V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mlgmxyysd
V2EX  ›  Android

浅谈 Xposed 新概念 [模块作用域]

  •  5
     
  •   mlgmxyysd · 2020-02-20 14:26:43 +08:00 · 14299 次点击
    这是一个创建于 696 天前的主题,其中的信息可能已经有所发展或是发生改变。

    众所周知,Xposed 是一个系统级别的软件框架,它与 Cydia Substrate 不同,Xposed 仅可 hook app_process 中的 java 函数,不过对于大部分的 Android 应用来说已经足够了;

    它所提供的 API 可以供模块开发者在不修改目标应用字节码的前提下修改目标应用的行为,甚至是将自定义的代码注入进目标应用中,由目标应用代为执行。

    Xposed 模块开发起来也非常简单,简单来说,获取目标应用的源码或者反编译出伪代码,找到目标方法,将相关逻辑写入模块,编译,完成。

    于是,一种新的安全风险也随之出现了

    某“步数模块”对 [桃饱] 应用插入淘口令

    某“后台管理模块”做了一堆根本不应该它去做的功能

    ......

    更有甚者利用 [巨信] 的公众号功能,为自己的帖子刷流量

    而当你想要禁止掉这种滥用行为的时候,你会发现,也许它根本就没有申请正常情况下做这些事情需要的权限,更别谈禁止了

    这是因为它将代码注入到了 [巨信] 应用中,所有的工作都是由 [巨信] 来完成的,如果你使用抓包软件来抓取流量包的话,你会发现所有的相关流量都是由 [巨信] 发送和接收的

    应该庆幸的是,目前所抓到类似行为的模块都是使用 java (或 kotlin 等 jvm 语言)层来编写的,反编译还算比较容易

    可是如果模块使用 native ( C/C++)层编写(据我所知已经有一些模块使用 native 层来编写),或者使用了一堆非常恶心人的加固 /混淆呢?

    要求所有模块必须开源一定是不可能的事情,第一这会大大打击模块开发者的积极性,第二即使开源也不能确保一定是安全的

    (更何况某个自诩“安全”的 Xposed 框架商业化分支也还是闭源的,何谈模块开源?)

    我相信 Xposed 的作者 rovo89 (等一下,Xposed 停更的最后一个版本号是 89,我好像发现了什么 zzz )一定也注意到了这个问题,只是因为某些原因最终弃坑掉了整个 Xposed 项目

    于是,我们提出了一个新的概念

    我将它称为

    [模块作用域] (Modules Activation Scope)

    • 它能做什么?

    简单来说,用户可以自主选择某个模块只对某些应用生效(或某个应用只激活某些模块,这个根据不同 Xposed 框架分支开发者的喜好自由安排)

    这样虽说不可能完全解决 Xposed 模块滥用行为的安全问题,至少可以防止 Xposed 模块跨域对非目标应用进行 hook 操作

    • 如何才能用上这一功能?

    当前(截至发稿)已经有多种 Xposed 框架分支的开发者响应了这一概念

    EdXposed 此功能正在开发中

    应用转生 已发布

    还有其他分支未收集

    用户需要做的就是等待当前使用的分支更新这一功能

    同时,我修改了开源分支 XPatch 的代码以支持这一功能,高级用户可以尝试使用一下

    演示视频: https://www.bilibili.com/video/av80958793

    源代码(已修改): https://github.com/MlgmXyysd/xposed_module_loader

    • ( DEV )模块开发者需要特殊适配这一功能吗?

    不需要

    为 Xposed 框架分支添加新功能一定应该是建立在兼容原版 API 的基础上的(当然某个 Xposed 分支妄图分裂 Xposed 生态从而创建自己由 Xposed API 魔改而来的 TxxCxx API 我是不敢恭维,也不想在这里过多提及)

    模块开发者唯一需要做的就是告知用户你的模块 hook 了哪个应用的包名,供用户来参考

    • ( DEV )我该如何为我的框架分支添加这一功能?

    为单独的应用存储模块列表(推荐使用目标应用包名作为标识符),并设立全局列表(无法读取当前应用的列表时可读取全局列表)

    具体代码自行实现

    • ( DEV )为什么不像 Android 软件在 Manifest 中声明权限那样要求模块声明 hook 列表?

    在上文中我提到了兼容性

    除此之外,要求模块适配自己的 API 同样是一种不可能的行为

    一味的要求开发者适配自己的 API 会导致对其他 Xposed 框架分支的兼容性下降,或者同时兼容多个分支的难度上升 同时,保留原版 Xposed API 也是对 Xposed 原开发者 rovo89 的一种尊重

    换一种问法,框架完全可以做到的事情为什么非要模块开发者来做呢?


