心还是很大的。不过看到下面这些新闻，相信也能理解其中的原因了。

这个项目的主页：

https://www.nomoreransom.org/

原文为微信公众号-宅客频道 

01 (那些网上卖vpn的现在是不是都非法了，还敢卖呀？不怕被抓起来了？)

今天，Google 翻译在 Android 和 iOS 上更新至 5.8 版本，新版本的Google 翻译 App 增加了英语与韩语间的转即时相机翻译功能，具体是什么样子呢？我们看下面这个图。

当然这都不是重点，重点是此次版本更新优化了中国用户的体验，也就是从现在开始你可以使用 Google 翻译了，不管你的手机是安卓还是苹果，都可以在应用商城或 Appstore 中下载 Google 翻译。

也许你还在用百度翻译、有道翻译，可能你还在比较百度翻译和有道翻译之间哪个好哪个不好，从现在开始不用再考虑了。对于同一条英文语句，以下是三个平台翻译的结果。

02

3月27日，重庆政府公众信息网发布了修订后的《重庆市公安机关网络监管行政处罚裁量基准》

对故意输入计算机病毒、有害数据的，初次违法，未实际危害计算机系统安全的，处以警告。个人违法所得 5000 元以上、单位违法所得15000 元以上，不够刑事处罚的，没收违法所得，并处以违法所得 2至 3 倍的罚款；构成犯罪的，依法追究刑事责任。

帮忙“查资料”上外网赚钱最高罚 1.5 万

违法行为：擅自建立、使用非法定信道进行国际联网；接入网络未通过互联网络接入国际联网；未经许可从事国际联网经营业务；未经批准擅自进行国际联网；未通过接入网络进行国际联网；未经接入单位同意接入接入网络；未办理登记手续接入接入网络。

也就是说从今以后，在重庆不管通过何种途径访问 Google 等墙外网站的行为都构成犯罪；

重庆也成为第一承认信息封锁墙存在的官方机构。(终于有官方承认了-_-|手动滑稽)

从2015年8月份开始，开源查资料项目以及查资料软件比如 GoAgent、Shadowsocks、曲径、红杏等等不断被约谈，最终的结局无疑都是删除 GitHub，停止服务，到如今的重庆的明文禁止查资料规定。大陆一直不遗余的建设“中国特色的内联网”。

另一方面，从去年的 Google 开放 Google 中国开发者网站，到今天的的 Google 翻译回归，Google 不断地尝试进入大陆，Facebook 等墙外大厂也正积极尝试与大陆交涉，但是大陆依然没有任何打破信息墙的意思。

3.开网吧不登记身份证最高罚5000元 

违法行为：向上网消费者提供直接接入互联网的计算机；未建立上网服务营业场所巡查制度；不制止、不举报上网消费者违法行为；未按规定核对、登记上网消费者有效身份证件；未按规定记录上网信息；对未按规定保存上网消费者登记内容、记录备份；擅自修改、删除上网消费者登记内容、记录备份；上网服务经营单位未依法办理变更登记注册事项、终止经营手续、备案等违法行为。

  处罚措施：初次实施，尚未造成危害后果或社会影响的，给予警告，并处5000元以下罚款。

  因实施上述违法行为被公安机关行政处罚后又实施同种行为的，给予警告，并处5000元以上10000元以下罚款；实施上述违法行为，且符合相关规定，属情节严重，给予警告，并处10000元以上15000元以下罚款，责令停业整顿；停业整顿后再次违反的，建议文化部门吊销《网络文化经营许可证》。

4.违规经营国际互联网络业务最高罚1.5万

违规经营国际互联网络业务，不以盈利为目的，初次实施上述违法行为，给予警告；以盈利为目的实施上述违法行为，违法所得在5000元以下的，给予警告，可以并处5000元以下罚款，同时没收违法所得；以盈利为目的实施上述违法行为，违法所得在5000元以上10000元以下的，给予警告，可以并处5000元以上10000元以下罚款，同时没收违法所得；以盈利为目的实施上述违法行为，违法所得在10000元以上或因实施上述违法行为被公安机关行政处罚后又实施同种行为的，给予警告，并处10000元以上15000元以下罚款，同时没收违法所得。

也许，墙倒还有很长时间；

也许，Google 很难做到真正的回归。

不过，人呐，总要有个盼头啊。

任何一个行业都是一个江湖，有江湖就有故事，追名逐利的人喜欢被写入故事，踏实做事的人却希望被隐匿。久而久之，江湖上的故事越来越虚名浮利，听故事的人也越来越坐井观天。岂不见无数江湖武侠小说，开篇的人物总是让我们误以为是江湖大侠，看着看着才发现一山更比一山高，到最后才发现开篇人物简直是不入流的小啰啰。而真正的高人，反而隐匿成传说。

互联网行业也是如此，大家喜欢创造故事，故事也越来越千篇一律的浮躁：什么产品上线7天就几百万用户、什么开发阶段就上亿投资、什么90后霸道总裁颠覆行业、什么大咖的内部分享、从xx看xx的四大趋势、从xx看xx的十大价值、xx的专注力、xx的微创新、xx的平台化、xx的独家专访首次讲述xx辛酸、xx概念的深度解析加独特见解，等等。翻来覆去，好像也就是那么多东西了。

就好像有些江湖人士，是需要靠卖艺为生，请个会吆喝的帮忙吆喝吆喝，弄个猴子上蹿下跳一下，响啰使劲的敲几下，骗骗几个外行人，撒点碎银子，仅此而已。接下来大家再接着吹嘘一番，比比谁拿的碎银子多点，动口不动手。长期以往，有些人招摇撞骗，也竟然成为了一代口碑中的大侠。久而久之，如今很多江湖人士只是卖艺拿贵客的碎银子为生，如何卖艺卖的更好是大家追求的目标。那些内功心法，武功秘籍，也都成为了历史，那些大侠们，也成为了传说。

难道江湖不再是那个江湖了么？其实不然，浮躁沉沦的只是江湖白道，只是这些大内侍卫，镖局镖师，衙门捕头而已。而江湖黑道中，黑客技术、海盗精神，继续被追捧，虚浮的商业模式永远不如深度技术被重视，“铁甲依旧在”的情怀还在回荡，而地下产业链相关的进步也在不断的深入，并且潜伏起来暗自发展，为了更大的目标和黑暗梦想。

