KeyFansClub

首页 » - 特色讨论区 - » 土豆星 » 土卫二 » 有点愤愤不平,发泄下。
Shadowball - 2010/2/16 4:56:00
本来觉得这篇文应该放到营业部去的。但是后来觉得这篇文章可能并不符合版务建议或者纠纷协调的特点,因为事实上我压根就没指望管理员会把这篇文当回事,所以就当作是心情的发泄,发在茶餐厅了。。

虽然注册这个号的本意是用来潜水,本来我也不想第一次发帖就发这种沉重甚至很带刺的主题,但是昨天晚上和夏影聊过以后,忽然就觉得很不能忍受,有些东西实在是不吐不快。
事情的起因就是夏影舰长(Summerlight)离站这件事。我之前一直没明白,我才来十多天,夏影大为什么就要离站了呢?他之前只跟我说“跟管理阶层有些冲突,再加上有3个网站要管理,还要准备清华保送生考试,还要等着高考,实在没什么时间了。”但我觉得绝对不仅仅如此。昨天晚上我们几个人到他家作客,我打听了半天才算知道事情的原委。但是听完后,我却觉得非常的愤怒,我觉得我就只想问一下,陈大,您觉得您这样做合适吗?
作为夏影大的好友,依我个人的感觉来说的话,夏影大虽然有些不按常理出牌,并且喜欢恶作剧,但帮助别人时一向尽心尽力,本质上来说应该算是个好人,而他在跟我聊到您的时候,也跟我说“他虽然脾气有些急,说话冲,但是我觉得绝对是个好人。”,这样的两个人我觉得本来不应该发生这样的事的。但是最后却弄成了这样,为什么呢?
我觉得我就一句话,陈大,愿赌服输!最早夏影大研究了整整两天DNT的代码,发现论坛的任意用户登陆权限登陆后台漏洞的时候,他要是真想给您捣乱,完全有能力直接把论坛的数据全部清干净的。但他并没有打算做这些,而是帮论坛把漏洞补上后就走了,除了他的操作记录外别的什么都没删,有他改不了的地方还专门给您PM,然后您的回答是什么?直接积分清零,然后说“自己玩你的漏洞去吧。”
然后第二次,夏影大跟我聊天时说道:“我通过漏洞改积分,不按规则出牌获胜确实不太公平(笑),清了我的积分无可厚非。不过我想试试能不能从常规手段挑战挑战陈大(笑),就这么认输了也不是我的性格。”,于是在自己所管理的北京四中网站的首页上挂了推广链接的Ifream。我想问您,推广这个功能是论坛一直以来就开放的吧,那么利用这个功能赚取积分有什么错吗?夏影大在那坐等一个礼拜,积分就上万了,然后他跟您PM,告诉您这件事,还专门说明了积分的来源、推广制度的改进建议等等,然后您又是怎么做的?又一次积分清零,夏影大申诉时您还直接一句“啊,我好烦,开始想要删ID了。”,让他忍无可忍地决定离站。不论如何,或许第一次用漏洞刷积分的时候,连夏影大自己都承认了“不劳而获确实没意思”,但是后来这次通过推广赚的积分,我觉得这件事您做得实在是不太对。
您要是死抠“推广”的定义,那么我也可以告诉您,作为管理员,您可以自己去查KeyFC那一点时间的访问记录,所有访问应该基本都是不同地区,真实有效的访问量。夏影大只是在他所管理的他们学校的网站首页上挂了KeyFC推广链接的Ifream而已。10000积分就相当于5000访问量,您觉得作为北京最有名的两所高中之一的北京四中,一个多星期连5000访问量都达不到吗?要是您想要证据,您可以自己致电北京四中计算机教研组的秦波老师,夏影大在这么做之前是经过他的许可的,所以他应该是知道这件事的,出于夏影大的隐私原因我不能直接透露他的姓名,但是您可以直接向他询问“高三一班掌握着学校网站后台权限的那个学生”,他肯定知道是谁,您可以自己向他调取学校网站的运行记录。看看是不是这么一回事。
作为论坛的管理员,您自己开放了推广这个功能,然后现在有人利用这个功能获取了积分,您却不承认这些积分是合法所得,您不觉得这么做实在是太没道理了吗?
夏影大在注册账号前(似乎是自从2004年左右,这我还真不太确认),就一直以游客身份在KeyFC潜水。所以说在这里应该也算老访客了。也许您说得没错,KeyFC不是一个以研究漏洞为主的论坛,但是不能否认漏洞也是论坛不能回避的一个问题。没有错。论坛需要的是和谐。但是我没看出夏影大做了什么打扰和谐的事啊?正如前文所说,他要是想捣乱的话能做的简直太多了,但绝对不会是把发现的漏洞告诉您并帮忙修补上。然而现在您却以研究论坛漏洞为由驱逐他,说出“技术宅就不要在这里混”这种话。我认为是对其他人极大的不尊敬!胳膊拧不过大腿,我觉得我说这些话您未必肯听。但是请您自己想一想,您作为管理员,积分只是一种符号,可以任由您去操控,但是清积分这件事本身却是在否定他人的价值,您这么做可能您觉得心安理得,但是陈大作为管理员却以自己的权利打压别人,这真的合适吗?

估计这篇文在发表后几个小时内就会被和谐,但是有些事我觉得确实是不吐不快。这件事并非他人授意,而是我自己的一点冲动。如果大家看了不屑的话就当是个笑话吧。
watashia - 2010/2/16 5:38:00
噗,黑客还黑得有理来了么?现在的孩子还有没有点基本的为人处世的常识啊?利用漏洞进别人网站逛一圈,顺手改下积分,然后邀功说我发现你们的漏洞,帮你们改了,你们要奖励我!发帖的同学,你知道错在什么地方吗?把这里的网站替换成你们学校存试卷的教研室想想,偷进教研室,或者别人的家是什么行为?没搞破坏你就是品德高尚了?要是删了数据就不是清积分那么简单了,等着警察上门吧!
另外什么推广制度我倒是没听说过,只是点击推广连接就加积分?这里啥时候要这种东西了?有也建议取消掉。如果这个情况属实,那积分不清也行。不过也奉劝一句,红楼梦里有句判词,机关算尽太聪明,反误了卿卿性命。
聪明的孩子就该好自为知。知道什么该做,什么不该做以及该怎么做
grayfog - 2010/2/16 6:12:00
论坛存在的目的是什么?人来论坛的目的是什么?
黑如何不黑又如何?分高如何低又如何?访问量多如何少又如何?
对于论坛和来论坛的人来说,“交流”二字之外的东西,无意义。
奈落风风 - 2010/2/16 7:19:00
首先声明,虽然“夏影”同学曾经对在下恶作剧过,但是在下并没有记恨他,我“奈落”不是那么斤斤计较的人,下面的言论也不是在下报复“夏影”,而是很客观的观点。

LZ与夏影的想法和做法,都太天真和幼稚。。。
我虽然不懂代码,但是我觉得,陈大的处理方法,并不是因为什么爱面子,输了什么可笑的比赛,存心报复。。。。
陈大 是一位公正严明,又有成熟心理的管理员,难道会因为这点小事,就做出如此严厉的处罚么??
真正的原因是“夏影”同学的动机不对。。。

夏影大跟我聊天时说道:“我通过漏洞改积分,不按规则出牌获胜确实不太公平(笑),清了我的积分无可厚非。不过我想试试能不能从常规手段挑战挑战陈大(笑),就这么认输了也不是我的性格。”


这才是关键!! (相信大家也都心里很清楚了) 夏影同学,只是为了自己的好胜心理,向管理员挑战,以证明自己的“聪明机智”,满足自己的虚荣心!!  不管是用漏洞改积分,还是用推广,都是为了这个目的!! 

