网上流传的所谓「支付宝偷偷添加根证书,将造成安全隐患」的说法是否正确?
流言的起源与核心论点
简单来说,这个说法的主要观点是:支付宝应用在安装或更新的过程中,会在用户的手机操作系统中添加自己的“根证书”。而一旦支付宝的应用本身存在安全漏洞,或者其根证书被滥用,那么理论上黑客就可以利用这个被信任的证书来伪造其他网站或服务,从而窃取用户的敏感信息,比如账号密码、银行卡信息等,造成严重的“中间人攻击”。
大家之所以会对此产生警惕,是因为我们日常上网时,浏览器会检查网站的SSL/TLS证书是否由受信任的根证书机构颁发。如果证书有效且由信任的机构颁发,浏览器就会显示安全连接的标志(例如绿色小锁)。如果支付宝添加了自己的根证书,并且这个证书被系统视为“信任”的,那么理论上就存在被第三方恶意利用的可能性。
技术解析:关于“根证书”和“信任锚”
为了理解这个问题,我们需要先弄清楚什么是根证书,以及它们在网络安全中的作用。
根证书 (Root Certificate):想象一下,在互联网世界里,有一套非常严格的身份验证体系。每个网站为了证明自己的身份(比如这个网站确实是某个银行的官方网站,而不是假的钓鱼网站),都需要向一个被称为“证书颁发机构”(Certificate Authority,简称CA)的第三方机构申请一个数字证书。
信任链 (Trust Chain):CA机构本身也需要被证明是可信的。所以,CA机构会使用一个“根证书”来对它自己颁发的证书进行签名。这个根证书是整个信任体系的最顶端,就像一个皇冠上的宝石,被认为是绝对可靠的。
信任锚 (Trust Anchor):我们手机、电脑的操作系统以及浏览器,都会预装一套由操作系统厂商或浏览器厂商预先审核并信任的根证书列表。当你的设备访问一个HTTPS网站时,它会沿着网站提供的证书链往上追溯,直到找到一个在它本地信任列表中的根证书。如果找到了,就说明这个证书链是可信的,连接就是安全的。这个列表中的根证书,就是所谓的“信任锚”。
支付宝添加根证书的可能性与现实
那么,支付宝“偷偷添加”根证书的说法,究竟是怎样一回事呢?
1. 系统级添加根证书的门槛:一般来说,一个应用要在用户的操作系统层面添加根证书,需要获得非常高的权限。在大多数现代操作系统(如iOS、Android)中,这通常需要用户主动进行“系统设置”中的“安全与隐私”等相关操作,并且会伴随有明确的系统提示,告知用户正在信任一个未知的证书。一个“偷偷添加”的过程,意味着绕过了这些用户授权和系统提示。
2. 支付宝的真实做法可能是什么? 考虑到直接在系统层面“偷偷”添加根证书的难度和极高的风险(一旦被发现,将是对支付宝品牌信誉的毁灭性打击),更有可能的情况是,支付宝可能在应用内部使用了某种方式来拦截或解析网络流量,以实现其某些功能。
网络抓包/代理 (Network Interception/Proxy):有些应用为了实现特定的功能,比如在应用内进行安全扫描、内容过滤、用户行为分析,或者为了拦截恶意流量,可能会在设备上设置一个本地的HTTPS代理,或者以某种方式抓取应用的网络通信。
自签名证书 (SelfSigned Certificates):当应用通过这种代理方式拦截HTTPS流量时,它需要临时为它拦截的网站生成一个临时的、临时的证书,并且用自己的一个“假根证书”来签名这个临时证书。然后,它需要说服你的设备信任这个“假根证书”。
“信任应用提供的证书”机制:在Android系统中,有一个机制允许用户选择“信任自签名证书”,或者允许应用通过特定的API(如Network Security Configuration)来使用它自己的证书进行网络通信(前提是需要用户授权,或者在测试环境中)。支付宝的应用可能利用了这样的机制,但通常会伴随用户授权的流程。例如,在某些特殊功能(如支付安全检测、网络加速等)开启时,可能会提示用户安装一个由支付宝提供的“安全证书”,这其实就是在设备上信任了它用于网络通信的证书。
