@twl007
这些“简直没得吐槽了”改进都是好事情呀，或许你的习惯比较喜旧厌新？

我一直以来都是第一时间更新到RTM，win10也不会例外
各种preview倒是只会在虚拟机里跑

但是支持@lingo的看法，搞开发的电脑留在Win7/8.1比较好(它们都经历了sp1那样的大型维护更新，8.1的则是update1)，因为工具链，自己的代码很可能跟不上

@Rorysky
Windows 8系列有两个角色类似sp的更新
第一个是windows 8.1
第二个是windows 8.1 with update

@cchange
windows一直可以离线使用的，windows 10也不例外

win7就是windows NT 6.1
win8就是windows NT 6.2
win8.1就是windows NT 6.3
win10早期版本是标注为windows NT 6.4，当然现在标注成10.0了

@wy315700


无论钱多不多，都要遵守红线
如果不遵守，就迫使其遵守
如果无法迫使其遵守，就离开这个工具
如果做不到离开这个工具，那就减小依赖/将其退化(平台-->工具)

自从关掉余额支付以后，确实变得很麻烦，手机没钱要充值都做不到
而且每次付款都要进行一遍
开虚拟机-->在虚拟机登陆支付宝-->转接到网银/插u盾付款-->转回支付宝页面确认成功-->关虚拟机
的流程

我觉得还是可以接受

@wy315700

照你的说法是这样的：

一个人在洗澡的时候自然是不同意被偷看的
但是穿上衣服就没关系

我的看法是

穿上衣服了，如果是在家里，也不可以看；就算是在公共场所，也不可以偷看绝对不可以看的地方
这就是你所谓的“夸大威胁造成的后果”

不能偷看不是因为有秘密，而是因为不能偷看本身


所以

你提供的例子：
一个人死于车祸的概率是千分之五点七，那我是不是不要出门了。

在这个语境里
一个人死于车祸的概率是百分之五七，当然不应该出门

你以为是千分之五点七，我以为是百分之五十七，这是看法不同的来源。
因为你只算盗取账户这一部分情况


至于安全和便利本来就是杠杆的两头：
这个大原则确实如此

快捷支付和只经过网银渠道支付的冲突可以代表它

但是支付宝有蓄意加入了不少非便利因素
1，强制只能使用简单数字的支付密码
2，阿里钱盾和这些优秀的两步验证应用相比，就是bullshit。和旧版的淘宝安全中心相比也是差了很多。
https://play.google.com/store/apps/details?id=com.microsoft.msa.authenticator
https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2
https://play.google.com/store/apps/details?id=com.mufri.authenticatorplus


如果是U盾，我们有非常友好的FIDO版本的U2F key（这部分主要是吐槽网银的），当然网银装这么多消耗资源且有隐私风险的驱动，以及复杂的有屏幕的U盾保护作用更强
http://www.amazon.com/Yubico-Y-123-FIDO-U2F-Security/dp/B00NLKA0D8



@paradoxs
支付宝的账户损失保障
方便的余额宝

都是很好的特点

相比于这些控制力或许会更重要，因为让支付宝过于了解你/对支付宝的强依赖通常不是好事

有些类似于为了开AppOps，装Xprivacy而去root手机的情况
root一定会让手机更不安全，但在这个语境里，通过AppOps/Xprivacy阻止国产应用程序获取不该获取的权限，更为重要。拥有这样的能力，是我可以容忍安装这些软件的条件。

支付宝的问题在于：
@paradoxs
@wavingclear

你缺乏控制力，这是它的安全问题所在

原本需要网银盾才能授权的资金流动，在支付宝的平台上，直接被一个手机短信给K.O了，而且在银行端，居。然。不。能。禁。用。快。捷。支。付

这一直是一个非常奇葩的做法

@wy315700
月光提到的内容都是非常现实的威胁

@ilili
问题是宝令(支付盾)的兼容性非常差
实体的随机密码生成器宝令早停产了
阿里钱盾就是个十全大补的垃圾软件(bloatware)

