@BXIA
以前有过这种事情
有犯罪者开发了一个木马，装上以后

受害者以为自己在 X 宝买东西，订单号是 A ，到网银 B 付款
显示的是在网银 B 向 X 宝付款，订单号是 A

但实际上是在网银 B 向 X 宝付款，但订单号是 C
网页显示的订单 A 是木马伪造出来的(因为木马有驱动， IE 显示的啥都能改)

所以后来的 U 盾都加上了显示屏，确保这种攻击无效

然后所谓的网银控件主要在于那个原理类似于木马的劫持驱动，它能把电脑端上，键盘输入的内容劫持掉(按照设计，木马就劫持不了密码，但实际上不完全是)，类似的可以劫持电脑和 U 盾的通信

@alexyangjie

理解归理解
卸载归卸载

@learnshare
@xtynk
我们不能有效地捐助这些优秀的免费项目

@cheny95
尝试查看一下 chromereleaseblog 提供的 commit 说明
看上去比较像是刻意的改动

@chenshaoju
可惜现在没有人做一个 Windows 版本的 Chromium stable channel (紧跟 Chrome stable channel 的版本)的编译

@qian19876025
无限制的 PPAPI 似乎只提供给有限的插件，比如 NaCl 自身， FlashPlayer (我不知道这么说对不对)
而第三方开发者使用 PPAPI 的话只能是开发 NaCl 应用，而 NaCl 应用是沙盘的，权限很少，可能难以用于开发网银插件

@bin456789

看上去是了(是金山的用户追踪代码)

我的观点是这类代码也是侵犯隐私的行动
因为它获得的设备信息并不是匿名的，而是持久性的设备唯一 ID

@chenshaoju
AP 的报道里也有类似的说明，猎豹的人说不打算加入"intensive ad"

@learnshare
见声明原文，似乎是说开发团队没有动


@chengzhoukun
确实，(我)不信任猎豹，也不信任多数国内开发商(BAT 这种就不用说了)

可以参考下 Android Police 对猎豹的吐槽:

http://www.androidpolice.com/2015/08/29/popular-photo-gallery-app-quickpic-has-been-bought-by-cheetah-mobile-and-users-are-pissed/

"they're one of those developers that create the apps that you end up having to remove from your family members' phones at Thanksgiving when they ask why it sucks so much now. "

"they're basically making unnecessary versions of standard apps that inject advertising into your life at every opportunity"

@beimenjun

现在的 LPDDR3+Core M Y 其实已经很棒了(能上 LPDDR4 当然会更好)

因为和 DDR/DDRL 相比 LPDDR 有一个非常低的自刷新功耗，对休眠状态的功耗非常有利

@zi
但是为了看片某种意义上不需要"全"记住五十音

比方说我现在写不全平假名(更别提片假名)，但是不影响看片

@ljbha007

"语义翻译成中文再理解中文意思"

有一次看视频的时候故意把听到的词(大致)翻译成中文再理解，发现跟不上了....跟不上了

@andyhunter
我看日语文档大致是 LZ 的状态，而且还要再慢不少
看视频(因为用语简单)倒是可以不需要先翻译成中文词再理解

@xlqstar
或者是
@Cavolo 与 @shippo7 的说法比较妥当？

@zlatte
我们继续睁眼说瞎话：

考虑到 Google 是全程 HTTPS
能收到 404 说明 HTTPS 已经建立
而非 Google 无法伪造 HTTPS

所以有 404 说明 Google 已经访问到了

@zlatte
你看，都能收到 HTTP 404 CODE 了
当然是通了，又不是 ECONNRESET/ERR_CONNECTION_TIMED_OUT

@bandaonanhai

从架构来说 IE 和 Chrome 的安全程度相当(甚至更好)
都是多进程架构，一个中等完整性的 broker 进程+数个低完整性的页面 /渲染进程
主要是这货的更新依赖于 Windows Update ，但很多场合不能像 Chrome 不可取消更新一样总是开启 Windows Update


如果在 win8+，且选择使用"增强安全"模式，那么 IE 会直接运行在 AppContainer 里(不过这个模式下，现有的 NPAPI 基板上就废掉了)

@akring
可能不行

公司提供的 HTTP/HTTPS proxy 无法承载 ss 协议的数据
而 ss 在里，公司 proxy 在外，所以更不能用 ss 承载公司 proxy 包装过的数据

还有一种可能性，公司的防火墙没有关掉 ss 协议(无论是端口，还是深度包检测)
这种情况相当于绕过了"想访问外网就必须设置 http 和 https 代理"的策略

@xlqstar
它指的是今天更新的 45.0.2454.85

@shakoon
这个版本应该已经无法运行 NPAPI 插件了

@bandaonanhai
因工作需要使用 NPAPI 插件的，换 IE10 吧
Chrome Stable 在今天更新到了 45 ，据说在源代码级别上去掉了支持 NPAPI 的能力

@zlatte 当然打得开

@Daddy
芯片银行卡的外面的封装尺寸，触点大概是和 IC 卡一致的(背后应是有一种国际标准)

至于银联做判断，可以这么想：

如果要成功完成交易
肯定需要把卡上的 secret 发到银联
银联再做判断，返回结果

那么即便是明文的磁条信息，也是可以做到在不额外增加耗时的前提下，让银联发现这个卡号是用于带芯片的卡的，然后银联便拒绝本次交易(拒绝降级交易)

芯片卡保护秘密的大致意思可能是这样的：

首先有一种加密算法(非对称加密)，它的密钥分成两份，一份公钥，一份私钥
公钥加密的内容只能由私钥解密，反过来也是

它内部在生产的时候写入了 secret 和一个数字证书的公钥部分，但是这个 secret 不能读出来
银联发一个用那份数字证书私钥加密的冲激，送到卡的芯片里便能用那个公钥解密，卡发现这个冲激是合法的，便用这个公钥加密 secret (再加上一些其它信息)，送回银联，在这个过程中 secret 没有离开过卡

@shippo7

"QQ 安全组件弹出 UAC 申请权限"
这个东西会自动更新

@bilok
明确的

一个是 @est 所说加载一个劫持(过滤)驱动，保护输入的密码(输入密码的时候直接把键盘的输入劫持掉，木马便拿不到)以及其它和 QQ 有关的操作
另一个是保护 QQ 的完整性，让它不容易破解

不明确的

因为这个过滤驱动还可以用来做别的事情(菜刀除了切菜，也可以用来砍人一个道理)，以 V2EX 用户的尿性，会有不小比例的人是不信任它的

怎么办：

UWP QQ
webQQ

@Daddy
"但小城市小地方，甚至大城市的偏远郊区，你能保证这里的机器通通支持芯片？ 比如你就是去到这样的地方急用钱，你敢保证这里芯片能用？"

那就没钱用吧
说这句话的意思是，会考虑宁可再办一张有磁条的卡，用完注销