3. “安全隐患”的界定:如果支付宝通过这种方式添加了证书,并且这个证书被用作了信任锚,那么理论上讲,如果支付宝的应用存在漏洞,或者其证书管理不当,就会存在被滥用的风险。
正面功能:支付宝进行此类操作,很可能是为了实现一些它认为对用户有利的安全功能,例如检测支付过程中是否存在中间人攻击,过滤可疑网络请求,或者为了优化其网络连接。
负面风险:一旦支付宝的应用本身出现安全漏洞,或者其私钥泄露,或者其信任的证书被第三方非法获取并使用,那么这个被信任的证书就可能被不法分子利用,冒充支付宝或其他服务,从而实施钓鱼或窃取信息的攻击。
对现有信息和用户担忧的分析
“偷偷添加”是否属实? 严格来说,“偷偷”二字可能带有夸大的成分。一个大型互联网公司,在没有引起用户注意或未经过用户明确同意(即使是隐晦的同意)的情况下,直接在操作系统核心信任链中植入一个证书,这在技术上和声誉上都是非常困难且高风险的。更现实的情况可能是,它在某个功能开启的过程中,通过引导用户操作,或者在应用程序的权限申请中包含了相关内容,从而在设备上建立了一个“信任”。
是否存在安全隐患? 理论上存在,但实际风险需要辩证看待。
支付宝的声誉与监管:支付宝作为一家在中国用户基数庞大的金融科技公司,其安全体系受到极其严格的监管和公众的监督。大规模、系统性的安全漏洞或滥用行为,一旦发生,将对其品牌和业务造成毁灭性的打击。
应用内部的安全措施:即使引入了自身的证书机制,支付宝的应用内部也会有其他多层安全防护措施来防止被滥用或绕过。
用户授权的界限:如果支付宝的证书添加流程涉及到用户授权,那么用户的知情权和选择权是关键。用户是否充分理解了授权的含义,以及授权的范围,这是用户需要关注的。
非支付宝应用是否能利用? 如果支付宝只是在自己的应用内部使用一个证书来进行网络通信,并且这个证书没有被添加到操作系统的“系统根证书”列表中,那么其他不相关的第三方应用是无法直接利用它来进行钓鱼的。问题在于,如果它真的被添加到了系统信任列表,那么风险就会放大。
结论与建议
综合来看,“支付宝偷偷添加根证书,将造成安全隐患”的说法,在理论层面指出了一个潜在的技术风险,但“偷偷添加”的说法可能过于绝对和煽动性。更准确的理解是,支付宝可能在特定功能下,通过某种方式(包括可能的用户授权流程)在其运行的环境中引入了用于网络通信的证书,以实现其安全或功能需求。
关键在于:
1. 这种证书是否被添加到操作系统的“系统信任列表”? 如果是,且没有充分的用户知情和同意,那么确实存在安全隐患。
2. 支付宝自身是否存在安全漏洞? 如果存在,理论上这个证书可能被滥用。
用户应该怎么做?
保持警惕,但不过度恐慌:理解背后的技术原理,避免盲目相信未经证实的传言。
留意授权提示:在安装或更新支付宝时,如果出现要求安装证书或信任某些安全设置的提示,一定要仔细阅读并理解其内容,再决定是否同意。不确定的情况下,可以暂时拒绝。
及时更新应用和系统:确保支付宝应用和手机操作系统都更新到最新版本,这有助于修补已知的安全漏洞。
关注官方信息:如对相关安全问题有疑虑,可以关注支付宝的官方公告或技术解读,了解其具体做法和安全措施。
总而言之,网络安全是一个复杂的话题,许多说法可能只是触及了问题的冰山一角。对于普通用户来说,保持理性的态度,了解基本原理,并留意应用的行为,是保护自身信息安全的关键。
网友意见
最后更新于,2013-12-21 15:50
本文是12306和招行的软文,脑残黑请出门右拐。
正确。
未经用户许可偷偷添加根证书信任是非常严重的行为!
关键点在未经用户许可,这种行为好比,你请支付宝到你家来做客,结果他把你家的钥匙给偷偷配了一把。
作为支付宝,请求用户信任其颁发的证书,是合理的!