Microsoft Account的榜样摆在那边它不肯学，能怎么办呢

@paradoxs
显然“找个长的和你很像”和支付宝没有面签的安全措施，不是一个量级的问题



至于支付宝防止诈骗，资金盗用补偿则是值得信任的

---------------------

我是建议关掉支付宝的余额支付功能，里面不放钱，把它作为一个纯粹的支付管道，钱只从网银授权里出来

@sean419 对，没安全感很重要

@gissimo

闪存写入只能由1-->0，或者维持1不便，要恢复成0只能按整个区块删除
所以闪存的分区要留出足够的空间，让SSD的固件自动整合零散的区域

这个动作叫垃圾回收，和JAVA/.Net程序运行时候的垃圾回收类似

苹果机最合适的习惯是不显式分区的
Windows倒是有根据一般数据的不同种类区别分区储存的习惯

特别的，你用的又是SSD，使用所有空间作一个分区对闪存的垃圾回收有好处


在OSX如果有分区，那么这些分区一定是有专门用途，以至于不分区便难以做到：

比如bootcamp，recovery
实际上，EFI，recovery分区在Windows vista开始也有了


@fajaven

如果擅长蹂躏那些(或者说几乎所有吧)三观不正的国产软件，Windows的可靠性是非常好的，只是难以做到：


我的电脑上除了一个硕鼠以外，没有安装国产的“传统windows软件”，迅雷/百度网盘是丢在Sandboxie里的
Windows Store的受到AppContainer沙盘限制的Universal App倒是有一些，QQ，阿里旺旺都用这里没什么权限的版本
不装额外的浏览器插件（什么支付宝银联网银统统不装的，丢虚拟机是个好办法）
SmartScreen(云安全，云端不认识的软件它会警告)和Windows Defender(没有杀毒以外功能的杀毒软件)，UAC都保持原样
输入法系统自带的

所以只会在换硬盘的时候重装系统，病毒什么的就更不用说了
实际上那些用的很烂的苹果机(指使用习惯不好)也很讨厌的

至于硬盘的不靠谱性，我会每一段时间买一块硬盘(比如一年半)，重要的数据多硬盘备份，其中最关键的网盘再存一份，但是两者里面最不信任网盘

@squid157

是的深有体会
HFS+出故障的概率比NTFS高多了

@pseudo

仅供参考：

我给Windows系统盘一般分500G，一般的杂碎数据，软件都会丢C盘。那些可以称作blobs的大尺寸数据放别的盘。最近换了一块240G的SSD马上觉得系统盘紧张(把数据尽可能放别的盘，实际上只占用了70/232)，但是对于SSD来说，256G占到200G就差不多了，再占用空间会严重影响性能。


所以考虑到
“但学生党自力更生，硬盘的话能省则省”

会稍微麻烦一些，256G的SSD，另外你肯定需要一块移动硬盘来储存一些大尺寸数据

我是你的话，要在256G的硬盘，一半做UNIX开发(或者换个例子，跑Android Studio吧)，另一半给bootcamp，装VS，会焦虑。硬盘已经那么小了，再分一半，导致两个分区加起来要留出更多的空白空间。


关于10.10
主要是这一代(10.10)的OSX在历代苹果的OSX的质量算差的(产品线扩张，OSX组的劳动力都去做别的事情了，iOS8系列也是一样，直到现在的8.4beta都在修补)，但是10.10终究没有把OSX该有的好处丢下。

何况10.10没能解决的问题，10.11也会解决

再此外，skylake处理器的MBP估计不会很快发售，所以也没有必要去等

送GF显然挑iPad嘛

Android的平板得活在大局域网外才舒服，何况Android平板本身制造品质不如iPad

@lxrabbit

----应该没有指明有恶意行为吧（除非我知道的太少了）

多数国内应用，你知道的，索取的Android.Permissions里的权限大多是不必要的
实际上它们拿这些权限就是用来抓用户跟踪数据的
你可以想想看，Android手机里能用来做永久性、半永久性UUID的数据各有哪些?