什么是社工库

社工库是社会工程学数据库的简称（Social Engineering Data）。

提到社工库就必须先介绍一下社会工程学（Social Engineering），这个名词最早是在2002年由传奇黑客米特尼克（Kevin David Mitnick）在提出，但其初始目的是让全球的网民们能够懂得网络安全，提高警惕，防止没必要的个人损失。由于米特尼克在黑客界的传奇地位，很快社会工程学就开始被深入研究并且发扬光大。

社会工程学，准确来说是一门艺术和窍门的集合。它利用人性的弱点、心理的缺陷，以顺从意愿、满足欲望的方式，让人们上当，或以此为入口进行攻击。社会工程学的窍门也蕴涵了各式各样的灵活的构思与变化因素，利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行攻击。它集合了心理学、社会心理学、组织行为学等一系列的学科，由于其非法性和在很多国家地区都被严厉的打击，社会工程学也变成了一个见不得光的学派。

但是在黑客群体中，社会工程学就是他们的第一方法论和必修课。离开了社会工程学，黑客们运用的网络技术几乎都没有用武之地。如果我们用黑客最喜欢的海盗来比喻，各种网络技术可以比作航海、游泳、剑术、而社会工程学即是海盗们的行为准则和创新指引。

那么什么是社会工程学数据库（社工库）呢？即黑客在运用社会工程学进行攻击的时候，积累的各方面数据的结构化数据库。简单的说，社工库是黑客用来记录攻击手段和方法的数据库，这个数据库里面有大量的信息，甚至可以找到每个人各种行为记录（每个人在每个网站上的账号、密码、分享的照片、信用卡记录、订的机票记录、通话记录、短信内容、各种社交软件的聊天等等包罗万象），比如之前有很火爆的查询开房记录的数据库，就是一个典型的极简单的社工库的例子。

那么社工库又是如何产生的，在国内的互联网地下产业链中，又是什么模式的存在，发展又是什么情况呢，我们接着分析。

社工库的发展：数据盗窃

既然是传说，背后就有很多故事，说到社工库的产生和发展，我们就得先从互联网的数据窃取与交易开始说起。

互联网用户数据泄露一直是行业关注的焦点，从最近的京东用户密码泄露事件，到之前的CSDN的数据库完全爆出，再到如家酒店的用户数据泄露，网站和黑客在用户数据上一直在进行着旷日持久的攻防战。但是爆出来的数据泄露，仅仅是冰山一角，甚至也不到。而且这些信息其实对于黑客来说，根本没有什么价值。而对于用户来说的危害，也没有想象的那么大，因为大多数时候这些数据在黑市中几乎都已经是半公开的性质了。

而数据窃取与交易这个细分领域也几乎是地下产业链隐藏的最深的一部分，很多在互联网地下产业链中沉寂了多年的大佬都并不了解此道的相关信息。绝大多数被盗窃后的网站数据，并不会公开与众，只是交易后进入到地下产业链的其他环节而已。所以目前到底有多少网站的数据已经被窃取我们没法客观的进行数据分析。但在互联网黑市中，大家说起来类似的问题，常用的一个词是“十墓九空”，也许这个说法有点夸张，但是也可以参考。

我们从2009年以来，通过黑市的舆情监控和专业网络调查，对互联网每年的流量排名前100的网站（刨去没有用户账号机制的）进行调查，结果如下：

数据窃取产业虽然隐藏的非常深，但是发展历史永久，地下产业链也随之成熟，对于如何把数据变成货币，已经有了非常完整的程序的分工协作渠道。而其模式相对简单，一般只包括：脱库、洗库、撞库这几个阶段。

在地下产业术语里面，“脱库”是指入侵有价值的网络站点，把数据库全部盗走的行为，因为谐音，也经常被戏称作“脱裤”。在取得大量的用户数据之后，黑客会通过一系列的技术手段清洗数据，并在黑市上将有价值的用户数据变现交易，这通常也被称作“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆，叫做“撞库”，因为很多用户喜欢使用统一的用户名密码，“撞库”也可以是黑客收获颇丰。

在早期的数据窃取过程中，这几个阶段几乎都是由同一个团队、甚至单个人来完成的。发展到今天，已经完全细化成产业链，很少有人从脱库、洗库一起做了，而变成：定制化模式，或交易化模式。

定制化模式：就是现有下游客户指定的某一家网站，然后聘请黑客去脱库，脱库后获得佣金的模式，在定制化模式中，有很强的黑产规矩即数据属于下游客户，而黑客不可以再次出售，或者在一定的窗口期内不能再次出售。

交易化模式：黑客去某一家网站脱库，脱库后直接在黑市上寻找下家，在这种模式下一般可以反复出售，但是由于风险较大，而且数据真实度和新鲜度不一定能得到保证，又充满了骗局，越来越没落了。

而下游客户定制某特定一家网站的脱库，是怎么盈利呢？

大多数时候，都是竞争对手或者上下游企业采购，而且大多数都是主流互联网产业链中的客户，甚至是传统企业客户。其实这个模式很简单，想一想在生意场上，这家网站的数据库对谁谁有利，谁就可能是潜在的定制客户，只不过由于很多主流互联网企业或者传统行业很少了解这个地下产业，所以就会有一些中间人，来做中介促成相关的生意，而这些中间一般情况就是黑市里面的买家或者定制客户了。
我们用实际的例子说明：M哥在黑客圈小有名气，技术过硬。某互联网医疗产品最近要拿投资，深度用户不够啊，通过中间人，辗转的找到了M哥。M哥奋战了几天，直接脱裤了几家三甲医院的网络挂号系统，历史数据应有尽有，结构化分类一应俱全。M哥到手200w，中间人到手300w，而这家互联网医疗产品由于用户的激增和数据的全面性，以及对应新产品的虚假运营，多拿来1000w的投资，绝对双赢。

社工库的发展：洗库撞库

如之前分析，不管数据如何贩卖交易，卖给谁，怎么卖，最后黑客手里面还会有一份数据，由于黑市一般都采取定制化交易，黑客们不能再次出售了，所以一般情况下黑客们会用这份数据进行洗库撞库再洗库操作。

