电信级的RSA加密后的密码的破解方法

　　一直以来，电信通过HTTP劫持推送广告的方式已经存在了很多年了，这种手段至今并未停止。这种手段月光博客曾经有多次曝光，见《电信级的网络弹出广告》、《获取了电信恶意弹出广告的罪证》和《谁控制了我们的浏览器？》。虽然HTTP本身的不安全性导致有路由器控制权限的人（比如电信运营商）可以获得没有使用HTTPS登录认证的网站的注册用户的密码，但一开始我并不认为电信运营商会犯触犯法律的风险进行实施。但现在我发现我错了。

　　现在有证据显示电信运营商非但获取没有加密的HTTP登录的用户名和密码，还会通过HTTP劫持的手段获取通过RSA加密的用户名和密码。信息来源是国内最大的最权威的漏洞报告平台之一wooyun：链接1、链接2。

　　正如文中所说，国内某邮件服务商在登录入口处将用户输入的帐号和密码通过RSA加密后才会发送到网络上，通过截取网络数据包的方式已经无法对用户输入的密码进行破解了。但由于HTTP本身并没有加密功能，所以RSA的程序必须由邮件服务商以JavaScript的方式进行提供，而登录入口的HTML和所有的JavaScript会通过HTTP发送到用户的浏览器上。而正是由于HTTP的不安全性，导致电信运营商可以在HTML中插入附加的JavaScript代码，在对密码进行RSA加密之前将密码以明文形式发送到网络上。至此，密码已经可以通过抓取网络数据包的方式进行截取了。

　　这种手段并非DNS级的域名劫持。如果是域名劫持，那么用户访问的也就不是邮件服务商的服务器，而是第三方的服务器了。如果要保证用户可以正常登录邮箱，那么第三方服务器就必须将用户浏览器的请求转发到邮件服务商，这样邮件服务商将会看到大量用户通过同一个或少数几个IP地址进行登录，很快就会发现问题。所以只有控制路由器进行TCP级别的HTTP劫持（仿冒邮件服务商的IP发送附加的JavaScript的数据包）才能做到神不知鬼不觉（虽然出了BUG导致曝光了，但如果没有BUG说不定到现在仍旧无人察觉）。

　　联想到《破解Google Gmail的https新思路》中所说的情况，电信运营商和国内的CA机构受到某些部门的指使进行实施，对SSL不了解的人完全可以做到神不知鬼不觉地破解用户的密码。如果是DNS劫持还可以通过多种手段进行反劫持，但如果通过类似HTTP劫持的这种IP仿冒的技术呢？据我观察，CNNIC根证书并未在各大浏览器中已被移除，所以关注于安全的朋友还是需要手动进行处理。也正如wooyun的文中所说，看到国内CA随便签署的证书，一定要保存下来提交给各大浏览器厂家，国内的中级CA还有很多。

　　题外话：虽然全球的网络自由在恶化，但并不代表我们就可以放弃追求网络自由。

　　来源：投稿，作者： lehui99 (at) gmail . com

企业微信公众平台订阅号运营11个秘决

　　微信是一个重要的营销渠道，很多企业都开通了微信号，但是99%微信号都没有专人负责运营，为了帮助更多人可以理解企业微信公众平台怎么有效运营，笔者决定分享在半年多来在微信营销上的实战经验。

　　1、理解订阅号和服务号的区别

　　企业订阅号可以每天发一条信息，服务号只能一个月发一条信息，对于一般小企业来讲，用服务号一般不现实，因为你一个月发一次信息，客户可能早把你忘记了，当然也要看你具体需求，因为服务号提供的功能比订阅号更强大，如服务号可以申请自定义菜单。

　　2、微信对企业有什么帮助?