我先前就和夏影同学说过,做人不要太有心计。。 像这样改完积分,又装作好心的向 陈大 报告漏洞; 刷完积分,又假惺惺的来建议。。。  实在是过于虚伪。。。

如果真的是好心建议,就在一开始就说出来。。。 像这样,以违法来证明法律的漏洞,实在是不可取,不过是耍小聪明罢了。。

另外,本论坛是以讨论KEY社作品和动漫相关为目而建立的,而“夏影”同学,多次为证明自己,在网络代码和论坛管理方面的“实力” 而向 管理层 挑战,自顾自的做着什么“比赛”,扰乱了论坛的管理,又屡教不改。。实在是与论坛主题不附,不和谐的做法。。。

最后想说,听LZ的叙述,“夏影”同学,也是位聪明的成绩优异的学生。。  还希望在学习知识的同时,完善自己的心理。。。  做人要实在,不要总是为了显示自己的“聪明”,而聪明反被聪明误。。。不然以后步入社会,也会吃亏的。。。

ps:LZ的橙色字又说错了。。  陈大 是绝对不会删这个帖子的。。 一来是因为惯例,二来是因为,这个帖子,恰恰让大家看清楚了,事情的真相,和孰是孰非。。。

本人是非常善意的为“夏影”同学着想。 忠言逆耳,希望多多理解
另外希望夏影同学能够顺利考入名校清华,这才是展示自己聪明才智的正确途径。。
希望他能继续喜爱KEYFC,不要意气用事。。
暗与影的境界 - 2010/2/16 7:48:00
就我最近对两位的接触来看
两人都是好人(废话 pia
对两位我都不存在偏见
所以只是就事论事

就LZ这篇帖子来看,
感觉是夏影大利用漏洞刷积分在先
但是自己也知道错了,所以又把漏洞补了
而且改的也不是太过分(否则估计要超过水羊了)
估计改积分的主要目的是为了搞笑>积分吧
。。估计其内心也是希望得到一定的认同的

但是老陈可能是觉得既然你以这种手段改了积分就该受罚

就理性的角度看,老陈的做法确实没错
但是从感性的角度,夏影有点生气也是必然
毕竟夏影也修改了漏洞啊
虽然是有点恶搞了
也甘愿受罚
但这么一声不响就扣光了积分还是有点过分了

我还是觉得两人,再加几个中间人
大家坐下慢慢聊聊
和和气气的多好
夏影大理性一点
米陈也感性一点

所以还是理解万岁吧

p.s.:
请LZ对夏影大说一声,气消了就回来吧

以上纯属个人观点,如有不对望请海涵
漩涡天野 - 2010/2/16 8:36:00
怎么觉得这是小事啊...
说实话 我也是学黑的
我的观点 :夏影的做法不太好
完全同意奈落风风的观点
漩涡天野 - 2010/2/16 8:58:00
吵架不好............................
凌舞 - 2010/2/16 9:04:00
怎么说呢…这种事我不太擅长。LZ的说法的确是过激了,但是就像5F所说的,大家还是坐下来谈一谈的好,自己的攒下的积分被清零也实在是难受,既然没有危害,那就改回原来的积分得了,用不着全部清零啊,有些人不在乎,可是对某些人来说在这意味着他们自身的价值被否定了,心里会很难受,大家都是明白人,都让一步吧。
laputachen - 2010/2/16 9:09:00
楼主最后一句很多人都大义凛然的说过,我又要再重复一次,KFC除了广告垃圾政治贴一般都不会删,现在删ID也只是改成“等待验证的用户”,以保留所有记录。我的观点是发出去的帖子泼出去的水,不是广告,没有危害论坛安全的不和谐关键字,能保留的都尽量保留。

这事本来一直要写个公告,后来有各种事忙,论坛也有更要紧的事要处理,就先拖着了。楼主既然提出来了,我就来公布一些所谓的真相。没有时间整理说明,就直接贴短消息和聊天记录了。

看了以下真相后,我只问各位一个自己的想法:如此利用推广功能快速获取一万多积分,是否合法?积分是否应该保留?大家是不是也都可以用聪明才智去研究这种有创意的方法去快速加个几万积分?


===============================================
re:阁下是否还愿意继续待在KeyFC?
发送人:水羊 2010/2/3 14:02:45
陈大我错了……

但是我现在确实没法改。。真的。。
之前在一次无聊的安全检测中发现的KeyFC有漏洞。因为我比较喜欢恶作剧,就研究了一下,然后帮忙把漏洞补上了。
但是现在我就没法再改了,

麻烦您帮忙改回去吧。。

我是真的真的忏悔忏悔忏悔……

好吧以下是正事。

陈大知道之前KeyFC有漏洞么。。
我是学网络安全的,之前因为好奇就对KeyFC进行了安全检测。然后发现了漏洞,之后就试验了一下。
之后本来想跟您联系的,但是刚看到您上线就先给我发来信息了。。
不过我是Key的忠实粉丝,也希望KEyFC越来越好。所以我以我人格担保我没干任何破坏性的事,连后台也没有登陆过……真的,希望陈大相信我。
除了修补漏洞以外,我没有改过论坛的任何文件。这点我同样可以担保。
所以事实上现在我是不能再修改我的积分了,这是实情,确实不是我在耍赖。
希望陈大原谅我这一次。。

漏洞大概就是可以直接以任何帐户登陆论坛……如下是截图。我传到KeyFC相册了。

http://keyfc.net/bbs/showphoto.aspx?photoid=12724 密码是 Key@)!)

如果需要,您可以继续联系我,我接下来应该一直在线。


我不太确定是用哪个帐户发的……
发送人:SummerLight 2010/2/3 14:12:24
这篇发完我刚才关了下浏览器,然后忽然意识到第二篇也没搞明白是用哪个帐户发的信息。
为了确保送达,我就再把大致意思重复一下吧。
刚才因为我的那个浏览器里同时存在三个登陆的凭据(工具前天开机后一直没关),所以我也不确定我到底系统判断是用哪个账户的凭据发的,而且我关了以后现在已经不能再登陆了,没法确认。不论您收到的信息来自谁请回复到这账号。.


给您造成麻烦实在抱歉。


……
发送人:SummerLight 2010/2/3 15:32:24
呃陈大不用做这么绝吧……再怎么说积分也别全清了啊。。我又没干什么坏事。。


回复:
KeyFC有漏洞很早就知道了,也尝试过升级DNT,但考虑到数据与KFC2未来的兼容性,就没有继续。之前也有人通过其他方式修改过积分,发现后做了积分清零的处罚,对于你这次也一样。我们维护这个论坛就已经很累,服务器购买和托管都是自己出钱,应对河蟹也弄到烦死,为小白问题也讨厌死,我不希望再看到有人聪明的去捣乱,去秀自己黑客技术,我们并不希望要花额外的精力去处理这些。

还有上次那个抢注别人要改的用户名就是你吧?