洗库主要是清洗这些数据中可以直接变现的部分，但是这样可以直接洗库的就能洗出价值的数据，其实并不多。一般都是有预存款或者虚拟物品交易的数据库才能洗出来价值，例如：游戏账号、电商账号等等。

更多的时候，黑客将得到的数据在其它网站上进行尝试登陆，叫做“撞库”，因为很多用户喜欢使用统一的用户名密码，“撞库”其实可以收获颇丰。而撞库和洗库的过程是配合的，黑客使用自己开发的工具、直接数据库匹配登录技术以及配合黑色产业链中的打码机制（之前TOMsInsight报告中有介绍）可以对很多网站进行批量撞库，一旦成功，可以进行再次洗库。

这就好比黑客们拿到了一份没什么价值的网站的全部用户名和密码，没关系，可以用这份用户名密码来尝试着登录有价值的网站嘛，如果能登录，不就可以洗出来价值了么，我们还是继续看M哥的例子。
M哥卖掉了几家三甲医院患者的挂号数据，虽然到手200w，但是也不满足。想想这几百万条数据，应该还会有别的价值吧。但是M哥又是一个传统的讲道义的黑客，不会再次出售给别的买家。只能从这些数据本身来找到价值了。

M哥尝试用这些数据登陆QQ、京东、支付宝、淘宝、各类网游，从而洗掉里面的资产，但是由于各种网络的安全策略的保护，M哥虽然有收益，但是却不多，甚至都不够自己的洗库撞库的网络成本，于是M哥继续沉寂下来，这一沉寂，开辟了一个传说。

社工库的发展：构建传说

在很多时候，社工库都是一个传说，就像海盗里面流传的那笔谁也不知道的宝藏，只有那块已经不知道转了多少手的脏兮兮的残缺的藏宝图才预示着它的存在。但是社工库却又很客观的放在那里，一直存在，一直沉寂。

除了贩卖数据本身得到金钱上的利益之外，黑客还会把得到的数据进行整理，制作成社工库。社工库是一个积累的过程，也需要大量的人力物力的去建设，同时还是一个漫长的过程。开始的时候就像M哥一样，单兵作战的去积累，今天是三甲医院的数据库，明天是旅游网站的数据库，后天的演唱会订票网站的数据库，这些数据库积累越来越多。

M哥后来遇到了V哥，V哥是同行，手里面也有很多数据库，可以和M哥互补，两人一拍即合，把双方的数据库融合起来，内容变得更丰富。而且两个人不断的进行分析维护，排除噪点数据和没有价值的数据，相互关联，刻意的去丰富一些必需的数据字段：比如QQ号和密码、比如手机号、比如身份证号。再刻意的去交换购买补充一些极其有价值的，比如征信报告。

社工库的内容越来越丰富，而M哥和V哥两个人力量还是小，两人刻意的去联合同行，组成利益联盟，把手里面的数据都放到一个社工库，组织力量去维护去分析。

这是一个放大的效应，由于社工库的日益庞大，信息的日益完善，再加上时间的沉淀，很多数据都可以慢慢地浮出水面，可以获得相当多的信息。目前有一些公开的社工库，信息全面性和对于用户隐私的了解以及让人震惊，但是这才是仅仅公开的社工库，对于黑客们来说其实已经是没有价值的信息。真正地下的社工库的数据信息丰富程度要远远更大，也绝对隐匿。

利用社工库，几乎可以暴漏出一个网络用户的全部网络行为、大量的用户隐私，和一些牵扯到个人身份财产的相关的数据信息。

首先让洗库变得更加容易：由于数据量很大信息很全，很多的账号的的虚拟财产的转移就不像之前那么困难，了解到信息之多甚至都可以伪装成这个用户去进行操作了。

其次让各种诈骗变得简单：之前大多数诈骗都是光撒网模式，而社工库的完善后，可以非常有针对性对一些特定的用户进行诈骗。利用数据技术，甚至通过木马分析一些用户QQ聊天的内容，寻找有价值的目标，和相对更信任的关系网络。这种模式风险会更小，而且由于诈骗目标相对较大，收益更大。在这种模式下，完成技术分析工作的一般是黑客，但是最后完成诈骗的却一般不是，黑客把按照客户要求去分析，最后把可以完成某种特定诈骗的目标连通相关信息出售（黑市称脚本）。

最后社工库也成为地下产业链的基础服务商：全面的社工库基础数据，也是精准的流量获取来源，成为流量获取分发的地下产业链的基础服务和大数据服务商。一些特有的黑色产业目前非常依赖社工库，例如精准定位的赌博平台、一些p2p金融类型的诈骗、或者是一些商业骗术。

社工库还可以进行网络的定向攻击，有时候一些不懂行的人进入互联网，糊里糊涂的就被骗的搞的一塌糊涂，互联网并不简单，简单的是那些幼稚的主流科技媒体，真正的中国互联网行业水很深，深到还没有外企可以成功的地步。

而社工库也在不断的扩大，丰富，并且继续沉寂。

社工库的发展：未来趋势

从2013年以后，国内互联网黑市上的数据交易产生了严重的分层：一些大的数据盗窃团伙早已经完成早期的数据积累构建非常完善的社工库，对于一般的数据定制需求都不会再接，会专注于更深度变现更强的金融诈骗；而一些小的数据盗窃团伙还在不断的相互交易、交换数据、而且相对高调的浮出水面，其实危害反而没有那么大。

而且出于用户交互方面的考虑，目前越来越多的移动终端支付或者金融产品的安全策略略浅，再加上更丰富的网络电商活动，导致沉寂在黑产中的数据危害也越来越大。这可能也会是更多的互联网产品的设计时需要考虑的问题所在。

而真正沉浸起来的社工库，一方面已经成为传说，另外还在构建着自己未来的目标，这些才是真正危害，也是对于我们最大的威胁。我们TOMsInsight分析到此很矛盾：在这个主流互联网都在炒作概念玩击鼓传花的骗术，而地下互联网都在积累的年代，也许我们真的应该沉下心去仔细的去研究去分析去洞察，而不是人云亦云。

“暴漏出来的社工库都是小孩玩的，真正有价值的社工库谁也不会暴漏，都在沉寂”， M哥对我们TOMsInsight的调研员说到“有时候真的看不懂现在主流的互联网，拿几百万投资就嘚瑟的不得了，其实就是不入流的卖艺打赏呗，小孩过家家。我们这行很多人都能一天赚出来这个投资数的现金来，反而继续去沉寂，沉下心钻研，为了未来更大的打算。“ M哥的话有些绝对了，但是在某种程度上也值得我们反思。

