※ [本文转录自 Soft_Job 看板 #1DvouY76 ] 作者: ggg12345 (ggg) 看板: Soft_Job 标题: [讨论] 云端与扫毒=扫走机密资讯怎麽办?! 时间: Thu Jun 2 14:30:56 2011 借 sniffer 炒热题, 再问: 云端的管理人员是否能扫走在云端的程式机密, 如 keygen, 开启软体的 secret key. 扫毒程式扫的位置从记忆体到任何储存装置都能扫, 云端的主机(Host)归 提供云端服务的操作人员管理, 也是任何的 guest VM space 都能扫得到, 这是否造成机密资讯被窃? 有防止的方法吗? =================================================================== sniffer 的疑问 可把扫毒改用挖金矿来看, 找大公司的重要机密资讯(一), 也找出相关有兴趣者(二.的动作), 提供供需双方的另类行销服务. =================================================================== ※ 引述《sniffer (again)》之铭言： : 标题: [技术] 云端扫毒=用你的资源帮厂商 : 云端扫毒, 有网友说是只要档案上传检查码, 云端告诉你有没有问题, : 一、 一个档案用"你"的cpu扫过毒, 没问题後, 用"你的"网路上传到 server, 成为资料库 : 可能只上传 digest, 也可能上传整个档 : 问题: : 1. 凭什麽用你的 cpu 帮他验证 : 2. 凭什麽上传你电脑的资讯给他用 : 3. 如果整个档上传, 还有版权问题, 作者有同意吗 : 4. 如果没上传这个档, server 怎麽知道你电脑真的有扫过, 不是山寨 client : : 二、 下次别人扫毒, 只要档案跟你一样, digest 就一样, 就不用扫, : 上传 digest 比对就好 : 问题: : 1. digest 不代表不能假造, 他用哪种演算法? crc 的话等於没用 : 2. server 会知道你跟某人档案版本一样, 隐私安全无保障 : IC Mask layout 的图又不是电路设计原图, 更不是设计文件, 抄走一个 Layout 图又不是查不出来, IC 盖子一打开, 跟图章一样比对就抓出来了. 扫你的电脑抄走提款卡密钥, 比对相同又能怎样? 去提款的人不会笨到是云端偷 看的. 假如现在所有资料(包含重要的提款 key)都要移到云端去做处理, key 总要拿出 来在云端 guest machine 上使用, 譬如昂贵的 CADtool license key, 那要藏在 何处? 拿出来用总会是解开放进去, 解开存的地方不就被扫到?! 任何公司对机密的电路图都会藏进几个奇怪的东东, 用IC Mask图全抄不被抓 出来才怪, 大公司如果偷人家的还敢先做出来冒充, 那就拿出研发记录来呈堂 捡验. 大公司被告油水才够多够让律师咬! IC MASK layout 图不会注明用途与用在那里, 台积电通常也不知道那个IC如 何搭配电路成为某种产品, 等量产时才知道, 兜上人家公司跟产品就吃跟屁风. ※ 编辑: ggg12345 来自: 140.115.5.14 (06/02 17:24) --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.115.5.14