关于漏洞你可以写个详细的分析发给 粘土火星 或 Taishen,他们是技术人员会去处理。

最后,鉴于论坛最近的一些情况,我会发个公告,对于你的惩罚我也会去说,本短消息的内容也会公布。我希望大家在论坛更多是认真的写写字,用心去交流,而不要因为自己有些聪明就去锋芒毕露。这是一个和谐的论坛,只有和谐的人才会在这里真正找到自己的快乐和满足。




re:re:Re:阁下是否还愿意继续待在KeyFC?
发送人:SummerLight 2010/2/3 16:01:36
实在抱歉。。。
我确实不是以捣乱为目的的…您可以去搜索一下,应该没有人在网上发过DZ!NT2.1版本的漏洞……。这个漏洞是我当时专门在我们家的那台老旧服务器上装了DZ!NT的2.1版并研究它的代码研究了一整天后发现的,后来我用这个漏洞上了KeyFC后大致看了一下,因为好奇试着评了下分。之后我就忙于修补漏洞了,并且在那之后我已经帮忙把KeyFC论坛上那个漏洞修补好,在那之后我本想擦了脚印不留名就闪人的,不过我发觉在修补完漏洞后我自己也没法再把积分改回来了……
可能我说这些您不相信,但是我确实没有打算去秀自己的技术或者因为自己有些聪明就去锋芒毕露什么的。我自认为(也只能说是自认为)我在这方面有比较强的道德约束力,我是真的没有过任何想捣乱的想法。。所以确实希望您能高抬贵手。。
关于那个用户名的事,我已经PM过当事人认过错了,他也表示没关系,当时确实纯是一场恶作剧。。也同样希望您谅解。
真是为对您造成的麻烦表示抱歉。。但我还是希望您能高抬贵手。我当初确实没有过过分的想法…本来就想让这事就这么过去的。
如果不介意的话,希望能常联系。我是非常喜欢?KeyFC的,之前一直只是潜水没有注册过账号,这是我唯一一个账号,我不希望就因此而把我在这里的寄托毁了……
谢谢。。



好奇可以自己找地方试,但擅自去用我的ID去乱加分,我会认为是对论坛规则的挑衅。你或许聪明技术好,但论坛是一个社会,而不是纯2D的世界,积分有它的意义,不是可以用来给你做实验的。如果愿意帮助KeyFC改进,比较好的做法是把漏洞描述详细发给我或其他管理员,而不是自作主张去实验去修复。无论初衷如何,这如同我发现你家的门锁有问题,我不打招呼就溜进去把你家的东西翻翻然后乱摆,然后帮你把锁修好再出门。你回家后看到家里东西换了地方,会有什么想法?你会认为是有人好心过来帮你修锁吗?你愿意这样的人再次不打招呼就来你家修门吗?

论坛是社会,不是上了网就可以不遵守社会规则,特别是在KeyFC你仍然要注重人际交往的礼貌。你去任何一个论坛乱改积分,别人肯定首先认为你是在捣乱,你在秀黑客技术,也不会有管理员认为你以帮助修漏洞的理由就可以去改系统,你或许技术很好,但这些人之常情,人际交往的基本道理考虑过了吗?发现了漏洞就马上得意的去试,别人会如何想,你考虑过了吗?

我一向严肃对待论坛积分,任何积分的获取一定要遵守规则,来之有理,特别是加学分。你实验时为何要去试加10个学分?为何不用加1Kp之类低调的做法?你这样做,如何不让别人认为你是在挑衅,在锋芒毕露的秀?你现在可以说自己是没什么恶意,我也基本相信,但你当时除了考虑技术问题,其他的社会规则就可以不去考虑吗?

另外,积分清零的惩罚是不会撤销的,改积分是对规则的严重挑衅,这肯定是严厉惩罚的范畴。我考虑过直接删ID,但搜索了你的帖子,认为你不是纯捣乱那种,还是会认真去发帖,会希望留在KFC,才会先发短消息看你的想法,而不是直接找Taishen去跟你斗技术。如果你愿意留下来,自然是可以,但没可能你改了积分这事就这么过去。以后参加论坛活动或者发精华帖,积分还是很快会加回来的,虽然我觉得在KeyFC积分确实不重要。


re:re:re:re:Re:阁下是否还愿意继续待在KeyFC?
发送人:SummerLight 2010/2/3 17:35:06
嗯,首先在这点上我依然是要郑重地道歉。我当时确实有些自以为是了,应该说,我本来确实没有想到这一点。没有考虑过关于这会给他人造成什么样的影响。可能我确实有些沉湎于那种所谓的“做了好事不留名”的自我优越感满足中了。
首先有一点,或许您可能觉得我是在揪住一些细枝末节胡闹,但我还是想说一下,我并非是发现了漏洞就马上得意的去试。确切地说,在忽然想到要检测KeyFC的安全性的时候,我还没有发现这个漏洞的存在,您也可以在搜索引擎和DZ!NT的论坛上搜索一下,之前并没有人发现过2.1版的漏洞。我为了能够找到KeyFC系统的漏洞漏洞,花了很长很长的时间研究DZ!NT2.1的代码,包括官方的说明文档我都几乎是一个字不漏的看过的。并且我付出了极大的精力去对漏洞进行钻研。我绝对不是以炫耀为目的。更不是想秀技术什么的。而是确实为了这样一个目标而去钻研的。关于这点我,您不是学习这个的,可能无法体会我的想法,所以您只要能听我说一下就行了。虽然您可能不会答应,我希望您不要跟别人说我是研究网络安全技术的。我基本上没有跟别人说过这件事,包括家里人都不知道这点。我同样也不希望周围的人知道这点。
关于修补漏洞那个问题,这里有我个人的苦衷,我希望您如果可以的话能够体谅一下。确实我一开始想过直接把漏洞通知您。但是希望您能够谅解,对于像我这类学习这些方面技术的人来说,技术资料这类东西可以说是生命线。无论如何我不希望我自己发现的漏洞的资料外泄。或许您接下来会觉得看了笑话,但是将漏洞信息与处理方案投稿给Discuz!NT官方,或者写成一篇关于漏洞原理分析的文章投稿给杂志都是我重要的资金来源。我只是一介高中生,并且不习惯向家里要钱,这几乎是我平时生活费唯一的经济来源了。请原谅我因为这种自私的理由不愿向论坛的管理员公开此漏洞。所以我才手动将漏洞修复了。向官方秘密公布漏洞,然后向杂志社投稿,这样在文章发表出来时官方已经出了漏洞补丁,这样才可以在保证尽可能不影响网络秩序的前提下获取经济收益。然而我也不希望看到在将来或许某一天我投给杂志的稿件被发表出来后会看到KeyFC因为没有及时更新系统成为那些无良黑客的攻击目标,所以我唯一能做的就是在投稿前擅自下手自己把漏洞修改了。在您看来这或许是非常自私,或者挑战规则的行为,但是这是我学习这个的守则,我由衷地希望您能理解和体谅。
关于积分问题,其实我当时本来想我当时改积分是因为想看看到底用户组间的等级到底有多少差距。所以我给试着加到最高组别后就没再动它了。当时是凌晨四点多,我本来希望能在5点之前就把它改回来收工的。但是后来修补完漏洞后发现没法弄了。我后来一直想联系您,事实上正在您给我发短信的时候,我正在给您写信息请求您帮我把积分恢复回来。当然这种话没有证据,您也不一定会相信。在改了积分后我没有过任何炫耀积分的行为,我也一直没有希望别人注意过这点。事实上您可以问问水羊之类常客,他们应该都是知道我这个号是新人,我也没有想过拿积分去满足虚荣什么的。如果不是喜欢KeyFC,我也不会守着一个积分还不到500的小号爱不释手,应该说我确实是犯了很严重的过错,但是我保证我在当初绝对没不是以想要改我在论坛上的积分为目的的,事实上我想修改积分完全可以用在后台更隐蔽的方式进行,没必要放到这种地方来。我当时只是想到撤销评分是很方便的,所以就用了这种方式来修改积分。
我确实是真诚地希望您能原谅我。

静候回信。
忏悔中的 夏影


嗯,你原来怎么想是一回事,但你做的事会留给别人是如何的印象又是另外一回事。你既然懂技术,要测试漏洞你可以自己找地方测,测好了就自己去写报告赚钱。但不打招呼用KeyFC正在运行的系统测试,我们又如何能能接受?如果你测试出了问题,影响了论坛运行, 你又如何负责这个后果?我去你家里悄悄的测试门锁有没有漏洞,测好了以后不告诉你,去报告门锁的公司拿报酬,你知道了以后有什么想法?