但是偷偷的跟用户的保安说,这用户是我的哥们儿,以后我介绍的人你就不要盘问了,这种行为怎么说都不为过。
由此可见,中国的互联网主要都是一群毫无节操的公司。不要使用任何请求系统权限的所谓安全控件,才能真正的保证您的安全。
未经用户许可,利用安全控件窃取系统权限,安装根证书的行为,毋庸解释,流氓无疑。所谓安全目的,均是障目之术,毫无节操。(我在我电脑上就没有发现招行的根证书颁发机构)。
在这一点上,就连12306都比较有节操的让用户自行下载和安装,并且有其“正当目的”(HTTPS+CDN)。
下面有人评论说怎么能证明这个证书就是支付宝弄的。
很简单,先删除这个证书,然后到下面的地址下载支付宝的安全控件:
安全中心 - 支付宝然后安装,就会发现http://alibaba.com的证书赫然出现在受信任的根证书颁发机构。
证书截图:
事实上这个证书是毫无必要的,因为即使删除这个证书,支付宝依然能够登录,除了开后门,几乎没有别的解释!
证书这货到底是什么东西:
在早期的互联网时代,我们的网站、软件,都是依赖于我们自己的信任而使用的。
例如我有一套游戏的安装程序,你从我这边拷贝过去,然后安装玩。你之所以认为这个程序能够安装游戏而不是把你的硬盘格了,完全是依赖于我告诉你的。
网站也是同理,我知道http://cmbchina.com这个地址是招商银行,是因为招行营业厅的MM告诉我的,我信任营业厅的这个MM。
这种信任是非常薄弱和糟糕的,病毒、木马就是在这种环境下肆虐横行。你从我这边拷贝的游戏安装程序,可能已经被病毒侵袭,它当然还是可以安装游戏,但同时也会安装病毒!
营业厅的MM有可能是招行的员工,也可能是个卖保险的。尽管她大概不会给我一个钓鱼的网站,但是经常会给我推销一些完全用不到的保险啥的。
在继续讨论之前,我要引入一个新的概念,信任链。
拿刚才的例子来说,你从我这边拷贝了一份游戏的安装程序。信任链是这样的:
你信任我,我是你的朋友,我没必要害你
我信任卖光盘的,他是个卖光盘的,没必要给我装病毒
卖光盘的信任刻光盘的
刻光盘的信任下载的网站
下载的网站信任上传的用户
上传的用户信任分发该份拷贝的盗版组织
…………
很显然,这么长的一个信任链,中间出现问题的可能性是非常大的。可以说,信任链越长,就越不安全。
同时,因为这一份程序在这么多人之间拷贝分发,任何一个环节感染病毒,都会导致下游所有的环节感染病毒。
证书是如何解决这两个问题的?
证书有两个功能:
1、身份标识,证明这个网站/软件/其他的发布者是谁(如微软、UBI、Google、招行)。
2、数字签名,确保这个网站/软件/等等的内容没有被任何人篡改。
第一个功能解决了信任链的问题,通过证书,我们的信任链可以变得非常的简单:用户 信任 发行者。
例如一个英雄无敌V的游戏安装程序,如果它是使用正确的UBI的证书签名的,那么我就可以完全的信任这个程序,可以给我安装一个英雄无敌V的拷贝。
第二个功能则杜绝了在分发过程中被篡改,植入病毒和木马的可能。
同样是这个英雄无敌V的游戏安装程序,只要他是被正确的UBI的证书签名了,那么不论我是从盗版光盘上拷贝还是从某个不知名的下载网站下载的,我都可以放心的知道,这个和UBI发售的光盘上的东西是一模一样的。
那么,我是怎么知道这个证书是UBI的呢?换言之,我是怎么知道哪个证书是正确的UBI的证书,而不是隔壁王二狗子自己冒充的呢?
这就依赖于证书颁发体系了。
几乎网络上所有的证书(除去用于个人用途的自签名证书以及根证书颁发机构的证书),都是由某个证书颁发机构颁发的。证书颁发机构负责核实证书申请者的真实身份(例如我们公司网站申请SSL证书就需要提交公司营业执照的影印件,还有证明自己拥有网站域名的材料),以及吊销被泄漏和滥用的的证书。
也就是说证书颁发机构,就是证书所有者身份的确认人。一旦你信任了某个证书颁发机构,就等于信任了这个证书颁发机构所颁发的所有证书的身份确认信息!
操作系统只会把确认好的身份信息展示给你!
