leechael.orgHome

原文：http://www.microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx

• Law #1: If a bad guy can persuade you to run his program on your computer, it's not your computer anymore.
• 如果一个携有恶意的人能够让你在电脑上打开他的程序，那就不再是你的电脑了。
• Law #2: If a bad guy can alter the operating system on your computer, it's not your computer anymore.
• 如果一个携有恶意的人可以修改你操作系统的设置，那就不再是你的电脑了。
• Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore
• 如果一个携有恶意的人可以无限制地使用你的电脑，那就不再是你的电脑了。
• Law #4: If you allow a bad guy to upload programs to your website, it's not your website any more.
• 如果你允许一个携有恶意的人上传程序至你的网站，那就不再是你的网站了。
• Law #5: Weak passwords trump strong security.
• 再强大的安全措施也会败在过于简单的密码之下。
• Law #6: A computer is only as secure as the administrator is trustworthy.
• 一部电脑的安全程度取决于管理员的信赖可靠程度。
• Law #7: Encrypted data is only as secure as the decryption key.
• 加密数据的安全程度取决于密匙的安全程度。
• Law #8: An out of date virus scanner is only marginally better than no virus scanner at all.
• 久未更新的杀毒软件略胜于不安装杀毒软件。
• Law #9: Absolute anonymity isn't practical, in real life or on the Web.
• 完全匿名干任何事情是不实际的，无论在现实生活中还是在网路上。
• Law #10: Technology is not a panacea
• 技术不是万能药。

更详细的解释见原文，这里就不作翻译。

上一个周末和家人说话的时候，提及我老爸曾经以我的名字作为关键字在百度上搜索，居然发现在某个站点上找到近五年前在那站点购买东西时留下的个人地址。接下来，我使用 百度 以我的名字进行搜索，居然能在百度快照里面，找到学校站点上的一个文件、包括我在内的数百人的个人资料。当然，这个文件现在已经不存在了，可快照中的数据还存在。再针对我所在的学校进行搜索，好些包含学生个人信息的文件被百度所索引。

这般的文件肯定是学校站点的低劣而造成的。即使是校内(教师之间、学生之间)用于交换的文件，不经验证以及登录，就可以随意下载；更不说禁止外网 IP 的访问了。且外，使用 Robots.txt —— 或许对于某些流氓爬虫无效——禁止对那些存放敏感文件的目录的索引，这是 SEO 以外的使用，亦算是一种安全策略吧。

学校站点程序和网络管理的低劣不说，现在说一说百度。我尝试使用 Google 来进行搜索，是的，神奇的百度能够搜索到比 Google 更多的东西，Google 的索引中并没有发现这些涉及个人信息的文件。不过我很希望百度可以提供一个类似 Google Webmaster Center 的服务，让各位站长有机会申请删除索引。或许这般做还是存在着弊端，不过至少可以:

• 提高索引质量。单凭在 404 页面的应答，怕是百度爬虫本身——也忘记这些页面的存在，不会验证这些页面是否继续存在。
• 屏蔽敏感文件的索引。如我在上面所说的，包含大量个人信息的文件被索引了，得给我们一个亡羊补牢的机会。

到目前为止，我仅有两次使用 Google 找人的经历，第一次的关键字是昵称；而这一次的线索不多，更多是需要去推断，最后还是将目标锁定下来了。

接下来以我的名字作为关键字，Google 返回的搜索结果中，第一页就能找到我在 Wealink 上的个人信息。例如使用"Leechael"作为关键字作为搜索，甚至一些我在 早期的行为 也能找到。当然，以我作为例子是极其的不妥，仅是在 V2EX 上的言论，已经足以确定我的所在。

对于个人来说，最简捷的方法是避免将真实的信息存放在网络上。当然这还是不足够的，如果需要完整地在网络上隐身，需要做的工作还有很多很多。这里不作解说。我的观点是：网络上的行为也是你个人的行为，并不希望因为可以匿名而放纵自己的言行；作为一个个体，首先得要为自己的行为负责。

对于国内众多的代码工人，我并没有什么好说的。威客上面有很多需要钱的人，他们会为你们服务。至于质量——robots.txt 有多少个站点上放置了呢？你的页面在各个浏览器下的一致性？程序的安全性？

再说到社区化网络的安全性。Wealink 上找不到删除我个人页面的功能。不同于Facebook 或者其模仿者 校内，Wealink 上的信息是可以被搜索引擎索引的。Facebook 和校内的个人资料页面不能被索引仅是相对的安全。你还需要设置哪些资料面对哪些好友开放，决定那些信息是可以公开（电邮地址？手机号码？IM 帐号？个人站点地址？）。而那些索取用户资料的站点们，请你们歇一歇，我们的隐私不大想对你们说。