给我们的启示

江湖的故事会继续，传说也会继续。有些人可以选择视而不见，有些人也会选择去逃避。但是冬天始终都会到来，冷暖自知。我们不能要求每一个互联网人都踏实下来，毕竟一些浮躁的跟风卖艺求打赏也会是很多人的生存之道，但是我们应该知道，江湖并不是由他们构成，那些传说，也都和每一个故事一样的真正的存在我们的身边。

当一个行业的地下产业比主流产业更踏实，看的更长远，也更注重积累的时候，也许很值的我们所有的从业人员反思。毕竟，传说应该属于真正的英雄！

手机安装过百度云的应该知道，安装完百度云后，首次打开百度云会自动把照片备份选择上，如果你没注意，直接就下一步了的话，就有点泄漏你的照片的危险，通过Google搜索，"site:yun.baidu.com 来自：iPhone" 会搜索出很多的手机照片：

博主初略的搜索了一下，来自iPhone 的结果有两千多。。。而且随便从这些照片中就找到了很多私人信息啊，比如：

寝室帅哥的销魂照：

你的火车票，姓名，身份证号码，身份证自拍照，银行卡，家人照片，手机录制的视屏 等等（当然 全部打码 -_- ||我是好孩子）：

很容易的有意识的社工你，你的什么账号密码，或者是被冒用，被拿去实名注册等等，数不胜数啊，当然损失的就是这些百度云用户了，

博主提醒各位啊，在这个大数据时代，能不留网上的信息最好别留网上，因为谁也不知道那一天你用的服商会不会被黑，数据泄漏，谁也不敢打包票说不泄漏啊。。。最好的就是特别重要的还是自己放在本地，如果实在需要放在网盘等等，请加密压缩后在放上去，这样相对来说安全些，即使别人拿到了，也需要解密，对一般人来说就拜拜了，但是对于一些专业人士/团伙来说，密码太简单和没有没啥区别，挂上几百G的彩虹表，挖不了几天就出来了。。。要设置密码就把密码强度设置大点，包括大小写，数字特殊符号等都包括，而且长度最好是达到软件所能达到的最大长度，密码强度足够强大的情况下，理论上是可以被破解的，但是时间会长很多，几乎等于零（至少目前是，不知道以后会不会有什么新技术，可以破）。哎呀，不知不觉就说了这么多，只是希望在这个互联网大染缸里活动，时刻都要小心啊。人心太复杂，社会其实很简单。

大家也可以看看这几篇文章，或许会对你有帮助：

google黑客使用方法，让你见识不一样的世界

从12306信息泄露了解何为黑客撞库拖库洗库

江湖险恶 如何设置安全又方便的个人密码

2016年3月25日，酝酿多年的《中国互联网域名管理办法》修订浮出水面，工信部正式向社会公开征求意见。该意见稿首次要求不得为境外域名注册服务机构管理的域名提供境内网络接入服务，强制要求境内网站须境内管理域名。

意见稿第三十七条首次要求，在境内进行网络接入的域名应当由境内域名注册服务机构提供服务，并由境内域名注册管理机构运行管理。在境内进行网络接入、但不属于境内域名注册服务机构管理的域名，互联网接入服务提供者不得为其提供网络接入服务。

值得注意的是，根据意见稿第二条之规定，“在中华人民共和国境内从事互联网域名服务及相关活动，应当遵守本办法。”从文意理解，这里的“域名”不仅包括CN/中国等国别顶级域名，还应当包括COM/NET等类别顶级域名。

个人认为，强制要求境内企业网站须境内管理域名的可操作性不强，境内的众多门户网站和互联网企业均使用国外的域名注册商，切换回国内有较大风险，因为国内域名注册商主要是万网提供，而万网已经被阿里巴巴全资收购，因此迁移域名到国内，将会导致国内互联网企业的网站均被阿里巴巴所控制，包括阿里巴巴的竞争对手，2011年有一个案例，阿里巴巴竞争对手慧聪网的域名遭到投诉后，被阿里直接将慧聪网域名暂停解析长达数小时，之后愤怒的慧聪网对外推出“反万网霸权”网站，对万网进行指控。

目前，淘宝、百度、网易、搜狐、微软、苹果、腾讯财付通、CCTV等诸多知名公司的网站域名都使用了国外的域名服务例如MarkMonitor等，如果新的《互联网域名管理办法》实施下来要求这些企业把域名转到阿里巴巴的万网，这画面太美我不敢看。

对于外资企业或跨国公司来说，根据工信部早先的规定，外资企业在华开展网络业务，相关服务器和存储设备必须存放在中国境内，但如果按照域名管理办法的第三十七条，则外资企业必须将域名转入中国才能提供解析，这对于绝大多数外资企业来说都是难以接受的，没有哪家跨国企业能接受自己的主域名被中国企业控制。

我觉得，工信部强制要求境内网站须境内管理域名的主要原因是，以后看到你网站上有啥“有害信息”，可以直接ClientHold，连拔网线的事情都省了，管理起来真太方便了。

之所以知名的企业都喜欢用例如MarkMonitor这样的专业域名注册服务，主要还是因为安全性的考虑，使用不安全的域名注册服务会对网站造成非常致命的影响，例如2010年的时候，百度曾经遭到建立以来持续时间最长、影响最严重的黑客攻击，黑客通过劫持百度域名，导致百度停止服务长达数小时之久，之后，百度更换域名注册商到了MarkMonitor，以防止类似事件发生。因此，工信部应该尊重各个互联网企业的选择，不应该强制企业采用指定的服务，导致企业面临遭受重大损失的风险。

目前工信部起草了《互联网域名管理办法（修订征求意见稿）》处于向社会公开征求意见的阶段，社会人士可以于2016年4月25日前反馈意见，反馈的联系方式如下：

联系人：工业和信息化部政策法规司

电  话：010-68205072（传真）

电子邮箱：law#miit.gov.cn

地  址：北京市西城区西长安街13号工业和信息化部政策法规司（邮编：100804），请在信封上注明“规章征求意见”。

在线反馈意见的地址：http://zqyj.chinalaw.gov.cn/index

以下是《互联网域名管理办法》（修订征求意见稿）全文：

互联网域名管理办法

（修订征求意见稿）

第一章 总则

第一条 为了规范互联网域名服务活动，保护用户合法权益，保障互联网域名系统安全、可靠运行，推动中文域名和国家顶级域名发展和应用，促进中国互联网健康发展，根据《中华人民共和国行政许可法》、《国务院对确需保留的行政审批项目设定行政许可的决定》等规定，参照国际上互联网域名管理准则，制定本办法。