神马是根证书颁发机构?
证书颁发机构和域名一样,是一个树状的结构,全球有为数不多的几个根证书颁发机构。这些根证书颁发机构轻易不颁发证书,因为一旦根证书颁发机构的证书被泄漏,所有直接间接的证书,都会受到严重的影响。
所以,根证书颁发机构一般授权二级证书颁发机构颁发证书,一旦信任一个根证书颁发机构,等同于信任其下所有颁发的所有证书,以及其授权的二级证书颁发机构颁发的所有证书。
更为严重的事情是,根证书颁发机构,是整个证书颁发体系中,唯一不受任何身份验证的。其身份的正确性,由其自行保证!也就是说,根证书颁发机构可以宣称自己是任何一个公司,没有任何人和组织可以对其进行审查!
换句话说,支付宝要更没节操点,给你弄个自己签发的VeriSign的根证书装你电脑里也没商量。
事实上,根证书颁发机构是整个证书体系中,最薄弱的环节。这就是为什么上次微软在操作系统中内置CNNIC这个流氓的根证书引起了网络上广泛的质疑。根证书几乎只能由操作系统内置,通过操作系统安装程序二进制代码的安全来确保正确。
下面是一个正确的证书的栗子:
这个就是支付宝网站的SSL证书。
可以看到,这里是证书路径的界面,其中指出了这个证书的颁发者:
颁发者是VeriSign Class 3 Secure Server CA - G3
颁发者的证书是受根证书颁发机构VeriSign Class 3 Public Certification Authority - G5 信任的
VeriSign Class 3 Public Certification Authority - G5
就是全球为数不多的几个根证书颁发机构之一。
所以自行添加根证书这种行为,完全可以视同是木马!是后门!甚至是更严重的行为!
尤其是在现代互联网和操作系统中,这种行为是从根本上动摇系统安全的行为!
支付宝是怎么做到的?
事实上要注入受信任的根证书颁发机构,是需要系统管理员的权限的,所以当安装安全控件的时候,系统会提示这货在请求系统管理员权限(Windows Vista及以后的版本正确配置UAC的环境下):
当你看到这个界面的时候,请注意,你在打开潘多拉的盒子。一旦你点击是,那么这个应用将获得系统管理员的所有权限,对你的系统偷摸摸的更改而无需你的确认。
请谨慎使用任何请求系统管理员权限的应用。事实上如果每次遇到这个对话框你都点击否的话,你的电脑被安装病毒木马的可能性几乎是零。
我该怎么做?
对于这种没有节操的行为,最好的办法就是把他们永远的封印起来,让他们永不超生。
打开Windows运行,然后输入mmc回车,
此时会看到一个智能控制台的界面:
选择文件菜单中的添加/删除管理单元功能。
在弹出的窗口中找到证书,并添加。
在弹出来的界面上选择本地计算机账户:
完成后,在受信任的根证书颁发机构中,找到这个臭流氓:
把它拖拽到不信任的证书下面的证书文件夹去。。。。。
然后他就不能再耍流氓了,,,,
不过要谨记,你可以把他扔到不信任的区域,流氓也能自己再弄出来,或者用安全恐吓,功能缺失来威胁用户。对待这种情况,要坚决的say no!
事实上我把这个证书给干掉了,支付宝屁事儿没有。
最后纠正一下其他答案的几个误区:
1、注入一个根证书不过是能发起中间人攻击,危害不大。
HTTP SSL加密只是证书的其中一个用途!证书在现代互联网和操作系统中的应用会越来越广泛,在可预见的将来,所有的程序、邮件、文档,全部都会使用证书加密,确保其在传输、分发过程中,不被篡改。确认发行者的身份。
事实上三大智能手机平台的应用,就是用证书来确保分发不被篡改的。
2、注入根证书颁发机构是为了自己的加密用途,是合理的。
事实上,支付宝的网站,有合法的被信任的证书(上面有截图),所以没有必要自行颁发证书。并且,如果是自行加密用途,可以在服务器记录公钥私钥即可。并没有必要颁发证书来完成安全用途。
还有所举的那些银行网站,都是一堆没有节操的公司。招行就没有安装任何证书,我使用招行专业版好好的。
证书具体有些什么用途?
