每周转载:李鹏毙命,普天同庆(大量网友评论)

  李鹏这个草包总理,作为六四屠夫之一,死在“六四30周年”。有人庆贺,也有人感到遗憾——没能在他死前进行审判。
  这几天,俺整理了网友的相关评论。由于真理部的严厉审查(墙内的讨论基本都被和谐掉),本文的评论主要来自墙外(比如:Twitter)。

★相关的【外媒报道】

李鹏——民望最低的中国总理 @ 德国之声

不见图 请翻墙

在1949年中共建政以来出任总理的政治人物中,除了开国元勋周恩来之外,李鹏无疑是其中资历最深者。在其政治生涯中,李鹏担任了十年总理(1988年到1998年),十五年政治局常委(1987年到2002年),还曾担任五年名义上国家最高权力机关-全国人大的常委会委员长(1998年到2003年)。但是,李鹏在中国政坛及社会中的名望却几乎是历届总理中最低的。这一点直到其去世也没有改变,而其症结无疑是1989年的六四事件。

……

中国前总理李鹏去世,因六四事件被称为“北京屠夫” @ 纽约时报

关于李鹏最广为人知的记忆,是他作为一名令人生畏的官员、以一身中山装出现在1989年5月的电视上,宣布北京戒严,并对占领市中心天安门广场的大规模民主抗议活动的领导者予以谴责。他宣称,他们是共产党的敌人,使“广大的革命先烈用鲜血创造出来的中华人民共和国的前途和命运”面临严重威胁。
历史学家们对李鹏个人在天安门大屠杀中负有多大责任有争论。1989年6月3日深夜,中国军队开始向学生和工人发起猛烈攻击,随着坦克向天安门广场挺进,手持自动步枪的军人向人群开火,造成数百人(如果不是更多的话)死亡。6月4日凌晨,军队占领了广场。

学者们也讨论过李鹏在决定更自由派的对手赵紫阳的命运上的作用。赵紫阳在“六四”事件后被解职,并遭终生软禁,之前他曾担任中共中央总书记,名义上比李鹏的级别高。赵紫阳曾主张与学生谈判,反对对学生使用武力。赵紫阳于2005年去世。

……

1989年任中共中央总书记赵紫阳高级助手的鲍彤表示,李鹏会因两件有争议的事情被世人记住:帮助平息民主抗议活动和大力支持三峡大坝建设。但1989年被赶下台的鲍彤说,李鹏在天安门镇压中的角色是邓小平的忠实副手。“他是邓小平一个小兵,他就是象棋的一个棋子,“鲍彤周二在北京家中接受电话采访时说。“有人以为他误导了邓小平,是他影响了邓小平,邓小平跟着他犯错误了。我看这个把他看得太高了。”

直到今天,公开挑战1989年6月4日大屠杀的官方说法,在中国仍是一项政治禁忌,可能会被逮捕。但许多秉持自由主义思想的中国人希望最终能有一次实事求是的清算,并正式推翻官方对事件的定性,即学生示威者其实是外国敌对势力的工具——这一定性得到了李鹏的大力推进。

李鹏家族巨额财富,纽约时报记者再揭秘 @ VOA/美国之音

《纽约时报》长期关注和报道中国问题的资深记者傅才德在中国前总理李鹏去世之后,连续发表多篇推文,介绍李鹏家族的惊人财富,尤其是这些财富盘根错节的隐藏方式,使人们的视线再次转到李鹏子女身上。

其实,有关李鹏家族财富的传闻早就不是新闻,多年前泄露的巴拿马文件也曾让外界一窥李鹏之女李小琳财富的冰山一角。
李鹏家族的财富从何而来?他们为何能在习近平的反腐风暴中全身而退?李鹏留下的巨额财富,对他的子女是祸是福?

嘉宾: 人权组织公民力量创办人杨建利;政论作家,时局分析人士陈破空;北京独立时评人士吴强

杨建利首先为观众总结了英文推文。
李小琳的丈夫是刘智源,也是红二代,一直做生意很不成功,但是夫妻俩很富有。这是为什么呢?这是记者傅才德提出的问题。经过调查,他们发现李小琳夫妻俩在瑞士有离岸帐户,他们发现在瑞士还有一个帐户和香港一名供电大亨家族有关。所以问题就是李小琳夫妇生意做得不好,为什么这么有钱?最后证据指向三峡工程。另外一个要点是在香港会展大楼,李小琳夫妇在那里有房产,别的红色家族也在那里有房产。

吴强补充说:
中共高层在全球资产配置方面有需要,这个需要比中产阶级的全球资产配置需要大得多。习近平提出“人类命运共同体”时候有两个层次的含义。第一层就是中国和亚非拉很多威权专制国家是命运共同体,大家要相互支持,否则都完蛋。第二层含义红二代以及相关人等必须要向元首效忠,只有这样才能进入到命运共同体中,你的财产和地位才可以得到保护。

……

习近平为李鹏送终,胡锦涛、温家宝、朱镕基何故缺席? @ RFI/法广

胡锦涛没有出席李鹏的葬礼,官方的说法是他在外地送花圈表示哀悼。有人分析胡锦涛可能得了重病,但另一种分析怀疑胡锦涛并不愿意参加李鹏的告别仪式。为李鹏送终,各位前任或现任都很清楚,意味着在这样一种特别仪式上向天安门屠夫致敬,在历史上会留下一笔,胡锦涛何必把自己与六四镇压者李鹏永久绑定?与李鹏不同,朱镕基在中国民间一直口碑不错。据已故的毛泽东前秘书李锐说,邓小平在中共十四大上不仅“隔代”指定了总书记接班人胡锦涛;还“隔代”指定朱镕基接任李鹏担任国务院总理,因为他懂经济,李鹏不懂经济,最主要的是朱镕基当年曾表现出改革的勇气。至于温家宝,曾经是赵紫阳担任总书记时代中共中央办公厅主任,六四时他给人留下的最深印象是五月十九日陪赵紫阳来到天安门广场,赵知大势已去,流泪劝告学生的场面。当然,温家宝担任总理后,虽然嘴上常说宪政和人权,但未能为赵紫阳做任何事。而诺贝尔和平奖得主,死在中共狱中的刘晓波也是在胡温执政的最后时期入狱的。不过,与现在的李克强相比,温家宝那时公开讲宪政和人权,真正是今非昔比。

中共所有常委统统愿意出席李鹏这位被称之为“天安门屠夫”的前总理的葬礼么?难以知道,但毫无疑问这是习近平的意志。习近平的意志就是要以此隆重庄严的送终,代表中国共产党为李鹏盖棺论定。告别仪式虽然低调,但给予最高规格。习近平要表达的愿望,或者说以习近平为核心的党中央要表达的愿望,都在李鹏死后发布的讣告里说得一清二楚。

李鹏生前最遭怨恨最受诟病的有两条,一条是积极推动六四大屠杀,六四大屠杀,李鹏罪不可没;一个是积极推动修建三峡工程,三峡后来出了一系列严重问题,包括贪腐问题,而且遗患无穷,长江流域水患、环保问题不断。

★关于朝廷的【盖棺定论】

编程随想注:
“伟光正”这个组织是非常强调【等级森严】滴。每个朝廷高官毙命之后,官方发布的【讣告】,其措辞都很严谨。
【讣告】中的每一个名词(及其定语),都是非常有讲究滴——从中可以看出朝廷对死者的定位和定性。
8年前(2011),俺曾经写过一篇《如何解读朝廷要员的盖棺定论?》,如今可以派上用场啦。

财经真相
中共给李鹏的盖棺定论出来了,旗帜鲜明,果断采取措施平息反革命暴乱!

不见图 请翻墙

东方:
有网友对比邓小平杨尚昆以及李鹏三人的讣告后发现,只有李的讣告提出‘采取果断措施制止动乱,平息反革命暴乱,稳定了国内形势’。
可见是党中央决定由李同志承担全部责任,希望家属服从中央决定不要说三道四。
习近平的党中央把六四镇压这一功劳给他“盖棺论定”了。

蒲飞:
研读了邓、杨、李三人的讣告(邓为“告全党全军全国各族人民书”)。
只有李的讣告提出“采取果断措施制止动乱,平息反革命暴乱,稳定了国内局势”。
可见是党中央决定由李同志承担全部责任,希望家属服从中央决定不要再说三道四。

尤立:
虽然李鹏用尽心机想减轻自己的罪责,但是我党还是决定由李鹏来承担这个责任。
推出李鹏做替罪羊,以备将来之万一。

Ling:
暴露当今高层领导人的极度害怕心里。他们一定知道对6.4如果没有一个公平结论,老百姓是不会放过他们的。
6.4在他们心里都是一个害怕疙瘩,所以为了维护他们的现政权,他们既要坚持说当时的决策是对的,但也得为预防今后清算这笔账时脱身。
脱身的最好办法就是把责任全推在死人身上。

Alfred Bowie:
别人死后覆盖红色的党旗。
这只鸟人死了,覆盖了满身的狗屎。
这只鸟人的后代,应该提出强烈的抗议!

DoctorAi:
可算死一个了。
往死里扣屎盆子,他就是傀儡

回音盒:
碍于李鹏在世间极其恶劣的形象经过少许缄默后中共喉舌才正式发布李鹏的死讯。
中共仍沿用诸如:久经考验的忠诚共产主义战士,杰出的无产阶级革命家,党和国家的卓越领导人等字眼为李鹏盖棺定论。
然而也再次触动了中国人的六四神经,唤起人们对李鹏八九六四期间宣布北京戒严时那副张牙舞爪、凶残暴虐嘴脸的回忆。

(匿名):
通稿中写到此人在8964中镇压“良心运动”挽救了党,功不可没。
可见匪帮坚定的反人类的决心

Liuvictor:
王八李鵬老畜牲死得便宜了,應該吊死祭六四英雄

我有一个梦:
永远不能原谅,六四屠夫-李鹏,历史耻辱柱必定有李贼,李屠夫的千古骂名

陈浩:
“李鹏同志采取果断措施平息反革命暴乱”
不就是早死几天吗,党中央还真敢把什么都往死人身推,李死鬼肯定不服,决定在十八层地狱告状,然后党中央讣告不断。

巴丢草 Badiucao:
旗帜鲜明地祝贺李鹏永垂不朽!

不见图 请翻墙

★谁才是【六四元凶】?

编程随想注:
关于“元凶”的问题,可以参考俺写的《回顾六四》系列博文。
下面这几张是1989年李鹏在电视上宣布戒严

不见图 请翻墙
不见图 请翻墙

封從德:
「六四」屠殺,邓小平是元凶,
李鹏、杨尚昆、陈希同、江泽民、陈云、姚依林等人是帮凶。
#勿忘六四 血债
不见图 请翻墙
不见图 请翻墙
不见图 请翻墙
不见图 请翻墙

章立凡:
由于李鹏当时所处关键位置,发表了“五一九党政军大会讲话”。
因赵紫阳拒绝讲话,责任就落到他头上,历史责任他就逃不掉了。
李尽管在六四事件中扮演重要角色,但并非最主要的责任人。
他自己好像也很在意这一点,经常要用各种方式来替自己洗刷。

无为而治3:
(Replying 章立凡)
你就洗地吧,他肯定是镇压六四的第一责任人,甚至超过了邓小平。
要不是他搬弄口舌,谎报军情,邓还不一定会最后下决心镇压呢?

章立凡:
(Replying 无为而治3)
“搬弄口舌,谎报军情”,向谁报?
你这不等于承认——上面还有主事的太上皇吗?
“枪杆子里面出政权”,谁有权调动军队坦克、下令开枪,谁就是六四屠城的第一责任人。

海风快报:
李鹏究竟是6.4大屠杀的元凶还是传声筒,中共官媒高呼“李鹏就是元凶!”
官方发布的讣文提到他在六四时起的 “重要作用”,被舆论解读为中央有意将“六四”屠城责任推给李鹏。
中共前总书记赵紫阳的政治秘书鲍彤则认为,官方夸大了李鹏的功劳。
https://t.co/Qrbd3rkspj

陈士杰 Chen Shijie:
李鹏在1989年不过就是邓小平的办事员,没有一名解放军士兵听从李鹏的派遣。所以六四屠杀的主要责任者是邓小平和陈云,李鹏勉强算一个从犯吧。

绝不支持不能反对的政府:
对于六四屠杀,李鹏虽非首责,但二责,主犯帮凶和打手的名誉却作实了。
一个靠精子上位的蠢才,把自己整成一个万人恨,甚至亿人恨,也算是个历史奇观。
洗刷?党不允许他洗刷,百姓也”忘不了他”,祖宗后代都记着呐。
想洗刷?位上干。一尊可鉴。蠢不蠢,行动见。虽已晚,仍不太晚。当然这是往高估他。

Stezh:
应该是元凶,尽管他没有那么大的权利,毕竟在常委投票中站在屠杀的立场。

jw:
不是元凶也是助纣为虐,沾满血的双手洗得干净吗?

程门立雪2019:
它是执行者。主导者另有其人。

摩西:
显然李鹏是六四屠杀的最主要帮凶,真正元凶是邓畜生

臺灣國防軍金門防衛指揮部(太武兵團):
矮鄧才是元兇

子夜OWL🇹🇼:
最多是帮凶,元凶他够格吗?邓小平陈云还差不多。反正现在人死了,党内干脆锅就都让他来背

★关于李鹏的那本【六四日记】

纽约时报中文网:
李鹏以日记形式对导致镇压行动的事件提供了他自己的版本,这份描述被香港一家出版商在2010年购得。
李鹏为自己的行为做了辩护,把他描述为党的一名负责任、头脑清醒的仆人,把邓小平描述为做出对抗议者使用武力的知情决定的主导力量。

(编程随想注:俺的网盘上分享了《关键时刻——李鹏日记》电子版)

药丸时报:
2019年7月29日,李小琳在李鹏追悼会当天写了一篇短文!
文中李小琳不仅故意提起「李鹏日记」之事,甚至暗示:对于六四屠杀李鹏从来不敢居功,组织评价太高,受之有愧!

不见图 请翻墙

奇葩兲朝奇葩的事:
李鹏晚年可能想通过日记这种方式多少撇清点干系。
「李鹏日记」谈六四讲了两点一是屠杀的想法是学生逼的;二是屠杀的行为是邓小平逼的。
可李鹏这二逼万万没想到,自己刚死,就被你党纠到了屠杀元凶之位。
邓小平等老领导只是给李撑了撑腰,高调纪念并强调他在屠杀中的贡献

rq8882002:
李鹏日记里,极力撇清六四镇压和牠有关系。
呵呵😄就是不允许,要清清楚楚的写在悼词里伴牠一生。助纣为虐,结束罪恶的一生!