KFC目前用的还是过渡系统,没有去完善,因为以后还是会离开DNT的,我也觉得论坛技术是否先进完善没有维持一个好的氛围重要。我不欢迎有人去利用过渡系统的漏洞改东西,之前那人也被我训过。总的来说,搞这个论坛我已经很累,河蟹已经可以烦死人,我不希望还有人搞些额外的事情让我担心。



我显然还还愿意继续待在KeyFC…
发送人:SummerLight 2010/2/3 18:38:06
哈哈,看来确实是这样呢。我只是希望您能原谅我而已,积分什么的没必要非得那么较真,论坛里人际关系才是最重要的啊。(话说也不至于1KP也不给我留吧,我刚刚想搜索结果发现KP不够~果然是自作自受啊……哭)

还有啊,有一点似乎您误解了。那个漏洞我不是在KeyFC上测的,我从来没有拿KeyFC作测试样本的意图哦,一点也没有。
我之前应该有说过吧,我家里有台自己作测试用的服务器(用了两篇稿件的稿费买的二手……估计现在二手市场上都卖不到300了……)。我是在那上面搭建的DZ!NT2.1系统作的测试,并且在本地确认了漏洞的现象以及原理和利用方法后才,关于漏洞的修补我也是在本地调试过的,这点您可以放心。我当初想要测试这个漏洞只是因为看到KeyFC用的是DZ!NT 2.1,所以就去研究了,纯属一时兴起吧。后来我是为了看看KeyFC是否也有这个漏洞,所以就上来试了一下,发现果然也有(呃或许说必然也有更准确)。我本来的目的只有帮KeyFC修一下漏洞的。后来改积分这件事我也跟您说了,我只是想看看用户组别的区别而已,真的,本来改完后就想改回去的。。不过确实结果造成了不小的影响。当时我确实没考虑到,可能我动机是好的但是手段确实不太对,这点我认错并忏悔,再认错再忏悔…看来才刚刚高三的我还有很多人情世故方面的东西需要学习啊……


写到这里有个小插曲,
我跟DZ!NT的管理员反映了这个问题了,但他们说没必要为此专门出一个补丁,说让换用3.0版的系统就能解决,然后我就彻底无奈了。。我现在在考虑那篇文章是投稿还是不投稿呢。。
还有一点,为了不想惹麻烦,我之前把我在服务器上的所有脚印都擦了,虽然这确实是对KeyFC服务器上资料的一些改动……希望您不要见怪,我保证没有删过任何无关的东西。。

有道是不打不相识嘛,希望能成为朋友啊。
我在将来也会尽我所能关注KeyFC的安全问题的,不过下次发现漏洞我一定会第一时间先通知您的,不会再擅自行动了哈哈……

夏影






=================================================
陈大…关于论坛的“我的推广”这个功能…
发送人:SummerLight 2010/2/11 16:43:46
不好意思地问一下。这个功能是不是该给关掉。
我前天研究DZ!NT2.1代码的时候偶然间看到这里了,看见论坛原始代码在推广这个功能的代码上写得极其简陋。
甚至连基本的记录都没有。只有一个非常简单的防止重复提交的判断,但是跟没有一样……非常轻松就能绕过去。
而推广一次是可以加2点经验的。
虽然新人区的KeyFC论坛基本使用手册里写到这个东西并说这个是可供使用的。
但是这无疑成了一个合法存在的刷分手段啊。
我觉得要不然就把推广的奖励改成加一定的KP而非经验。
或者干脆把在后台把推广这项的奖励设为0吧。

P.S.
可能是我多管闲事了,我甚至已经猜到可能会有“KeyFC是一个和谐的论坛,只有别有用心的人才会去做恶意刷分这种事的。”这样的回复……(笑)
因为我并不太清楚是否有陈大有着我所不知道的,没有把这项功能关掉的理由。
总之如果是这样,就当我杞人忧天了吧。
正在努力写稿中……

夏影

话说陈大怎么又把我的积分清了……
发送人:SummerLight 2010/2/11 18:24:36
我好像没做什么违规的事情吧……


re:re:话说陈大怎么又把我的积分清了……
发送人:SummerLight 2010/2/11 18:29:22
推广啊……

我记得上次您跟我说的是
改积分是对规则的严重挑衅,这肯定是严厉惩罚的范畴。
在新人讨论区里的KeyFC论坛使用手册里有。还专门说过关于推广这一项功能的介绍……
这个应该是合法的吧,
虽然可能确实有些不合理……


re:re:re:re:话说陈大怎么又把我的积分清了……
发送人:SummerLight 2010/2/11 18:37:30
推广这个功能并不是漏洞啊。

在使用手册里不也写了这个是可以使用的么?



Laputa Chen 21:50:28
承认个错误就那么难?
回复Laputa Chen 21:50:32
那么要面子?
回复Laputa Chen 21:56:55
就像营业部你抢注别人名字那贴,公开也不敢去道个歉
回复Laputa Chen 21:57:02
就那么不明不白的放着
回复Laputa Chen 21:57:06
就喜欢顶嘴?
回复夏影 22:05:16
道歉我在很久以前就道歉过了,是在回复当事人的一篇帖子的时候说的。
营业部的那帖我就认为没必要再去单独说了。
很抱歉,有些问题我认为已经不是面子的问题了。
您是KeyFC的管理员,您在这里有绝对的权利。老实说我虽然认为您说话时总显得脾气暴躁,但是说的话还是很有道理的。
但是这件事我并不认为是认错的问题。
您可以拿那个锁的例子来驳斥我。但是这里不是现实,这里是网络的环境。
既然推广这个功能是KeyFC设立的,当初就应该考虑过这个功能会带来什么样的效果。
您如果关注新闻,也应该知道,即使有银行被人从ATM取钱,银行自己也是要负相当大程度的责任的。
在之前有过多少例子了,在网上订单,因为网站疏忽标了低价,网站自己是必须要兑现的。
如果回到锁那个例子。如果您家门锁着,我进去拿了点东西,我可能被判偷窃。
但是如果是您家门大开着,还直接立个牌子欢迎小偷入内,您觉得这时候还是判小偷的罪合适吗?
如果您觉得我在强词夺理,您可以问问周围其他论坛管理员对于漏洞的态度。
虽然不鼓励,但至少在中国的互联网环境下,利用漏洞只要不造成破坏和损失,是不违反任何规章的。

实在抱歉,我有自己的行事原则,以我的性格很难说您认为的是对的。
从之前的交涉以及帖子中也能看出您的性格大概容忍不了我这种人吧。



回复Laputa Chen 22:09:06
行了,你走吧
回复Laputa Chen 22:09:14
各有适合的地方
回复夏影 22:09:33
猜到您要这么说了。
回复夏影 22:09:48
确实我也没什么好说的了。
回复Laputa Chen 22:10:19
自己玩漏洞去吧
回复Laputa Chen 22:10:23
这里不欢迎你玩
回复夏影 22:11:17
既然这里与其他地方不同,有自己的规矩,我也就不打算继续留下了。
另外您既然说推广是漏洞,那您为什么当初还要打开这一功能?