HTTP SSL加密(即HTTPS协议)是证书目前最为广泛的一个用途。通过服务器SSL证书的身份验证,我们可以确认我们访问的服务器是正确的网站。涉及到资金和帐号的网站,一般都使用HTTPS协议,例如支付宝、网上银行、Google登录等。
同时,HTTP SSL加密可以确保浏览器与服务器之间的通信,不被任何第三方窃取和监听。这保障用户数据的安全,所以Gmail目前已经全面使用HTTPS协议。
中间人攻击,仅仅是根证书污染可能造成的威胁之一,也是上次CNNIC证书加入到根证书中人们所最担心的事情。
简单来说,中间人攻击的主要目的是窃取HTTPS传输过程中的内容。
具体的做法是通过网络劫持(网络运营商非常容易做到,如电信联通),在用户与目标网站之间加设代理服务器。由于HTTP协议传输过程中是不加密的,所以可以窃取所有传输的资料并进行篡改。
事实上电信一直在干这事儿,莫名其妙的电信广告弹窗就是这样冒出来的。
但由于HTTPS协议使用了证书对传输过程进行了加密,并且对服务器进行身份验证,所以简单的网络劫持加设代理便宣告无效。
但如果此时,由某个用户信任的根证书颁发机构,给这个加设的代理服务器进行身份认证,并提供传输加密。那么用户通过HTTPS协议访问网站时不会有任何的异样,而以为是安全的。
所以CNNIC根证书为什么会受到广泛的质疑,就是因为这个机构和中国电信是一个窝的。故而大家非常担心他会串通电信进行中间人攻击。
钓鱼网站伪造,尽管中间人攻击可以直接窃取用户传输的内容,如帐号密码,但是中间人攻击仍然需要对网络进行攻击来加塞代理服务器。
而伪造一个钓鱼网站,例如什么http://1cbc.com.cn则简单的多。证书颁发机构可以可以确认这个网站的身份,即使你对这个钓鱼网站存疑,但是如果浏览器告诉你这个网站是安全的,你会怎么做呢?
伪造程序签名,证书不仅仅可以确认网站的身份,以及进行传输的加密,也可以确认应用程序发布者的身份,并让你信任它。
这是一个经过签名的应用程序请求系统权限的时候的提示:
可以看到,与上面支付宝的控件请求系统权限不同,这个提示的底色已经变成了蓝色,表示这是操作系统信任的一个程序,点击查看证书信息,我们可以看到这个应用程序的证书:
这个证书可以确保这个应用程序是由Disc Soft Ltd公司发布的,并且没有被任何第三方篡改过。这意味着,这个程序包含病毒的可能性取决于Disc Soft Ltd这个公司的节操。当然一般国外软件公司的节操我还是信得过的。所以我可以放心的点击是。
而这个Disc Soft Ltd公司的身份验证,则是由上面的根证书颁发机构来确认的。
其他许多场景
在最后,我想再次强调一下,证书,是现代软件和互联网行业,最为简单便捷的确保安全的方案。其广泛运用于:软件、网站、邮件、文档等等等等的加密和验证领域。
尽管证书的应用目前并不广泛,但是证书却是未来互联网的信任的基石。
而这个基石的基础,就是用户对根证书颁发机构的绝对信任!
请注意我这里使用的是绝对信任,因为,根证书颁发机构的证书,不能被任何组织或机构所验证,因为几乎一切互联网上的验证机制,都是通过证书体系来完成的。
我举一个栗子,我如何验证我电脑上的这个VeriSign的根证书是正确的?我们可以想出很多种办法:
1、直接问我,或者问某个安全领域的砖家。
你怎么知道我或者砖家不会骗你?万一我收了别人的钱呢?或者我也被人骗了呢?
2、去VeriSign网站查询。
你怎么知道这个网站是VeriSign的?有HTTP,有绿色的小锁?问题是这些都是基于你所信任的根证书的。如果你的根证书是假的,他肯定会弄个假的网站给你认证了,反而把那个真的网站给认证成不安全的。
3、去第三方网站下载证书的校验码。
哪个网站是可信的?没有证书的情况下,所有的网站都可能被劫持,被篡改。
所以对于根证书的绝对信任,构建了整个证书体系,也是整个互联网的安全体系。
而支付宝不告知用户自动安装根证书的行为,是从根本上破坏互联网安全的行为!