    这一概念经过测试完全是可行的(已有经由 XPatch 修改的 demo 测试成功,见上文)

    但是,概念也有它本身的一个漏洞,它仅封堵掉了模块对于跨域应用的滥用行为,并没有从根本上杜绝滥用行为的发生(如,针对正常的目标应用的滥用行为),用户在选择模块时仍需谨慎


    我是 MlgmXyysd,希望更多 Xposed 框架分支可以响应这一概念,同时也希望更多的开发者可以开发出自己的 Xposed 框架开源分支


    附件:

    目前已知的几种 Xposed 实现方案的「作者是个人还是公司、是否开源、是否商业化」的总结

    鉴于阻止运行的前车之鉴「 2.3.2 之后(不含 2.3.2 )的阻止运行你敢用嘛?」( From @LetITFlyW

    如果你没为服务付钱,那可能你就是产品。免费商业化比收费商业化更可怕。建议各位有使用 Xposed 的需求的朋友在条件适宜的情况下拥抱开源或者虽闭源但非商业化的实现方案。另:在任何情况下均不建议关注「某个 Xposed 实现方案的作者」的「推送过多次广告文章」的微信公众号。

    image_2020-02-17_13-05-35.png

    第 1 条附言  ·  2020-02-20 22:58:30 +08:00

    忘了提了,文章撰写于 2019 年 12 月 28 日,与 XPatch 修改后的 demo 同时发布在个人 blog 上

    本来是懒得提个人 blog 的,某个小人照搬的太舒服了,还是提一下吧:http://mlgmxyysd.meowcat.org/2019/12/28/xposed-modules-activation-scope/

    125 条回复    2021-08-31 22:48:21 +08:00
    1  2  
    D4wN
        1
    D4wN  
       2020-02-20 14:40:07 +08:00
    太极目前还不算商业化吧,不过我一直以为是 weishu 的纯个人作品。
    RikkaW
        2
    RikkaW  
       2020-02-20 14:54:46 +08:00   ❤️ 1
    从第一天就该有(小声
    mlgmxyysd
        3
    mlgmxyysd  
    OP
       2020-02-20 15:05:14 +08:00
    @RikkaW 确实是这样,不过即使有这玩意,Xposed 的口子还是很大(
    RikkaW
        4
    RikkaW  
       2020-02-20 15:08:18 +08:00
    @mlgmxyysd Rikka 还是觉得就应该不兼容所有的老的,清除所有辣鸡,爱用不用(
    mlgmxyysd
        5
    mlgmxyysd  
    OP
       2020-02-20 15:11:18 +08:00
    @RikkaW 还是尊重下原开发者比较好(
    mlgmxyysd
        6
    mlgmxyysd  
    OP
       2020-02-20 15:13:48 +08:00   ❤️ 1
    @D4wN VirtualXposed 是他的纯个人作品(因为 VirtualApp 不给你商业化,否则?等着吃绿尸寒吧),TaiChi 在改名之前( EXposed )应该算是个人作品,后来公司上了“核心技术”之后就是纯商业化了,有一年多了(具体可以查他域名的 whois,2019 年 01 月 02 日)
    ChenYuci
        7
    ChenYuci  
       2020-02-20 18:41:10 +08:00
    虚拟大师怎么回事?
    Buges
        8
    Buges  
       2020-02-20 19:34:22 +08:00 via Android
    frida 有没有可能替代 xposed ?注入脚本的形式半强制开源,可以 hook native 方法,安全性也稍好。
    RichardY
        9
    RichardY  
       2020-02-20 19:46:29 +08:00
    谢谢。你不贴这个图我还不知道有这么多 xposed 方案了
    flyElijah
        10
    flyElijah  
       2020-02-20 20:44:06 +08:00
    @D4wN 我一直用的太极。
    weishu
        11
    weishu  
       2020-02-20 21:07:18 +08:00
    我永远也想不到,我的一个群管理把你踢了会让你黑我这么久。。看得出来你很嫉妒我,哈哈
    flyElijah
        12
    flyElijah  
       2020-02-20 21:08:15 +08:00
    @weishu 活捉大佬!
    weishu
        13
    weishu  
       2020-02-20 21:12:54 +08:00
    @flyElijah 雷好啊
    jdgui
        14
    jdgui  
       2020-02-20 21:20:46 +08:00
    讲道理应该是得这样,但是其实我是觉得太极的阴模式更有用。
    因为这样的话不用刷 magisk,这样他的权限就只能在你操作的 app 内了。
    不过好像依然无法阻止其他模块去操控你 渡劫还是啥的那个 app。
    gam2046
        15
    gam2046  
       2020-02-20 21:29:46 +08:00
    @Buges #8,我有尝试过嵌入 frida,但是似乎现在的 frida 和 magisk hide 有一些冲突,而我又不想关闭 magisk hide。最终放弃了这个方案。