Eternal CoD:
费尽心机的 《64日记》 白写了,死都死了还被自己人帮着外人鞭尸!

Peter:
李鹏自己都不敢背镇压民众屠杀大学生的黑锅,巴巴写个《李鹏日记》拿到香港出版,为自己辩解。
可怜李鹏刚咽气,共产党就在讣告中赞扬他六四镇压的丰功伟绩,把黑锅死死扣在李鹏身上。

同支👑习维尼尸恋毛腊肉:
如果“六四镇压”真的是功绩,为什么所有人都在甩锅给别人?

安徒生:
李鹏愿为军委主席背8964的锅,所以是忠臣。小鹏小琳作为忠臣之后,占便宜也是应该的。
但是,李鹏已得了8964的好处,就不该再在香港出书,妄图漂白自己。
又想得好处,又不想付代价,这就是缺乏职业道德。

★关于李鹏的“两大功绩”

陈维健(北京之春主编):
屠夫李鹏死了,新闻界称他为“从平庸总理到屠夫”。
是的,一个平庸人他的罪恶往往与他的平庸不相称,这就是阿伦特所称的“平庸的罪恶”。
当今圣人习近平与李鹏同为平庸之人,同为罪恶之极。平庸的人总是以罪恶来掩盖平庸,手段往往十分残忍。
李鹏人死了,却给中国留下二个罪恶遗产,一是“六四”,二是“三峡大坝”

不见图 请翻墙

許梅邨:
活着千夫所指、死了普天同庆!!
一生功绩有两个:三峡,广场大屠杀。
历史是混不过去的…
我们不关心老杂毛死不死,我们等他被定罪的那一天……

吴朝阳:
李鹏远远不是被动消极地履行职责,而是非常积极地乃至疯狂地推动干掉赵紫阳并对学生运动进行镇压——他想做总书记。
他不遗余力地推动并实施三峡工程的建设,这是对人民犯下的又一大罪行。

刁斤干瞻仰齐心:
李大鸟这辈子主要就是三件事:
一是六四天安门事件力挺暴力镇压,矮子最终动用坦克;
二是不顾反对上马三峡工程,破坏水土环境;
三是坚持贯彻落实蛤蟆“闷声发大财”思想,培养自己家族成为巨贪。

三角锋评:
【李鹏一生写照】
神总结:三峡,广场,李鹏

不见图 请翻墙

Lucy:
中共一贯与人民为敌,把李鹏对中国人民的两大罪状说成是对共产党的两大功绩。

和子:
三峡工程推手、六四刽子手,这两顶帽子永远戴在李鹏头上了。

alex:
他最大的恶是三峡大坝 直接导致包括白鳍豚 中华鲟等动物的灭绝
对地质也产生毁灭性影响 汶川 玉树两次地震全都和三峡有关系
还有重庆的高温 下游的干旱
讽刺的是这畜生本来是想用三峡洗刷罪过的 却犯下更大罪行
李鹏这渣子 永远在地狱不得超生

和子:
三峡工程害死的中国人一定会远超六四大屠杀,从李鹏父亲开始,李鹏家族似乎就是为了残害中国人而存在的。三峡大坝就是李鹏家族的吸血工具。

喜馬拉雅戰友:
以后如果三峡出事,也是月月🐦同志的功劳了

Jeasonl:
好!三峡大坝的锅有人背了!

★对李鹏的评价——既蠢又坏

給白、鶴提督:
【陈一谘谈李鹏】
我曾和李鹏有很多接触。
他这样无德、无才、无能的人能当上中国国家领导人,只有在中国这种特定的制度环境下才有可能。
当然他扮演了历史上一个很耻辱的角色。我觉得他早晚会被钉在耻辱柱上,这是毫无疑问的。

高瑜:
李鹏作为六四刽子手之一,罪行累累,就是在中共高层也是恶得出奇。
87年1月,邓小平指使老人帮召开生活会,罢免胡耀邦的总书记之后,高层还开了一个会,研究如何处理胡耀邦。
会上李鹏提出在天安门广场组织百万人大会,公开批斗。
高层会议无人支持李鹏,如果李鹏得逞,89民运会提前两年。

李方:
【中国最无能总理的尴尬时刻】
1989年5月18日,李鹏与北京绝食学生代表谈话。
因其废话冗长啰嗦,饥饿中的吾而开希打断他的话。
李鹏顿时不知所措,“你,你,你,你多多。。。大。。。”
吾而开希替他补充:“多大年龄?这没关系。”吾而开希要求直入主题。

心包太虚:
(Replying 李方)
李鹏不是文化水平问题,是其智商堪忧。
但在共产党却是高官厚禄,可见这个党是什么东西了。
与学生对话,李心中根本就高人一等傲视学生。
其实呢,十个李鹏也比不上一个学生。
所以共党只有凶相毕露,机枪坦克了。

独行客:
白痴一样的人物,仅仅因为权力勾兑、私相授受,却窃得「实职实权」。
进而,以蠢猪般的头脑、蛛网般的“逻辑”、弱智般的手法,掌握并运营着一个幅员辽阔、人口巨万国家的行政体系……
政治上,他是打头阵的杀人先锋;治国上,他也必将是荼毒桑梓、为祸众生的恶棍!!!
衷心希望地狱能有【十九层】……

Wawa:
“整人,镇压,牟取私利”是他的窄小的理解力能容纳得下的全部内容。

自由民主萬歲:
李賊一生的寫照——貪婪,惡毒,無能,奸邪。

土木生士:
嗯,最无能的总理,舍他其谁?

★李鹏的【政治笑话】

编程随想注:
李鹏被民间戏称为“李科长”,讽刺其水平只能当科长。
关于他的笑话很多,以下这些是俺从网上搜罗滴。

李鹏:“我死后,组织上不太可能给我高度评价。”
李小琳:“为什么?”
李鹏:“因为我人还未死,你已经把我说成是饭桶了。”
李小琳:“我没说过啊!!!”
李鹏:“你公开宣称——自己能力以外的资本等于零!”

李鹏总理做报告,当念到“对已结婚的和尚,未结婚的青年,都要提倡计划生育”
台下的官员都听傻掉了。
后来对照讲稿一看,原来是“对已结婚的和尚未结婚的青年,都要提倡计划生育”

80年代,某官在办公室里挂了三副照片——左边是周恩来,右边是李鹏,中间是万里(当时的人大委员长)。
旁人不解,问之何故(为啥要挂这3人?而且还把万里委员长放在当中?)
某官皆笑而不语。
直到亲信问之,某官见四下无人,悄悄说:“两位总理的水平,相隔万里!”

六四後,有一个不知好歹的家伙,竟然在大庭广众的场合说李鹏是弱智,话才出口就给抓了起来。
结果被控“毁谤他人罪”,经最高法院审讯,判了20年。
那人抗议:“毁谤罪的最高刑罚不是5年吗,为啥多判了15年?”
法官:“那15年是另外一项控罪——泄露国家最高机密。”

李鹏的孙子要上北大。北大校长不敢不收,但总得走走形式,于是让他来面试。
面试那天,李鹏带着孙子来了,坐在沙发上。
校长问:“1+1等于几?”
李鹏孙子答:“4”。
校长启发说:“再想想,再小一点?”
李鹏孙子答:“3”
校长说:“再小一点呢?”
李鹏孙子答:“2”
校长刚想说“答对了”,李鹏突然站了起来说:“再给一次机会,再给一次机会!”

李鹏掉进河里,贴身侍卫立即把他救上来。
李鹏说要赐他一个愿望。
侍卫大喜若狂说:“求你保守秘密,千万不要让任何人知道我救了你,否则个个都会要我的命!”

六四期间,某小孩在家看电视。
上午李鹏在大会堂说:“党和人民从来没有说学生是动乱!”
晚上李鹏宣布戒严,却吼道:“这是一场严重的动乱!”
小孩不解:“国家总理为什么会骗人?”
大人回答:“那是职业骗子!”

李鹏去阎王那儿报到。谁知一进阎王殿就挨了邓小平一巴掌。
邓质问道:“你竟敢把六四大屠杀的事全部推到我头上来!”
李鹏沮丧道:“阳间有人咒我,没想到阴间咒我的人更厉害!”

李鹏访问鞍钢,到处彩旗飘扬,甚为高兴。
突然他发现,某欢迎标语写着“热烈欢迎李朋总理”
不禁大怒:我的那个鸟呢?

某日,李鹏带一帮亲信去全聚德吃烤鸭。
酒饱饭足后,饭店经理请李委员长题词。
李兴致颇高,大笔一挥——
天下第一鸭
李鹏

★关于【李氏权贵家族】

编程随想注:
关于李鹏家族,俺写过一篇:
中国电婊李小琳的精彩人生(多图)
想更多了解他的家族成员,可以去看俺整理的【太子党关系网络】(链接如下)
https://github.com/programthink/zhao

LIFETIME 視界:
李鹏家族几十年寄生中国电力行业,开创了中共高层家族腐败新模式。
李鹏把他曾经担任过的水利电力系统当作自家”自留地“,子女、亲属一直靠吃这个行业”发大财“。
后来周永康家族躺吃石油央企,王岐山家族躺吃金融央企,都是李鹏模式的继承。

joseph dai:
此鸟有三大特点:
第一,裙带关系的最好例子,他本人不仅是周恩来的养子,而且他的儿子女儿都是身居高位;
第二,反对自由,在六四事件中他就是力主进行镇压的,而且426(社论)也是他炮制的;
第三,贪婪成性,李鹏力推三峡工程并从中赚的盆满钵满,而他的儿女亲属都在电力部门发财。
所以他是集万般丑恶于一身。

妄议部长:
李鹏这一家给中国人的印象最不好。
李鹏本人死硬的榆木脑袋,子女智商低,行事高调而愚蠢,不必要的拉仇恨;
贪得无厌,一个家族垄断一个行业就始于李家。

(匿名):
个人觉得,这么多个朝廷大臣里面,李鹏算是全程都是恶到极致的人,还是全家都作恶的那种。
总而言之,就是一个公开的,全家都作恶,但是又做到了长命九十多岁最终寿终正寝的人。
以后中共垮台后面临的各种审判就没他什么事了,也许他后代会倒霉,但是关他一个死人何事呢?
实在是没天理啊!反正我是没什么好高兴的。

偏偏要谈8964:
所谓的反腐就是红二代统治集团残酷迫害草根出身官员的一个工具。
实际上最腐败最盗国就是红二代。

浮雲:
老共早就說了,讓一部分人先富起來。
老百姓窮的叮噹响,官老爺個個富的流油。這就是中國特色!

Benson:
李科长哈哈,他的水平也就是科长。
他说,我的孩子没有做官倒。他说了实话,现在事实证明了——他的孩子做官没倒。

中国选民:
李鹏模式才是社会主义核心价值观的最终结晶,也是最真实而见不得光“为人民服务”的结果。
这帮拿着枪杆子、拿着话筒子绑架欺骗全体“人民”的流着赤匪血色基因的魔鬼,在70年内让中国人饿死斗死折磨死,创造了继元明清之后更加恶劣的“盛世”。
跟着,另一个模式要启动,就是内噬,李鹏家族很快要背锅六四了

代号凌凌漆:
虽然李鹏狗带了,但是它的崽子们还活蹦乱跳呢,
比如能力之外资本为零的李小琳,贪污省省长李小鹏。
父债子还嘛,下地狱的终归还是要下的,别急!

(匿名):
“我爸是李鹏”是李家子女公开敛财的旗号。
他们的老爹当初假惺惺反对资产阶级自由化,结果是中共权贵家族全面富豪化、子女绿卡化!
中共平反六四,可信吗?

cw:
legacy=家族腐败+镇压杀人
how brilliant

jamespan:
哪个权贵家族不贪腐?

◇李小琳(被民间戏称为“电婊”)

Animal Farm:
巴拿马文件曝光李小琳,公主毫发无伤
(编程随想注:当年的“巴拿马文件”曝光后,俺汇总过一篇转载——《每周转载:巴拿马文件曝光天朝权贵(大量网友评论)》)

李方:
她曾说“我能力之外的资本等于零”。
实际是——她资本之外的能力等于零。
她曾说“我的成功就是证明”
是,你的成功再次证明了红色血统天生就不用努力。

不见图 请翻墙

畢銘先:
(Replying 李方)
她說的沒錯,他們紅色權貴的中共國體制是世界最先進的極權體制。
它為每個公民提供了最公平的競爭平台,但是中國人都是居民,全國沒有公民。
最透明的競爭機會,只要沒有紅色基因,最高只能爬到紅色家族愛犬的位置。
有腦的中國人都知道這一點,這是透明的。
此權貴後裔的成功是證明之一

辣條君 ˡᵒᵏⁱ:
电婊是众多奢侈品牌在共产党内的代言人。

LIFETIME 視界:
李鹏的这个女儿是习近平“反腐”戏穿帮的明显破绽之一。
无论是“巴拿马文件”还是瑞士银行公布的私人账户,李小琳都在热榜上,世界知名腐败人士。

◇李小鹏(长子)

陈士杰 Chen Shijie:
李小鹏曾经就读于华北电力学院(今华北电力大学),由于成绩差无法正常毕业。
时任电力部长的李鹏就逼迫校方给他发毕业证,但院长刘屹夫很正直,拒绝给李小鹏发毕业证。
李鹏就通过国家教委把刘院长撤职了,理由是刘院长身体不佳。
结果当时刘院长就亲自骑车去北京告状,用此行动来证明自己身体好

不见图 请翻墙

◇李小勇(次子)

LIFETIME 視界:
这两天《纽约时报》中国问题专家傅才德详尽报道李鹏家族贪腐,没有得到应有关注。认真看,触目惊心。
(编程随想注:傅才德的推文

LIFETIME 視界:
中共最高层以”人道”理由,特批李鹏的小儿子李小勇回国奔丧。
李小勇1998年因涉及”新国大”期货诈骗案而逃亡海外。
1998年初,新国大期货经纪公司以超高月息10至30%,吸引了4000多名客户投入资金。
同年8月,5亿元资金不翼而飞,公司倒闭,被揭发巨额诈骗,此案中共处决了4人。

不见图 请翻墙

美國金牛:
(Replying LIFETIME 視界)
哦!處死的那4個人,肯定是枉死的替罪羊!如果真是詐騙,這4個人分攤也不會有很多呀!也不應該是死罪的啊?吐出來不就成了嗎?中共肯定是私吞客!殺人滅口!根本不想退還客戶的本金和期貨的盈利金!

