算了,我也来聊聊红芯?

百家 作者:尖刀制造 2018-08-17 05:05:32

这两天一下子好多人来问我关于红芯,有觉得看着不爽的,自然也有看着觉得还OK的,索性就把我所有的观点都集中在这一篇文章中吧。


第一次公开聊“红芯浏览器”产品是8月15日中午11:30左右,在崔牛会的群里一群创业兄弟们恭喜陈本峰刚刚融资,那时候红芯“造假”事件还没发酵,出于好奇,我从官网down了一个windows版本的下来,第一眼的直觉觉得这个应该是chromium,所以就通过开发者验证的版本识别命令验证:


navigator.appCodeName


Mozilla


navigator.appVersion


5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.1.2623.213 Safari/537.36


并在群里截了个图。


我在群内问陈本峰,应该是自有内核的还没上线吧,赶快上线很想体验一下。


他的回复是:“ua必须要有Mozilla,IE的也有。”


这句话我是有分歧的,从浏览器内核来讲,我的认知是Webkit、Blink这些,从我得到的版本信息里“Chrome/49.1.2623.213”,显然红芯是在使用chromium套了个“壳”,当时的内心旁边也是“你TMD是在骗我?”


后来红芯事件的爆发,关键点其实也在这里,到底是Blink还是redcore,这是完全不同的认知。


红芯错在哪?


红芯的错,就错在“过度的中国芯”的宣传,在大家认知利红芯浏览器其实就是chromium基础上造的轮子,但媒体PR稿件上以及官网信息中,过分的包装Redcore内核,自然因此激起的“民怒”。


再加上红芯干掉了大量chromium的版权信息后,并没有按照开源许可注明版权,同时又自称是自有“内核”,这种对于开源项目的“不尊重”,也自然就成了“这个时间的导火索。


错了就是错了,这个检讨红芯的几个合伙人必须得做,在客户面前混搅是商业道德问题,但一旦对所有公众都是这样,自然就变成了“欺骗”。


红芯与汉芯?


被网友把红芯比作汉芯,这自然也是各种“过于巧合”的事情,完全是陈本峰团队自己作死。

不止是名字上“红芯”与“汉芯”的一字之差,还有汉芯“陈进”和红芯“陈本峰”的同姓“陈”的推导,甚至网上有很人传播“陈本峰”是“陈进”的儿子,虽然我没办法去核实,但是觉得应该不会如此巧吧?

我想对于攻击红芯公司到转战攻击陈本峰个人这个问题,得陈本峰本人,亲自来回应和证明了!


因为有了前面的“巧合”,再加上官网上原本为了证明公司实力“赫赫有名”的政府客户案例,以及C轮2.5亿融资宣城是上市公司及政府客户,自然就被骂成“骗国家经费”的骗子了。


真的全靠骗吗?


和陈本峰从崔牛会里认识的,交流过几次,但并没想过要给他洗白,错了就是错了,既然自己作死,为了博眼球做噱头,不计后果的“夸大其词”去宣传产品,自然也应该直面这个事情产生的结果,敢做自然也该勇敢的站出来把这些事儿给认了!


我想说的是,红芯以外的红芯隐盾。


从发现红芯用的是chrome/49版本,就大概知道陈本峰的商业路径了,那天在崔牛会的群里我也直接说过,红芯做的简单来讲其实就是身份认证、网络准出控制。


这种业务在国内,最好的应用场景自然就是政府和事业单位,比如医疗系统、公安系统、政务办公系统、敏感数据比较多的体系,这些单位的电脑配置以及系统你们都懂的,因为chrome/49 是最后一个支持XP的版本,我猜这也是他为什么用这么低版本的原因。


撸了一眼官网的白皮书,个人理解 红芯隐盾的逻辑简单来说其实就是把浏览器作为一个入口点,控制台负责下发访问规则,设定黑白名单,访问的操作、鼠标事件上传到控制台,发生泄漏的话就通过控制台去找泄漏点。


而SDP的核心其实就是建立一个私有的DNS,授信只有通过红芯浏览器才能访问到指定数据,在访问方面通过port knocking技术实现授权访问,私有dns用于敏感系统的解析,port knocking用于认证后开放访问权限。


划分出私有网络,外部设备没有连接DNS就没有办法访问数据,以此划分边界。


其实隐盾和ZeroTrust很类似,ZeroTrust是在整个网络层,而红芯当前也只在http做监测,撑死算做在部分协议层做了zerotrust方案的借鉴, 与实际的zerotrust方案还有一定差距。


而陈本峰在群内回复我的,SDP封闭80端口,“彻底”防止DDOS攻击!也让这个应用服务器在互联网上不可见,说实话我是再次内心鄙视的,不能说他夸大、或者是骗,只能说丫太不了解黑客了,DDOS攻击可以用的端口那么多,服务器都D挂了,你隐藏80有个P用?


到底有没有用?


相对传统的方案来讲,我还是认可这套机制的,毕竟ZeroTrust落地的可能性太低了,不是我等平民考虑的事儿,只是同样这套机制由很多地方需要他自己去思考,而且一直要与黑客来博弈,比如:


通过特定红芯浏览器才能访问指定数据

逆出规则并不是不可能,逆了就任意浏览器了对吧?


统一信任给了控制台

控制台需要在外网暴露,搞定控制台就全歇菜



隐盾核心其实就是把国密算法加入到了OpenSSL当中同时做了本地存储支持,但OpenSSL已经有了国密算法支持了。


与黑客对抗,应用这套机制的本质其实就是尽量的减少攻击面,与其它安服及安全产品一样,都是在提高黑客攻击门槛,降低被黑风险,本来这就是一个攻与防相互博弈的过程。


写在最后


个人认为坦诚是最好的公关,错了就是错了,别去避讳也不要尝试用其它手段去遮掩或企图覆盖错误,某些领域确实有很多捷径可以走,但是科学与技术研究这条路,仍然还是要脚踏实地。


一个热点会被另外一个更新的更大的热点所覆盖,风头过后自然还要回归于创业和产品本身,抛开这些不尊重开源、过于浮夸的宣传,不得不说从某种层面红芯也确实解决了很大一部分数据敏感客户的实际需求,有这么一套低成本的防御机制总比以前裸奔着跑要好很多啊。


创业不易,市场公关也好,技术包装也罢,虽然P2P和区块链发币都在反复宣导着市场上的韭菜真的很多,但不是所有人都是SB啊,回归脚踏实地,吾等还是谨言慎行吧。




空了,我这个半吊子再科普一下《什么是ZeroTrust》零信任网络吧。


刚在淘宝买了个手机壳,上面写着“老子不谈情说爱,只想赚钱。”,所以赞赏是对我更新文章最大的动力。

是吧?哈哈哈哈哈哈哈哈



关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接