回复Laputa Chen 22:11:42
是前任管理员开的
回复Laputa Chen 22:11:46
默认功能而已
回复Laputa Chen 22:11:59
也没打算用
回复Laputa Chen 22:12:16
嗯,以前有过你这样的人,我看还是走吧
回复Laputa Chen 22:12:39
技术宅有更好的地方去搞技术
回复夏影 22:13:11
技术宅么……这还真是多谢夸奖了。
回复夏影 22:13:39
能在有生之年听到别人这么说我还真是荣幸啊。
回复416412902 22:15:37
不过既然走了,我在最后想说一句。
您最好在使用手册里明明白白地写上,使用哪些手段做什么事会被河蟹。
在没有跟人和人说过规则的情况下就要别人抛弃公认的规则转听您的那套规则的话,我不认为是什么好事
回复Laputa Chen 22:18:08
公认的规则是可以去用论坛漏洞该积分?
回复Laputa Chen 22:18:46
漏洞是个宝,找到了你就可以去用?
回复夏影 22:26:53
您的话在逻辑上是在偷换概念。

公认的规则是,如果论坛自己有漏洞,被人利用那是论坛的问题。
如果利用漏洞并恶意造成破坏,那是刑事犯罪,您可以将损失上报给公安部门,请求他们追回损失。
但是利用漏洞进行无破坏目的的研究并不是违规行为。
您应该也知道之前的中美黑客大战和最近百度DNS被修改导致的中国一些所谓的黑客去攻击伊朗网站的事。
互联网崇尚的精神是开放自由,网络安全之所以能够成为信息技术领域的重要学科,与这种鼓励研究的精神是密不可分的。
您不要把这里看成是现实世界。确实,在KeyFC您说了算,我不过是个无名小人,我没权利对KeyFC的规则挑三拣四。
但是互联网的规则不是由您来定的。


况且上次是您说过 积分不重要 的。
我只是说说,听不听是您自己的自由。我也认为您是绝对不会听的。



回复Laputa Chen 22:28:56
积分不重要就可以让你随便改啊,你是不是也偷换概念呢
回复Laputa Chen 22:29:04
积分是不是一个规则
回复Laputa Chen 22:29:38
干什么可以加多少分你就可以去改
回复夏影 22:30:32
我说过积分不重要就可以随便改吗?
您这是断章取义吧。

如果照您所说,
积分是不是一个规则
干什么可以加多少分你就可以去改
点一次推广就可以加2经验是不是KeyFC的规则?
回复夏影 22:30:48
您这不是在自己反驳自己吗?
回复Laputa Chen 22:30:50
嗯,那何为推广?
回复Laputa Chen 22:31:00
真的有那么多人点了你的链接?
回复Laputa Chen 22:31:12
有那么多人来KFC看过了?
回复Laputa Chen 22:31:48
嗯,我改了积分规则,你再去改,大家都去改,都去玩漏洞,何为规则?
回复Laputa Chen 22:32:46
你的推广链接发在了哪里?
回复Laputa Chen 22:33:06
不还是利用个漏洞玩
回复Laputa Chen 22:34:04
管理员可以改积分规则,所以你也可以改积分?
回复Laputa Chen 22:34:21
大家只要会用漏洞都可以改积分?
回复Laputa Chen 22:37:03
反正改积分不是恶意,你去其他论坛改过没?别人欣赏你的善意吗?
回复夏影 22:38:59
您口口声声说这是漏洞,
但这个又哪里是漏洞?

又有哪里说过那么多人点击链接才加经验?

您可以这么说,因为您有权利定义“推广”

但是论坛显示给外面的规则却是,点一下推广就可以加2经验。
您要是真这么定义推广您完全可以去找自己定义,注册一个用户给推广者加5分,这才是大众所谓的推广。

况且,您管这个叫改积分?

我点这些推广链接,我没有付出劳动吗?

既然论坛自己设定这样的规则,那我也应该是劳动所得。您认为您在这方面设置的积分规则有问题,就能说用这种方法劳动获取积分的人是在作弊?
举个例子。您指挥工作,有两种活,第一种干半天得1块钱,第二种干一会得100块钱。
您没要求用什么方法干,只要求有结果。
然后有人用第二种方法赚了钱,您就说那个人作弊吗?

另外,很奇怪您怎么会问这种问题,您以为我为什么会在别的论坛当安全顾问?
不同人对这种事的看法是不同的。
您认为您这里您说了算,那我也就没什么好说的了。
我都说了,不要用您自己的规则理解公认的规则。
回复Laputa Chen 22:39:51
嗯,你还可以多改几个论坛看看
回复Laputa Chen 22:40:27
嗯,那之前用我的ID加分算是用漏洞了吧
回复夏影 22:40:40
没错啊,这我已经承认了
回复Laputa Chen 22:40:43
你自己也说这样不合理
回复夏影 22:41:20
对,那次我认错了。
您没觉得我这两次态度180度大转弯么
粘土火星 - 2010/2/16 9:56:00
嘿,你的黄字估计没有依据哦,当年那位小同学愤愤不平来说360后门问题的贴还留着呢,这个自然不会被和谐啦

从我个人来讲,考虑小同学年龄,最初的错误其实并不是特别严重的问题,可以原谅,如果换在别的地方挂论坛公告删id其实也不过分,当时也不过就是清分处理罢了,如果这样的理解成了掩盖真相,当时是不是不如开诚布公热烈欢送。

从安全的角度上,并不是说研究漏洞就因该驱逐,只破坏不建设,确实他并非出于恶意,但是再小的破坏也掩盖不了本质上的错误问题,只说漏洞补上了没有任何细节这实在不符合作为漏洞发现者应该尽到的责任,行业内就连瑞星揭发360漏洞也有分析代码,在这个问题上小同学有点闪烁其词有点说不过去。漏洞是不能回避,但是你也不能什么也不说就说论坛有漏洞让我们去查每一个.cs和.aspx对吧。

何况后来做法确实有点欠妥,开放iframe方式推广就能轻松赚分是论坛设置上的失误,但这并不表明我们需要通过这种方式换流量,但小同学作为漏洞发现者还是没有第一时间通知论坛方面,反倒是完全是赌气式的刷分行为,这种方式得来的积分对于辛苦发帖得积分的人来讲算不算是不劳而获呢,你们觉得这就十分公平吗?网络游戏使用外挂或者利用游戏设计缺陷作弊得的经验装备难道都是合法所得??

KFC以前也不是没有经历过小小的恶作剧刷分骗KP之类的,像mdk,misha大等等,但是人家做完,会及时补救,并且退还自己不该得的东西,而不是计较那点被清零的积分。

就iframe推广方式来说,再次强调我们并不是很需要这些流量,开放这个功能并非本意,许多年前雨辰大们成立这个网站的意义就是给喜欢的人开放的,并不是说一天要做到多少多少PV,一个月要有多少访问流量,要收多少广告的钱,不知道几位小同学有没有注意到我们除了论坛内热门话题放一个Flash以外基本没有广告,难道这样的网站能利用推广获得流量赚钱??当年申请Google关键字还经过全论坛投票通过才有的。

何况iframe方式对于浏览器来说十分隐蔽,对于浏览你们学校网站的人来说,我们的推广链接完全是多余内容,是不应该存在的东西。你们作为网站内容提供者和维护者,应该维护的是自己网站用户和访问者的利益和浏览体验,对用户负责应该尽力提高自己网站内容质量,不是用其他不相关的内容充斥页面,如果你们隐藏了iframme的显示方式就觉得没有影响也是不对的,这不但不符合你们推广的意义,而且也浪费了用户的电脑处理器,这不是说老师同意了可以放就没有问题,你们有这个能力是不错,但你们征求过学校网站用户的意见吗?虽然这个推广你们的动机是好的,也不是出于恶意,但是这样做是不对的。

我也是高中的时候来的KFC,当年也很喜欢秀些技术进进别人机器,但是一定要清楚有些事情是可以做,有些事情绝对不可以,能力越大责任越大,越应该想清楚怎样正确使用能力。

既然是发泄过后,那么希望两位小同学能保持理性想一想自己的行为,看清楚什么是正确的事情,什么事大家都在做却是不对的。

PS:老陈不要太和高中生计较啦,不过咱们确实要求要用正当手段干活,而不是不择手段只追求结果wwww,这样怎么还好意思指责别人掩盖真相呢??
南冬明 - 2010/2/16 11:40:00
我注册的时候你们说积分不重要。。我头像都改不了,还说不重要?郁闷死我了。
粘土火星 - 2010/2/16 11:42:00
原帖由 南冬明 于 2010/2/16 11:40:00 发表
我注册的时候你们说积分不重要。。我头像都改不了,还说不重要?郁闷死我了。