Hannibal:
(Replying LIFETIME 視界)
到处是打黑的标语,李家这事算不算黑?

纯净天空:
(Replying LIFETIME 視界)
你们想多了。李小勇就算是亲手杀人也没人敢抓他。
他出国纯属是避避风头,风头一过,立即进出自由。
什么红通,纯粹是胡扯

John:
(Replying LIFETIME 視界)
旁氏骗局改为李氏骗局

东猫lisa:
(Replying LIFETIME 視界)
一家子的败类,让现在的二代笑死了——五个亿就要跑路。
三峡工程逆天施工也没有跑的爹,生了一个不带种的败类。

佛瑞德里希4th:
(Replying 东猫lisa)
贱鸟生贱种,一窝没个好蛋。

★关于“寿终正寝”和“将来的审判”

变态辣椒:
“北京屠夫”,壽終正寢。李鵬逃脫了正義審判,披上黨旗去見了共產黨的祖師爺。
對於還活著的人來說,這並不是什麼值得高興的事,平平安安活到90高齡去世對他來說不是懲罰。
正義不止是遲到了,她還沒出現。

不见图 请翻墙

滕彪:
制造六四屠杀的主要刽子手之一 #李鹏,在死前没有被审判、被绳之以法。
我觉得这是中国的耻辱,某种程度上也是世界的耻辱。#lipeng

赵楚:
其實沒什麼可慶祝的。
天道不常,正義不申。壞人壽終正寢,英烈難見天日。
這本身就是令人扼腕太息之事。
而況獨夫民賊,雖百死莫贖其罪;縱鎔五州黑鐵,豈足以鑄奸侫跪像!

CASSMAN SEMETARA:
独裁者的自然死亡,是人民的耻辱!

昆仑风:
李大鳥壽終正寢,此為八九一代奇恥大辱!

(匿名):
李鹏屠夫的自然老死,
其实就是10多亿爱好民主并强烈谴责独裁体制的中国人民的最大耻辱!

Jack Lane:
俄罗斯可以出现审判列宁,相信我们也会有这样的一天。
历史罪人始终会受到正义的审判!

(匿名):
今后人民得势了,冤案昭雪了,那个时候,应该效仿大独裁者蒋介石和邓小平的做法了。
汪精卫在日本病死后,遗体被运回南京梅花山下葬,抗战胜利后蒋介石要从陪都重庆回到首都南京,就在回京前命令工兵炸开汪精卫的坟墓,把他的尸骨从棺木中掘出,然后真的是挫骨扬灰啊,把尸骨火化掉,骨灰随意抛洒掉了。
蒋介石就是这么对待孙(中山)总理嘱意的接班人汪精卫的,人民日后也应以此法来对待李鹏死后的尸骨。
再说说毛太祖的好学生和得力干将康生,死后按着太祖旨意本已被供奉在庙堂之上大吃冷猪肉了。
但邓小平不干了,他下令把康生的骨灰从八宝山移出,并下了决议来定性这个死后曾被封为伟大无产阶级革命家的家伙为反革命集团头子与毛的老婆江青为首的四人帮同流合污沆瀣一气……
邓小平是个狠茬子啊,死了都不放过你,要把你从庙堂拉下来,真是英明啊。人民日后也应以此法来对待李鹏,对他的历史定位和评价定要重新来过。

★关于“降半旗”

冷山:
李鹏遗体明天火化,全中国和香港澳门都将降半旗致哀!
向杀人的屠夫和国家蛀虫降旗,是14亿人的耻辱!
支持大家放烟花爆竹,普天同庆!

CASSMAN SEMETARA:
降不降那个旗根本不用关注。
毛,周,什么的,都降半旗了。
但是现在呢?呵呵,还不是一样被钉在耻辱柱上

Dylan Lau:
降吧!中共的鬼旗最好降到底!

DoctorAi:
我感觉这种降半旗是转移矛盾,不可能不知道民怨多大。
反正他死了,习表面上给红二代们交代,看我厚葬你们爹妈,你们得拥护我。
潜台词是:下一步一旦翻脸,可以往死里整李鹏的子女,让不明真相的老白姓也过把瘾,间接骗点民心,把六四,三峡都推到李家族上

★关于《中国青年报》的【高级黑】

财经真相:
北京青年报今天头版,第一条李鹏同志逝世,下面就是一帮学生手捧鲜花!不知道明天主编会不会被下课!

不见图 请翻墙

(编程随想注:以下是针对这条推文的评论)

IACU-Internation Anti Communism Union:
学生笑着真甜真开心
还是有人有良心
中国青年报
赞👍👍👍

PW:
23号的电子版在,25号的也在,24号的下架了。。。
够爷们,北青报!

rq8882002:
这都是经历过的老编辑出的一招。
民心所向,不会被查的。
因为:牠活着千夫所指,死了举国欢庆!

于连:
就“李科长”那人缘,想来现在掌握编辑大权的应该是最瞧不起他的7080后。有些事情看破不说破

LemonT柠檬红茶-文宁(续杯):
“北京青年”对这个消息表示欢迎。

Stezh:
这么高级的黑,很有中国特色。

Jazz_Lau🐜✊✊✊
花儿为什么这样红..为什么这样红…

yang:
李家现在在党内并已没有什么势力了。
看看李小琳都被搞下来了,谁还会乎一个死人。
人走茶凉,俗话说县官不如现管。

Steven 7:
中共是墙倒众人推的官场,主编坐的稳稳的

Bravo:
沒風險。黨內當他是負資產,巴不得你們都認為是他一人的罪責,大家就安全了,繼續偉光正。

★又见“真理部”的审查

中国数字时代:
【真理部指示】
各网站,注意删除《北京青年报》头版和李鹏同志逝世相关图片以及恶意评论。

巴丢草 Badiucao:
On Weibo,china’s censored Twitter,李鹏 Li Peng‘s death is not allowed to b discussed.
So netizens moved to a random stranger with the same name as Li Peng 李鹏 who passed away couple months ago this year😰
微博李鹏不能提,大家找了个重名的留言… 你国出奇迹啊!

不见图 请翻墙
不见图 请翻墙
不见图 请翻墙

不悔。:
微博可以說李大鳥,李鳥,大鳥之類,用不了半天,這些也不能說了

★关于【习呆呆】

有关部门:
(讣告)也间接透露出习近平对天安门屠杀的定性和想法!
习也是一个屠夫公司总经理!

Lewis Chow:
自习上台越来越左。
中共以前对八九都是遮遮掩掩,而现在连遮掩都不必了,而是定性为“解除暴乱”。
这都是自从习上台后的功劳,上行下效。
没有习的首肯,中共不会这样定性。

Timothy Megumi:
這碧貨活得太久了,習包與李鵬的智商不相上下。

号角:
不要指望习近平这二愣子会重书六四。

(匿名):
习近平是中国核心腐败、官僚资产阶级的代理人。
他绝对不会反对存量腐败,历届权贵的存量腐败是他的执政根基。
他的反腐是“顺我者昌逆我者亡”。

★网友的其它评论

陈士杰 Chen Shijie:
李鹏暴毙 喜大普奔

(匿名):
生,得千夫所指
死,得普天同庆

今天不困:
『死者为大,斯人已矣』是我听过最恶心的话。
中国传统就是是非不分,混淆黑白。

我是谁:
李鹏至死也没有得到中国人民的原谅,这应引起中共的深刻反思。

(匿名):
死得漂亮!
只有死了的李鹏,才算像点人样,
说他活着时是衣冠禽兽,都算太抬举他了。

(匿名):
走了一个大李总理,还剩下一个小李总理。
願小总理李克強继承大总理的遗志,将共产主义亊业进行到底!

李方:
李鹏到了地府,就给江泽民打电话报平安。
江:老李啊,那边风光好不好?
李:好是好,你一辈子也没见过。
江:那你先好好享受,我很快到。
李:享受不了啊。告诉你,千万别再换器官了,进鬼门关搜身时,不是自己的全部拿掉。我现在只剩一颗脑袋了😭。

Chan9t:
等以后天亮了,建议把八宝山划为垃圾场。
反正埋得都是一些垃圾

俺博客上,和本文相关的帖子(需翻墙)
回顾六四》(系列)
中国电婊李小琳的精彩人生(多图)
习包子露馅——习近平在内的权贵家族如何转移巨额海外资产
王健林及万达集团背后的朝廷权贵家族(习、胡、温、贾、王)
分析“制度性腐败”——为啥天朝的贪官屡禁不止?
天朝民众的心理分析:圣君情结
相当奇葩的天朝,【劫贫济富】的国度
点评中国社会九大阶层——没有公平、难以流动、无法稳定
若政治制度不公平,则经济改革无意义——谈谈天朝这个大赌场
每周转载:巴拿马文件曝光天朝权贵(大量网友评论)
每周转载:网友热议天朝权贵集团的“离岸”
热烈庆贺【太子党关系网络】开源项目率先获得朝廷认证

扫盲 Firefox 定制——从“user.js”到“omni.ja”

  最近一年,写过好几篇涉及“Web 安全”的博文。这些博文或多或少都会提及“Firefox 的定制”。考虑到某些读者对这方面不太了解,单独写一篇扫盲。
  如果你从来不用 Firefox 浏览器,本教程就不用看了(以免浪费时间)。
  本文主要面向不太熟悉 Firefox 的菜鸟;对于 Firefox 的老鸟,顶多只需要看“高级话题”相关的章节。

★预备知识

◇“浏览器实例”(profile)是啥?

  Firefox 支持【多实例】(多个 profile)。你可以把“profile”这个概念通俗理解为:“独立的浏览器环境”。
  也就是说,实例之间是【互相隔离】滴,每个实例都有自己【独立的】“书签、浏览历史、下载历史、cookies ……”
  就算你从来没有创建过实例,只要你通过 Firefox 上网,你的 Firefox 至少会有一个实例(也就是你正在用的这个)。

◇如何找到当前实例的目录?

  每个实例(profile)都对应一个目录,属于该实例的那些东西(书签、浏览历史、下载历史、cookies …)全都存储在该目录下。
  要想查看你正在使用的 Firefox 实例对应的目录,很简单:
1. 在浏览器地址栏输入 about:support 然后敲回车
2. 这时候会显示一个支持页面,其中有一项 Profile Directory(俺用的是英文版,中文版的叫法略有不同),对应的就是【当前实例的目录】。

★扫盲“配置选项”(Preferences)

◇啥是“配置选项”?

  “配置选项”也叫“首选项”,洋文称之为“Preferences”。
  通俗地说就是:Firefox 提供了一大堆可供用户定制的参数。通过修改这些参数,可以对 Firefox 进行【全方位】定制。
  每个 Preference 包含如下几个要素:

  名称
  每个 Preference 的名称必定是【唯一】滴。
  “名称”由英文单词构成,单词之间以“小数点”或“下划线”分隔。

  数据类型
  Preferences 的“数据类型”必须是“布尔型、整数型、字符串型”这三者之一。
  “布尔型”的值只能是 true 或 false。
  “整数型”的值可以是负数。

  默认值
  每个 Preference 都有个“默认值”。
  “默认值”包含在 Firefox 的安装包里面。
  绝大多数用户并【不需要】去修改“默认值”。
  (注:极少数有此需求的读者,可以去本文的高级话题——autoconfig这个章节)

  当前值
  每个 Preference 都对应某个“当前值”。
  当你修改 Preference 的时候,修改的就是它的“当前值”。
  一开始的时候,每个 Preference 的“当前值”就等于它的“默认值”;如果该 Preference 被定制了(修改了),其“当前值”与“默认值”就有可能不同。

◇谁可以修改“配置选项”?

  首先,Firefox 的用户当然可以修改配置选项(具体如何做,后续章节会细聊)
  除了用户,【浏览器扩展】也可以添加或修改“配置选项”。某些扩展会提供定制界面,让用户设定某些参数。这些参数也保存在浏览器的 Preference 里面。
  有必要强调一下:网站上的 JS 是【无法修改】Preference 滴!
  道理很简单:因为 Firefox 的 Preference 中保存了很多与安全性相关的配置参数。如果允许网站的 JS 修改这些参数,将会成为巨大的安全隐患。

◇为啥要修改“配置选项”?