　　微信营销本质是互动，传递价值，维护老客户，影响新客户，很多企业把微信当成宣传工具，每天广告准时发送，这样微信号是没有生命力的。

　　3、利用好信息中“阅读原文”

　　这个是很容易很忽略掉细节，大家都知道微信信息中没有办法放超链接，只有在“阅读原文”可以放上超链接，通过“阅读原文”可以给企业手机网站增加客户，也可以链接以前发送微信信息。

　　4、微信公众平台设置关键词自动回复

　　把每次发送的文章都设上对应关键词，如输入“1000”，查阅《企业微信公众平台订阅号运营十个秘决》，输入“m”查看文章文章目录，除了刚才日常设置，还可以在“实时消息”看到客户的提问，把一些问题整理起来，通过关键词设置，为客户推送答案，节约客服沟通时间。

　　5、微信二次开发

　　想通过微信给客户提供更多便利功能，只能通过二次开发来实现，如客户查询产品信息，或是跟客户CRM系统对应，提醒客户等。

　　个人建议微信跟企业手机网站相结合，如回复关键词“公司介绍”，在接口中实现把手机版关于公司介绍发送到微信当中。

　　6、每次推送微信时不要超过3条图文消息

　　如果推送的信息过多，就会没有了重点，如果你重点要告诉客户一件事，请只发一条信息。切记信息中图片不能过多，3张以内比较合适，图片大小要控制在50K以下，图文信息打开速度影响用户阅读率。

　　微信营销关键在内容的质量。高质量的内容会得到众多人的分享，会形成病毒营销。

　　7、微信互动是关键

　　掉粉是经常会有的事情，我们要做的是怎么尽可能，满足加我们客户需求，如通过你的微信可以查询产品价格，可以申报产品故障，像中信银行微信，每次你消费、还款都会有提醒，如果条件充许，一定要提供专职负责微信客服。

　　明确每一次沟通、互动、推送的对象是谁，读者对这个人越了解，信任度就越高，包括他的公司职位、姓名、联系方式。

　　8、让客户主动加你微信有哪些办法?

　　要想在很短时间里获取大量的粉丝，必须靠媒体。如公司官方网站、微博、QQ空间、个人名片、公司宣传手册、杂志等，要动用一切渠道来宣传，每一天你才能获得稳定的粉丝增涨量。

　　9、模彷是我们学习微信运营最快一招

　　推荐几个不错微信公共账号：淘宝鬼脚七、金错刀、澳康达名车广场，您在“添加朋友”中查找公众号，就可以找到他们。

　　关注竞争对手的微信，如果你关注了50个竞争对手的微信，就会有50个账号在教你怎样做好微信营销。你要做的就是优化他们所有的方法。记住：竞争对手是最好的老师。

　　10、善用微信中“数据统计”

　　很多运营问题都可以通过数据分析了解到，如发布的内容客户喜欢吗？通过数据统计，可以清淅了解到粉丝量，每天新关注人数、掉粉数量；通过“用户属性”看到订阅用户性别、省份；通过“图文分析”了解每次信息推送情况，如送达人数，图文页阅读人数，原文页阅读人数，分享转发人数。

　　11、分组管理客户

　　群发图文图片时，我们可以针对性别，地区，客户组别，如果你的客户有会员等级之分，你可以按等级分组，因为并不是所有客户品味都一样，如关注奔驰的客户，喜欢内容可能跟奥迪客户不一样。

　　投稿，作者：李国辉，微信号akd168。

微信朋友圈运营的十条经验

　　微信适合用于跟你的客户更好的互动，而不是营销工具，现在微信营销功能已经给神化了，很多传统营销机构都转型做微信营销培训，除了微信公众平台订阅号、服务号，连个人微信朋友圈也是他们营销战场，笔者在这里总结几点玩微信朋友圈经验，希望可以帮助你正确理解微信营销。

　　1、怎么看微信好友人数

　　A、在<通讯录>中尾中可以看到好友总数

　　B、 进入微信首页，点击右下方的“我”。点击“设置”，进入设置选项。在设置中选择“通用”选项。在通用中进入功能选项。在功能中选择“群发助手”。在功能设 置群发助手里点击开始群发。在最下方选择新建群发。在选择收信人中点击右上角全选按钮。点击全选之后，屏幕最下方的下一步按钮显示数字即为您微信好友数量。