老陈接客
nemoma - 2010/2/16 11:53:00
嘿……
第一个关于漏洞的问题,如果想测试漏洞的话可以申请个免费的Windows主机空间装DZNT来测试啊
不知道哪里找? http://free8.com/
要知道你在一个Production Server上面测试漏洞万一出了啥偏差怎么办?
关于推广积分那啥的……
我一直认为积分啥的只不过是数据库中的一个字段得了,为了数据库中的一个字段这么认真何必……推广放在那里或者关掉我认为这个和用户层都没有而且不应该有什么关系。搞不清楚为什么每个论坛都有人纠结这所谓的积分……
…………
laputachen - 2010/2/16 11:57:00
第一级用户现在已经可以上传头像了。11楼说的不能改头像是不能在KFC上传头像吧,自己在其他地方传好了设好地址就可以改,不会用可以去新人区问……
粘土火星 - 2010/2/16 12:05:00
原帖由 nemoma 于 2010/2/16 11:53:00 发表
嘿……
第一个关于漏洞的问题,如果想测试漏洞的话可以申请个免费的Windows主机空间装DZNT来测试啊
不知道哪里找? http://free8.com/
要知道你在一个Production Server上面测试漏洞万一出了啥偏差怎么办?
关于推广积分那啥的……
我一直认为积分啥的只不过是数据库中的一个字段得了,为了数据库中的一个字段这么认真何必……推广放在那里或


就是嘛,最有价值的学分这么多年我一个都没有哦www
1=1 - 2010/2/16 13:06:00
真有心也是发现后自己改掉再发信通知管理员
黑客准则里侵入系统修改的东西都要改回来,所以你不要玷污黑客这个名词
充其量也只是cracker而已
既然你也知道积分不过是浮云,是论坛上的数据而已,何必如此在意?
kameu03 - 2010/2/16 15:03:00
SummerLight:
公认的规则是,如果论坛自己有漏洞,被人利用那是论坛的问题。
如果利用漏洞并恶意造成破坏,那是刑事犯罪,您可以将损失上报给公安部门,请求他们追回损失。
但是利用漏洞进行无破坏目的的研究并不是违规行为。


相信SummerLight同学和管理员最大分歧就出现在这一点上吧。
他相信不好好处理好漏洞的问题,即使被人利用,要怪也只能怪网站管理不善。
只要不是「恶意破坏」就可以接受,甚至那是「公认的规则」。
请问该如何去定义「恶意破坏」,又冯什么理由认为这就是「公认的规则」。

利用漏洞为自己的账户加分,不正正是破获了kfc一直以来根据表现加分的制度吗 ?
难道非要出现用户的利益损失,或是令大量资料遗失才算得上是破坏来着?
到处纵火烧车是破坏,在公共地方糊乱涂鸦也是破坏,不能因为损失不大就不视为犯罪和破坏。
只要事情被判定为破坏,破坏者是否带有恶意对事情本身没有重要性可言。
甚至可以说,你是否有恶意并不是由自己来决定的,那是由受害者和判决犯罪的人来定义。

另外,如果那同学所说的看法真的是「公认的规则」,出现这么多人不认同岂不是很讽刺。
在香港,利用网站上的漏洞为自己获得好处,视为不诚实使用互联网,那是可判入监狱的严重犯罪。
如果你不认同这种法律的话,你大可以公然说出它不合理的地方,甚至去挑战它。
但请不要误以为,少部分人在网络上为自己利用漏洞的行为辩护,会被视为大多数人认同的规则。

对我而言,犯了罪却认为自己是在做好事的人,是最无药可救和最不值得愿谅的人。
甚至比起恶意犯罪的人更令人讨厌,因为那是利用自己的善意当作挡箭牌,滥用了其他人的同情心。
就像我在这帖最后一段说的话,请不要以为自己想的就是正确的,除非你是个与凡人相处不了的天才。
http://keyfc.net/bbs/showtopic-36706.aspx
zero4 - 2010/2/16 15:22:00
当周围人都能看出来谁为人处事出了问题,还一再的拿技术无罪作为立场,我觉得这对于过于钻死胡同的年轻人来说真的需要警醒。
这里回答的人都明确的告诉你们:对不起,你们做得不对,这就是一个公众的道德线。
而如果钻技术过于凶狠而只以所谓技术准则,黑客准则作为自己判断正误的道德标准的话,不好意思我说重一点的话:如果不加控制发展到最后,即使SL同学保送上了清华以后都是上社会版头条的主。
现实社会里,在你小的时候,母亲会告诉你这个不行,那个不可以。这样你才能在社会上这样健康的活下去。
网络你呢?谁会在关键的时候打你的手?
watashia - 2010/2/16 15:41:00
技术无罪倒没错,不然错的就是技术,不是用技术的人了 :miffy4:
=久远苍月= - 2010/2/16 16:11:00
请各位体谅论坛管理的难处吧,,,发泄可以但也需要理解,,,老陈他们也是很难的,有技术很好,但是这是大家的论坛,是大家理想的地方,随意改变这点真的很难让人接受,,
天吹柳风 - 2010/2/16 16:26:00
看完了整个故事的真相,我明白了

明明可以以“感谢SL同学发现了KFC严重漏洞而及时上报”为标题的公共发贴
却变成了“SL同学利用漏洞修改了用户积分被清空了积分”为终,

SL同学错就错在先改后揭这一点,明明知道了漏洞的存在而却利用它做成事后再开诚布公的说你们KFC有漏洞,这除了让人想到挑战外别无它想。一个不想起争端的人,一定会想到更好的处理的方法的……

还是那句话:利用KFC的服务器为实验品白老鼠而去满足自己的求知欲和虚荣心很自私哦。就好像自己成功推倒KFC的服务器娘后对大家说,你们的服务器娘有漏洞,轻轻松松什么人都能推倒呢,你们要小心哦,不要再让她被推倒了一样。
永恒的妖精乡 - 2010/2/16 16:45:00
在下对人际学还是有点研究的,其实事情没什么的
夏影是没有恶意的,这点大家都知道,
从夏影的角度来说,他认为自己只是玩玩,对服务器没什么很大的影响。
他改分无疑是沉醉在一种想让别人有“这个人好厉害,能改分哦”类似的想法
而他告诉老陈也是想得到老陈的感谢和称赞。
而从人际学上说,每个人都想得到他人的认可和称赞。
但是他没做的是从老陈的角度来说
夏影同学只是一个捣乱分子
我们可以考虑下如果老陈突然收到信息
“你的网站有漏洞,我把自己的分改了,顺便帮你们修理了下”类似的话
无论是谁都会生气的吧
人们最难做到的就是只从自己的角度去考虑问题而不是去思考别人的处境。
大家一时生气作出点出格的事相信都能被理解
所以也拜托LZ让夏影回来
这件事也就这么过去吧:miffy5:
ceruleanpearl - 2010/2/16 19:24:00
這件事各位版主及管理員已經說得很清楚,我也不再評論
不過倒是想分享很多年前發生的一件事