第二条 在中华人民共和国境内从事互联网域名服务及相关活动，应当遵守本办法。

本办法所称互联网域名服务（以下简称域名服务），是指从事域名根服务器运行和管理、顶级域名运行和管理、域名注册、域名解析等活动。

第三条 工业和信息化部对全国的域名服务实施监督管理，主要职责是：

（一）制定互联网域名管理规章及政策；

（二）制定互联网域名体系、域名资源发展规划；

（三）管理境内的域名根服务器运行机构和域名注册管理机构；

（四）负责域名体系的网络与信息安全管理；

（五）依法保护用户个人信息和合法权益；

（六）负责与域名有关的国际协调；

（七）管理境内的域名解析服务；

（八）管理其他与域名服务相关的活动。

第四条 各省、自治区、直辖市通信管理局负责对本行政区域内的域名服务实施监督管理，主要职责是：

（一）贯彻执行域名管理法律、行政法规、规章和政策；

（二）管理本行政区域内的域名注册服务机构；

（三）协助工业和信息化部对本行政区域内的域名根服务器运行机构和域名注册管理机构进行管理；

（四）负责本行政区域内域名系统的网络与信息安全管理；

（五）依法保护用户个人信息和合法权益；

（六）管理本行政区域内的域名解析服务；

（七）管理本行政区域内其他与域名服务相关的活动。

第五条 互联网域名体系由工业和信息化部予以公告。根据域名发展的实际情况，工业和信息化部可以对互联网域名体系进行调整。

第六条 “.CN”和“.中国”是中国的国家顶级域名。

中文域名是互联网域名体系的重要组成部分。国家鼓励和支持中文域名系统的技术研究和推广应用。

第七条 提供域名服务，应当遵守国家相关法律法规，符合相关技术规范和标准。

第八条 任何组织和个人不得妨碍互联网域名系统的安全和稳定运行。

第二章 域名管理

第九条 在境内设立域名根服务器及域名根服务器运行机构、域名注册管理机构和域名注册服务机构的，应当取得工业和信息化部或者省、自治区、直辖市通信管理局（以下统称电信管理机构）的相应许可。

第十条 申请设立域名根服务器及域名根服务器运行机构的，应当具备以下条件：

（一）域名根服务器设置在境内，并且符合互联网发展相关规划及域名系统安全稳定运行要求；

（二）是在境内依法设立的法人，该法人及其主要出资者、主要经营管理人员具有良好的信用记录；

（三）具有保障域名根服务器安全可靠运行的场地、资金、环境、专业人员和技术能力以及符合电信管理机构要求的信息管理系统；

（四）具有健全的网络与信息安全保障措施，包括管理人员、网络与信息安全管理制度、应急处置预案和相关技术、管理措施等；

（五）具有用户个人信息保护能力、提供长期服务的能力及健全的服务退出机制；

（六）法律、行政法规规定的其他条件。

第十一条 申请设立域名注册管理机构的，应当具备以下条件：

（一）顶级域名管理系统设置在境内，并且持有的顶级域名符合相关法律法规及域名系统安全稳定运行要求；

（二）是在境内依法设立的法人，该法人及其主要出资者、主要经营管理人员具有良好的信用记录；

（三）具有完善的业务发展计划和技术方案以及与从事顶级域名运行管理相适应的场地、资金、专业人员以及符合电信管理机构要求的信息管理系统；

（四）具有健全的网络与信息安全保障措施，包括管理人员、网络与信息安全管理制度、应急处置预案和相关技术、管理措施等；

（五）具有进行真实身份信息核验和用户个人信息保护的能力、提供长期服务的能力及健全的服务退出处理机制；

（六）具有健全的域名注册服务管理制度和对域名注册服务机构的监督机制；

（七）法律、行政法规规定的其他条件。

第十二条 申请设立域名注册服务机构的，应当具备下列条件：

（一）域名注册服务系统、注册数据库和解析系统设置在境内；

（二）是在境内依法设立的法人，该法人及其主要出资者、主要经营管理人员具有良好的信用记录；

（三）具有与从事域名注册服务相适应的场地、资金和专业人员以及符合电信管理机构要求的信息管理系统；

（四）具有进行真实身份信息核验和用户个人信息保护的能力、提供长期服务的能力及健全的服务退出机制；

（五）具有健全的域名注册服务管理制度和对域名注册代理机构的监督机制；

（六）具有健全的网络与信息安全保障措施，包括管理人员、网络与信息安全管理制度、应急处置预案和相关技术、管理措施等；

（七）法律、行政法规规定的其他条件。

第十三条 申请设立域名根服务器及域名根服务器运行机构、域名注册管理机构的，应当向工业和信息化部提交申请材料。申请设立域名注册服务机构的，应当向住所地省、自治区、直辖市通信管理局提交申请材料。

申请材料应当包括：

（一）申请单位的基本情况；

（二）对域名服务实施有效管理的证明材料，包括相关系统及场所、服务能力的证明材料、管理制度、与其他机构签订的协议等；

（三）网络与信息安全保障制度及措施；

（四）证明申请单位信誉的材料；

（五）法定代表人签署的依法诚信经营承诺书。

第十四条 申请材料齐全、符合法定形式的，电信管理机构应当向申请单位出具受理申请通知书；申请材料不齐全或者不符合法定形式的，电信管理机构应当场或在5个工作日内一次性书面告知申请单位需要补正的全部内容；不予受理的，应当出具不予受理通知书并说明理由。

第十五条 电信管理机构应当自受理之日起20个工作日内完成审查，作出予以许可或者不予许可的决定。20个工作日内不能作出决定的，经电信管理机构负责人批准，可以延长10个工作日，并将延长期限的理由告知申请单位。需要组织专家论证的，论证时间不计入审查期限。