　　2、微信朋友圈如何只发文字

　　打开微信朋友圈，按住右上角相机按钮2-3秒钟。

　　大家注意一下细节，在80个字符或6行以内文字不会折叠，如果你有手机网站，在文字中你还可以放上你的网址，为你网站带来精准客户。

　　3、微信群发助手

　　微信订阅号是每天可以发一条信息，服务号是一个月发一条信息，个人微信号可以不限制分享，还可以不限量每次群发200个人信息。

　　4、怎么增加个人微信好友

　　A、将自己的QQ好友加为微信好友

　　如何寻找目标人群并将他加为好友呢?除了宣传自己的微信名片让别人主动加我们之外，我们也可以主动出击。QQ群是按照特定群体进行分类的，我们可以通过QQ群来找到各个行业的人群，也可以通过查找好友找到相应地区或者年龄段的QQ并加为好友。

　　B、将手机通讯录的人加为好友

　　因 为有的人可能拥有自己的客户的手机号码资源，那么如何更快的加这些人为好友呢?将手机号码资源用txt或者office格式整理好(具体根据导入的软件来 设置)，就可以用豌豆荚或者QQ手机管家导入到手机通讯录上了。(导入之前，先取消自己的个人微信号与自己所用手机号码的绑定，然后再导入生成手机号码列表。导入完成之后，再重新将自己的个人微信号绑定自己所用的手机号码。这时，腾讯就会向你导入的手机号码列表中，已经开通了微信的人发一条推荐的信息，如 果对方有兴趣，就可以点击添加你为好友。)

　　C、你也可以把个人微信二维码、微信号通过媒体渠道宣传，如QQ群、网站、微博、QQ空间等。

　　5、利用微信备注功能对用户进行分组管理

　　如果您的微信好友多了，大多数时候我们会记不住微人好友的真实姓名，如果你想利用个人微信去影响身边朋友，就一定要标记好每个用户名称。

　　打开微信通讯录，找到好友，点击头像进入详资料，点击右上角的“…”，接着点击“备注名”就可增加好友备注;备注格式建议行业+姓名，如SEO+李国辉。

　　6、如何出现在微信通讯录最前面

　　A、微信名称以A开头，如A01李国辉，如果中文字首位拼音是A开头，效果也一样，这个大家可以试验下，怎么样才是最前。

　　B、让你的朋友把你设置为标星朋友，打开微信通讯录，找到好友，点击头像进入详资料，点击右上角的“…”，点击“标为星标朋友”，这个标星朋友是否有其他功能，这个暂时未知。

　　7、写好“个性签名”、微信名称

　　微信名称就像网站域名一样，让人容易记住，或是看到这个名称可以联想到你是做什么的，个性签名中不要忘记放下你的宣传目的，如卖产品，或是提供什么服务。

　　8、微信朋友圈分享什么内容，什么时间发效果好

　　先搞清楚你的微信好友喜欢什么，或是你想达到什么样的宣传目的，再来定位你的发布内容，个人建议，每天发布一至两条内容，过多会引起好友的反感;发布时间可以选择在早上7点、中午11.30分、晚上5.30分比较合适。

　　9、个人微信一样需要互动

　　微信好友每一条内容下方，都可以赞或评论，相信你也经常赞或被赞……你喜欢别人的赞吗?你喜欢赞你的人更多吗?一定喜欢，因为这是人性的弱点：虚荣心。每个人都喜欢被赞美，被表扬，认同吗?

　　经常赞或评论，就跟经常电话交流一样，让你的好友能记住你。

　　10、微信群

　　微信群是变化的人与人关系，可以“被加入、可选择、随时退、随时进”，一个成功微信群要能达成共鸣;一般的用户建微信群是40人数，你可以建M个群和你的好友进行交流，注意要大家对这个话题感

　　兴趣，至于怎么让相关客户加你微信群，网上有M多推广方法，你可以尝试下。

　　A、点击微信界面右上角的魔法棒图标，然后点“发起聊天”。

　　B、勾选你想要添加到群里的好友，然后单击“确定”，你就建立好自己的“微信群”了!

　　C、“微信群”创建成功!你可以群发送语音或者文字图片了!

　　D、“微信群”管理：点击聊天界面右上角的按钮，如果选择“—”，然后点成员头像左上角的“—”就可以删人了;或者单击“+”，可以添加群成员。

　　E、改“微信群聊”名称：点聊天界面右上角的按钮，然后选择“群聊名称”后，输入新的群名称，然后保存就好了!