那時論壇剛出現了時間限制代碼,瓦瓦就用於一篇生日賀文上加密
當時我一時好奇就嘗試破解窺看,結果成功了,並且將內容發表出來
結果事件很快就解決掉了,是不幸中的大幸

我想這與今次summerlight的事件,性質是一樣的。不過現在想起那時自己的小白,還真有點懷念啊
wstcg - 2010/2/16 20:10:00
这个怎么看都是做黑客的不对吧
Prz - 2010/2/16 20:25:00
怎么说呢?
SL还年轻,没有与太多的人打交道,不懂得社会的复杂性——做好事也要考虑方式和方法,不然一样会被人骂。
就像最近Google的Buzz,为用户提供了未经许可的服务。
虽然它坚持为用户提供了十多年的高质量服务,虽然它的服务都是免费的,结果还是被一些愤怒的用户怒骂"F**k u Google"。

不过, LC的反应有点过于...冷硬了,如果是我的话,会说一些表扬的话,然后积分清零。
毕竟胡萝卜和大棒要交替使用,不然就审美疲劳了。
岁月 - 2010/2/16 21:33:00
=v=那啥,如果1个大盗到了家里然后发现这家东西不咋的,突然发个善心帮换个几样好的在留个言个主人说,你东西如何如何,我看不过去,帮你换了点。
如果你遇到这情况该如何反应?1.庆幸自己幸运 2.赶紧换把报警并且加固安全措施
======================================我分=======================
虽然上述类比不是很妥当,但我看完帖子下来的第1个联想是这个:miffy12: 嘛,有些事即使能自己处理掉也是否先直接通知下对方,询问下对方意见是不是比较好呢?
这贴的连接可以发去KFC的历史大事记了吧:miffy14:
liknight - 2010/2/16 21:42:00
我想到当年那个碰巧下载到内部汉化图片然后公布出来的老兄了,毫无疑问这个是后来汉化组停摆的导火索

当年看到这种很有理的人还有兴趣去辩辩,现在突然觉得天好蓝,悬浮颗粒物好飘逸,棒子好纯真,中国队好受……然后就没动力去说了
Shadowball - 2010/2/17 6:25:00
事实上这篇文章我真不知道该发不该发。

昨天那篇帖子是我发的。大家的回复我也认真读过了,首先对大家的批评表示感谢。虽然我所说的东西很偏激但是大家的回复基本上(虽然只是基本上)很客观很友好。真的是很感谢大家能听这些我提出的一孔之见,谢谢。(题外一句,我设置成橙字就是因为和版面颜色接近就是为了达到“不醒目”的效果,因为我确实不太清楚规则,怎么大家反倒把注意力集中到那里去了?)

不废话了,下面才是正事。

应该说,发这篇的目的是因为,昨天的帖子中从1L开始就一直有人认为事情的重点是“夏影大用漏洞改了积分被陈大和谐然后认为自己有理。”,在之后的回复几乎都是关于这方面铺天盖地的批判。但是事实上呢?这些东西早就偏离我想表达的主题了。

所以我在这里重开一帖,为了明确我的意见的主题。

正如大家所知的,事情大体上的经过其实很简单,
第一次是夏影大处于好奇或某种不可告人的目的花了好几天研究DNT的代码,发现了一个不算小的漏洞,于是便利用这个漏洞改了积分,补漏洞后闪人。
第二次是后来夏影大似乎不愿认输,于是便又借助推广这一功能弄了一堆积分,然后给陈大PM,结果这次被陈大直接清积分,成了整起事件的导火索。

大家几乎把所有的精力都放在了第一次事件上,然后因此而指责夏影大“黑客还黑得有理来了么?”“以违法来证明法律”“犯了罪却认为自己是在做好事的人”,但是我想问一句,你们纠缠这件事有意义吗?您可以自己去看看之前那些帖子,夏影利用漏洞这件事上已经非常诚恳地认错并忏悔了,这件事都已经过去了,也从来没有人说“这件事是做得是正确的”这样的话。但是有些人却揪住这一点不放,斥责他人,我觉得这些人是否也应该自重一下呢?

有些要失控,镇静下。

事实上我在帖子中所要说的主要是后来第二次的这件事。应该说双方矛盾冲突就是由这件事起来的。对于这件事我知道得比第一件事还要多一些。正如超版所说,“这并不表明我们需要通过这种方式换流量”,我相信夏影大这么做也并非是为了给KeyFC刷访问量的,可能更大意义上是因为之前陈大对他说“以任何原因用漏洞获取积分都会被惩罚”,所以他想要迫使陈大承认“不用漏洞我照样可以弄到积分”这种孩子气式的赌气念头。并且这次他在刷够了一定积分后立刻就PM了陈大,说明了积分来源、推广制度的一些问题和改进建议等,我觉得这至少说明夏影大是比较诚心的。虽然说有人认为“发现制度漏洞就该说清楚,自己利用了再去汇报纯属装好人”,但是事情本身应该并非是这样。至少夏影大的PM能说明他的目的并非刷积分本身,而是希望通过刷积分这个行为证明什么。所以他在刷到一定积分后才PM陈大。虽然说这件事显得有些胡闹有些任性,但陈大却在后来无端指责夏影“玩漏洞”,我觉得这点上陈大自己是否也有些欠考虑呢?我觉得陈大在当初清积分前先与夏影大谈谈了解彼此的想法而不是直接武断地推测对方抱有恶意而直接清积分的话,事情一定不会变成现在这个样子吧。或许积分多少本身并不算什么,但是清零积分这样的操作却是对他人在论坛上的彻底否定(经验KP什么的就不说了,好感度这些东西的意义却远非积分能代表),我认为这样的惩罚实在是太过头了。虽然扣积分与清积分表面上带来的结果可能一样,但是意义却完全不同,至少夏影大在他所管理的三个论坛上不论扣分扣得再狠,还从没有过直接清零积分这样的行为。这点希望不仅陈大,所有管理员都能理解。

夏影大在给陈大的帖子中谈到了他认为“制度不合理”,但我私底下认为以一个后来被质疑不合理的制度为由去惩罚之前利用这个制度的人并不是很正确的行为。法学界历来都有规则叫做“法不溯及以往”,陈大质疑“如此利用推广功能快速获取一万多积分,是否合法?”,然而在这之前,使用推广可以刷积分是论坛自己定下的规则,而并非夏影大自己发现的技术上的漏洞,这要说的话也只能说是论坛制度上的问题。并非论坛因为自己的规则制定得不合理就可以以此为原因惩罚利用这种制度的人。更何况提出这个制度不合理的正是夏影大本人。

几乎所有人都说夏影大这么做是为了“显摆技术”。但我觉得这并不是为了炫耀。如果真是为了炫耀,即使不干出什么破坏性的事,以管理员的名义发个公告可能相对来说更张扬些吧。这件事本身可能更主要是夏影大自己的自我证明而已,他的所作所为应该并没有所谓的“破坏氛围”。诚然,论坛确实需要和谐,但是我觉得只要不过火,以娱乐为目的开这样一些无伤大雅的小玩笑本身并没有错。夏影大在刷够了积分后立刻就通知了陈大,应该说只是想要尝试挑战一下陈大所谓的“规则绝对论”这样的论调,刷积分这个行为本身应该也是因为追求“完胜”而已(直接回一句“我用推广照样能刷积分”和将结果摆到对方眼前用事实说话效果显然不一样),夏影大想表达的就是“规则不是绝对的”(这是他的座右铭…),他并非喜欢钻制度的空子的那种人,只是喜欢去寻找制度的漏洞而已。本质上来说他并没造成什么破坏,他也没公开叫嚣过“老子的积分上万了!哈哈哈哈哈~”之类的话,我相信如果不是那篇帖子,事实上应该很少有人发现夏影的积分变了吧(第一个人发现的时候夏影大都已经给陈大PM完了)。夏影大一直想要证明并让陈大承认“不用漏洞也一样可以刷到积分”,然而在接下来的交谈中陈大却一直指责夏影大还是在“玩漏洞”,这样的事在旁观者看来可能确实无聊。但是我大概能理解夏影大当时的心情,自己一直努力想让对方承认的事却被对方无端否认,这样的感觉确实很不好受,所以夏影大在之后的交谈中显得情绪激动也就不足为怪了。