那么,如果支付宝不干坏事,我信任支付宝,是否这个根证书就毫无风险?
不是的,整个互联网和软件的安全,构筑在对根证书的绝对信任上。任何一个根证书的植入,都给用户带来了一分威胁。即使支付宝不干坏事,但如果支付宝的这个证书的私钥哪天被泄露了,后果会怎样?!
你信任支付宝,但你信任支付宝对别人的认证么?
说到这里淘宝天猫卖家要笑而不语了。。。。
最后解答一下,为什么说支付宝这种行为,比起12306来说更为恶劣,因为12306也要求安装根证书才能用啊。两点:
1、这个根证书对于支付宝的使用不是必需的,而对于12306而言,在某种程度上是必须的(否则浏览器会自动阻止12306网站的HTTPS访问)。
当然,事实上12306也有麻烦自己的方案,但是国企你懂的。
2、12306是让你自行决定安装与否,这样,在使用后,你可以自行卸载或作相应处理,支付宝是强行安装,完全没有告知。
这好比,12306是给你家做装修的装修队,他说我们在这里搞装修要一个多月,你把门钥匙给我,跟门口的保安说一声让我们进来,我们好出去买材料,出出进进的方便。
支付宝呢?支付宝是你请他来你家后,转身就把你家的门钥匙配了一份,还偷偷跟你保安说,那个用户是我哥们儿,他让我随便进,还有我的朋友,也可以随便进。
尽管12306这种麻烦自己不如麻烦用户的的行为不值得提倡,但是支付宝这种不麻烦用户,把用户家当自己家的行为,则是更为无耻,没有下限的行为。
的回答浅显易懂,说的不无道理。 我想再补充一下。顺便评论一下很多人提到的CNNIC乱入Windows和Firefox根证书机构的问题。
这个问题的关键在于支付宝私自添加根证书,是否有危害,危害大不大,对吧。
评论中和其他回答(如
@刘昊)以及里面的评论对于阿里巴巴作为一个根证书机构是否具备权威性,以及安全性是否能得到保障做了很多的讨论。我认为讨论的角度有点偏。 CNNIC、12306、阿里巴巴和很多其他银行的根证书之所以不应被信任,不仅是因为它们的公正性和可信度没有得到业界和公众认可,更重要的是,它们的根证书声明了远远超出需要的权限。
什么叫远远超出需要呢?阿里巴巴和各银行的根证书如果像很多同学所说,是为了为自己的网站签名,只需要有“服务器身份验证”的权限就可以了。如果需要为各种外置UKey签名,只需要“客户端身份验证权限”,而自己的软件需要认证,只需要“代码签名”权限。
那让我们看看CNNIC声称自己用用哪些认证权限。
再来看看12306的证书
什么叫<所有>,可能大家没有概念,各位可以点开证书属性看一下
选择最下面的单选框可以看到所有的目的。上面提到的证书所声称得权限比列出的这些只多不少。
那么有威胁的权限有哪些呢?看这里
有很多各位不需要专业知识,都能看出是很过分的目的了。比如硬件驱动验证、Windows更新等等。这意味着CNNIC、12306以及Alibaba可以伪造微软的更新包或签名的驱动程序,“合法的”向你的内核插入任意代码。而这一切,由于Windows支持后台推送更新,都可以在你完全不知情的情况下发生。相比于这个安全威胁,中间人攻击什么的完全是战五渣
==============================================
对于CNNIC被微软和Firefox接纳为根证书机构的事情,这些年讨论的越来越少了。当年CNNIC进入Mozilla的根证书机构时,Mozilla社区就进行了激烈的争论。英语好的同学可以自行翻看当年的帖子。有意思的是,虽然来自中国的很多小伙伴反复列举了CNNIC过去的种种恶行(估计如果是国外的公司这么干,估计不会有人还会信任它了),Firefox的副总Johnathan Nightingale却一直在为CNNIC辩护。我不想评论Nightingale的做法。但他就事论事、讲求逻辑和证据的态度值得大家学习。
一句话,随便加根证书的都是臭流氓。SSL的安全是建立在根证书靠谱的前提下,任何根证书的不靠谱都能破坏整个SSL的安全。所有以自己堂堂正正不怕监控为由拒绝承认这个安全隐患的请自行裸奔,实名上网,主动把所有网络活动数据备份交给平平安安,否则都是自欺欺人。
类似的话题
-
关于“支付宝偷偷添加根证书,将造成安全隐患”的说法,在网上流传甚广,也引起了不少用户的担忧。要判断这个说法的真伪,我们需要深入了解它背后的技术原理和实际情况,并尝试还原这个问题的真实面貌。流言的起源与核心论点简单来说,这个说法的主要观点是:支付宝应用在安装或更新的过程中,会在用户的手机操作系统中添加............. -
.......