　　想 利用好个人微信朋友圈来宣传品牌或产品，需要结合QQ空间、微信公共帐号、手机网站、微博等移动端媒体，建议大家多看看圈子营销、数据库营销书籍，在做微信营销时，请多思考什么内容对用户有价值，你是否能不断给客户提供价值，当你不断给客户提供价值的时候，客户迟早会与你成交，并且这个成交的过程会非常轻 松。

　　来源：投稿，作者：李国辉，微信号akd168，欢迎转载，转载请注明作者和出处。

微软发布Internet Explorer 11浏览器

　　11月8日消息，微软Internet Explorer 11已经正式发布了，Windows 7以上版本均可以安装，而Windows 8.1系统则内置了这一版本，Internet Explorer 11带来了极强的性能提升，在SunSpider跑分测试中优于同类浏览器。

　　IE11加快了页面载入与响应速度，JavaScript执行效果比IE10快9%，比同类浏览器快30%，继续降低CPU使用率，减少移动设备上网电量。

　　此外，IE11还是首个直接从HTML代码复制粘贴图片至本地的版本，同时用户还可以通过DataURI或Blob来对图像编码进行编辑。同时，IE11甚至还支持与其它浏览器之间进行图像的直接复制粘贴。

　　通过SkyDrive，用户在Windows设备上打开的IE11标签、收藏的网站、历史浏览纪录、用户名、密码，都可以同步到其它设备，换一台设备可以继续使用之前的纪录。

　　IE11还有如下一些优点：

　　1：浏览器触摸响应更灵敏、在Windows设备上消耗的电能更少。

　　在IE11中，GPU可以用来处理一些手势，如缩放、滑动等，触摸响应很灵敏。GPU卸载图片解码技术可以强化电池续航时间，腾出CPU处理动态页面内容。

　　2：地址栏触摸优化

　　你可以更快获得经常使用的网站，它是最新的。输入更快。在地址栏中可以获得一些即时结果，如天气、股价。

　　3：想要多少标签就有多少标签

　　在每个窗口最多可以打开100个标签，IE11让独立标签暂停以节省内存，延长电池续航。当你需要时，浏览器可以快速在标签间切换。

　　4：收藏夹更漂亮，支持触摸功能更好

　　5：触摸化的导航

　　IE11针对触摸优化了UI，更好地支持向前向后手势，支持页面预测，可以提前渲染，用户查看下一页和回到上一页面更敏捷。浏览器支持触摸悬停菜单。

　　6：硬件加速3D网页图形

　　在所有设备中支持WebGL互操作体验，它利用了GPU加速功能。IE11可以查看不安全的WebGL内容，可以用软件渲染器来补充GPU。在Windows中，当图形子系统崩溃时没有大的影响，WebGL会继续运行。在IE11中可以强化3D体验。

　　7：现有网页仍然可以在IE11中运行，运行的效果更好。

　　现有网站在IE11中运行更快，更漂亮。

　　目前，用户可以通过微软官方网站下载IE11，安装文件大小约为28MB，支持95种语言。

　　官方下载地址：点击这里

　　微评：我在Windows 8.1系统用了一段时间的IE 11，没发现它哪点比Chrome强。

360掐架搜狗浏览器

　　搜狗和360这对昔日恋人，如今反目成仇。11月5日，有网友爆料搜狗浏览器泄露用户隐私信息。搜狗随后否认，认为是竞争对手恶意攻击。昨天360召集媒体出示证据，称搜狗“说谎”。搜狗昨天亦召集媒体表示，360抹黑搜狗，炮制史上最恶劣造谣事件。

　　双方公示各自证据

　　11月5日，有网友爆料称搜狗浏览器存在重大漏洞，使用QQ账号登录搜狗浏览器，可以查看到数千其他用户的个人账号，包括QQ、邮箱、支付宝、银行等涉及用户财产的账户信息，甚至可以直接进入其他人的支付宝进行转账购物，甚至直接支付交易。该网友同时公布相关视频。搜狗当天回应称，“浏览器技术团队第一时间进行查证，确认并不存在此类现象”，这是业内对手发起的不正当竞争。

