叨叨黑客和安全

本来想把这篇文章命名为《一个黑客的自我修养的》，但是Google后发现好像已经有外国人写的同名文章了。如果叫《帽子的自我修养》呢，许多人又不知道帽子的意思以及各种颜色帽子的区别。

黑客，一个中性、甚至在开始时有些褒义的词，不知后来就怎么莫名其妙地变成了“骇客”。引用百科上的话，“Hacker”一般指：

• 一个对（某领域内的）编程语言有足够了解，可以不经长时间思考就能创造出有用的软件的人。
• 喜爱编程并享受在其中，变得更擅长于编程的人。
• 喜爱自由，不易受约束，但觉得假如是为了喜爱的事物，可以被受适当的约束。

作为一个处女座的程序员，我觉得上面的描述还是比较符合我的，所以我觉得我自己应该算是个小hacker，当然，在安全界远远没到大神的级别。

但这次词毕竟在中国已经被一些不守法则的人描黑了。所以本文里我还是少用这次词好了。我们说点不那么骇人的，比如“安全人员”。

大概两个星期前，因为一些原因趟了次web安全的水，算是我人生中第一次真正意义上的成功的web渗透。尽管某大神好基友就是干这行的，我也参观过他工作时的内容。但真正到自己亲自去做这种事，还是有点胆战心惊的，惊讶于一个“无证程序员”的小小的的逻辑失误或者偷懒，能够让一个还算很严密网络部署的组织完全暴露在安全人员的掌控之下。

偷懒是个人都会犯，尤其是像我这样有严重拖延症的人。于是在很长一段时间里，我这个博客经常会莫名其妙地停止服务了，当然大多是拜我好基友测试新漏洞所赐。后来被迫装了个好用点的防火墙，于是网络服务方面的攻击清静了。但是谁知道我的网站里某个php文件里有没有被以前的侵入者藏着一句10字节的webshell。

我不是主安全方面的，虽然稍微有一定的兴趣，但是更大的兴趣还是在于写漂亮代码做某种意义上的艺术品，会为写出一些完美的程序或者解决一些有意思的问题而高兴。但是，有时安全的定义是比较宽泛的，这深水有时不由自主地就趟了。

比如之前玩游戏，最开始想做个简单的自娱自乐的单机版，结果那时还年少，根本意识不到这个愿望已经是游戏方面的最难的项目，已经涉及到游戏安全领域，也没有意识到当年给几个网友炫耀时无意泄漏的技术被人利用，几年来让项目组头痛了多少天，挨了多少领导批评。好在自己没有玩火，而且有些代码就算泄漏出去那些人如果没有个几年的游戏经验也看不懂或是运行不了（我写代码有不加注释和不写错误处理的坏习惯）再或者是那些人技术太烂，所以很幸运我还活着，我喜爱的游戏也还活着。能够默默地做为一个除开发和运营外全世界对一个小众游戏的内部技术了解最多并借此学习游戏开发架构的小孩，我觉得我已经知足了。祝愿她还能够继续保持几年青春。

我觉得玩黑客的人得有些基本素养。做一些小trick偷窥别人隐私的好奇心是成为黑客的基础，这个我不觉得有什么不对，给自己谋取一点小利益也没什么，但是如果损坏到别人的利益就不对了。就像游戏里的某小孩做辅助，之前一直做的好好的，极大地稳定和促进了游戏的发展，自己也赚了不少钱，差不多都够在北京上海买别墅了，结果后来不知怎么做了不该做的东西，运营很生气，于是后果很严重。

再比如之前学校的某些学科的上机考试系统有点漏洞，这类学科是很无聊的，如果说自己偷下懒去利用下漏洞混个学分倒也不是不可以——学霸勿喷，如果有人说这个损害了学霸的利益那我就要说学霸的存在本身就是不公平的。人的智商有别，志向有别，况且我曾经以及现在在某些领域也是学霸。几年来，这个漏洞造福了一批又一批的同学。直到有一年在考试的前夕学校贴出紧急通知说取消机考改为笔试，我就知道一定是有哪个SB没遵守游戏规则，不知道是把题库给删了，还是把所有学生都直接改成了0分或者100分来着。

林子大了什么鸟都有，俗话说“SB年年有，今年特别多”，围观SB的话，网易新闻评论区是个很好的选择。但是在这个领域，由于广大群众不懂而又离不开这个领域，所以做人必须有这些靠道德以及职业精神约束的基本原则和修养。SB不配给忠诚的计算机下指令。顺便提一句360，我不会说360是SB，我只会说他没节操，因为中国的互联网公司普遍都没节操，他没办法，何况群众中小白这么多，为了防止小白被SB骚扰，传说中的核威慑还是蛮有用的。

今天就叨叨这么多。好久不写文，谈不上结构，也没那心情整理结构，就当我饭后乱侃吧。