-
近期在网上流传的“律所黑名单”文件,确实引发了广泛的关注和讨论。要全面看待这个现象,我们需要从多个角度进行剖析,包括其可能产生的原因、影响、目的以及应对策略。一、 “律所黑名单”的可能成因与形式:首先,我们需要理解“黑名单”可能出现的背景。虽然具体文件内容不详,但“黑名单”的出现通常指向以下几种可能.............
-
网上流传的所谓“癸酉本《石头记》”指的通常是根据一些零散的、非完整版本,经由一些脂砚斋评批的旧抄本推断或“整理”出来的版本。这些版本之所以受到关注,是因为它们被认为可能更接近曹雪芹的原笔原意,或者包含了脂砚斋等早期评书人的珍贵批语,为研究《石头记》的早期面貌提供了线索。然而,将这些推测出来的版本直接.............
-
关于网上流传的季羡林先生“吐槽”和胡适先生“打牌”的日记内容,我们确实可以在一些文献资料中找到类似的记录或相关背景信息,但要判断其“属实”程度,需要仔细辨析。事情的真相往往比网络传言要复杂得多。关于季羡林先生的“吐槽”日记:网上流传的季羡林先生“吐槽”日记,最常被引用的内容似乎是指他对一些学术界现象.............
-
关于网上流传的“31上舰,歼20凉了”的说法,我们需要辩证地看待,并且要警惕那些带有极端情绪或断章取义的信息。这其中确实存在一些误解和片面解读,并非完全属实。首先,我们来分析“31上舰”的说法。“31上舰”指的是什么?这里说的“31”,通常指的是沈阳飞机工业集团有限公司(沈飞)研制的歼31/FC31.............
-
关于志愿军在朝鲜战争中的进攻方式,确实存在两种不同的说法:一种是大家熟知的“三三制”战术,另一种则认为是“人海战术”。要弄清楚哪个更接近事实,我们需要深入了解当时的历史背景、战术原则以及志愿军的实际运用。“三三制”战术的由来与特点首先,“三三制”并不是朝鲜战争才出现的,它起源于中国革命战争时期,是解.............
-
关于网上流传的宋美龄对宋庆龄的评价,其真实性与出处一直存在争议,并没有一个确切的、被广泛认可的可靠来源能够证实这段评价的真实性。网上流传的评价内容(常见版本):网上关于宋美龄评价宋庆龄的内容有很多版本,但核心思想常常围绕着姐妹情谊、政治立场差异以及对国家前途的不同选择。一些流传的版本大概是这样的: .............
-
关于网上流传的“伊朗电视台播出的女子体育节目”视频,其真实性、模拟性或恶搞性质,这确实是一个值得细究的问题。要判断其性质,我们需要结合视频内容、伊朗的社会文化背景以及媒体传播的特点来分析。首先,我们需要考虑视频的具体内容。 节目形式: 视频中展示的女子体育节目是怎样的?是介绍某种运动项目,进行比.............
-
“秦做嫁衣汉来穿,唐借隋运三百年”这句话,在网络上确实流传甚广,也触动了不少人对历史的思考。它生动地描绘了一种历史传承和发展脉络,意思是说,秦朝的制度建设为汉朝奠定了基础,而唐朝则继承和发展了隋朝的遗产,并借此延续了数百年的辉煌。那么,这句话究竟有没有道理?我们不妨从史实的角度来细细品味一下。“秦做.............
-
网上流传的“海南‘干细胞推广’:渐冻人都能治”的宣讲视频,从科学和医学伦理的角度来看,其宣称的“渐冻人都能治”的说法是极不靠谱的,甚至可以说是误导性的宣传。 这种宣传视频往往夸大其词,利用人们对绝症的绝望心理进行推销,存在极大的风险。下面我将详细分析这个问题,并尝试还原一个更自然、更人性化的讲述:首.............