  俺总结下来,大致有如下几种需求:
  1. 安全加固
  你可以通过定制很多的 Preferences 以大大强化 Firefox 的安全性(包括隐私防护能力)。
  每次 Firefox 的新版本增加了某个比较重要的安全相关的定制选项,俺会在每季度的《近期安全动态和点评》提醒大伙儿。
  2. 性能优化
  通过定制 Preference 可以优化性能(包括:“网络传输、内存使用、界面渲染”等方面)
  3. 易用性
  通过定制 Preference,你还可以改进 Firefox 界面的易用性。

★“about:config”界面

◇进入界面

  修改 Firefox 的 Preference,最简单的方式就是“about:config”界面了。
  你在浏览器地址栏输入 about:config 然后敲回车,就进入该界面。
  (提醒一下:打开该界面时,你可能会看到一个警告提示,别慌张)

  “about:config”界面主要是个的表格,共4列,分别是:
  第1列:Preference 的“名称”
  第2列:Preference 的“状态”(如果显示“default”表示该 Preference 还没被修改过,显示“modified”表示已经被改过)
  第3列:Preference 的“数据类型”
  第4列:Preference 的“当前值”

◇【筛选/过滤】Preferences

  该界面默认会列出 Firefox【所有的】Preference(成百上千个)。某些菜鸟一看到这个架势,可能会有点晕。
  别慌,界面上方有一个搜索框,可以帮你进行【筛选/过滤】。
  该搜索框针对 Preference 的名称进行【模糊匹配】。比如说:你在搜索框中输入 network,那么界面上就只列出名称中包含 network 的那些 Preferences。

◇【修改】某个 Preference 的值

  对于“布尔型”的 Preference,你双击 Preference 所在的这行,就可以修改它的“当前值”(在 true 与 false 之间切换)
  对于其它数据类型,双击 Preference 所在的行,会弹出一个对话框,让你输入【新的】数值。

◇【重置】某个 Preference 的值

  所谓的“重置”(reset)就是指“恢复默认值”。
  (对于已经被改过的 Preference)选中它所在的那行;点右键;在快捷菜单上有一项“Reset”(重置);使用这个菜单项就可以把该选项重新恢复成默认值。

◇【添加】一个新的 Preference

  在“about:config”界面的表格上点右键;在快捷菜单上有一项“New”(新增);可以让你添加一个新的 Preference。
  添加时会让你指定新 Preference 的“名称”和“数值”。

◇一个小小的练习——如何去掉“about:config”界面的警告

  你在“about:config”界面的搜索框中输入 general.warnOnAboutConfig,此时只会过滤出一个 Preference,这个 Preference 是“布尔型”。当它的值是 true,每次你打开“about:config”界面都会显示警告提示;反之,则不显示。
  你可以修改这个 Preference 的值。修改之后再【重新打开】“about:config”界面,体会一下效果。

★“prefs.js”配置文件

◇功能简介

  每个 Firefox 实例中都有名为 prefs.js 的配置文件。这个文件保存了当前实例中【所有】Preferences 的设置。

◇文件位置

  该文件位于每个【实例目录】下。

◇文件格式

  该文件的扩展名是 .js,说明其内容是 javascript 语法。
  在 javascript 语法中,任何一行中如果出现【双斜杠】// ,那么“从双斜杠一直到行尾”都算【注释】;另外,包含在 /**/ 之间的内容也是【注释】。(注:第二种注释可以跨越多行)
  除了注释之外,该文件的每一行有效代码对应一个 Preferences。文件中的每个有效代码行全都是如下这个样子:

user_pref("配置项名称", 配置项数值);

  由于每一个 Preferences 的名称都是字符串,因此上述代码中的 配置项名称 总是包含在【半角引号】中。
  如果某个 Preferences 的数据类型属于“字符串型”,那么上述代码中的“配置项数值”也要包含在【半角引号】中;否则,就不需要使用引号。

◇注意事项!!!

  【不要】直接修改 prefs.js 文件!!!
  如果你想通过【配置文件】的方式定制 Firefox 的 Preferences,请使用【user.js】(参见下一个章节)。

★“user.js”配置文件

◇功能简介

  Firefox 使用名为 user.js 的文件对 Preferences 进行个性化定制。

◇文件位置

  该文件位于【实例目录】下。请注意:默认情况下【没有】这个文件!
  如果你想用这种方式定制 Firefox,需要在【当前实例】的目录下【手动创建】该文件,然后往这个文件中添加代码。

◇文件格式

  该文件的格式与 prefs.js 相同。具体介绍参见“前一个章节”。

◇配置举例

  前面介绍“about:config”界面时,已经让你做了一个小小的练习。
  现在,咱们在“user.js”中继续进行这个练习——
  当你创建好一个空的 user.js 文件,在文件中添加如下代码,并存盘。

user_pref("general.warnOnAboutConfig", false);

  (注:上述代码中的“括号、引号、逗号、分号”必须都是【半角符号】)
  上述文件存盘之后,你把 Firefox 重新启动,然后再打开“about:config”界面,这时候就不会再有那个讨厌的警告信息了。

◇【重置】某个 Preference 的值

  如果你已经在“user.js”中修改过某个 Preference,之后又想恢复其默认值。请参照如下步骤:
1. 先在“user.js”中把这个 Preference 的配置“删除”或“注释掉”;
2. 重启浏览器;
3. 再到“about:config”界面进行重置操作。

◇注意事项!!!

  当你要通过这种方式修改某个选项,先搞清楚这个选项的含义和用途,并了解可能的【副作用】。

★上述三种配置方式的【原理】

◇加载配置

  当 Firefox 启动的时候,会读取 user.jsprefs.js,拿到这两个文件中的 Preferences 配置,并保存在内存中。
  如果发现这两个文件的配置有冲突,以 user.js 为准(也就是说:“user.js 的配置”会覆盖“prefs.js 的配置”)。
  如果同一个配置项在某个文件中出现多次,后面的代码行会覆盖前面的代码行。

◇修改配置

  当你打开“about:config”界面,Firefox 会把内存中的 Preferences 信息显示给你看。
  如果你在这个界面上进行了修改,修改的结果会保存在内存中,同时也会保存到 prefs.js 文件中。
  另外,Firefox【不会】去修改你用于定制的 user.js 文件。

★高级话题——autoconfig

  “高级话题”是专门针对“Firefox 老鸟”,尤其是那些具有“geek 精神”(善于折腾)的用户。
  (熟悉本博客的读者应该知道:俺一向鼓励【折腾】,并写过一篇博文《聊聊【折腾】的重要性》)
  至于菜鸟嘛,先搞定前面章节介绍的内容,学会怎么用“user.js”;然后再考虑本文的“高级话题”。
  考虑到本章节的特点,“高级话题”的介绍只是【点到为止】——对于【善折腾】的读者,俺只需给出一个方向,他们自然能沿着这个方向走得足够远。

◇“user.js”的局限性

  通过“user.js”,虽然可以让你定制每一个 Preference;但至少有如下局限性:

  局限性1——【无法】修改某个 Preference 的【默认值】
  请注意:在 user.js 中修改的是【当前值】。不管“当前值”如何变,“默认值”【没】变。
  在某些特殊场合,你可能想要定制 Preference 的【默认值】。

  局限性2——【无法】锁定某个 Preference
  所谓的“锁定”就是“禁止修改”的意思。
  比如说:某个第三方扩展会修改某个 Preference 的值;但你又不希望这个 Preference 被修改。这时候就可以把这个 Preference【锁定】。

◇比“user.js”更牛逼的【autoconfig】

  Firefox 的扩展能力及其强大,当然能满足上述这些怪异的需求。
  Mozilla 提供了名为【autoconfig】的机制,可以更进一步地定制 Preference。具体参见 Mozilla 官网的“这篇教程”(洋文)。
  在 user.js 中,咱们只能使用 user_pref 这个函数;而在【autoconfig】这种定制方式中,还提供了更多的函数,至少包括如下(代码中绿色的部分是注释):

defaultPref("配置项名称", 配置项数值); // 该函数用于:定制配置项的【默认值】
lockPref("配置项名称", 配置项数值); // 该函数用于:设置配置项的默认值并【锁定】
unlockPref("配置项名称"); // 该函数用于:【解锁】配置项
clearPref("配置项名称"); // 该函数用于:把配置项的【当前值】恢复为【默认值】

★高级话题——定制“omni.ja”

◇“autoconfig”的局限性

  “autoconfig”虽然比“user.js”更牛逼,但其能力只局限于 Preference 相关的定制。
  有些你想定制的东西(比如:默认的键盘快捷键)【并不】保存在 Preference 中——也就是说,即便你去捣鼓“autoconfig”也【搞不定】!这时候就要引入【终极大杀器】——直接修改【omni.ja】。

  顺便插一句:
  自从 Firefox Quantum(Firefox 57)之后,旧的“XPCOM 扩展机制”已经淘汰,换成新的“WebExtensions 扩展机制”。但是,“新扩展机制”的功能比原来要弱(据说是为了安全性的考虑)。比如:对“键盘快捷键”的定制能力就变弱了。
  在这种情况下,“定制 omni.ja”的优势就更加明显——因为它能做到“用扩展无法完成的事情”。

◇比“autoconfig”更强大的【omni.ja】

  Firefox 是一个很复杂的开源项目,代码量超大。它的核心代码(比如:渲染引擎、JS 引擎)是基于 C++ 语言开发(并在逐步迁移到 Rust 语言)。而软件界面(UI)相关的部分,大体上还是 Web 那套东西(不外乎就是:XML、JS、JSON、CSS …)。
  这些与 UI 相关的东西,大部分都打包在 omni.ja 中。如果你摸透了 omni.ja 的结构,就可以对 Firefox 的界面进行任意定制。
  说到这里,某些熟悉 Firefox 的用户会反问:为啥不用 userChrome.css 定制 Firefox?
  这个东东俺当然知道(而且还写过专门的教程,链接在“这里”)。但它的能力很【有限】——只能修改 CSS 样式,【无法】定制界面的功能。

  举个【简单】例子:
  比如说 Firefox 的默认快捷键中,【Ctrl + q】会退出整个进程;
  如果你不喜欢这个快捷键,可以换成一个更顺手的(通过修改 omni.ja 里面的 chrome/en-US/locale/browser/browser.dtd

  举个【复杂】例子:
  (或许很多 Firefox 用户不知道)你可以用【Alt + 数字键】来切换 Firefox 的标签页。
  当你在 Firefox 界面上按了【Alt + 数字键】这个组合键,会触发某个 JS 代码,然后由这个 JS 代码来改变当前标签页的状态。
  而这段 JS 代码就包含在 omni.ja 这个压缩包的某个文件中(chrome/browser/content/browser/browser.xul)。如果你能修改这段 JS 代码,就可以实现自己想要的某些效果。

◇“omni.ja”简述

  omni.ja 是 Firefox 安装包自带的文件。虽然它的扩展名是 .ja,但其实是个 zip 压缩包。
  但它又【不是】标准的 zip 压缩包——因为它的文件头有点特殊。俺在 Linux 下用 unzip 命令解压缩是 OK 滴;但在 Windows 下解压可能会有点小麻烦。
  安装好的 Firefox 有【两个】 omni.ja ——大的那个有30多兆,小的那个有十多兆。
  当你要折腾的时候,别搞错了!!!
  比如说:当俺在折腾键盘快捷键时,修改的是【大的】那个。

  当你【修改完】omni.ja 内部的文件之后,要【重新打包】它。打包反而比较简单——只需要压缩成【zip 格式】(随便用什么压缩工具都可以)。

◇定制“omni.ja”的注意事项

  简单说几个注意事项:

  第1条
  omni.ja 内部的文件很多。只修改那些【你有把握】的文件。
  如果你把 omni.ja 内部的某些文件改坏了,可能会导致 Firefox 无法启动,而且也没有任何报错信息。

  第2条
  每次修改完 omni.ja,为了让你的修改生效,要记得:先退出 Firefox【进程】;然后清空整个缓存目录;最后再启动 Firefox。

  第3条
  由于每次修改完都要做“打包、清缓存、重启 Firefox”这几件事情。俺建议:搞个命令行脚本帮你自动干这些事儿,以提升效率。

俺博客上,和本文相关的帖子(需翻墙)
无需任何插件或扩展,定制 Firefox 外观
基于安全考虑,如何选择及切换 Firefox 版本?
弃用 Chrome 改用 Firefox 的几点理由——关于 Chrome 69 隐私丑闻的随想
如何用 GreaseMonkey 扩展 Google Reader
聊聊【折腾】的重要性

近期安全动态和点评(2019年2季度)

  最近好几篇博文都在谈“时政话题”,今天这篇换个口味。正好2季度已经结束,汇总一下上季度的信息安全动态。

★隐私保护

◇将近【6亿】的中国求职者简历被泄露

中国公司泄漏数亿简历 @ Solidot

因为未加密或配置错误的 MongoDB 数据库和 ElasticSearch 服务器,中国公司泄漏了 5.9 亿简历。安全研究员 Sanyam Jain 仅在上个月就报告了 7 次数据外泄。他发现了一台 ElasticSearch 服务器包含了 3300 万用户简历。在报告给中国国家计算机应急响应小组四天后服务器才加了安全保护。另一台 ElasticSearch 服务器包含了 8480 万简历,同样是在举报给计算机应急响应小组之后下线的。
他总共发现暴露的简历数量高达 5.90497 亿,许多简历包含了敏感的个人数据如电话号码、家庭住址,家庭和婚姻状况,某些还有身份证。

  编程随想注:
  文中提到的这个安全研究员,在3~4月份发现了这么多【裸奔】的数据库,不是因为他多么牛逼,而是因为——
越来越多的企业在搞“大数据”,相关的程序猿/程序媛虽然懂得如何操作 MongoDB 和 ES,但其中的大部分人在信息安全方面完全是【菜鸟】,连基本的安全防范意识都非常缺乏。
  再来说“测试人员”,绝大部分也【不】懂得如何进行【安全测试】。就算极少数测试人员,最终学会了这个,肯定转行去干“信息安全相关的工作”,怎么可能还在干“软件测试”?