    正好自己工作中也有一些需求是反 Hook。于是乎利用了 @RikkaW 的 Riru-Core,又参考了 EdXposed 的实现,自己魔改了一个 Hook 框架,目前自己用着,也不是特别稳,但是少数几个我用的,还行。(不得不说,里面的坑太多了,一不留神就 bootloop,当然,我自己确实对 Android 的了解不够

    最后使用 Rhino 导出了一个 Javascript 环境,来注入。

    纯属自己搞着玩。
    weishu
        16
    weishu  
       2020-02-20 21:31:14 +08:00   ❤️ 5
    @jdgui 太极在好几天前已经在太极阴和太极阳加入了模块生效范围的机制了。。
    weishu
        17
    weishu  
       2020-02-20 21:33:56 +08:00   ❤️ 2
    @gam2046 magisk hide 和 frida 都用了 ptrace,所以会有冲突;但是其实你可以把 firda 的动态库直接嵌入程序,这样就不会用到 ptrace ;因为本质上 ptrace 只是为了注入。
    我之前尝试过把 frida 和太极揉在一起,用来支持 native hook,rhino 也加进去了,完全是可行的;你可以试试。
    mlgmxyysd
        18
    mlgmxyysd  
    OP
       2020-02-20 22:47:14 +08:00   ❤️ 5
    @weishu 你可要点脸吧,就你这点人品大家都可是看在眼里的
    mlgmxyysd
        19
    mlgmxyysd  
    OP
       2020-02-20 22:49:58 +08:00
    @jdgui 其实非全局的 Xposed 在真正意义上并不能算 Xposed,因为这违反了 Xposed 的初衷:Xposed is a framework for modules that can change the behavior of the system and apps WITHOUT TOUCHING ANY APKS.(摘自 Xposed 官网,着重内容已大写处理)
    mlgmxyysd
        20
    mlgmxyysd  
    OP
       2020-02-20 22:52:40 +08:00
    @weishu 看得出来,每个我的帖子您都不忘了给自己脸上“贴点金”,看来您是非常的嫉妒我啊
    huijige
        21
    huijige  
       2020-02-20 22:57:01 +08:00 via Android
    @mlgmxyysd 安啦,安啦,没必要吵起来都和气点嘛
    huijige
        22
    huijige  
       2020-02-20 23:06:42 +08:00 via Android
    @weishu 我记得你爆出应用控制器那件事之后第二天出现了一些抨击搞机圈的文章来着,还有一堆啥都不懂的人在那瞎说
    Johnny168
        23
    Johnny168  
       2020-02-20 23:09:34 +08:00
    xposed 还是 EDx,貌似是同一个吧
    mlgmxyysd
        24
    mlgmxyysd  
    OP
       2020-02-20 23:12:44 +08:00
    @jdgui 太极 和 应用转生 在文章发布后都更新了这一功能
    mlgmxyysd
        25
    mlgmxyysd  
    OP
       2020-02-20 23:13:17 +08:00
    @Johnny168 不是,Xposed 在 Android Pie 之后就停更了,EdXposed 是 Xposed 的正统接任者
    mlgmxyysd
        26
    mlgmxyysd  
    OP
       2020-02-20 23:22:17 +08:00
    @Buges 有可能,但是短期内应该是不会的,目前 Frida 的使用方式还较为繁琐,用来供开发者调试还行,不适合普通用户使用,除非有人能封装成类似 Xposed 这样的简易使用框架
    unfly
        27
    unfly  
       2020-02-20 23:48:42 +08:00 via Android
    不管是啥,能让手机用起来更舒服,都是好事啊
    locoz
        28
    locoz  
       2020-02-21 00:39:55 +08:00
    这个功能好啊,能稍微提升一些使用他人开发的闭源模块时的安全性。不过对更深层的恶意操作还是没啥办法,可能还是得对不信任的模块进行断网和禁止文件读写处理,虽然效果也不会好到哪去...
    weishu
        29
    weishu  
       2020-02-21 00:42:04 +08:00   ❤️ 1
    @mlgmxyysd 太极在上周六已经发布了,请问你的文章是什么时候发的,说这话要脸不?
    yu1222
        30
    yu1222  
       2020-02-21 00:46:15 +08:00   ❤️ 1
    @mlgmxyysd 正统接任者是 xp 作者封的吗
    weishu
        31
    weishu  
       2020-02-21 00:52:35 +08:00
    太极的这个功能,源于去年年底一位热心用户的建议;我只不过是把他的 idea 给实现了罢了。你推广 EdXp 我很赞同,但是请你也不要把用户、把旁人当傻子忽悠。
    weishu
        32
    weishu  
       2020-02-21 00:57:49 +08:00
    在我实现了用户建议的这个功能之后,你赶紧发文章大肆宣扬,宣称是自己首创;更颠倒是非,说太极在你发文之后加了这个功能,你真当别人都是瞎子不成?
    mlgmxyysd
        33
    mlgmxyysd  
    OP
       2020-02-21 08:03:34 +08:00 via Android   ❤️ 5
    @weishu 你要点脸不? github 更新记录 19Dec28 看不懂?
    chenyue
        34
    chenyue  
       2020-02-21 08:11:51 +08:00
    限制模块,需要申请,就因为这个很不喜欢太极。
    jy02201949
        35
    jy02201949  
       2020-02-21 08:41:33 +08:00
    前排小凳子瓜子咯
    WebKit
        36
    WebKit  
       2020-02-21 08:55:44 +08:00 via Android
    太极确实是这样的,不开源有点不敢用。不过对于没有 root 的用户,太极还是有点用的
    WanzizZ
        37
    WanzizZ  
       2020-02-21 09:28:48 +08:00
    关键是用这些,微信容易被封号 - - 哈哈
    leafleave
        38
    leafleave  
       2020-02-21 09:31:56 +08:00
    @weishu 求个无极邀请码啊,我邮箱 taiji#xxoo365.cn 问你公众号邮箱都没回复
    mlgmxyysd
        39
    mlgmxyysd  
    OP
       2020-02-21 09:38:08 +08:00
    @yu1222 xp 在 xda 的开发团队
    weishu
        40
    weishu  
       2020-02-21 10:32:46 +08:00   ❤️ 1
    我怎么觉得这时间有点不对呢 https://imgchr.com/i/3nQYmn