　　11月7日，双方的“战火”进一步升级。搜狗通过用户弹窗率先向360公司“发难”，列举出诸多证据称，“360安全卫士抹黑搜狗，炮制史上最恶劣造谣事件”。360昨天召集媒体，并公示其收集的视频，称在10月份的时候，搜狗论坛就有网友反映这个问题，当时搜狗工作人员回复称，会进行相关处理。但从后期的进展来看，搜狗并没有进行技术处理。直到11月5日，有网友将视频公之于众，搜狗才将服务器的漏洞堵死。但大批用户的隐私信息已经泄露出去了。

　　称已向工信部反映

　　360与搜狗今年由热恋走向战争。此前360有意接盘搜狗，但今年9月腾讯4.48亿美元注资搜狗，360接盘无望。当月，媒体就爆出360拦截搜狗浏览器。

　　昨天，记者询问360副总裁曲晓东，是否是因为个人恩怨，引发这场战争。360多名高管表示，这与公司恩怨无关。“作为一家安全公司，不论是哪一家公司出现安全问题，360都有责任告知网民。2011年12月，CSDN用户信息泄密也是360公开的。”

　　搜狗昨天声明称，中秋节期间，出于“得不到，就毁掉”的目的，360偷偷篡改搜狗用户默认浏览器设置。从11月5日开始，360公司经过精心策划和导演，对搜狗浏览器再次进行疯狂抹黑。

　　360表示，已经搜集相关证据，并向工信部、银行等部门汇报，也已向各地公安报案，相关部门已经介入调查。搜狗CEO王小川昨天也表示，已经向工信部反映情况。

　　360现场演示搜狗泄密

　　360根据此前保留的证据，现场向记者演示，登录某一个名为“恶魔系少少女”的淘宝账号，点击搜狗浏览器“智能填表”功能自动保存的账号信息，很快就成功登录。从360演示的信息来看，泄密的信息可谓海量，除互联网账号信息外，还涉及不少银行的账号密码等。

　　360表示，根据工信部的要求，企业有责任保护用户的信息安全，因此即使互联网公司需要上传用户的信息，也应该是加密的，这样即使出现问题，别人也不能直接看到。现在的问题是，大量的用户信息遭到泄露，而且谁都可以直接使用。

　　“现在的问题是，用户的信息很有可能被黑客掌握，如果用户的资金受到损失，谁来赔偿？”360表示。

　　对于大批动用水军的说法，360方面未予回应。

　　360昨天表示，搜狗现在应该首先回答的问题是，是否存在漏洞这个最根本的问题。搜狗希望扯到企业抹黑斗殴这个话题，回避自己的过失。所以360不会就搜狗此类问题回应。

　　搜狗称“没有漏洞”

　　“没有漏洞，也没有用户真实报告出现。”搜狗产品经理黎志昨日在沟通会上称。

　　在沟通会现场，搜狗公司仿照360所公布的公证视频，在360安全浏览器重现了这一“用户信息泄露”过程。按照搜狗的视频演示，普通人看上去，360安全浏览器也具有了与搜狗浏览器此前一模一样的安全漏洞。“非常容易造假，简单技术方法就能实现。”搜狗产品经理黎志称。

　　搜狗CEO王小川表示，在安全领域，用户是宁可信其有。“安全是挺容易用来恐吓的一件事。”他还表示，安全软件在互联网上同时具有了公检法资格，对其他软件做评判，同时做裁判和运动员。像360，它也有同样的浏览器产品在。

　　昨天，搜狗方面指出，举报“搜狗安全漏洞”的信息源存在问题。主要证据包括：原始发帖人、卡饭论坛发帖用户于11月5日晚间宣布自己被盗号。曝光安全漏洞问题用户都是水军马甲号。

　　搜狗称，上述曝光信息的背后炮制者即是360公司。

　　双方开打“弹窗”大战

　　此次“交战”过程中，360、搜狗先后以弹窗方式向用户发送消息指责对方。

　　11月5日、11月6日，360连续弹窗2次，分别称“搜狗浏览器爆重大漏洞，用户应立即修改网银、支付宝密码”、“搜狗浏览器大面积泄露网银、支付、电商、企业内网账号密码”。昨日，搜狗更是弹窗指责“360安全卫士抹黑搜狗，炮制史上最恶劣造谣事件”。