◇天朝警方在大城市盘查手机

北京上海地铁检查乘客手机——1984社会全面实现 @ 中国数字时代

  编程随想注:
  前些年,俺在博客评论区与读者交流时就提到过——新疆警方可以随意盘查路人手机(以“反恐”的名义)。从“中国数字时代”这篇报道来看,这种做法可能会推广到其它省份。
  警方盘查路人的手机,采用的是专业的【手机取证软件】。这种软件可以在手机解锁之后,快速扫描整个存储空间,并把所有值得提取的数据都找出来(比如:通讯录、所有通话记录、全部上网历史、各种 App 的聊天记录、照片、视频……)。它甚至可以恢复出“你曾经删除过的通讯录联系人”或者“你曾经删除过的 IM 聊天记录”。
  某些比较牛的手机取证软件,可以直接破解手机(不需要机主解锁)并收集手机中的信息。关于“破解手机”的话题,下面某个章节还会聊到。

  目前警方常用的“取证软件”分为两大类——
1、手机取证(含平板)
2、PC 取证
  移动设备要【对抗】“手机取证软件”会比较难。因为移动设备上【缺乏】足够好的【磁盘加密工具】。
  虽然目前的 Android 和 iOS 都能支持“全盘加密”。但“全盘加密”是【不够】滴。因为当警方要求你解锁手机时,(除非你足够牛逼,否则)你只能乖乖配合。而一旦你交出了手机的解锁方式(“解锁密码”或“解锁图案”),操作系统自带的“全盘加密”就【没有意义】啦。
  相比之下,PC 上可以做到很多手机上无法实现(或难以实现)的技巧。简单列几条:
  1、嵌套加密
  PC 上可以组合【多种不同的加密工具】,实现多层嵌套。
  即使在警方的逼迫下解锁了最外层的全盘加密,你的敏感数据依然被【内层】的某个加密盘所保护。
  只要你把内部的加密盘伪装得足够好,取证软件不一定能发现。
  2、伪装“物理加密分区”
  可以把某个“加密分区”伪装成“未使用分区”。
  (注:做得好的磁盘加密工具,其“加密分区”的数据看起来是【全随机】滴,与“未用分区”的效果完全一样,取证软件【无法】区分这两者)
  3、Plausible Deniability
  这个特性的原理可以参考“这篇教程”。
  使用这种技巧的加密盘有【两套】密码。用这2个密码解锁之后看到的内容是【不同】滴。其中一个密码专门用来——当你受到胁迫时,故意勉为其难地告诉对方,该密码解锁加密盘之后,看到的都是一些无关痛痒的内容(不那么重要的内容);而另一个密码才是真正的密码。
  由于“Plausible Deniability”的设计在“密码学层面”是【严密】滴。因此,取证软件【无法判断】某个加密盘是否采用了这种“双重密码”的机制。也就是说:警方就算找到了你的某个加密盘,并逼迫你交出该加密盘的密码,警方依然【无法判断】这个加密盘是否还存在“另一套密码”。
  4、“加密盘”结合“虚拟机”
  你可以把所有的危险操作都放到虚拟机中进行。而虚拟机则保存在某个加密盘中(可以是“物理加密分区”,也可以是“虚拟加密盘”)。如此一来,你的物理系统(Host OS)上所有的操作痕迹都是很普通滴,即使被取证软件收集到也无所谓。
  就算取证软件发现了你用来保存虚拟机的加密盘,你还可以继续使用“Plausible Deniability”这个技巧(参见第3条)。

  刚才列出的这几个招数,都可以帮你更好地隐藏敏感数据。更详细的教程,请参考下面几篇博文:
如何用“磁盘加密”对抗警方的【取证软件】和【刑讯逼供】,兼谈数据删除技巧
TrueCrypt 使用经验》(系列)
扫盲 VeraCrypt——跨平台的 TrueCrypt 替代品
扫盲 dm-crypt——多功能 Linux 磁盘加密工具(兼容 TrueCrypt & VeraCrypt)
文件加密的扫盲介绍

◇“人脸识别”的隐私风险

“刷脸”的风险,你知道多少? @ 检查日报

“人脸识别的便捷性与安全性不可兼得。”在电子科技大学信息与通信工程学院副教授曾辽原看来,不管什么技术总有其特有的使用场景,人脸识别技术应该作为核实身份的辅助手段,而不是唯一的、关键的手段,特別是在安全性要求高的领域,更不能作为单一的识别手段。

“个人生物信息直接采集于人体、且是个人生理特性的直接体现并唯一对应……”今年两会期间,全国人大代表、北京科学学研究中心副主任伊彤提交了一份《关于开展公民个人生物信息保护立法的建议》,伊彤认为,个人生物信息与我们平时设定的密码不同,如果密码泄露,我们可以随即换一个密码;而个人生物信息一旦泄露,就是终身泄露,会将用户个人信息安全置于更大的不确定性中,进而引发一系列风险。

曾辽原同时指出,“一旦带有唯一性的生物特征数据被他人盗取利用,会造成个人信息安全、生命财产安全等相关问题,而且会导致大量深层信息被挖掘、曝光,给公民造成物质和精神上的极大损害。”

……

在今年2月份,中国就发生了一起广受争议的隐私安全事件——一家专注安防领域的人工智能企业被曝发生大规模数据泄露事件,超过250万人的数据可被获取,有680万条数据疑似泄露,包括身份证信息、人脸识别图像及图像拍摄地点等。据悉,该企业主要研发“人脸识别技术”,与不少部门机构都有人工智能的安防合作。

“目前,个人生物信息的安全问题是不可控的。”曾辽原表示,人脸和其他生物特征数据间的一个巨大区别是,它们可以远距离起作用,这意味着我们在网上自拍或在街上走路时,都有可能不自觉交出了自己的个人生物信息。可以说,随着摄像头越来越普及,我们将真正进入“弱隐私”时代。如今,人脸、声纹、虹膜、指纹,甚至是步态都已经成为重要的个人身份信息,随着生物特征识别技术在生活中的广泛使用,极有可能成为个人隐私的泄露方式。

程序员人脸识别成人视频中的女性,引发争议 @ Solidot

一位身在德国的中国程序员在新浪微博上发帖称,程序员被说成是从事色情行业的女性的接盘侠,他与其朋友因此决定把成人视频中的女性和社交网络中的女性照片进行匹配,识别其身份,帮助程序员们过滤一下避免成为接盘侠。他们花了半年时间利用 1024、91、sex8、PronHub、xvideos 等网站采集的数据对比 Facebook、instagram、TikTok、抖音、微博等社交媒体,在全球范围内成功识别了 10 多万名从事色情行业的女性(为了避免微博审查而将色情行业改为不可描述行业)。
此举引发了热议和争议,他随后辩解称他的意图是允许女性检查她们的照片或视频是否在成人网站上,她们可以向网站发送 DMCA 删除通知要求删除照片或视频。这位叫“将记忆深埋”(或 mitboy)的用户表示将在 5 月 31 日在 gitlab 公开数据库结构。

旧金山成美国首个禁止面部识别技术城市 @ 搜狐

◇Firefox 发布【Track THIS】——伪装你的浏览历史

Firefox 发布 Track THIS,故意向广告商提供虚假浏览历史 @ cnBeta

广告商在互联网上跟踪你的一举一动,然后它会根据你的浏览习惯向你展示针对性的广告。如何应对这种无处不在的监视资本主义?Mozilla 和 mschf 工作室提供了一种方法:把你的浏览历史打乱,创造出虚假版本提供给广告商。

他们合作发布了 Track THIS,根据你选定的角色——潮人、有钱人、世界末日预备者以及意见领袖。
打开 100 个特定标签,你的浏览历史将会被去个性化,将让广告商不知道如何定位你。注意,加载一百个标签可能需要几分钟的时间。

◇又有几款浏览器步 Chrome 的后尘——不让用户关闭“点击追踪”

Major Browsers to Prevent Disabling of Click Tracking Privacy Risk @ Bleeping Computer
  编程随想注:
  在上一季度(2019年1季度)的《近期安全动态和点评》中已经提到了——Chrome 移除了“点击追踪”的配置选项,使得用户【无法禁用】该特性。而这个特性是有隐私风险滴!
  如今,Safari 和 Opera 跟随 Chrome 的步伐,也在这个问题上耍流氓(不让用户禁止该特性)
  考虑到某些读者没有看过上一期的《近期安全动态和点评》,再次扫盲一下“点击追踪”的概念——
  所谓的“点击追踪”是 HTML5 引入的特性,术语叫做“ping 属性”。如果网站在“超链接”中加入该属性,当用户点击这个超链接的时候,链接所在网站会得到点击的通知。很多网站用“点击追踪”来统计【外链】的点击情况。
  Google 作为搜索引擎,用户点击搜索结果,当然属于【外链点击】。所以,“点击追踪”这个功能对 Google 而言很有用(可以统计用户曾经点击过搜索结果中的哪些网站)。
  引申阅读:
弃用 Chrome 改用 Firefox 的几点理由——关于 Chrome 69 隐私丑闻的随想

◇“今日头条”无耻地宣称:通讯录不属于个人隐私

今日头条称通讯录不属个人隐私遭“打脸”,98% 网民表示反对 @ IT 时代网
  编程随想注:
  国内的流氓公司,总是一次又一次地刷新“道德下限”。
  该说法出自“今日头条”背后的“北京字节跳动科技有限公司”所聘请的律师。由于“今日头条 APP”擅自收集用户通讯录,遭到用户起诉。该公司聘请的律师为了打赢官司,企图证明——通讯录不属于个人隐私,并在法庭上说了一通歪理。
  此说法引发舆论震惊。事后,“今日头条”赶紧在官网上进行澄清,以平息众怒。

◇Google 人机验证(reCaptcha)的隐私问题

通过 reCaptcha v3,Google 收集大量用户隐私 @ Solidot

Google 去年更新了它的 reCAPTCHA 机器人程序检测技术。reCAPTCHA 是使用最广泛的反机器人技术,reCAPTCHA v1 让用户看模糊扭曲的字符,reCAPTCHA v2 让用户从模糊的图像中间挑选出街道或商店。而最新的 reCAPTCHA v3 则使用 Google 的私有技术去学习网站的正常流量和用户行为,访问者将会根据访问来源或行为分配一个风险分数。但基于风险分数的系统是需要付出一个巨大代价的:用户的隐私。
两位研究 reCaptcha 的安全研究人员称,Google 判断你是否是恶意用户的一种方法是你的浏览器是否已经安装了 Google cookie。同样的 cookie 允许你无需重新登录就能进入 Google 的服务。多伦多大学计算机科学博士生 Mohamed Akrout 的测试显示,相对于没有 Google 帐户的浏览器,reCaptcha v3 给了已连接 Google 帐户的浏览器更低的风险分数。如果通过 Tor 或 VPN 访问包含 reCaptcha v3 的网站,风险分数总是更高。为了让风险分数正确的工作,网站需要在每一个网页嵌入 reCaptcha v3 代码,而不仅仅是登录页面。这意味着 Google 会从你访问的每一个网页收集数据,而且没有任何视觉指示显示你正在被监视着。Google 声称它的 reCaptcha API 会向它发送软件和硬件信息,表示这些信息只是用于对抗垃圾流量和滥用。根据统计网站 Built With 的数据,目前有超过 65 万个网站已经使用了 reCaptcha v3。

  编程随想注:
  经常有读者(尤其那些用 TorBrowser 的读者)抱怨说:在俺博客发表【匿名留言】很麻烦,老是一遍遍地进行“人机验证”。
  如果你理解了上面这篇报道,自然也就理解了——为啥 Google 的“人机验证”对 TorBrowser 用户【很不友好】。因为 TorBrowser 能有效地消除用户的身份信息。对这类 Web 客户端,reCaptcha v3 会给出更高的“风险评分”,从而让 Google 的服务器更加怀疑你是恶意用户。
  (注:具有【恶意行为】的用户,也会采用类似的技术手段,以消除身份信息。所以当 reCaptcha 无法从你的浏览器收集到足够的身份信息,就容易怀疑你是“恶意用户”)
  你可以【换一个角度】来看待这个问题——当 Google 的 reCAPTCHA 要求你一遍遍地进行人机验证,别太沮丧。这说明你的“隐私保护”还算凑合 🙂

◇香港警方逮捕 Telegram 群主

香港社媒群主被拘捕,仅因发送“反送中”资讯 @ RFA/自由亚洲电台

香港《立场新闻》6月11号报道,香港警方在当晚以“串谋公众防扰罪”为由拘捕一名 “反送中”游行 Telegram 消息群的管理员。

管理员 Ivan Ip 称,自己只是参与 Telegram 消息群“公海总谷”的管理,仅仅只是发布网上整合的中学罢课名单和参与者被捕的消息,并未到现场参加“反送中”游行,却在6月11号当天晚上遭到警方上门搜查。警察要求他交出手机,然后将他手机上的 Telegram 资料导出,拿到了群组成员的名单和消息内容,并追问他关于群组创办人和管理员的身份信息,以及“其他激进分子的行动计划”。随后警方将其拘捕,带到警署进一步审问直到第二天凌晨4时,他才获保释离开。

事发前,Telegram 消息群“公海总谷”已有2、3万名群成员,在这名管理员被捕后,其他管理员已将群组解散。

  编程随想注:
  俺以【匿名身份】开博已经十多年。期间有很多热心读者建议俺开通 Telegram 或 WhatsApp,以便更好地与读者交流。每次都被俺婉言谢绝了。
  如今香港的这个案例,再次凸显出 Telegram 在【隐匿性】方面的风险——因为 Telegram 需要【绑定手机】。说得更直白一些:任何需要绑定到手机的网络工具(不管是 IM 还是邮箱),都会大大降低你的【隐匿性】。
  正是由于这方面的风险,当俺以“编程随想”这个身份进行网络活动时,【绝不】使用任何需要绑定手机的网络服务。
  引申阅读:
为啥朝廷总抓不到俺——十年反党活动的安全经验汇总
如何隐藏你的踪迹,避免跨省追捕》(系列)

★高危漏洞

◇Windows 高危漏洞(Bluekeep)——影响范围从 WinXP 到 Win2008

NSA Cybersecurity Advisory: Patch Remote Desktop Services on Legacy Versions of Windows @ NSA/美国国安局
微软警告:近百万 Windows PC 存在 Bluekeep 高危漏洞,需紧急修复 @ IT 之家

近期报告称,安全研究人员估计,有近百万台 PC 容易受到 Bluekeep 高危漏洞影响,这是一种存在于 Windows XP、Windows 7 以及 Windows Server 2003 和 Windows Server 2008 的远程桌面攻击。

现在微软加入了呼吁行动的行列,要求 IT 管理员紧急修补他们的设备。
微软警告说,“如果我们回顾 WannaCry 攻击开始前的事件,它们可以告知:未及时修复此漏洞将会面临怎样的风险。”

……

  编程随想注:
  该漏洞编号 CVE-2019-0708,由于此漏洞太过危险,微软【破例】向早已停止支持的 WinXP 和 Win2003 推送安全补丁。

◇IE 高危漏洞

Internet Explorer zero-day lets hackers steal files from Windows PCs @ ZDNet

  编程随想注:
  俺曾经写过一篇博文:《吐槽一下 Windows 的安全漏洞——严重性超乎想象》,文中专门针对 IE 写了三个章节(如下)。看完这三个章节,你或许能明白——为啥俺一直在警告“IE 的高危漏洞”。

★为啥 IE 浏览器的漏洞特别危险?
★(在 Windows 上)改用其它浏览器上网,并【不能】消除 IE 的危险性
★更要命的是——IE 浏览器的安全漏洞还特别多

  这次曝光的 IE 高危漏洞与 mht 这种格式的处理有关。在绝大部分 Windows 中,IE 都是打开 mht 格式的默认软件(通常也是唯一的软件)。因此,就算你平常【不用】IE 上网,但只要你不小心打开了某个【恶意的】mht 文件,你的 Windows 就会中招。
  对于攻击者而言,他们可以有很多种方式来诱骗你打开某个恶意的 mht 文件。

◇Firefox 高危漏洞

Security vulnerabilities fixed in Firefox 67.0.3 and Firefox ESR 60.7.1 @ Mozilla

