Загрузка видео...

Не удалось загрузить видео

На главную

近日,多名网友发现微信安卓安装包的代码中出现多处侮辱性词汇“fuck”,共计 5 处,其中一处还指向了小米公司。 有相关从业人员表示:该信息为后台报错信息,一般只有开发人员才能看到,对用户无实际影响,但代码中不应出现这样的表述。

89,516 просмотров • 1 год назад •via X (Twitter)

Комментарии: 0

Нет доступных комментариев

Здесь появятся комментарии из оригинального поста

Похожие видео

DEXX被盗,certik的审计有没有责任?外行如何查看审计报告? ➤首先来说,Certik多少是有些问题的。 第一,打开项目页,首先是评分!一个审计机构,你评分是什么鬼? 我们看审计报告,需要知道的是风险有多大,而不是项目或代码有多好! 第二,上来还有项目亮点。而且你看DEXX这亮点都是啥?推特关注者数量、社群、还有市场稳定性。这和你审计业务有啥关系,就这能叫亮点? 第三,可是涉及到审计的关键问题时,点击”查看漏洞信息“,然后接下来,不但没有显示漏洞信息,整个代码审计这块就没了……不信的话大家可以自己去试一下,我也录了个视频。 第四,其实页面上有pdf审计报告文件可以查看,但是位置不太明显。另一方面,审计报告里的风险事件情况不写在页面上,反而在页面上写一些与安全无关的亮点和评分…… ➤其次,外行看审计报告,应该至少看一下风险摘要。 一般审计报告会把风险划分为致命的、主要的、中度、轻度、信息化几个级别。 我们可以看一下每个级别有多少风险问题,有多少已经解决、有多少还没有解决。 像DEXX这个审计报告上写了,有1主要问题——中心化。 4个中度问题——易受攻击代码。这个已经比较直白了。已解决2个,未解决2个。 4个轻度问题——设计问题,已解决1个,未解决3个。 已解决就是已经解决了问题,已知悉,就是没解决的意思哈哈。 这么说吧,审计报告没问题,不一定真的没问题。但审计风险摘要里都有问题的,那确实是真的有问题的。 ➤对比其他DEX的审计报告 ❚ DYDX 既然说到DEX,我们可以看一下著名的DEX #dydx 的审计情况。 DYDX也没有花钱请certik进行审计,而是由不同的代码审计人员组成审计组进行非正式审计共6次。最近一次审计报告显示: 共有: 中度风险1项,未解决。 低风险6项,2个已解决,4个暂未解决。 信息性风险7项目,7个暂未解决。 ❚ DeGate 再来看一个基于以太坊二层的DEX #DeGate ,2023年8月上线至今天,一共由3家审计机构进行代码,包括 Trail of Bits 、Least Authority 和 #Secbit 共进行5次代码审计。 看一下最近一次的审计报告,审计机构是Secbit。审计报告的地址是 。 中度风险4个,全部已经解决。 低风险8个,其中5个已经解决,3个暂时未解决。 信息性风险4个,1个已解决,3个暂时未解决。 还有4个讨论级别的风险,2个已解决,2个暂时未解决。这类风险应该是需要讨论的,不确定是否存在问题。 没有发现更高级别的风险了,剩下的最高风险是低风险。 DYDX 和 DeGate审计的共同点是: 第一,都没有花钱给Certik去"镀金",而是由多个审计主体进行了多次审计,这样可以相对更充分的发现代码中的安全问题。 第二,审计报告发布在Github平台,而不是审计机构或项目方的官网,这样可以看见审计报告文件的提交修改删除等行为,更公开更透明。 第三,这两个DEX的审计报告中都没有未解决的中度风险。根据审计情况都把风险控制在低风险级别下。 DYDX V4和DeGate分别已经安全运行了14个月和16个月。 可见,无论是大型DEX还是中小型DEX,都可以对比出DEXX的不安全。 ➤写在最后 作为代码小白的我们,听说项目方有代码审计,我们要打开审计报告看了一下。而不是听项目方说有多少个安全性通过。 以DEXX为例,虽然Certik把它的代码排名在10%以内,但是它的评分只有59.31分。这说明DEXX实际的安全性可能更差。只要我们打开这份审计报告,什么也看不懂,起码能看见59.31这个评分。再仔细往下看就会发现"易受攻击代码"的字样。当时看过这两个细节,估计我们也不会去使用这个DEXX了。 打开审计报告以后,即使英文不好,也可以查找Medium这个词,找到风险事件摘要,看一下已发现的各级别的风险问题有多少个,多少已解决、多少未解决。 虽然代码审计安全的项目不一定安全,虽然我们可能看不懂具体的代码风险,但是发现风险级别较高的因素尚未解决,很可能说明项目代码可能处于比较潦草的阶段,还有待的完善安全性,我们在使用时要慎之又慎。 而参与审计的主体多、审计次数多,项目的安全性可能会相对更好一些。当然,也仅仅是相对安全。毕竟很多风险事件不一定是代码层面上的。 提升安全性,我们的资产可以分散存储,大额长期投资使用冷钱包。在应用的用户端,手机电脑的环境保持安全性也非常重要,参与交易和持币的浏览器、设备等与日常使用等进行隔离。在操作资产时,包括交易、游戏等等行为,要慢,要慢,要慢,仔细核对信息……欢迎补充

TVBee🦅

53,227 просмотров • 1 год назад

最近中国暴雷太多,而且这些前后发生还不到15天,我感觉可能引发进一步的连锁反应,我觉得很像2022年白纸革命和四通桥事件的时候了。 1:中美贸易战,现在才开始没几天,中国大量外贸企业已经开始裁员了 2,成都茶店子又出现四通桥式的抗议事件,直接指向中共 3中日友好医院出轨事件,本来从吃瓜事件,变成了对权贵背景的深扒 4辽宁辽阳出现22人被烧死事件 5山西太原又出现了重大的爆炸事件 要知道这些事间隔时间,就在十几天接连发生,我早就说过了中共的维稳机器会顾此失彼,而现在短时间同时发生这么多事,中共不可能同时盖得住,那么中共事实上的维稳到处漏风已经可能很快就会成为事实 我不知道大家有没有发现最近,中国墙内冲塔力度空前,证明大家已经很多人已经实在过不下了,很多帖子直接指习近平,甚至有讨论六四的留言。还有很多直接都不阴阳怪气了,就直接说了。 我觉得我以前说的中共可能在两年三年失去政权真有可能实现。 大家别忘了2020年武汉封城到现在,也就5年多一点 2020全面封城到全面放开2022年底,不到三年。 而2022年全面暴雷开始,到现在也才2年多 所以我的预测现在正逐步变成现实。所以基于此很可能引发连锁反应,引发新一轮的抗议。因为我发现现在中国人有很多也忍到极限了。和2022年年底真的非常像

ziyousuiwo(随时更新中国新闻评论)

38,156 просмотров • 1 год назад