　　上述举动引发了一些网友不满。新浪微博网友@有妖气李顺强表示：“搜狗可真逗，用弹窗的形式反诉360弹窗。你们真的够了我都不用了，两个都卸！”

　　网友@天堂的勇气针对弹窗大战表示：“中国的互联网公司总喜欢用这种方法来强迫用户关注他们的公告，新闻，广告等等等等，闹心。”

　　不过，也有网民认为，竞争对手之间以这种方式互相监督，对于用户是有利的。只能在激烈的竞争之下，甚至竞争对手互相监督之下，企业才能提供更好的产品。

　　互联网公司利用弹窗方式互相指责，早有先例。

　　在2010年的“3Q”大战中，360安全卫士客户端弹窗警告：“某些软件窥视隐私”。腾讯QQ的电脑客户端弹窗声明：“关于腾讯QQ被诬蔑 ‘窥视用户隐私’的严正声明，QQ绝没有窥视隐私的行为”。随后，双方在用户桌面上爆发了互联网史上最激烈的弹窗大战。

　　稿源：新京报，采写/新京报记者 林其玲 刘夏

Twitter正式在纽交所挂牌上市

　　北京时间11月7日，全球知名的社交网站Twitter在纽交所挂牌上市，开盘报45.1美元，较26美元的发行价大涨73.46%.上市首日，Twitter收盘报44.90美元，较发行价上涨72.96%，市值达245亿美元。

　　根据汤森路透的数据，在开市瞬间，Twitter成交量就达到了1180万，收盘时成交量已经达1.17亿股。

　　Twitter周四早间将首次公开招股的发行价确定为26美元，远高于最初拟定的17美元至20美元的发行区间。

　　按原定计划，Twitter将发行7000万股股票，还将向承销商授予1050万股的超额配售选择权，这也使之成为Facebook上市后科技界IPO募资最大的公司，在美国科技企业首次公开招股中位居第五，领先于谷歌。

　　据Twitter最近提交给美国证券交易委员会的文件显示，在过去一年中，该公司创造的营收为5.34亿美元，亏损额为1.43亿美元。根据美国通用会计准则计算，Twitter可能要到2015年或2016年才能扭亏为盈。

　　在此之前，市场对Twitter上市表示乐观，认为Twitter目前发展形势远好于当年的Facebook，且受当前美国资本市场回暖、近期中概股在美国上市的首日表现良好等因素，对Twitter表现看涨。但标普科技分析师Scott Kessler认为，Twitter目前估值过高，130亿美元才合理。

　　值得一提的是，在一片叫好声中，却有一个不和谐的音符浮现。交易不到两个小时，研究机构Pivotal Research Group就将Twitter降级至“卖出”，并将目标价设定在30美元，不过这条消息并没有丝毫影响市场的热情。

　　Twitter成立于2007年4月，目前员工数达2300人，月活跃用户数为2.3亿，其中77%来自海外。此外，Twitter有76%的访问量来自移动端。

手机QQ推出阅后即焚功能

　　iPhone版手机QQ 4.5今天正式发布，该版本可谓是一次重大更新，增加了阅读中心、关联QQ号、闪照等多项重大新功能，其中的“闪照”备受关注，支持传送即拍图片，图片在对方打开5秒后，即永远消逝，带来全新的沟通体验。

　　相比于国外“阅后即焚”类应用，闪照除了对看照片有限时5秒的要求外，照片发送给用户后的保留时间也有限制。这意味着照片发送给对方后，在用户选择的限定时间内若对方没有打开，该照片同样会自动消失。用户可选择的有效期包括5分钟、1小时、6小时和24小时。

　　发送“闪照”后，聊天状态中会显示相应的保留时间。若对方点击并查看完毕，状态中会显示“对方已查看”的字样。

　　不过，对付QQ“闪照”的阅后即焚也是有方法的，iPhone手机在5秒内按下开关键+home键，电脑端在5秒内按下PrScrn键。