  编程随想注:
  这是 Firefox 在两年半之后再次出现高危的 0day 漏洞,编号:CVE-2019-11707。攻击者可以利用它实现【远程代码执行】。
  Mozilla 紧急发布了 Firefox 67.0.3 和 Firefox ESR 60.7.1 版本,进行修复。
  这个漏洞在被公布之前,或许已经在地下黑市流传了。攻击者利用该漏洞攻击【高价值目标】(比如“比特币交易所的员工”)。
  以【数字货币】为目标的攻击,正在成为入侵的新趋势——攻击这类目标可以获得高额经济利益。
  比如:近期微软的邮件服务遭遇入侵(相关报道),攻击者的目标也是为了盗取【数字货币】。

◇WhatsApp 高危漏洞,可用于植入手机木马

WhatsApp voice calls used to inject Israeli spyware on phones @ FT/金融时报

  编程随想注:
  这是个“缓冲区溢出漏洞”,编号为 CVE-2019-3568。该漏洞位于 WhatsApp 的程序中,适用于 Android 和 iOS。
  攻击者向目标手机(受害者手机)发起某个特定的 WhatsApp 呼叫,即使对方没有接听也会中招。中招之后,“呼叫记录”【不会】显示在历史记录中。
  俺已经唠叨了无数次——如果你很在意安全性,就【不要】在手机上进行“重要的操作”或者“敏感的操作”。

◇Vim(及其衍生品)曝出高危漏洞

Vim 和 NeoVim 曝出高危漏洞 @ Solidot

Vim 和 NeoVim 曝出了一个允许任意代码执行的高危漏洞。漏洞编号 CVE-2019-12735,Vim 8.1.1365 和 Neovim 0.3.6 之前的版本都受到影响。
漏洞位于编辑器的 modelines 功能中,该功能允许用户指定窗口大小和其它定制选项,modelines 限制了沙盒内可用的指令,但安全研究员 Armin Razmjou 发现 source! 指令会绕过这一保护。因此如果用户打开一个恶意文本文件,攻击者可以控制计算机。
漏洞利用需要编辑器启用 modelines,部分 Linux 发行版默认启用了该功能,而苹果的 macOS 没有默认启用。

  编程随想注:
  漏洞发现者制作了一个 GIF 动画(链接在“这里”),示范了攻击者利用该漏洞的效果。
  对于该漏洞,攻击者可以制作某个特殊的 txt 文本文件。这个文件用 cat 命令查看,内容挺正常;但用(有漏洞的)vim 打开这个文本文件,就会中招。
  顺便吐槽一下:
  Vim 的【modeline】特性真的是一个非常 ugly 的玩意儿!
  为了实现所谓的“文件级的个性化定制”,把【Vim 专有的】控制指令写到文本文件中。这种做法本身就很怪异(让文本文件的内容去依赖某种特定编辑器),而且还增加了【攻击面】。

★网络与 Web

◇大名鼎鼎的 NoScript 扩展已经移植到 Chrome/Chromium

NoScript extension officially released for Google Chrome @ ZDNet

  编程随想注:
  这个扩展的名气很大,维基百科的介绍在“这里”。同样大名鼎鼎的 Tor Browser 就内置了它。
  考虑到“Web 攻击”有很大比例与 JS 相关。俺强烈建议使用 NoScript(或类似的扩展)。这类扩展会提供【白名单模式】——除了少数允许的网站(白名单网站),所有其它网站默认都禁止 JS。
  NoScript 的“Chrome 版”在功能方面大致类似于“Firefox 版”。但【少了】“XSS filter”的功能——因为这个功能用到了某个 Firefox 的 API,而这个 API 在 Chrome 上没有 🙁 以下是 NoScript 作者的原话:

Talking about differences across supported browsers, the code base is now is exactly the same. But on Chromium, I had to disable, at least for the time being, NoScript’s XSS filter.
Chromium users will have to rely on the browser’s built-in ‘XSS Auditor,’ which over time proved not to be as effective as NoScript’s ‘Injection Checker’.
But the latter could not be ported in a sane way yet, because it requires asynchronous processing of web requests: a feature provided by Firefox only.

  另外,
  NoScript 的 10.6.x 版本已经可以兼容 Chrome/Chromium,但还只能达到 beta 品质。作者认为:等到 11.0 版本时,在兼容 Chrome/Chromium 方面就 OK 了。(截止俺写本文时,NoScript 的最新版本是 11.0)

◇Wi-Fi 协议的 WPA3 标准发现漏洞

Dragonblood Vulnerabilities Disclosed in Wi-Fi WPA3 Standard @ Slashdot
受新 Dragonblood 漏洞影响的 WPA3 Wi-Fi标准 @ 知乎专栏

  编程随想注:
  俺又要重新唠叨一下【无线网络】的潜在风险。
  无线网络的本质决定了——在无线信号覆盖范围内的任何人都可以对收集到的无线信号进行分析。如果网络协议本身不严密(有漏洞),那么攻击者就能加以利用。从这个角度(OSI 的“物理层”)而言,“无线网络”的【攻击面】要显著高于“有线网络”。
  在下面这篇博文中,俺还提到了:那些安全防范等级较高的公司或机构,其【核心网络】肯定是物理布线,而不会走 wifi 之类的无线网络。
为啥朝廷总抓不到俺——十年反党活动的安全经验汇总

◇SACK Panic——针对 TCP 协议的拒绝服务攻击

Linux PCs, Servers, Gadgets Can Be Crashed by ‘Ping of Death’ Network Packets @ Slashdot

  编程随想注:
  漏洞编号 CVE-2019-11477,影响 Linux Kernel 2.6.29 之后的所有版本。
  这个漏洞最多只引发“DoS”(拒绝服务攻击),风险还不算高(相比那些能【执行代码】的漏洞而言)。服务器的管理员会比较关注这个漏洞。

  俺提到这个漏洞是为了——顺便介绍一下 Linux 的【sysctl】。
  在这个漏洞刚刚曝光时,补丁尚未发布,系统管理员可以利用 sysctl 禁用 TCP SACK。
  sysctl 是 Linux 内核提供的一种机制,可以动态修改内核的参数。
  与“重编译内核”相比,sysctl 的灵活性比较差(可定制的选项不太多),但 sysctl 用起来比较简单(傻瓜化)。
  “加固 Linux 系统”有很多种手法,其中一种是:用 sysctl 把一些没用要到的功能模块禁掉,以【降低攻击面】。
  举个栗子:如果你的 Linux 完全没用到 IPv6,可以通过 sysctl 把 IPv6 禁掉。
  更多相关介绍,请参考:《Linux hardening with sysctl settings @ Linux Audit

★移动设备

◇Tor Browser for Android【正式】发布

Tor Browser for Android 发布首个稳定版本 @ Solidot

Tor 项目在 Google Play 应用商店发布了 Tor Browser for Android 的首个稳定版本。
去年 9 月发布的 alpha 版本需要先安装代理应用 Orbot 将 Tor Browser for Android 与 Tor 网络连接起来,稳定版本不再需要 Orbot。
Tor Browser for Android 是基于 Firefox 60.7.0esr,开发者表示由于苹果的限制它无法发布 Tor Browser to iOS。

  编程随想注:
  引申阅读:
“如何翻墙”系列:扫盲 Tor Browser 7.5——关于 meek 插件的配置、优化、原理

◇可破解任意型号 iPhone 的取证软件

Cellebrite Now Says It Can Unlock Any iPhone for Cops @ Wired

  编程随想注:
  一家专门开发【取证软件】的以色列公司(Cellebrite)宣称:它刚发布的取证软件 UFED(Universal Forensic Extraction Device)可以破解任意型号的苹果手机(包括刚刚发布的 iOS 12.3)。
  可能某些读者会怀疑:这个 Cellebrite 公司有没有吹牛?
  在上述报道中还提到了“Cellebrite 的竞争对手”——来自美国的 GreyKey 公司。GreyKey 开发的取证软件已经能破解 iOS 12 的某些版本。
  贴这个新闻就是为了说明——
  【移动设备】的风险,以及警方【取证软件】对移动设备的威胁。
  (具体的讨论,本文前面的章节刚刚聊过,就不重复了)

◇手机 App 可以监控你的【步态】

Phones Can Now Tell Who Is Carrying Them From Their Users’ Gaits @ Slashdot

  编程随想注:
  由于这篇是洋文,通俗解释一下。
  每个人的【步态】都具有其独特性(唯一性),就好像每个人都有独特的指纹。
  由于手机经常会被随身携带,而且智能手机通常都内置了陀螺仪。那么,如果某个 App 具备了相关的权限,就可以观测手机主人的【步态】。并以此来作为某种【唯一标识】。这其中当然就包含了“隐私风险”。
  更危险的是——以【步态】作为“身份标识”具有【跨设备】的效果。
  设想一下:如果你有两个手机,都装了某个 App,并且这个 App 具备上述风险。哪怕你【从不】在这两个手机的 App 上进行【用户登录】,哪怕你【从不】同时携带这两个手机(每次只携带其中一个)。但这两个手机上的 App 如果收集了足够多的【步态信息】并汇总到 App 的服务器,服务器上的软件根据这些数据就可以判断出——这两个物理设备属于【同一个自然人】。
  手机的问题在于——它包含了很丰富的【探测手段】(比如:摄像头、麦克风、陀螺仪、GPS……)。这玩意儿简直就是现代版的“电幕”(看过《1984》的同学应该知道俺在说啥)

◇针对“Android 供应链”的攻击

Android 供应链攻击 @ Solidot

Google 本月初披露了一起 Android 供应链攻击,称一家供应商在数百万台设备上预装了 Triada 恶意程序去展示广告。那么 Triada 是谁开发的呢?Google 称供应商使用了野火(Yehuo 或 Blazefire)这个名字。KrebsonSecurity 对这个名字以及相关域名,域名注册邮箱进行了一番跟踪,认为 Triada 与上海野火网络科技有限公司有关,该公司的 CEO 叫楚达。公司域名 blazefire.com 的注册邮箱是 tosaka1027@gmail.com,同一邮箱被用于注册了至少 24 个域名,至少 7 个域名被用于传播 Android 恶意程序,其中两个域名被用于传播 Triada,另外五个被用于传播 Hummer 木马。Brian Krebs 称 Google 拒绝置评,而野火网络则没有回应。

  编程随想注:
  最近一年,“中美对抗”急剧升温。其中一个焦点就是【信息安全】。
  如今出了这么一个案例,典型的“授人以柄”。

★安全工具

◇Matrix 协议发布 1.0 版本

Introducing Matrix 1.0 and the Matrix.org Foundation @ 官网

  编程随想注:
  前面提到:香港“反送中抗议活动”期间,某个 Telegram 群主被警方抓了。那段时间也有读者在博客评论区交流:如何更隐匿地使用 IM 工具?
  6月份正好赶上“Matrix 1.0 版本发布”,今天顺便介绍一下:
  擅长看洋文的,可直接看“英文维基百科”(这里),不擅长看洋文的,贴一篇中文的扫盲教程(这里)。
  另外,在4月份还有这样一个新闻:《法国政府发布它开发的端对端加密消息应用 @ Solidot》。
  法国政府基于【Matrix 协议】开发了一个 IM 工具(Tchap),用来替代“Telegram 和 WhatsApp”。并且这个 Tchap 最终会被用于法国所有政府部门。
  引申阅读:
“对抗专制、捍卫自由”的 N 种技术力量

★硬件相关

◇针对高通芯片的攻击(可盗取密钥)

Security flaw lets attackers recover private keys from Qualcomm chips @ ZDNet

  编程随想注:
  漏洞编号 CVE-2018-11976。这个漏洞是去年就发现的(注意看编号),据说高通到今年4月才修复此问题。
  高通芯片内有个硬件级的“安全执行环境”(洋文叫“Qualcomm Secure Execution Environment”,简称“QSEE”),专门用于进行敏感的密码学运算。
  NCC Group 的安全研究人员通过“旁路攻击”(也称“边信道攻击”)的手法,可以从 QSEE 中逐步地恢复出 ECDSA(Elliptic Curve Digital Signature Algorithm)的密钥。漏洞发现者(NCC Group)在今年4月发了一篇 whitepaper(链接在“这里”)
  考虑到高通芯片在移动设备中【极高的使用率】。这个漏洞的打击面非常大。

◇RAMBleed——新的 Row Hammer 攻击手法

RAMBleed Rowhammer 攻击能窃取数据 @ Solidot

一个国际研究团队发表论文,描述了 Rowhammer 比特翻转攻击的新变种,称能用于窃取内存中的数据。
Rowhammer 攻击利用了 DRAM 临近内存单元之间电子的互相影响,当重复访问特定内存位置数百万次后,攻击者可以让该位置的值从 0 变成 1,或从 1 变成 0。新的攻击被称为 RAMBleed,通过观察 Rowhammer 诱导的比特翻转,攻击者能推断出附近 DRAM 行中的值。
在论文中,研究人员演示了对 OpenSSH 7.9 的攻击,他们利用 RAMBleed 攻击获取了 2048 比特的 RSA 密钥。研究人员称 RAMBleed 潜在能读取储存在内存中的任何数据,表示 ECC(Error Correcting Code)内存并不能防止 RAMBleed 攻击。

  编程随想注:
  在上一季度(2019年1季度)的《近期安全动态和点评》中已经简单扫盲了【Row Hammer 攻击】。当时提到了“针对 Intel 处理器的新型 Spoiler 攻击”,并提到:这种“新型 Spoiler 攻击”能大大加快“Row Hammer 攻击”的效率。
  俺估计:未来应该会有更多“Row Hammer 攻击手法”被研究出来。

◇新的攻击手法绕过 UEFI 验证,可安装底层后门

绕过验证安装底层后门——英特尔固件启动验证绕过新方法 @ 安全内参

本周在荷兰阿姆斯特丹举行的 Hack in the Box 大会上,研究员 Peter Bosch 和 Trammell Hudson 演示了针对英特尔统一可扩展固件接口(UEFI)Boot Guard 功能的“检查时间与使用时间”(TOCTOU)漏洞攻击。
注:
TOCTOU:“time of check and the time of use”,代码先检查某个前置条件(例如认证),然后基于这个前置条件进行某项操作,但是在检查和操作的时间间隔内条件却可能被改变,如果代码的操作与安全相关,就很可能产生漏洞。
Boot Guard 是英特尔第4代 Core 微架构(Haswell)中引入的一种技术,旨在提供底层固件(UEFI)防护保障,使其免于被恶意篡改。

……

虽然该攻击要求打开笔记本电脑以往芯片上夹上连接器,但有多种方法可以让攻击成为永久性的,比如直接将 SPI 芯片换成模拟 UEFI 的同时注入恶意代码的流氓 SPI。该攻击的芯片替换版就类似于驻留硬件版的 bootkit,可用于从系统中盗取磁盘加密口令和其他敏感信息,且若不开箱仔细检查主板是非常难以检测出来的。

尽管此类物理攻击针对性很强,永远不会成为广泛传播的威胁,但仍对能接触到有价值信息的公司企业和用户形成严重的风险。

此类物理侵害发生形式多样,比如邪恶女佣类场景——公司 CEO 之类高价值目标海外旅游去了,笔记本电脑就这么毫不设防地留在了酒店房间里,攻击者买通或自己假扮成服务生就能进去换掉 SPI 芯片。

……

  编程随想注:
  这个案例再次提醒大伙儿(尤其是“高价值目标”),【物理安全】也很重要哦!