在我们几个好友之中,夏影小我两岁,还只是个高中生。基本上还处于不太懂事,喜欢恶作剧,执著于许多无聊小事的年龄,但他的责任心与热心帮助他人的性格却使我由衷地敬佩他。正因如此我才希望能够在这里充当一回调解人,因为我并不希望他怀着这样一种阴暗心情离开这里。说到底,本来后来这件事只是年轻人争强好胜而已。可能您觉得夏影大试图挑战您的权威,感到很不爽,也可能您没有了解夏影大本来的意图。但是您不能否认后来那次他没有任何捣乱的意思,整个行为也没打算弄得满城风雨举人皆知,只是纯粹的想要跟您证明您之前的观点是错误的而已。我所说真正想说的也就是这个。关于夏影大那边我会亲自去谈。这件事因为夏影大本身也是受到伤害的当事人之一,以他的性格可能确实很难在这件事上低头认错。所以在这里我以我个人的名义公开向各位道歉,并征求各位的原谅。同时希望夏影大和陈大都能够各退一步,握手言和。至少希望陈大能恢复他的账号和原本的积分,并且有可能的话能有机会的话开诚布公地跟夏影大聊一聊。大家握手言和不才是最好的结果吗?

之后是对于一些评论的回复

真有心也是发现后自己改掉再发信通知管理员
黑客准则里侵入系统修改的东西都要改回来,所以你不要玷污黑客这个名词
充其量也只是cracker而已

虽然说大体上大家说的都很对,但是我觉得这位说话实在是过分了!我们有自称黑客过吗?请你不要随意自己玷污这种词以后再把责任扣到我们头上来!没错,我们是业余研究网络安全的,但是研究网络安全的就能被称为黑客吗?这种神圣的称谓我们从来没想,也从来不敢放到自己身上。如果您自己认为您给我们扣上这么一顶帽子就可以随便站在道德的制高点上批驳我们那您就大错特错了!真正要是说玷污这个词的也不是我们而是随意说别人是黑客的您自己!

只说漏洞补上了没有任何细节这实在不符合作为漏洞发现者应该尽到的责任,行业内就连瑞星揭发360漏洞也有分析代码,在这个问题上小同学有点闪烁其词有点说不过去。漏洞是不能回避,但是你也不能什么也不说就说论坛有漏洞让我们去查每一个.cs和.aspx对吧。

抱歉漏洞这点不便透露是有原因的,具体原因夏影大和陈大的聊天中也谈到过了。这并非是放到网上一搜能搜出一大堆文章的那种漏洞,如果是的话我们直接给您一个链接就好了也不费什么事,但是这个漏洞是我们自己研究发现的,之前并没有他人发过。这里有我们自己的苦衷,我希望您如果可以的话能够体谅一下。对于我们这类纯拿学习技术当兴趣的人来说,技术资料这类东西是无论如何都不希望外泄的。或许对于您这种大人来说,接下来会觉得看了笑话,然而对于我们,关于漏洞原理分析的文章投稿给杂志是重要的资金来源。夏影大只是一介高中生,并且不太习惯向家里要钱,基本上这是他平时生活费的唯一来源了。他也已经跟陈大讲过“请原谅我因为这种自私的理由不愿向论坛的管理员公开此漏洞。所以我才手动将漏洞修复了。向官方秘密公布漏洞,然后向杂志社投稿,这样在文章发表出来时官方已经出了漏洞补丁,这样才可以在保证尽可能不影响网络秩序的前提下获取经济收益。然而我也不希望看到在将来或许某一天我投给杂志的稿件被发表出来后会看到KeyFC因为没有及时更新系统成为那些无良黑客的攻击目标,所以我唯一能做的就是在投稿前擅自下手自己把漏洞修补了。在您看来这或许是非常自私,或者挑战规则的行为,但是这是我学习这个的守则,我由衷地希望您能理解和体谅。”。瑞星揭发360那是商业行为,但是不是所有人都能那么大气,所以在这点上“不符合作为漏洞发现者应该尽到的责任”还真的是抱歉了。

SL同学……

这个……这条回复算是扯淡吧。我一直特别怕看到有人这么称呼夏影大,原因是我们几个好友对外自称是“蓝色幻想号”舰组成员,夏影大是舰长,我很荣幸地是CIC……我们几个互相之间的网名都比较统一而且很有特点,都是从别处直接挪用过来的组合词,Summerlight,Startear,Shadowball,SailorMoon,StrikeFreedom。
之后有一次夏影大被人用SL这么称呼,自嘲地说“这是在讽刺我喜欢用SL大法么?”
然后Startear:“我怎么会和股票扯上关系……”
StrikeFreedom:“这缩写确实很符合我的爱好。”
我:“我可以保持沉默么?”
SailorMoon:“你们慢慢聊,我出去散步……”
所以我回复的时候从来都直接说“夏影大”。。。。
zbb1991 - 2010/2/17 8:07:00
那个,字太多了,我看不过来,,,,下次能简略点吗?
laputachen - 2010/2/17 8:38:00
同一件事楼上没必要再开个主题,KeyFC不是那种只看主题不看回帖的论坛,认真的回帖不会被埋没无视的。

而楼主更多是要想到,从夏影一开始恶意抢注其他人的用户名,而且装傻说要管理员修复改名制度的这个漏洞,并不肯公开承认及道歉自己的行为,就难以让人喜欢。

开论坛不是摆擂台,不是大家来斗技术,斗规则漏洞,斗个高下的地方。KeyFC欢迎的是真正用心发帖,诚恳交友的同学,而不是到处找漏洞找规则缺陷的擂台。

历史上发现KeyFC技术漏洞、版规漏洞的人也不少,并以之为有理,因为版规没说,规则没说,没有违反规则就是有理。而规则非万能,我相信以各位的聪明才智以后还会发现各种漏洞,发现版规没有清晰定义的空白,发现版规索引过时或甚至写错的地方,但KeyFC更多讲的是一个氛围,或者说人际基本的礼貌与和谐,不是根据版规行事的机器。之所以有管理员有版主,不光是为了执行规则,更多是为了引导氛围,引导论坛向一个长期以来维持的氛围走下去。而氛围很难去定义,而只能有人去把握,使版规和氛围相辅相成。楼主可以花些时间看看KeyFC的历史包括黑历史,翻翻老帖精华帖,体验一下这个论坛和其他论坛有何不同,也许会想到为何我会对不去诚恳的认真发帖而到处钻洞找规则缺陷的人如此不欢迎。

总的来说,如果你是一个向往Key一般的真情和感动、尊重论坛氛围的人,你一定会在KeyFC找到属于自己的温暖和快乐,事实上我相信KeyFC大多数人是如此。而如果你喜欢走旁门左道,不跟着论坛引导的方向走,不讲究基本的社会规则和礼貌,去找规则缺陷钻空子,或死守规则不通人情,你终究不会在这里开心,会像历史上那些同样如此人一样忿忿不平的离开,伤心的离开,高调的告别离开,或者默默的离开。

关于规则的定义与解释之战,这里再次推荐一个经典黑历史:
http://www.keyfc.net/bbs/showtopic-10206.aspx

大概讲的是,一位KeyFC知名的老画师发了一张图,图已不在,大概是一个完全平胸的科幻卡通人物,上身没穿衣服,胸前画了两点,被sorabeam~认为违反了不能露点的规则删掉。而管理员Taishen认为他处理得不对,从而引起争执,导致了他的离去。

从规则上看,这张图明显是“露点”了,而是不是应该删掉呢?各位自有评论,改日其实可以开个考古专题来讨论一下……
12
查看完整版本: 有点愤愤不平,发泄下。