Trust

tags: Trust Anti-Censorship Game Theory

“Reflections on Trusting Trust”

2022-03-30 and before, re-organized

\@\farmostwood 木遥 2022-03-27 来自 weibo.com 已编辑 > 请立刻更新你的 Chrome Chrome 发布了一个新版本 99.0.4844.84,这个新版本唯一的目的就是紧急修复了一个 (没有公开说明的但有迹象表明有明确安全危险的) 0-day 级别安全漏洞。这是比较罕见的情况,建议所有 Chrome 用户都立刻更新,特别是如果你用插件 (比如小狐狸) 管理你的资产的话。 顺便就浏览器安全问题说一句,这是我从霍炬那里学到的一个知识: 现代浏览器事实上是一个比操作系统还复杂的超级巨型软件系统 (例如 chrome有超过两千万行代码),从软件工程的角度来说基本超出任何公司人力所能完全管理的范围。这就是为什么几乎所有成功的浏览器都是开源的。强大如微软也不得不放弃「自主可控」而是选择跟 Google 合作。另一家的 Safari 还在苦苦支撑,但危如累卵。任何一个具体的漏洞都是小概率事件,但有漏洞永远是大概率事件。 转发 161 评论 34 赞 433

\@\virushuo 2021-11-12 > 说到这里我问家属: 你猜主流浏览器多少行代码? 家属说5万行? 我说差远了 家属想了想,狠狠的猜了50万 ... chrome/firefox 都在2000万行以上 早年对合格程序员的要求是每天写300行经过单元测试的代码,如今随着行业扩大和机构臃肿这个标准已经达不到了... > devault 这个统计的思路挺有意思,比我估测代码行数应该更直观,在他统计的时候,2020年3月,w3c 标准已经有 114 million words个词了(1亿词),即使不考虑细节只是读完 w3c 标准,也已经是不可完成的任务了。更别说分析和实现它,更别说 w3c 之外还有无数标准 ... drewdevault.com/2020/03/18/R ... > 至于全用app没有浏览器能不能改善? 当然不能,浏览器不是那个app,是个内核。多少 app都调用了它(包括微信/Facebook)谁也离不开它。要么所有公司/国家共同维护一个开源内核,要么直接url白名单,反正我想不出别的解决方案。

https://portal.mozz.us/gemini/gemini.circumlunar.space/software/ 100 行 python 的浏览器客户端对支¥国普通 X 民不可想象吧

https://archive.ph/Cfwm5 > 降低攻击面的【大小】 Linux 相比 Windows 和 macOS 的最显著特点,是其高度的可定制性。 找几个栗子来 show 一下: 第1个栗子: Linux 的某些发行版可以比较方便地重编译内核。通过编译内核,可以把很多不需要的内核模块去掉(禁掉)。这当然有助于降低攻击面。 对于这点,Windows 是完全做不到滴(因为微软没有把 Windows 的内核开源出来); 苹果的 macOS,虽然其内核(darwin)是开源的,也可以重编译,但是比 Linux 要麻烦。 第2个栗子: Linux 可以裁剪到【极致】。比如说:某个名叫 BasicLinux 的发行版可以把整个系统裁剪到只有 2.8MB,然后运行在只有 3MB 内存的 386 机器上。 而近期的几个 Windows 版本(Win7、Win8、Win10)再怎么裁剪也还是有几百兆。 至于苹果系统,貌似也无法像 Linux 这样裁剪(精简到只有几兆) 把系统大幅裁剪,对关注安全的人而言并【不是】为了省硬盘(现在硬盘已经很便宜),而是为了【降低攻击面】。

List of Services Blocking Tor
https://stopforumspam.com/
IP-based blocking service based on forum and blog
https://trac.torproject.org/projects
/wiki/org/doc/ListOfServicesBlockingTor

Google's reCAPTCHA fails 100%
https://gitlab.torproject.org
/community/support/-/issues/23840

It seems tnat few people use openstreetmap (esp. in Zhi$ness) to mark COVID medical facilities https://wiki.openstreetmap.org wiki/COVID-19 HowtoMap

要么所有国家共同维护一个 COVID 开源数据集 现实是不可能,现实就是利用信息不对称博弈 (econ, poli, etc.)

如果不信任用 crypto 也逃不掉被出卖,如果信任不需要 crypto 也能记账。

====== 2022-03-14 ======

Globalization Trilemma

觀察1: 理論上,經濟全球化將減輕全局的 (或者說國與國之間的) 經濟不平等,部分實證研究也證實了這一點。 觀察2: 即使在理論上,經濟全球化也不能保證必然減輕某個局部的 (或者說某個特定社會內部的) 經濟不平等 (e.g. consider the Stolper-Samuelson theorem)。 觀察3: 根據觀察1,經濟全球化、democracy 和政治全球化三者能達成某種程度的一致。根據觀察2,經濟全球化、democracy 和某個特定社會的内部政治運作并不總能達成一致。 觀察4: 當上述不一致出現时,既得利益者的出路有四: (1) 尋求在 democracy 的基礎上建立 global governance 以支持全球化 — 一個即使對於激進左翼來說也太過渺遠的目標; (2) 形成政治寡頭,以 oligarchy 壓制 democracy 以维持inequality; (3) 犧牲經濟全球化進程; (4) 引入新的要素來平衡三者的失衡,也即是說,將問題押後; 類似分析可以應用到更小的尺度:比如陸港的經濟融合。選擇 (3) 是不可能的。即便退一萬步 — 在實現了politicalindependence的基礎上 — 也是不可能的。 (1) 是因「不現實」而被泛民放棄的夢想。而 (2) 是當下的現實。

... 再分配程度有限。70年代以来,在经济自由化的大背景下,左右两翼的经济纲领向中央趋同。左翼吸引了布尔乔亚们,而右翼则在底层建立了票仓。连收入再分配都难以推行。如果政府真的对财富开刀,一个可能的后果是生产力的急速下降。比如将私企国有化,再均分给民众,那如何管理就成了大问题。怎么确保股份不被资本家回购?小股东群体怎么对经理人实行有效监督?怎么避免企业受困于预算软约束,最终把全社会拖入短缺经济的泥潭?此类政策,哪怕只给经济增长带来些许负面影响,政府赢得下一次选举的前景便岌岌可危。更何况, 在全球化时代,资本可以轻易离境以规避税收。 Rodrik讨论过在不可能三角中,放弃主权国家,走向全球监管的可能性。但看看欧盟所面临的困境就知道,我们要走的路还有很长。

现实是 (2) 形成政$治寡头 & (3) de-globalization 2020-07-09 民主全球滑坡:危机从何而来,将向何去 https://archive.ph/wLyA9 2020-04-30 中国将会面对围困?疫情后全球地缘政治的可能格局 https://archive.ph/I98vF