★密码学相关

◇是时候抛弃 SHA1 散列算法了

SHA-1 碰撞攻击正变得切实可行 @ Solidot

Google 在 2017 年宣布了对 SHA-1 哈希算法的首个成功碰撞攻击。所谓碰撞攻击是指两个不同的信息产生了相同的哈希值。在 Google 的研究中,攻击所需的计算量十分惊人,用 Google 说法,它用了 6,500 年的 CPU 计算时间去完成了碰撞的第一阶段,然后用了 110 年的 GPU 计算时间完成第二阶段。
现在,SHA-1 碰撞攻击正变得切实可行。上周一组来自新加坡和法国的研究人员演示了首个构造前缀碰撞攻击(PDF),即攻击者可以自由选择两个碰撞信息的前缀。构造前缀碰撞攻击所需的计算费用不到 10 万美元,意味着伪造 SHA-1 签名文件将变得可能,这些文档可能是商业文件也可能是 TLS 证书。现在是时候完全停止使用 SHA-1 了。

  编程随想注:
  不懂“散列算法”的同学可以看下面这篇扫盲教程。
扫盲文件完整性校验——关于散列值和数字签名

俺博客上,和本文相关的帖子(需翻墙)
为啥朝廷总抓不到俺——十年反党活动的安全经验汇总
如何保护隐私》(系列)
如何防止黑客入侵》(系列)
如何隐藏你的踪迹,避免跨省追捕》(系列)
“对抗专制、捍卫自由”的 N 种技术力量
吐槽一下 Windows 的安全漏洞——严重性超乎想象
如何用“磁盘加密”对抗警方的【取证软件】和【刑讯逼供】,兼谈数据删除技巧
TrueCrypt 使用经验》(系列)
扫盲 VeraCrypt——跨平台的 TrueCrypt 替代品
扫盲 dm-crypt——多功能 Linux 磁盘加密工具(兼容 TrueCrypt & VeraCrypt)
文件加密的扫盲介绍
扫盲文件完整性校验——关于散列值和数字签名
弃用 Chrome 改用 Firefox 的几点理由——关于 Chrome 69 隐私丑闻的随想
“如何翻墙”系列:扫盲 Tor Browser 7.5——关于 meek 插件的配置、优化、原理

澄清“中美对抗”常见的一些【误解】

  考虑到俺已经连发3篇《每周转载》(其中一篇关于“六四”,另两篇关于“香港反送中”),堪称本博史上头一遭。今天赶紧写一篇【原创】博文。
  前几天(6月底)的 G20 峰会,中美双方宣布“贸易战暂时休战”。最近几个月,很多读者关注贸易战并经常在博客评论区询问相关问题,俺发现很多人存在很多误解。写篇博文作一些【澄清】。

不见图 请翻墙
(这是《经济学人》某期的封面插图,图中的龙头嵌入了美国国徽中的白头鹰,暗喻【中美对抗】)

★误解1:把“贸易战”当成“中美对抗”的全部

  实际情况是,“中美对抗”有诸多深层次的因素。而“贸易战”只是“中美对抗”表现出来的其中一面。
  至于导致对抗的“诸多因素”,下面会聊到。

★误解2:以为中美很快就能达成贸易协议

  去年底(2018年12月),中美达成暂时性休战后,时不时就有中外媒体发表评论性文章,认为中美很快就能达成协议。
  实际情况如何捏?今年4月底,双方谈崩了,导致贸易战进一步升级(双方都加征报复性关税)。
  前几天(6月底)的 G20 峰会,中美再度达成休战——不再增加新关税,已有的关税保留。于是捏,很多媒体又老调重弹——认为中美即将达成贸易协议。
  实际上【没】这么乐观。
  为啥不乐观捏?根源在于——中美双方的高层都【不】愿意作出显著让步。
  中国方面,之前已经唱了太多高调,牛皮都吹出去了。作出显著让步,你让朝廷的面子往哪儿搁?而且据小道消息说,朝廷高层的某些人已经对现有的让步表示不满,认为这是【卖国】。
  美国方面,“反华”(反中)已经成为美国政界的共识(关于这点,下面会提到)。川普如果作出显著让步,势必引发【两党】国会议员群起而攻之,并直接影响其2020年连任的胜算。

  顺便说一下:
  很多人【误以为】美国已经解禁华为,并把这说成是“美方的重大让步”。实际上这又是一个被国内媒体忽悠的说法。
  至少到俺写本文(7月4日)为止,华为依然在“实体清单”(被禁止的企业名单)上。

★误解3:过于【夸大】川普的作用

  之前在博客评论区与读者交流时,俺提到:【川粉与川黑】有个共同点——过于【夸大】川普的作用。
  在美国的政治体制中,【权力制衡】的措施很多,单个的政治人物,就算担任了显赫的职务(比如说:总统),依然会受到很多制约。
  稍微跑题一下:
  从表面上看,这么多的制约会降低体制的效率;但潜在的好处是——避免了【单点故障】。对于权力制衡体系,很多人只看到【显式的缺点】,而忽略了【隐式的优点】。
  引申阅读:
聊聊美国政体中的权力制衡——不仅仅是三权分立
聊聊【单点故障】——关于“德国空难”和“李光耀”的随想

  言归正传。
  很多事情虽然是在川普上台后才搞出来的,但这些事情已经有了相当的“历史背景”和“民意基础”。
  比如说“贸易战”的民意基础是——
  天朝加入全球贸易体系后,玩起了“中国模式”。由于天朝【没有】正经的、有效的工会,资本家可以尽情压榨劳工(关于这点,上次谈996的博文已经分析过了)。如此一来,天朝的企业(相比欧美企业)可以获得巨大的成本优势,导致产业链转移到天朝,而美国劳工的失业率就会显著上升。
  长此以往,美国劳工当然不爽啦。也是因为这个原因,希拉里在2016大选中输掉了某些关键州。这些州被称为“铁锈地带”(Rust Belt),意思是——这些州严重依赖制造业,并因为制造业的迁出而衰落。而【制造业】恰恰是受“中国模式”影响非常大的行业。
  顺便说一下:
  即使没有“中国模式”,随着 AI 相关技术的普及,这些州依然会成为“铁锈地带”。天朝搞的“中国模式”只不过让这种现象【提前】出现而已。

★误解4:把“美国对华立场”的转变全都归咎于川普

  (这个误解有点类似于前一个——也属于“过度大川普的作用”)
  虽然在川普的任期内,美国对华立场变得很强硬;但这个转变【不是】突然出现滴,而是在最近10年逐渐发生滴。
  在2018年的博文中(如下),俺详细介绍了美国外交决策层对华态度的转变——这种转变开始于2011年。
从量变到质变——中美关系40年

  考虑到某些读者没有看过上述博文,再重复唠叨一下:
  2011年发生两件大事——
其一,(5月份)美国特种部队击毙【本·拉登】;
其二,(10月份)当时的国务卿希拉里·克林顿发表了《美国的太平洋世纪》(洋文叫做:America’s Pacific Century
  打掉本·拉登具有重要的象征意义——标示着长达十年的反恐战争告一段落。换句话说,反恐战争就算还没结束,也已经【不再是】美国政府的首要任务了。
  在这种情况下,美国佬开始把目光转向亚太地区,并提出了【新的亚太战略】。而希拉里的这篇文章标志着美国在冷战后最重要的一次【战略调整】——对外战略从“欧洲优先”变为“亚太优先”。
  川普上台之后干的很多事情,其实是在延续这个路子,只不过走得更远了。

★误解5:以为“反华”(反中)只是美国一小撮人的立场

  实际情况是,“反华”(反中)已经成为美国各界的【共识】。下面俺拿不同的领域分别举例。

◇政界

  去年底俺发了一篇博文《每周转载:盘点一下贸易战爆发后的【中美对抗】(2018年4季度)》,其中引用了美国前任财长保尔森在11月7日的公开演讲(如下)

美国民主和共和两党在对中国问题上看法一致。两党虽然在其他所有问题上看法都不一致,但对中国的负面看法高度一致。

不见图 请翻墙
(美国前任财长保尔森)

  感兴趣的同学还可以再去看看最近几年美国国会通过的若干法案:
2017年,《台湾旅行法》(洋文叫做“Taiwan Travel Act”)
2018年,《亚洲再保证倡议法案》(洋文叫做“Asia Reassurance Initiative Act”,涉及“日本、韩国、澳大利亚、台湾”)
2019年,《台湾保证法》(洋文叫做“Taiwan Assurance Act”)
  请注意,这几个法案在参众两院都是【高票通过】,有时候甚至是【全票通过】。比如说:《台湾保证法》两个月前(2019年5月)在众议院投票时,435名议员全票通过。
  美国政界对台湾的支持力度,可以反映出美国政界对北京方面的强硬程度。

◇军界

  军方就更不用说了。
  下面举几个美国军方高层的公开发言。

  2018年6月2日
  马蒂斯参加在新加坡举办的香格里拉对话会,并发表演讲。某个与会代表问他:面对中国在南中国海的军事化,美国必须要接受吗?
  马蒂斯作了如下回答:

如果你在两个月前问同样的问题,我会说,我们在尝试着保持同中国的合作立场,我们邀请他们参加世界最大的军事演习,环太平洋军演。
但是在4个星期前,根据我们所看到的,是该对他们说‘要承担后果’的时候了。世界最大的海军演习,将不会有中国参加。
但这相对来说只是个小的后果,我相信,未来还会有更大的后果。

不见图 请翻墙
(美国国防部长马蒂斯)

  2018年10月24日
  曾任美国驻欧洲陆军司令的本·霍吉斯(Ben Hodges)在欧洲的华沙安全论坛中称:

我想,在15年内——这并非不可避免,不过极有可能——我们会与中国发生战争。

不见图 请翻墙
(美国驻欧洲陆军司令的本·霍吉斯)

  2018年12月11日
  美国参谋长联席会议主席邓福德上将在接受采访时表示:

中国不断提升军力,在印太地区对美国在海上、天空、陆地、太空和网络的行动能力构成全方位挑战。中国对美国在这些领域的挑战将会影响美国为维护本国以及盟国利益的行动能力。

不见图 请翻墙
(美国参谋长联席会议主席邓福德上将)

◇经济界

  美国的劳工
  前面俺已经提到了“中国模式”对美国产业的影响——导致美国劳工的失业率上升。

  美国的中小型本土企业(小资本家)
  “中国模式”不光会导致失业率上升,还会影响美国本土企业的【利润】(严重的话,还会影响到企业的存活)。
  因为美国有强大的工会组织,美国的小企业主(小资本家)不可能像天朝的资本家那样进行残酷的压榨。
  (注:“中国模式”因为残酷压榨劳工而获得的利润优势也被称作【低人权优势】)

  美国的大型跨国公司(大资本家)
  跨国公司可以通过【转移产业链】来规避“中国模式”的威胁;如果把产业链转到天朝,甚至可以在“中国模式”里面分一杯羹(比如:贸易战之前,苹果手机全都是在天朝代工滴)
  但美国跨国公司依然对北京政权很不爽,因为当它们要在天朝开展业务时,朝廷方面会逼迫他们进行【技术转让】。
  (注:“强制技术转让”是中美贸易谈判的焦点之一,中方目前已经作出一定程度让步,但美方觉得还不够)

◇宗教界

  基督教(新教)群体
  长期以来,天朝一直在打压“地下教会”。很显然,美国的基督教(新教)群体对北京政权不会有好印象。

  天主教群体
  按照天朝官方的说法,中国的天主教教会【不】接受梵蒂冈的领导。所以,美国的天主教群体,对北京政权也不会有好印象。

  伊斯兰教群体
  最近几年,天朝开始在新疆搞【集中营】,专门针对维族的伊斯兰信徒。所以,美国的伊斯兰教群体,对北京政权也不会有好印象。

◇其它

  其它还有很多,考虑到篇幅,就不一一列举了。

★误解6:只从【单一维度】看待“中美对抗”(一元化归因)

  有些人只从“经济”角度解读中美对抗,还有一些人只从“政治”角度解读……
  实际情况是,中美对抗包含了【诸多】因素,【至少】包括如下:

◇地缘因素

  关于这方面的讨论,俺推荐布热津斯基的代表作《大棋局——美国的首要地位及其地缘战略》(俺的网盘分享了电子版)。
  布热津斯基把欧亚大陆称作【世界岛】,以下是他的原话(摘自此书中)

今天,地缘政治问题已不再是欧亚的哪个地理部分是控制整个大陆的出发点,或陆地力量是否比海洋力量更重要。随着控制整个欧亚大陆成为取得全球主导地位的主要基础,地缘政治已从地区问题扩大到全球范围。
目前来自欧亚大陆之外的美国拥有世界的首要地位,美国的力量直接部署在欧亚大陆的三个周边地区,并从那里对处于欧亚大陆内陆地区的国家施加强有力的影响。但正是在欧亚大陆这个全球最重要的竞赛场上,美国的一个潜在对手可能在某一天崛起。因此,在为长期掌管美国在欧亚的地缘政治利益制定美国的地缘战略时,出发点必须是特别注意最重要的赛手并恰当地评估这一地区的情势。

  布热津斯基列出欧亚大陆的5个【主要对手】,分别是:俄罗斯、中国、法国、德国、印度。他认为美国要确保欧亚大陆的【势力均衡】,只要始终确保这点,美国就始终可以保持老大的地位。
  而如今的美国决策层认为:中国正在打破现有的势力均衡。典型的迹象就是——奥巴马时代提出了【亚太再平衡】的战略。为啥要强调“再平衡”捏?因为美国佬认为平衡已经被打破。