予以许可的，应当颁发相应的许可文件；不予许可的，应当书面通知申请单位并说明理由。

第十六条 域名根服务器运行机构、域名注册管理机构和域名注册服务机构的许可有效期为5年。

第十七条 域名根服务器运行机构、域名注册管理机构和域名注册服务机构的名称、住所、法定代表人等信息发生变更的，应当自变更之日起20日内向原发证机关办理变更手续。

第十八条 在许可有效期内，域名根服务器运行机构、域名注册管理机构、域名注册服务机构拟终止相关服务的，应当通知用户，提出可行的善后处理方案，并向原发证机关提交书面申请。

原发证机关收到申请后，应当向社会公示30日。公示期结束60日内，原发证机关应当完成审查工作，做出予以批准或者不予批准的决定。

第十九条 许可有效期届满需要继续从事域名服务的，应当提前90日向原发证机关申请延续；不再继续从事域名服务的，应当提前90日向原发证机关报告并做好善后工作。

第二十条 域名注册服务机构委托域名注册代理机构开展市场销售等工作的，应当对域名注册代理机构的工作进行监督和管理。

域名注册代理机构在开展委托的市场销售等工作过程中，应当主动表明代理关系，并在域名注册服务合同中明示相关域名注册服务机构名称及代理关系。

第二十一条 域名注册管理机构、域名注册服务机构应当在境内设立相应的应急备份系统和应急机制，定期将域名注册数据在境内进行备份。

第二十二条 域名根服务器运行机构、域名注册管理机构、域名注册服务机构应当在其网站首页和经营场所显著位置标明其许可相关信息。域名注册管理机构还应当标明与其合作的域名注册服务机构名单。

域名注册服务机构应当要求域名注册代理机构在其网站首页和经营场所显著位置标明域名注册服务机构名称。

第三章 域名服务

第二十三条 域名根服务器运行机构、域名注册管理机构和域名注册服务机构应当向用户提供安全、方便、稳定的服务。

第二十四条 域名注册管理机构应当根据本办法制定域名注册实施细则并向社会公开。

第二十五条 域名注册管理机构应当通过电信管理机构许可的域名注册服务机构开展域名注册服务。

域名注册服务机构应当按照许可的域名注册服务项目提供服务，不得为未经许可的域名注册管理机构提供域名注册服务。

第二十六条 域名注册服务原则上实行“先申请先注册”，相应顶级域域名注册实施细则另有规定的，从其规定。

第二十七条 为维护国家利益和社会公众利益，域名注册管理机构应当建立域名注册保留字制度。

第二十八条 域名注册服务机构不得为任何组织或者个人注册、使用含有下列内容的域名提供服务：

（一）反对宪法所确定的基本原则的;

（二）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的;

（三）损害国家荣誉和利益的;

（四）煽动民族仇恨、民族歧视，破坏民族团结的;

（五）破坏国家宗教政策，宣扬邪教和封建迷信的;

（六）散布谣言，扰乱社会秩序，破坏社会稳定的;

（七）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;

（八）侮辱或者诽谤他人，侵害他人合法权益的;

（九）含有法律、行政法规禁止的其他内容的。

第二十九条 域名注册服务机构不得采用欺诈、胁迫等不正当手段要求他人注册域名。

第三十条 域名注册服务机构应当要求域名注册申请者提交域名持有者的真实、准确、完整的身份信息等域名注册信息。

域名注册管理机构和域名注册服务机构应当对域名注册信息的真实性、完整性进行核验。

域名注册申请者提交的域名注册信息不准确、不完整的，域名注册服务机构应当要求其予以补正。申请者不补正或者提交不真实的域名注册信息的，域名注册服务机构不得为其提供域名注册服务。

第三十一条 域名注册服务机构应当公布域名注册服务的内容、时限、费用，保证服务质量，提供域名注册信息的公共查询服务。

第三十二条 域名注册管理机构、域名注册服务机构应当依法保护用户个人信息。除用于提供域名注册信息的公共查询服务或法律、法规另有规定外，未经用户同意，不得将用户个人信息提供给他人。

第三十三条 域名持有者的联系方式等信息发生变更的，应当在变更后30日内向域名注册服务机构办理域名注册信息变更手续。

域名持有者将域名转让给他人的，后者应当遵守域名注册的相关要求。

第三十四条 域名持有者可以选择、变更域名注册服务机构。变更域名注册服务机构的，原域名注册服务机构应当配合域名持有者转移域名注册相关信息。

无正当理由，域名注册服务机构不得阻止域名持有者变更域名注册服务机构。

电信管理机构要求停止解析的域名，不得变更域名注册服务机构或转让给他人，但法律、行政法规另有规定的除外。

第三十五条 域名注册管理机构和域名注册服务机构应当设立投诉受理机制，并在其网站首页和经营场所显著位置公布投诉受理方式。

域名注册管理机构和域名注册服务机构应当及时处理投诉；不能及时处理的，应当说明理由和处理时限。

第三十六条 提供域名解析服务，应当具备相应的技术、服务和网络与信息安全保障能力，符合有关法律、法规以及技术规范、标准，落实网络与信息安全保障措施，记录并留存域名解析维护日志和变更记录，保障解析服务质量和解析系统安全。涉及经营电信业务的，应当依法取得电信业务经营许可。

第三十七条 在境内进行网络接入的域名应当由境内域名注册服务机构提供服务，并由境内域名注册管理机构运行管理。

在境内进行网络接入、但不属于境内域名注册服务机构管理的域名，互联网接入服务提供者不得为其提供网络接入服务。

第三十八条 提供域名解析服务，不得擅自篡改解析信息。未经他人同意，不得将域名解析指向他人的IP地址。

第三十九条 提供域名解析服务，不得为违法网络信息服务提供域名跳转。

第四十条 域名注册管理机构、域名注册服务机构应当配合国家有关部门依法开展的相关检查工作，并按照电信管理机构的要求对存在违法行为的域名进行处置。

第四十一条 域名根服务器运行机构、域名注册管理机构和域名注册服务机构应当遵守国家相关法律、法规和技术规范、标准，落实网络与信息安全保障措施，配置必要的网络通信应急设备，制定网络通信保障应急预案，建立健全网络与信息安全监测技术手段和应急制度。域名系统出现网络与信息安全事故时，应当及时向电信管理机构报告。

