现在我们的新项目都直接上 AWS Lambda with node or python. 只有传统企业项目才用 Java

刚才还真去看了一下相关概念，现在标记 GPS 等坐标的精度的子午线，不是本初子午线，而是 IERS 参考子午线。正如你所想的，这个线随着地球板块运动会不断变化，所以国际上用一些算法统计了各个地区的数据，然后定义出了这条经度为 0 的线。参考： https://zh.wikipedia.org/wiki/IERS%E5%8F%83%E8%80%83%E5%AD%90%E5%8D%88%E7%B7%9A

把测试拉过来说，来来来，给我提前试一下。。。

OneNote 什么都好，就是写中英文混杂的笔记字体一塌糊涂。

LastPass 经常做第三方安全审计的，安全性应该没太大问题。

用到最后只有 Outlook 满足要求 其他都或多或少有些问题

几年前用 thinkpad 的时候出现过一次，放在包里，晚上拿出来烫手。后来所有笔记本在放入包里前一律关机，包括现在用的 macbook。

喝了现磨的咖啡才知道速溶的根本不算真正的咖啡。一般巴西或哥伦比亚的咖啡豆比较好，然后需要专业的机器进行烘培。越新鲜越好。我在澳洲喝的 Dukes Coffee Roaster 的咖啡豆很不错，他们也可以邮寄到中国。

要考证，一般是跟着师傅做几年学徒再另起炉灶。还是很不容易的。不过的确赚得多。

再附上一个官方论坛的讨论链接
https://discussions.agilebits.com/discussion/101551/article-just-published-in-washington-post-is-saying-1password-and-others-have-security-flaws

有兴趣的可以去看看。

@shutongxinq 你可以看一下原始的 ISE paper，30 楼有链接。1password 7 用的是 c# .NET ，不能人为清除自己之前用过的内存，而 Watchtower 的设计，需要把所有密码都解密到内存里。

至于读取内存，我不是 windows 程序员，不知道具体原理，但不论是该 Paper 作者开发的工具，还是第三方软件 Process Hack，均可在非管理员状态下直接读取 1password 里所有密码和主密码。

有漏洞并不可怕，修好了就行。但 1password 官方对这次漏洞的态度让人心寒。他们不但几年前就知道这个问题，而且在漏洞发表后还坚持己见，不做任何 mitigation。一个安全软件公司这样做，是不会有信誉的。

@shutongxinq 1password 是非管理员权限运行的，其他任何程序都能读取其内存，你可以用 process hack 自己实验一下。

本次漏洞的关键是 1password 的 lock 功能完全是骗人的，只是把用户界面遮了一下，程序内部运行和解锁时没有任何不同。

@kersbal 主要产品是 chrome 插件，和这次漏洞无关。lastpass application v4.24.1 补了漏洞。

程序退出后释放了内存地址，给系统 GC，虽说不能保证 100%立刻清除内存内容，但减少了 attack surface, 相比于 1password 什么都不做还是好得多

@kersbal lastpass for application 不是他们主要的产品，主要是用来填写一些 app 里面的密码的，只有 logout 功能，相当于 1password 里面的 Lock，都是要再输入主密码才能解锁 /登录的，不需要输入二步验证。在漏洞发布之前，lastpass for application 在 Logout 的时候只是 Lock 了界面(和 1password 一样)，但是解密的密码并没有清除。这次的修补是在 logout 的时候重启软件，达到清除密码的目的。1password 本可以做同样的事情，但是没有。他们也不会去做。

@luckycat 没错。整体设计就有问题。现在 windows 版在解锁后依然会卡 3 秒钟，而且在更新密码的时候也会卡几秒钟。

@kersbal Lastpass 不是在官方论坛回复的，而是直接回复了新闻媒体

LastPass CTO Sandor Palfy said:

"This particular vulnerability, in LastPass for Applications, our legacy, local Windows Application (which accounts for less than .2 percent of all LastPass usage) was brought to our attention by researchers through our Bug Bounty Program.

In order to read the memory of an application, an attacker would need to have local access and admin privileges to the compromised computer. We have already implemented changes to LastPass for Applications designed to mitigate and minimize the risk of the potential attack detailed in this report.

To mitigate the risk of compromise while LastPass for Applications is in a locked state, LastPass for Applications will now shut down the application when the user logs out, clearing the memory and not leaving anything behind."

第二天就发布了 patch。而且，lastpass 的漏洞没有 1password 严重，lastpass 只会解密用户正在使用的密码，而 1password 一上来就解密整个 database。

https://www.zdnet.com/article/critical-vulnerabilities-uncovered-in-popular-password-managers/

到今天，lastpass 在 lock 状态下已不会泄露任何密码，而在 unlock 状态下也只会泄露用户正在使用的密码（所有 password manager 都会这样）。而 1password 没有发布任何修补，只是一味的将责任推给用户。