-
网上流传的一些韩国古代地图,特别是那些被描述得非常夸张,例如将整个中国、日本甚至远至欧洲都纳入朝鲜半岛范围的,那些通通都不是真的。严格来说,它们更像是后人出于各种目的,比如民族主义情感、历史研究的某种猜想,或者甚至是恶搞而创作出来的。要知道,古代社会的地图绘制和现代有着天壤之别。在信息流通远不如今天.............
-
网上流传的那个“生男生女示意表”,估计不少准爸妈都好奇地看过,甚至还有人照着那个表来“规划”自己宝宝的性别。但说实话,这个表真的只是个“示意表”,靠谱度嘛……就跟你买彩票一样,纯属娱乐,不建议当真。这个“生男生女示意表”到底是什么来头?网上流传的这个表,通常是一个表格,横轴是怀孕的农历月份,纵轴是妈.............
-
2019 年深圳孔雀计划新标准:新政背后折射的城市发展脉络关于 2019 年深圳孔雀计划的新标准,虽然网上流传的版本众多,但我们可以梳理出其中最核心、最受关注的一些变化,并深入探讨这些变化背后所反映的深圳这座城市的发展方向和人才引进策略。首先,我们需要明确“孔雀计划”是什么。简单来说,这是深圳市政府.............
-
“35岁失业”这个话题确实在网上引起了广泛的讨论,也让不少人感到焦虑。要判断这究竟是危言耸听还是真实存在,我们需要从多个维度去深入分析,而不是简单地一概而论。首先,我们得承认“35岁失业”现象是真实存在的,但它并非普遍的、必然的定律。为什么会出现“35岁失业”的担忧和现象?1. 年龄歧视与用人单位.............
-
关于网上流传一篇声称是常州市教育局局长丁伟推荐的文章“中国教育沉思”是否确有此事,经过多方查找和比对,目前 没有确切的公开信息能证实常州市教育局局长丁伟曾公开推荐过这篇名为“中国教育沉思”的文章。为了尽可能详细地说明,我们需要从几个方面来分析:1. 关于文章本身: 文章内容与背景: 首先要了解这.............
-
关于网上流传的“刀工位列”中为何少见三池典太光世的名字,这背后其实涉及对“刀工位列”的理解、历史评价的形成以及传播过程中的一些偏差。要详细解释这一点,我们可以从以下几个方面来剖析:1. “刀工位列”的性质与评判标准:首先,我们需要明确“刀工位列”通常指的是什么。网上流传的刀工排名,尤其是在日本刀剑领.............
-
评价网上流传的癸酉本《红楼梦》:一份详细的梳理与探讨“癸酉本”《红楼梦》是近年来在红学界和爱好者中引起广泛关注的一个脂砚斋评点本,因其在庚申本、甲戌本等早期抄本之外,提供了更多关于《红楼梦》前八十回的评点信息,以及一些前所未见的异文、篇章结构调整等,从而引发了大量的研究和讨论。要评价癸酉本,需要从多.............
-
网上流传的“轰6N挂载类似东风17的高超声速导弹”的说法,确实引起了广泛关注和讨论。要评价这件事,我们需要从多个维度去审视,包括军事技术、战略意图以及信息传播等方面。首先,从技术层面来看,轰6N作为中国空军现役的远程战略轰炸机,经过现代化升级后,确实具备了携带和发射新型、重型弹道导弹的能力。轰6N最.............
-
关于网上流传的《道德经的惊天秘密》这类说法,咱们得辩证地看,也得扒一扒它到底靠不靠谱。首先,要明白“道德经”本身是什么。它是老子留下的哲学经典,内容博大精深,讲的是“道”——宇宙万物的本源,以及如何顺应“道”来生活。几千年来,无数人研究它、解读它,从里面汲取智慧,从中看到了各种各样的“秘密”,但这些.............
本站所有内容均为互联网搜索引擎提供的公开搜索信息,本站不存储任何数据与内容,任何内容与数据均与本站无关,如有需要请联系相关搜索引擎包括但不限于百度,google,bing,sogou 等
© 2025 tinynews.org All Rights Reserved. 百科问答小站 版权所有