因国家安全和处置紧急事件的需要，域名根服务器运行机构、域名注册管理机构和域名注册服务机构应当服从电信管理机构的统一指挥与协调，遵守电信管理机构的管理要求。

第四十二条 已注册的域名出现下列情形之一的，域名注册服务机构应当予以注销，并通知域名持有者：

（一）域名持有者申请注销域名的；

（二）域名持有者提交虚假域名注册信息的；

（三）依据人民法院、仲裁机构或域名争议解决机构作出的裁判，应当注销的；

（四）国家有关部门依法作出域名注销决定的；

（五）法律、行政法规规定予以注销的其他情形。

第四章 监督检查

第四十三条 电信管理机构应当加强对域名服务进行监督检查。域名根服务器运行机构、域名注册管理机构、域名注册服务机构应当接受、配合电信管理机构的监督检查。

工业和信息化部鼓励开展域名服务行业自律活动，鼓励公众监督域名服务。

第四十四条 域名根服务器运行机构、域名注册管理机构、域名注册服务机构应当按照电信管理机构的要求，定期报送业务开展情况、安全运行情况、投诉和争议处理情况等信息。

第四十五条 电信管理机构实施监督检查时，应当对域名根服务器运行机构、域名注册管理机构和域名注册服务机构报送的材料进行全面审核，并对其经营主体、经营行为和服务质量、网络与信息安全、执行国家和电信管理机构有关规定的情况等进行检查。

电信管理机构可以委托专业机构开展有关监督检查活动。

第四十六条 电信管理机构应当建立域名根服务器运行机构、域名注册管理机构和域名注册服务机构的信用记录制度，将其违反本办法并受到行政处罚的行为记入信用档案。

第四十七条 电信管理机构开展监督检查，不得妨碍域名根服务器运行机构、域名注册管理机构和域名注册服务机构正常的经营和服务活动，不得收取任何费用，不得泄露所知悉的域名注册信息。

第五章 罚则

第四十八条 违反本办法第九条规定，未经许可擅自设立域名根服务器及域名根服务器运行机构、域名注册管理机构、域名注册服务机构的，电信管理机构应当根据《中华人民共和国行政许可法》第八十一条的规定，采取措施予以制止，并视情节轻重，予以警告或者处一万元以上三万元以下罚款。

第四十九条 违反本办法规定，域名注册管理机构或者域名注册服务机构有下列行为之一的，由电信管理机构依据职权责令限期改正，并视情节轻重，处一万元以上三万元以下罚款，向社会公告:

（一）为未经许可的域名注册管理机构提供域名注册服务,或者通过未经许可的域名注册服务机构开展域名注册服务的；

（二）未按照许可的域名注册服务项目提供服务的；

（三）为他人注册、使用含有违法内容的域名提供服务的；

（四）未对域名注册信息的真实性、完整性进行核验的；

（五）无正当理由阻止域名持有者变更域名注册服务机构的；

第五十条 违反本办法规定，提供域名解析服务，有下列行为之一的，由电信管理机构责令限期改正，可以视情节轻重并处一万元以上三万元以下的罚款，向社会公告：

（一）擅自篡改域名解析信息或者将域名解析指向他人IP地址的；

（二）为违法网络信息服务提供域名跳转的；

（三）未落实网络与信息安全保障措施的；

（四）未记录并留存域名解析维护日志和变更记录的；

（五）未按要求对存在违法行为的域名进行处置的。

第五十一条 违反本办法第十七条、第十八条第一款、第二十一条、第二十二条、第二十九条、第三十一条、第三十二条、第三十五条第一款、第三十七条第二款、第四十一条规定的，由电信管理机构依据职权责令限期改正,可以并处一万元以上三万元以下罚款，向社会公告。

第五十二条 任何组织或个人违反本办法第二十八条规定注册、使用域名，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，由国家有关机关依法予以处罚。

第六章 附则

第五十三条 本办法下列用语的含义是：

（一）域名：指互联网上识别和定位计算机的层次结构式的字符标识，与该计算机的互联网协议（IP）地址相对应。

（二）中文域名：指含有中文文字的域名。

（三）顶级域名：指域名体系中根节点下的第一级域的名称。

（四）域名根服务器：是指承担域名体系中根节点功能的服务器（含镜像服务器）。

（五）域名根服务器运行机构：指依法获得许可并承担域名根服务器运行、维护和管理工作的机构。

（六）域名注册管理机构：指依法获得许可并承担顶级域名运行和管理工作的机构。

（七）域名注册服务机构：指依法获得许可并受理域名注册申请并完成域名在顶级域名数据库中注册的机构。

（八）域名注册代理机构：指受域名注册服务机构的委托，受理域名注册申请，间接完成域名在顶级域名数据库中注册的机构。

（九）顶级域名管理系统：指域名注册管理机构在境内开展顶级域名运行和管理所需的主要信息系统，包括注册管理系统、注册数据库、域名解析系统、域名信息查询系统、身份信息核验系统等。

（十）域名跳转：指对某一域名的访问跳转至该域名绑定或指向的其他域名、IP地址或者网络信息服务等。

第五十四条 本办法中规定的日期，除明确为工作日的以外，均为自然日。

第五十五条 在本办法施行前未取得相应许可开展域名服务的，应当自本办法施行之日起六个月内，按照本办法规定办理许可手续。

在本办法施行前已取得许可的域名根服务器运行机构、域名注册管理机构和域名注册服务机构，其许可有效期适用本办法第十六条的规定，有效期自本办法施行之日起计算。

第五十六条 本办法自 年 月 日起施行。2004年11月5日公布的《中国互联网络域名管理办法》（原信息产业部令第30号）同时废止。

美国联邦调查局（FBI）已经成功寻求到破解iPhone手机的方法，因此本周早些时候就破解一事召开的法院听证会被无限期延迟。

FBI已经成功接触了以色列一家名为Cellebrite的安全公司，该公司表示已经找到破解美国加州枪案嫌犯使用的iPhone 5c手机的方法。

Cellebrite曾成功破解iPhone 5

据《福布斯》网站报道：在意大利法院聆讯的一桩毁容攻击案中，犯案嫌犯声称忘记了自己iPhone 5手机的开机密码。法院找到了Cellebrite公司进行破解这部装有iOS 8系统的手机，而Cellebrite破解这部iPhone只收取了1500美元的费用。

