某家银行下辖的期货公司发来公文,说我们的软件存在着「DLL劫持」漏洞,限期修正,催得很急。
说起来跟《鬼子来了》一样,翻译官最该枪毙。DLL是什么东西,老爷可能不懂,但是一听到「劫持」二字就坐不住了。劫持?打劫?谁打劫?匪徒?要劫谁?黄四郎的觉都要睡不着了。
是不是漏洞,技术上说,当然可以算是。该不该改?可以改,可以不改。对方拿了个自己生成的TextShaping.dll往我们软件的安装目录下一放,Calc.exe被调起来了,就说有问题。然后我拿去往Steam的安装目录下一放,也有问题。人家9700万月活,四千多万的并发在线人数,似乎并不担心。
Foxmail也一样有问题。而且Foxmail比Steam还大条,它默认推荐的安装目录可不是什么%ProgramFiles%之类,说起来问题更严重。但是它们都没改,或者说,没被要求改。为什么?因为没有「主」。都是用户自己下载,自己安装,自我的决定。出了问题,没有人寻死觅活找别人担责。
其实通达信也一样,别看它貌似防了一手,但它仍然可以被DLL劫持。关系到同行,我就不展开细讲了。Resource DLL各位自行了解一下。
最鸡贼的是招行的网银。以前我就吐槽过它,貌似为了「安全」而无所不用其极。这次我又发现它的一个做法:为了防止DLL劫持,它索性把自己放到Windows的系统目录里面去了。
|
| 可以可以,相当可以 |
这样当然可以防止DLL「劫持」,因为它直接把自己和操作系统的安全性绑一块儿了。相当于搬到元首家里去住下了,要死一起死。
解决方案不是完全没有,但本文本质上是一篇吐槽文,不是技术类文章,因此也不展开细讲。
说到底,这些所有的事情,都是为了推卸责任。期货公司真的是为了客户的「安全」着想吗?让这种软件能在客户那已经千疮百孔的机器上「带毒运行」,真的好吗?还真以为自己是常山赵子龙啊?能在恶意环境中杀个七进七出,片叶不沾身?
它们其实只是为了在客户真出事找它们寻死觅活威胁要跳楼的时候,可以拿出一些文件来,对着来「监察」的「钦差」们说上一句「你看我该想的办法都想了,剩下的就不是我的问题了。」
然而问题解决了吗?解决个锤子!
今天又收到一篇公文,是要向我们「确认」软件是否有采集客户的MAC地址并上报。
听上去是个人信息收集的问题,不过在这个行业中,有强制要求必须要这样做的,所以这个行为是合法合规的。要确认的,是我们不能「漏报」。
然而,这个「确认」其实是在耍滑头。自己不想去通过测试来确认,恐怕也无力去确认,于是发文件让供应商签字画押。本质仍然是找人担责。
我本来写了一大段,后来又默默地删掉了。对老爷能说些什么呢?
我觉得「MAC地址能自己动手改」这应该是一个老爷可能不知道的常识。老爷本就应该是不具备什么常识的,所以我就不去败兴了。我能告诉他什么是拨号上网吗?他去一搜,到处都是PPPoE,回过头来跟你说Modem也有连接的网卡。他晓得个锤子,他连Modem为什么叫「猫」都不晓得。
他要押,你就画给他,画个小乌龟,带尾巴。
太太这些天,在办交强险退保的事情,办得劳神劳力,最后我让她算了,就当给保险公司的老爷老娘们拿去买伟哥了。
说起来是很有理有据的事情。没起保的交强险可以退,相关的说法网上一搜一大把,都是支持的。AI分析也没有任何问题,我甚至让Google Gemini和ChatGPT都分别做了Deep Research,法律证据也都很充分。甚至太平洋保险自己都有案例解读,监管层2023年也有相关的Q&A。然而就是办不下来,四处碰壁。
投诉到太平洋客服没什么用,开口就是公司规定。去银监会投诉,只是把事情给你转回去。其实又是踢皮球到太平洋保险,说法还是同一套,总之就是不给退。
在网上刷到一位有相同经历的程序员。看来保险行业内部,特别是客服岗位,恐怕应该是学习过这种案例了。如果松了口承认了相关法规,就得受罚,而且公司层面说是「补偿」而不是正常的办理流程,也就是「口子不能开」,开了就是客服个人的责任。
监管层说是可以退,然后又让个人去跟保险公司「协商」。这情景活脱脱就像我当年去电脑城找12315投诉商家欺骗消费者,然后老爷过来指导销售「你快点跟消费者解释你们都有些什么额外的成本」。我在猜,大概体系内部其实是不允许退的,对外说可以退,对内严惩相关人员。医保不也一样?
其实吧,我就把话说重一点,也说得大一点。从三年疫情就可以看出来,共产党和中国政府其实根本不是在管理,他们也没那个能力。他们就是「责任驱动」,你也可以说他们是被「压力驱动」的。他们所做的一切,都是为了「卸责」,逃避危险。所有事情的动机,都可以用「给自己少些麻烦」来理解。
尽管有的时候,他们貌似反而制造了更多的麻烦,但你如果试图站在他们的立场去想想,就会发现,那是因为他们觉得如果不这样做,就会有「存亡危机」。「人无远虑,必有近忧」,话是没错,然而鼠目毕竟只有寸光,一切终归是偷来的。
看穿了这一层,很多事情,你就可以理解了。虽然逃避责任最好的办法是不担责,不在其位,自然就没责任了。但是有一个词叫做「秋后算账」,他们是最怕的。当年他们这样干过,所以自己最清楚。后面上台的人也不想为现在的烂摊子买单,那么必然有人要担责。猜猜会是谁呢?因此,为了不被秋后算账,现在必须抓牢权力,而且永远也不能松手。非不愿也,实不能也。
上行,所以下效。何况人性本来就是趋利避害的。现在没有利可以趋了,那害总是要避一避的。故而,造就了这么一个所有人都在推卸责任的时代。
即使在公司里,也能嗅到这种氛围。上了点年纪的同事,「混」得最好的,就是那种浑身是刺,搞得别人不想理他的人。其他人也在眼馋他的「清闲无事」,纷纷向他学习。做事情都是趋于保守,少做少错,不做不错。长此以往,一个民营企业,会有什么下场?我不知道,但连老板想的都是「先把这几年熬过去」,以及「找死不如等死」。
如果参透了这些,或许能在眼下处世更加自如一些。我虽然已经看破,但无意为伍。且也先「保守」一下,把自己的心田防守扎实一些吧。
洋洋洒洒写了这么多,其实一句话「社会逐渐趋于保守」就可以概括。这应该也是大家都基本能认同的事情。只不过,最近遇到的想吐槽的事情,一下来了好几件,还是想拿出来说一说,所以絮絮叨叨写了这么多。
以及,有些话,如鲠在喉,不吐不快。真的说出来了,心里竟然舒服了一些,可见还是有毒。