微信公众号的Unique ID和Vendor ID是什么(苹果有类似的东西)
为什么苹果要阻止第三方应用获取UUID，MAC？为什么要让WLAN模块广播时使用随机的MAC(如果禁用定位)
你访问西贝的时候，为什么还会同时访问这些域名，这么做你的浏览器向它们传输了什么信息：
baifendian.com
cbjs.baidu.com
hm.baidu.com
cpro.baidustatics.com
tanx.com
googlesyndication.com
google-analytics.com

你一边访问cnbeta.com，一边告诉上述网站，你几点钟访问了西贝，几点钟点中了哪个链接，几点钟你离开西贝，你访问的下一个网站因为也有这些服务，所以它们比你自己还要知道你今年的上网记录，而且这么做居然还不是为了抄你的水表。

至于有没有其中哪些已经把你的浏览器和现实中的你关联起来，然后过几个小时打电话给你这样的无良做法，反正你控制不了？


----劝那些有机密的还是自己搞一台不联网的机器或者买个隔离卡

“有秘密”并非试图阻止跟踪的动机
这和你打电话的时候不希望有第三个人凑在你耳朵边上一样，你看，和你的电话是否机密无关，只是太近了，能这么近停你电话的肯定不会是支付宝。

----劝那些有机密的还是自己搞一台不联网的机器或者买个隔离卡，虚拟机到底是软件，总有漏洞的（前两天不是从爆出来一个么）。

就事论事的话，那个漏洞不涉及Virtualbox和Vmware。
同样的我们在Sandboxie乃至虚拟机里跑某些形式合规(法)的软件，不过是希望把它们的某些非必要能力限制起来，减小它的干涉能力，事后打扫起来也比较简单。

这招并非用来对付APT

@fyooo
这是个好办法

@lxrabbit
因为v2的程序员多，而程序员比较容易发觉支付宝这类的，会多么能收集信息。所谓环境不好，先把自己管得着的圈子控制好

@wclebb

——我们有手机验证，你手机不安全关我们什么事？谁叫你接受国产软件教育的？
正好我是个几乎不装国产软件的，特别是国产安全软件

——不是很明白你说的，如果新电脑或重装，第一次是需要短信验证的。再者，你不喜欢，可以用支付宝什么安全宝那个，支付宝比你懂，支付宝又不是傻子，拿安全砸自己的信誉。频繁两次验证不是所有人都像你一样喜欢的。
至于“可以用支付宝什么安全宝那个”，如果是指阿里钱盾的话，它想做手机上XX卫士，应用市场(！！)，不装这样的流氓软件怪我咯？它以前的两步验证应用都很久没更新了。

有一些对照：
Microsoft账户应用，Google Authenticator，Google Play上面大量的第三方两步验证工具，fido key，只显示数字的实体两步验证工具硬件(因此做到了平台不依赖)，或者是独立在硬件端再显示一遍的所谓二代三代网银盾等等才是友好的做法。

想法不同，强制的多因子验证让我感到信心。
我不希望支付宝改变我的习惯。次要的，他这样的做法确实不安全。

所谓：
腾讯知道了社交信息后，就不能动钱
阿里知道了消费信息后，就不能动社交
鸡蛋要放不同篮子里

——又不明白，你不喜欢可以用银行卡啊……支付宝从头到尾都没有像百度360一样跟你说「你不用你就被盗的风险就高了之类的」。

因为它会在它的平台推广别的业务呀，我不能选择不接受它的推广。
比如支付宝手机客户端的公众号推广，强制显示红包按钮等

——因为你不用支付宝，但银行卡也知道你刷卡的存在啊。
银行知道可以的，因为它不可能不知道，再者有的消费必须是实名的比如飞机票
而支付宝是可以实现不知道的

这里的做法的主要意义可以参考一些理查德斯托曼在其主页的自述
因为使用实名的(特别是银行卡，第三方支付账户)消费后，服务提供者就显式地知道这个信息，然后可以对消费者建立侧写。这是有风险的。