◇政治因素(意识形态因素)

  在【意识形态】方面,咱们天朝依然是共产党那套(至少在口头上,天朝还是高举马列主义的旗帜)
  而在美国政坛,“马列主义”相当于“邪恶”的代名词,早就已经臭大街了。
  引申阅读:
为什么马克思是错的?——全面批判马列主义的知名著作导读

◇文化因素

  关于这方面的讨论,俺推荐亨廷顿的代表作《文明的冲突与世界秩序的重建》(俺的网盘分享了电子版)。
  前面介绍《大棋局》时提到欧亚大陆的5个主要竞争者,如果把这5个国家按照与美国的文化差异进行排序,会是如下:

法国、德国
俄罗斯
印度
中国

  亨廷顿在书中把“基督教新教与天主教”称作“西方基督教”,把“东正教”称作“东方基督教”。所以很显然,美国与“法/德”的文化相似性高于“俄罗斯”。(注:很多中国民众大大低估了基督教对欧洲文明史的影响)
  印度和中国的文化,完全不同于欧洲文明。但是印度曾经被英国长期殖民(注:长期殖民的影响还是很显著滴)。
  通过这么一比较,欧亚大陆的5个大国,中国与美国的文化差异是最大滴。
  一般来说,两个国家的文化差异越大,则两国之间的猜忌和敌意也就越大。当两个国家之间出现显著的竞争,会把双方之间的猜忌和敌意进一步放大。

◇军事因素

  在中国周边有若干个地区热点(俗称“火药桶”),【至少】包括:台湾问题、朝核问题、南海问题、钓鱼岛问题…
  只要中美双方的任何一方在某个地区热点出现【误判】,就足以引发军事冲突。

◇经济因素

  关于这个方面,前面几节已经聊得够多了。

★误解7:寄希望于2020年大选能改变美国对华立场

  如果你理解了前面的几个小节(“误解5”与“误解6”),自然会明白——2020年大选对中美关系而言,【不会】有太大改变。
  (但2020年大选的结果,对美国自身的政治生态会有很大影响)

★误解8:以“现实主义”来看待美国的外交战略

◇美国的实际情况是【两者兼有】

  天朝的很多人总是以“现实主义”的方式来看待国际政治关系,所以想当然地认为美国的决策层也是如此。
  但美国的外交战略决策并【不是】由某个单独的个人一手策划(【不是】完全由总统一个人说了算)。很多高层人物和政治团体都会影响到美国的外交决策。而这些“人/团体”中,既有“现实主义”,也有“理想主义”。
  所以美国的外交战略决策,既有“现实主义”的成分,也有“理想主义”的成分。

◇“现实主义”与“理想主义”的差异

  通俗地说,这两种主义相当于两种流派(style)。考虑到篇幅,俺就不详细描述这两种流派。只简单通俗地聊一下。
  “现实主义”很好理解,通俗地说就是——为了国家利益可以不择手段。
  “理想主义”有时候也称为“道德主义”,认为即使追求国家利益也不能违背某些基本的道德原则。

  顺便说一下:
  “现实主义 VS 理想主义”只是一种划分的维度;另一种维度是“国际主义 VS 孤立主义”。
  这两个维度排列组合可以有4种情况。比如西奥多·罗斯福(老罗斯福)总统是“基于现实主义的国际主义”,而伍德罗·威尔逊总统是“基于理想主义的国际主义”。
  如果你对美国外交战略的发展史感兴趣,可以看基辛格写的那本《大外交》(俺的网盘分享了电子版)。

◇举例——美国吞并夏威夷的过程

  在19世纪初,夏威夷诸岛原本是“夏威夷王国”。1849年,美国与夏威夷王国签订友好条约;1880年签订了在珍珠港修建军港的协议。
  1893年,随着当地美国移民的增多,驻夏威夷的美国公使策动当地美国移民搞事情,并得到美国海军陆战队支持,最终推翻“夏威夷王国”,建立一个亲美的临时政府。1893年2月,临时政府与美国政府签订《美夏合并条约》,当时的总统是哈里森,即将卸任。
  1893年3月,新总统克利夫兰上任,觉得这事儿干得太不厚道了(违背道德原则),就【没】把这个条约提交给国会审批(没提交国会就无法生效)。
  当时的军事理论大牛马汉(就是写了巨著《海权论》的那位老兄)觉得克利夫兰总统太傻逼了,如此重要的战略要地,竟然不拿下。他赶紧发了一篇文章《夏威夷和我国海权的未来》,强调美国一定要吞并夏威夷。
  到了克利夫兰之后的下一个总统麦金莱,赞同马汉的观点,把条约提交国会审批,竟然被国会否决了——说明国会中相当比例的人跟克里夫兰一样,也是“道德主义”立场。
  一直到了1898年“美西战争”爆发之后,有些国会议员转变立场,麦金莱总统再次把这个条约提交到国会,才算通过。

  如此一波三折,从中可以看出——
1、美国的外交决策,既有“现实主义”,也有“理想主义”。
2、有些人是在这两者之间摇摆(比如上述案例中的某些国会议员)

★误解9:以“理想主义”来看待美国的外交战略

  (参见前一节“误解8”的介绍)

★误解10:以为美国的“一种政策”等同于中国的“一中原则”

  由于前面提到了“涉台法案”,顺便再聊聊台湾相关的话题。(请注意:“台湾问题”是中美关系的核心焦点之一)
  很多人【误以为】中美既然签署了联合公报,那至少在台面上,双方对这3个联合公报的理解应该是相同的吧。
  可惜不是。
  就在前不久(2019年5月),美国众议院外交委员会的官方推特发了一条推文,用来反驳天朝外交部。其链接在“这里”,原文如下:

Chinese MOFA says Chairman @RepEliotEngel & Ranking Member @RepMcCaul’s #Taiwan bills violate the One-China Principle.
Let’s be clear:
U.S. One-China policy ≠ PRC One-China principle.

  请注意最后一行的那个【不等于号】。
  这条推文说得很清楚了——美国方面理解的“一中政策”(policy)与中国方面理解的“一中原则”(principle)是【不同】滴。
  为啥会出现这种奇葩的事情捏?这篇文章详细解释了两者的差异,俺摘录如下:

中共堅持的「一個中國原則」One-China Principle 是指:世界上只有一個中國,中華人民共和國政府是代表中國的合法政府,台灣是中國的一部份。
美國尼克森總統於1972年訪問中共時,雙方一同提出「上海公報」,針對第三個元素,正式地定調:「美國認識到(acknowledge),在台灣海峽兩邊的所有中國人都認為只有一個中國,台灣是中國的一部份。美國政府對這一立場不提出異議。」

卡特總統在1978年決定跟中國建交,在建交公報當中,正式宣布承認(recognize)了第二項元素:美利堅合眾國承認中華人民共和國政府是中國的唯一合法政府(在這之前是由中華民國政府來代表中國)。而關於台灣與中國的關係,則是重申1972年上海公報當中的立場,這個立場一直沿用到現在,而且一再地由總統以及國會等做確認。

所以簡單來說,美國的「一個中國政策」One-China Policy,主要內容就是承認世界上只有一個中國、中華人民共和國代表中國,但是並沒有「承認」第三個元素,而只是認識到(acknowledge)海峽兩邊的中國人所認知的台灣是中國的一部份這個立場。

日前,資深退休外交官譚慎格(John J. Tkacik, Jr.)投書媒體,再次強調,其實美國的外交政策上面從來沒有正式承認過「一中原則」,反而還多次正式否認。例如在中美建交的隔年(1979)二月,時任卡特政府的副國務卿就在國會上強調:美國認知到中國人認為「台灣是中國的一部份」這個立場,但是並沒有同意這個立場
(而且還特別強調了「沒有」:”acknowledged the Chinese position that Taiwan is part of China, but the United States has not [italics in original] itself agreed to this position.”)

  如果你没看懂上述这段,俺再来通俗解说一下——
中国方面的“一中原则”包括三个要素:
1、世界上只有一个中国
2、中华人民共和国政府是代表中国的合法政府
3、台湾是中国的一部分

  对上述三个要素,美国在联合公报的【英文版】中只承认前两个(用的单词是【recognize】),对第三个要素,美国佬用的单词是【acknowledge】。也就是说,对于第三个要素,美国佬【知道】中国人把台湾当成中国的一部分,但美国佬【并没】承认这点。
  但是在联合公报的【中文版】,对三个元素都使用了【承认】这个词汇。
  这就是中美双方存在的差异。
  更进一步地说,美国对于【台湾地位问题】,未来【有可能】出现变数。因为美国一直在强调,他【没有】承认第三点。

★误解11:【高估】“中美三个联合公报”的效力(法律地位)

  前面俺提到:美国最近几年接连通过了三个涉及台湾的【法案】。
  每当类似的方案通过,经常会看到某些天朝网民(有时候还包括天朝官媒)说出诸如此类的话——
美国又通过“XXX涉台法案”,严重违背了中美三个联合公报

  上述这种说法,很容易让人【误以为】“公报”比“法案”更牛逼。其实不然。
  俺估计很多人(包括本博客的很多读者)都没搞明白“法案”与“公报”是什么关系。简单说一下。

  公报
  “中美联合公报”只是美国的【行政机构】与中方签署的文件。这个文件【不】需要经过国会(立法机构)批准。

  法案
  美国的法案,必须要经过国会参众两院(立法机构)投票,两边都要通过,并且参众两院投票通过的法案文本要【完全一样】(一字不差)。等两院都投票通过之后,再拿去给总统签署生效。

  “法案”的效力【高于】“公报”。也就是说,如果两者有冲突,以“法案”为准。

★误解12:认为武力统一台湾,美国不会军事干涉

  很多天朝的军迷在谈“武力统一台湾”的话题时,总是觉得如何如何容易。因为他们觉得美军不会干预,或者美军来不及干预。
  这种想法相当不靠谱,尤其是在中美对抗日益加剧的今天。
  建议读者重新回顾一下前面“误解5”这个小节中提到的三个涉台法案和几个美军高层将领的言论。然后再思考一下:美国佬为啥要做这些?

  前面俺提到了亨廷顿的代表作《文明的冲突与世界秩序的重建》,此书第9章有如下一段话:

如果中国作为一个霸权国家开始在东亚出现,各国会作何反应?毫无疑问,反应将会是极不相同的。既然中国已将美国确定为主要敌人,美国的主要倾向将是作为一个主要平衡者来防止中国的霸权。扮演这样的角色可能与美国防止任何一个国家在欧洲或亚洲占主导地位的传统关切是一致的。这个目标在欧洲已不再适用,但是它可能仍适用于亚洲。一个在文化、政治和经济上与美国紧密联系在一起的松散的西欧联盟,不会对美国的安全构成威胁,但是一个统一的、强大的和自我伸张的中国可能构成这种威胁。

在必要时进行战争以阻止中国在东亚的霸权,是否符合美国的利益?如果中国的经济继续发展,这可能是21世纪初美国政策制定者面临的唯一最严峻的安全问题。如果美国确实想阻止中国在亚洲占主导地位,它就需要根据这一目标改变与日本的结盟方向,与其他亚洲国家发展紧密的军事联系,加强在亚洲的驻军及能够用于亚洲的军事力量。如果美国不想与中国的霸权抗衡,它就需要放弃自己的普世主义,学会与中国的霸权相处,心甘情愿地眼见自己决定太平洋遥远的另一端的事务的能力显著下降。

这两种做法都会有巨大的代价和危险。然而,最大的危险乃是美国将不作明确的选择,在未经认真考虑它的做法是否符合自己的国家利益,并在没有做好有效地发动战争准备的情况下,便卷入一场与中国的战争。

  请注意俺标注黑体的那句。为啥亨廷顿认为:“最大的危险乃是美国将不作明确的选择”?
  如果美国没有进行明确的表态,将会导致中国发生误判。而很多战争就是在双方中的某一方出现【误判】的情况下打起来的(典型的例子是朝鲜战争——斯大林误判,以为美国不会军事介入南韩)。
  奥巴马时代的国防部长在谈“亚洲再平衡”时,不止一次地强调——未来要把一半以上的海军和空军部署到亚太地区。而川普上任之后,更是把“亚太战区”升级为“印太战区”并强调“美日印澳”的军事协作。再加上最近3年接连通过了三个涉台法案。所有这些,都是美国佬在表明态度——美国已经选择了(亨廷顿所说的)两条道路中的【前者】。

★误解13:过于相信“中或最赢”

  “中或最赢”(中国或成最大赢家)这种观点或类似的说法,这几年很流行。
  为啥捏?因为这种立场的文章更受欢迎(尤其受小粉红欢迎),而且不会被审查;相比之下,负面评价的文章(哪怕其评价是客观的),在墙内也很容易被审查(情节严重的话,还会享受到【跨省追捕】的待遇)
  所以,墙内文章在评价“中美对抗”时,基本上是一边倒(过于夸大天朝的牛逼程度)。
  在这种舆论环境下,那些只看【墙内】媒体的网民,就很容易被忽悠——误以为天朝真的有多么牛逼。

  实际情况是——自从习呆呆上台之后,朝廷已经出了太多的【昏招】。
  举例——中国制造2025
  曾几何时,朝廷方面高调宣传“中国制造2025”。这就是个严重的昏招——等于是自愿送给美国佬靶子。
  等到美国佬照着这个清单进行技术封锁,朝廷终于后知后觉地意识到——这是个蠢招。然后真理部急忙下令:不要再宣传“中国制造2025”了。
  习包子的其它昏招/蠢招还有很多,可以看俺之前的博文:
从量变到质变——中美关系40年

俺博客上,和本文相关的帖子(需翻墙)
从量变到质变——中美关系40年
每周转载:盘点一下贸易战爆发后的【中美对抗】(2018年4季度)
“996工作制”只不过是【劫贫济富】的缩影——“马云奇葩言论”随想
苏联是如何被慢慢勒死的?——聊聊冷战中美国的遏制战略
为什么马克思是错的?——全面批判马列主义的知名著作导读
聊聊美国政体中的权力制衡——不仅仅是三权分立
聊聊【单点故障】——关于“德国空难”和“李光耀”的随想
各种【一元化思维】的谬误——从“星座理论”到“共产主义社会”