    2019/9/14 建站,gitment 2019/9/18 第一篇文章出现;刚好就在 14 个小时前,连续出现了三篇文章,但是这个文章的时间是 2019 年,你说巧不巧?
    MaxLi77
        41
    MaxLi77  
       2020-02-21 10:43:58 +08:00
    支持大佬,有时候就是自己测试的时候用用,不需要上架模块,还是喜欢无限制的框架
    mlgmxyysd
        42
    mlgmxyysd  
    OP
       2020-02-21 11:02:31 +08:00   ❤️ 1
    @weishu gitment 是手动点击生成的,生成时间是点击时间,和发布时间有关系吗?请问你用过吗?
    weishu
        43
    weishu  
       2020-02-21 11:03:36 +08:00   ❤️ 4
    本来好好把这个功能科普一下也是极好的,各自把各自的用户服务好就可以,但是你竟然为了用这个抹黑我,居然要去伪造博客时间做伪证,我真是万万没想到。
    你要说你去年 12 月 28 有过这个想法,这个我信,毕竟这个 idea 更早的时候也有人跟我提过;但是你有没有想清楚,不论是 edxp 还是太极,最最重要的是用户,把用户服务好就可以了;你不去加功能,不去改 bug,天天顶个作者头衔没事找事来怼我有什么意义呢?
    learningman
        44
    learningman  
       2020-02-21 11:14:31 +08:00
    吃瓜,楼上二位继续不要停
    mlgmxyysd
        45
    mlgmxyysd  
    OP
       2020-02-21 11:25:18 +08:00
    @weishu 呵呵,伪造博客时间有必要?我代码和博客同时发的,难不成我还能修改 github 的提交日期?
    lxghost
        46
    lxghost  
       2020-02-21 11:29:26 +08:00
    围观
    mlgmxyysd
        47
    mlgmxyysd  
    OP
       2020-02-21 11:31:11 +08:00   ❤️ 1
    @weishu 反倒是您,为了消灭自己商业化被实锤的证据,连公司官网都能删掉 https://sm.ms/image/8BZnSJMl9vxDt1f
    weishu
        48
    weishu  
       2020-02-21 11:36:46 +08:00
    对你来说是必要的啊,因为你为了黑我无所不用其极;伪造 commit 时间我觉得你肯定玩的很 6
    https://github.com/tiann/hehe/commits/master
    slwl123
        49
    slwl123  
       2020-02-21 11:38:09 +08:00
    这有什么好争的
    github 看看 commit 不就清楚了