意大利案件中的iPhone 5与美国加州枪案嫌犯使用的iPhone 5c手机使用类似的32位芯片，但是前者的系统为iOS 8，后者系统为iOS 9。而目前为止，Cellebrite公司能破解的最高系统版本为iOS 8.4。

如果Cellebrite果真在帮助美国联调局破解加州枪案手机，成本可能只需1500美元。

没有你，我一样可以！

苹果公司一直拒绝履行政府指令，为FBI提供破解服务，其CEO Tim Cook 更是公开表达反对言论，苹果工程师表示宁愿辞职也不愿帮助政府破解手机。

由此，双方决定在法庭上讨论该问题，广泛听取各方意见解决此事。但是，近日联邦调查局表示：如果该第三方有方法可以破解iPhone手机的话，将不再需要苹果的帮助。但需要时间来证明他们是否能够在不损坏手机上保存的任何数据的前提下绕过密码。

法院文件中，FBI这样论述道：

“上周日。2016年3月20日，一家第三方公司向FBI演示了一种方法，可能能解锁 San Bernardino枪击案枪手Syed Rizwan Farook的手机，司法部表示需要测试来判断它是否是一种能在不危及Farook手机数据的情况下解锁手机的可行方法。如果方法可行，那么FBI将不再需要苹果的帮助。”

联邦调查局补充道：

“面对苹果公司坚决抵制解锁苹果手机的情况下，FBI正在积极的进行可行性方法的研究。随着FBI继续进行可行性方法研究，以及国际范围内对该案件的广泛关注，美国政府以外的第三方也在联系美国政府，提供可行性的方法，共同研究。”

斯诺登表示：一切都是Bullshit!

上周，NSA举报人爱德华•斯诺登（Edward Snowden）谈到FBI要求苹果解锁iPhone事件时表示：FBI表示苹果具备‘独家技术手段’来解锁手机，而这完全是扯淡。FBI要求苹果协助解锁iPhone，是另有所图。

在斯诺登的推文曾引用了美国公民自由联盟丹尼尔•卡恩吉尔（Daniel Kahn Gillmor）的链接，来揭穿了FBI所谓的要求苹果提供帮助来绕过射击者Syed Rizwan Farook的iPhone 5c上“自动擦除”功能的真正企图。

FBI是否已经找到破解方式，还是这一切只是苹果和FBI联袂出演的一场“双簧”闹剧，我们大家就保持怀疑，一起拭目以待吧。

*原文链接：trustedreviews、tuicool

好消息：沃通免费SSL证书由原来支持1年期1个域名，升级为支持2年期5个域名！用户可以一次性申请2年期SSL证书绑定5个域名，已经能够满足站点的基本使用需求。2年期5个域名的免费SSL证书将于今天正式开放申请，欢迎新老用户登录沃通免费SSL证书申请页面立即体验！

沃通CA自2015年初推出免费SSL证书后，获得广大用户的一致好评，让广大中小网站和个人网站都能零成本启用HTTPS加密，保护网站机密信息安全。目前，沃通免费SSL证书的用户已经遍布180多个国家和地区，为全球普及HTTPS加密起到了极大的推动作用。此外，沃通推出的SSL精灵大大降低了SSL证书安装部署的复杂性，让用户能够一键搞定HTTPS加密。

DV免费ssl证书申请指南

一、注册、登录

1、打开浏览器，访问http://freessl.wosign.com，选择需要的证书类型

1.1免费多域申请地址：http://freessl.wosign.com/freessl

2、进入buy系统后，首先登录buy系统（点击左上角的登录）

3、如果您已经有账号密码或客户端证书，请选择登录方式并登录；如果没有，请先注册

其中，密码为登录申请平台的密码，可以是您的邮箱密码，也可以重新设置，并记住！

4、进入您的邮箱，激活邮件，等待取回您的证书，双击pfx证书安装，然后登录申请平台。（邮件收到的pfx证书为登录buy系统的客户端证书，请不要弄混）

二、申请证书

1、登录buy系统，进入用户中心，选择证书，添加您需要的证书，如下图(或登录后访问

DV SSL申请地址 https://buy.wosign.com/DVSSL.html

免费SSL申请地址 https://buy.wosign.com/free/FreeSSL.html)

在购物车中确定好年限及域名数量后（以DV多域为例），确定下单，并补充材料

2、接着您需要填写证书绑定的域名，证书签名算法，证书安装密码，中英文证书等信息。

3、接下来就是申请免费SSL证书重要的域名验证，wosign提供了两种方式，您可以选择whois邮箱验证，或者网站验证方式，如下图所示，也可以先跳过验证，进入下一步，等确认订单时再验证域名。

PS：wosign有严格的域名验证，您必须通过上面其中一种方式验证域名的所有权，验证通过后，wosign才会颁发您的证书。

4、选择证书申请文件生成方式，推荐您选择方式一，简单省事，如下图所示，然后确认订单信息。

PS:如果是自己生成的CSR，请选择方式二并将CSR提交到下方。

5、订单确认后，稍等一会，证书就会通过申请邮箱发送给您啦，通过邮箱就可以领取！

、取回您的证书并一定要保管好证书和密码！ 

7、证书安装部署指南,请访问：http://freessl.wosign.com/guide。

更多详细教程请前往官网查看：http://freessl.wosign.com/

相关文章：

emlog 使用ssl证书开启HTTPS安全访问三步曲

一段代码让nginx实现网站资源防盗链

nginx配置location总结及rewrite规则写法

nginx配置ssl加密（单双向认证、部分https）

NginxRewrite规则判断普通用户与搜索引擎爬虫（UA）实现https跳转

SSL/TLS原理详解

OpenSSL 与 SSL 数字证书概念贴

基于OpenSSL自建CA和颁发SSL证书

最近是怎么了，京东关闭拍拍网，昨天创宇云宣布资金断了，然后一些童鞋的使用的免费的创宇云的就该找新的主机了，因为创宇云把服务转到了小鸟云，但是这些都是只对于付费用户，免费用户在鸟云里面是发放100元现金卷，并不能继续服务了！竞争压力颇大，形成了西部数码、腾讯云和阿里云三足鼎立的局面 ！还是自己选择服务器比较好吧！欢迎向我咨询购买服务器哦！博主提供实力售后，全程服务一条龙！