如果是使用现金消费，首先银行/第三方支付根本就不知道你（此刻）的存在。
对店家来说，除非你经常去它的营业人员才可能认识你，如果真的要找你，只可能是因为真的有必要(比如查水表)，相关人员需要通过侦察，在各种监控数据中一点点把你挖出来，这两件事情尤其和Adblock的宗旨是一致的。
“Ads, "unintrusive" or not, are just the visible portions of privacy-invading apparatus entering your browser when you visit most sites nowadays”

可以参考ublock original的自述
https://github.com/gorhill/uBlock

所以前几年我通过支付宝的消费比例是比较高的，但今年开始明显减少它的使用。
因为支付宝不可能像苹果那样说
“我们对你的银行卡号不感兴趣”

或者是Whatsapp那样的

"在 WhatsApp，我们的工程师花费所有的时间来修复 bug，添加新的功能和执行任何可以将丰富，价格实惠，可靠的讯息传递到世界每一个角落的任务。这就是我们的产品，这是我们的热衷。您的资料不在我们的考虑范围内，我们对此毫无兴趣。"

——那么银行卡也一样可以被盗，只要知道你的手机号，身份证，银行卡号，再来个拦截个短信，盗刷也不是很难。那么绑定个快捷支付也需要短信验证，但它的密码仍然是独立的。支付宝密码被盗，被盗是有上限的，你不爽你可以直接去银行签约——服务员，我要限制网银的额数，不就简单了嘛？

类似于Uber绑定支付宝后，无法在支付宝处解除；快捷支付，以及银联的在线支付等通过手机短信验证的几乎无法在银行端做出限制。在这部分我只能尽最大努力。

——“那么绑定个快捷支付也需要短信验证，但它的密码仍然是独立的”
就是那个强制只能设定为6位数的密码？

——那么银行卡也一样可以被盗
这里讲的是支付宝快捷支付的不便之处，而不是银行卡有什么不好。
银行卡的所有操作都需要多因子验证，而支付宝不完全是，你可以仔细想想看。

@mrlawrence
它以为的用户体验和我的想法不太一致嘛

支付宝希望的是支付变得简单，它自己起到催化剂的作用
我希望的是形式上的控制权掌握

所以这两件事之间有矛盾

我十年前就在用Adblock，所以有些东西不会提供给阿里巴巴的

@zzNucker
支付盾不支持新版操作系统，同样也说明它不在意这个事情
相比较而言fido key和密码器是更友好的做法

@b821025551b


@jerryjhou 提到的可能最符合实际情况
但是开两步验证吧

@mrlawrence
央行就可以这么做
银行类似的，也可以

支付宝呢，就不行

因为
它不能用网银盾
它弱化两步验证
它强迫我使用它平台的其它服务

也就是说
既然这么不想走，那就走

@mrlawrence
因为快捷支付把谁能动钱，怎么动钱的权利剥夺了，我得抢回来

补充：
外出的支付场景(比如超市，便利店，下馆子等)绝不使用支付宝
因为有关这些事情，支付宝不需要知道我的存在

1，如果绑定借记卡则不实名，或者使用无法开通快捷支付的借记卡。

2，绑定小额度(比如1K)的信用卡

3，1/2的原则是能不用快捷支付就不用，如果不得不用则有效地限制它的权限。特别的，考虑到支付宝正在弱化支付密码与两步验证的现实威胁，这样让支付宝降格为小额支付渠道的应对非常有针对性。

4，支付宝在我的手机(Android 5.1.1)上运行会把整个系统卡死，因此目前不装支付宝，这件事情很可能并非支付宝一方的原因。