@FrankFang128 因为权力是人类最大的欲望

我的理解是：

1 ， Chainfire 的 SuperSU 一直以来有良好的信誉。以前 ChainsDD 的 superuser 也有良好的信誉。
2 ，虽然 Chainfire 把 SuperSU 移交给了另一家公司，但是目前还是由他在维护(2.56)
3 ， SuperSU 移交给 CCMT 后的信誉确实无法保证
4 ，但是，我们有 CyanogenMod 所使用的 Superuser 和 koushik Dutta 开发的 clockworkMod superuser
这两个都是开源的
5 ，相比于这样的 SuperSU 而言，国产的 superuser 们更不可信
6 ，目前有证据显示国产的 superuser 们有不好的动作，如难以卸载，如没有像 SuperSU 那样给用户很多的选择权(SuperSU 允许用户直接在 SuperSU 中完全卸载 SuperSU ； SuperSU 的 pro 包允许用户为 SuperSU 加一个至少是防君子的密码，允许用户选择记录调用 SuperSU 的应用执行的命令的 stdout ，这些功能都在加强 SuperSU 的信誉)
7 ，对于 Android 棉花糖+， SuperSU 是目前唯一的选择

"比如说之前去香港,淘宝上要跟旅行社买通关资料,都要附上自己的身份证号"
----亲自前往提交信息，或使用线下的旅行社

"很多网站认证的时候都要输入自己的身份证号.我好像记得网易云音乐买会员的时候好像也有身份证号"
----不使用实名账户，越强的实名越不使用

原理：就提交出去的信息而言，你完全丧失了控制

如果认为这种做法因噎废食
我是觉得在某些情况下，为了避免“喝水也会塞牙”，是可以用“不喝水”的方式应对的，特别是当可以用喝汤来替代喝水的时候

这个事情境界比较高的是理查德斯托曼，这个人不使用手机，只在买机票的时候使用信用卡(无论如何买机票需要实名)，上网是通过让别人把网页的内容复制下来，拷贝到自己的龙芯电脑(因为从硬件到软件全是 copyleft 级别的开源)里离线观看

@z273703837 虽然说别闹的最佳办法是更新 chrome 。
但是可以尝试禁用计划任务的相应项目，以及参考 google 提供的 chrome 组策略模板

仅仅是这个描述“谷歌官方禁止小米官方在中国大陆地区提供谷歌框架和谷歌应用”的话，是没问题的

@kyze8439690

我在努力做到这一点

@kava

手机用起来比较欢乐，是件重要的事情
要不然为啥只买 Nexus 呢

@kyze8439690

1 ， Android 6 在正式发布前已经公测了一整个夏天
2 ，别人都能适配，别人都能遵守只使用 AdId

所以这就是为啥可以对国产 app 说
“针对的不是某一个，在座的都是垃圾”
的原因

而且 Android N 只会有更多的用于保护用户设备信息的限制

“几乎所有的 library 都获取了 deviceId ”
这是在说把它们一竿子全部打死没什么问题


棉花糖虽然还没有解决所有问题，但总的来说 good job

@kyze8439690

我觉得它们会主动不适配 Android API 23
但是不适配 API23 ，就不能阻止自己被 Doze
但是适配了 API23 ，就必须接受比较现代一点的权限机制

真是的，苹果在 iOS6 就搞了这种权限机制，应用开发商今天还想叽歪啥呢

原来是阿里系的，怪不得有 spm 代码

@neutrino 做错了它要付出代价

@udumbara 所以要积极地阻止他们收集信息，这件事情的第一步是 adblock plus 。银联的问题，可以通过尽量使用现金来缓解。
原则上减少暴露可用于侧写的信息

@codecrash 觉得和已经确定的或潜在的后门，广告推送，用户信息上传相比，词频的缺点可以容忍。

连设备安全都没有了实在没意思讲性能。

百度显然不会关 moplus sdk 的后门，它要的就是这个

@abelyao

“你希望能以最小权限执行一些 APP 自己的业务”
是的，只要一件事情能不用 app 自己做，就应该不让 app 自己做，特别是那些超级 app


“而不会去打开相机啊，我要付钱跟拍照有什么关系呢？—— 这是我在 #5 想表达的意思。 ”
对于这件事情的，我的理解是：
1 ，因为要付钱，
2 ，付钱依赖于解析出二维码，
3 ，解析出二维码依赖于对二维码拍照

所以我要付钱，和微信去扫二维码有什么关系

而通用的 3 的做法是使用第三方软件，如 barcodescanner 之类的 app


至于
“你完全可以单独复制一条消息（如果消息内只有一个 URL ）然后打开 Safari 进行访问”
这是做不到的，因为微信内大多数的分享并不能复制出 URL

@abelyao

逻辑是这样的：

在 Android 里，如果一个应用自身没有权力调用摄像头，但还是想拍照的话，它可以：
发起一个 Intent 到系统的拍照应用，然后用户在系统拍照应用里拍照，系统拍照应用会把拍好的照片返回给那个应用，这种情况也适用于二维码，只是负责获取二维码的应用是另一个第三方应用。

如此对最小权限原则更友好。

现在的软件都喜欢搞闭环，动不动来一个二维码，要求用 XX 扫一扫

这样不太好：
如果我的手机上有这样的软件
1 ，我会想办法把它变成开环的
2 ，如果做不到 1 ，那就不使用 1 涉及的功能
3 ，如果 1 涉及的功能是这个应用的不可缺少的核心特性，大概会卸载吧

具体的例子像微信的公众号，内部的分享
如果要打开它们，必须先把这件事告诉腾讯(用户点击了它)，并用微信内置的浏览器打开后，才可用外部浏览器访问。
所以我不接受通过微信分享的网页，这么做不合适。

@abelyao
但是总的来说
我并不允许 App 使用非原生的分享机制
因此让 app 自身调用二维码，只会出现在登陆的场景

http://www.cnbeta.com/articles/444769.htm

按照其中的截图

如果支付宝打算再在 Google Play 上架
它就得使用一个全新的包名
而不是原先的
"com.eg.android.AlipayGphone"

大快人心的大好事

@Cu635
是的，要检查数字签名，是不是 Oracle 的

就是放弃
@tracyone
说的
“层主我现在基本把手机当成钱包了，因为这里处处可以用支付宝付款，非常方便。”

@revlis7
确实阿里没法在不实名账户挖坑

@zander
如果用了，总有用的一刻
毕竟支付宝 app 的一些坏习惯不太好纠正，仅是凭借绿色守护和黑白门

@dong3580
如果是棉花糖，可以尝试强力 doze ，效果可能不错

@tracyone
微信不能动钱
支付宝不能动人

@alect
别人发微信红包，我不收的

@zonghua
不能烧
可以远离

@kyze8439690
我把朋友圈关了
为了不让“购物”出现，把系统语言调成了英文

@killpigman
@lanlanlan
支付宝应该迁就我们，而不是我们迁就支付宝
如果只有退网一个选项，应该退网的是它

@HXM 那人真棒！