    shut up and show me the code !!!
    mlgmxyysd
        50
    mlgmxyysd  
    OP
       2020-02-21 11:40:13 +08:00
    @weishu 行,就算 commit 能伪造,我不和你争这个,那 b 站视频呢?
    mlgmxyysd
        51
    mlgmxyysd  
    OP
       2020-02-21 11:40:49 +08:00   ❤️ 1
    @slwl123 commit 我早就发过了,b 站视频也在 12 月 28 日,然而这人故意不承认你有啥办法?
    firesun
        52
    firesun  
       2020-02-21 11:54:35 +08:00 via Android
    宣传新功能是好事 没实锤的情况下诋毁其他人的东西就没意思了

    你要是个纯技术的人写篇分析文章分析该用啥框架我觉得挺好的,自己就是框架的作者且没有实锤的情况下写这种文章很让人反感
    weishu
        54
    weishu  
       2020-02-21 12:44:02 +08:00
    既然这样,那我也回你一下:

    1. 协议写了这个条款就是收集了?太极阴需要修改 APK 并重打包安装,签名的密钥在本地;重新安装需要卸载愿 APP,尽管我做了强提示,但还是有用户不看,导致微信等重要数据丢失;太极阴所有生成的 App 都使用同一个密钥,如果有人拿到了这个密钥它就有权限操作里面任意的 App,这本身就是一个安全隐患。太极阳刷机会导致数据丢失,面具包签名验证形同虚设,会导致别人再分发模块导致安全问题。再说,太极 App 连 IMEI 都没有收集,内部甚至联网都是简单的下载和请求文件,请问我拿锤子收集信息?
    weishu
        55
    weishu  
       2020-02-21 12:46:04 +08:00
    @weishu 太极群的管理把你踢了,或者太极群管理说错了话,这些都是我干么?太极群的管理与我都是素昧平生的陌生人,他们抽出自己的时间来管理群,给大家提供一个好的交流环境,没有任何回报,这已经很不容易了。很多也是还在读书的学生,人非圣贤,难道他们犯个错就要把责任怪罪到我头上?
    weishu
        56
    weishu  
       2020-02-21 12:58:56 +08:00
    @weishu 在太极阳刚发布的时候,我发现核心破解不支持 9.0,而这个功能非常重要因此我完全重写了对 9.0 的支持,这代码你可以在 CoderStory 之后发布的源码里面看到。当时 CoderStory 的 git 仓库是没有协议文件的,于是我加了一句“灵感来自于 coderstory”,还给出了对应的链接。对没有协议的仓库,原作者具有一切解释权。但是后来,CoderStory 给仓库添加了 GPL 协议,并在你的怂恿下,反编译了我针对 9.0 和 10.0 的代码,把我的代码原封不动地添加到了仓库,导致我和作者产生了误会;说到底,还是你这样的人在从中作梗,毕竟老实的程序员太好忽悠了。
    weishu
        57
    weishu  
       2020-02-21 13:02:11 +08:00
    @weishu 你这样混淆时间线,前后颠倒忽悠大众的事你做了多少次?当时群管把你踢出群的时候,你立马去说“被付费群踢出”,可是直到某人现在还呆在原来那个所谓的付费群吧?时候还 QQ 私聊我说被踢了,我当时都没确认先把入群费给你退了,最后发现是普通群清人。但是你是最后是怎么造谣的呢?
    weishu
        58
    weishu  
       2020-02-21 13:09:20 +08:00
    @weishu 至于公众号赚钱的问题,我明确告诉你,公众号如果不发文章,每天的广告费在 20~30 块钱左右;作为一个有几十万粉丝的大号,我每个月只会发寥寥数文,你去看看那些真正商业化的公众号,每天会发多少头条次条?用爱发电不可能持久,我这样做根本就不损害用户利益,用户、我、微信是一个三赢的结局,难道有什么不对吗?
    我还是那句话,在如今的自媒体时代,通过自媒体吸引粉丝,保持 App 免费是一个很好的策略,至少我给大家开了一个好头。
    weishu
        59
    weishu  
       2020-02-21 13:18:17 +08:00
    @weishu 我的确在次元空间网络科技有限公司,但是如果你去办公司会发现有一个叫做“高新企业认证”的东西,需要 6 个著作权认证,可以享受税收减免等优惠。除此之外,太极 App 与公司没有任何瓜葛。难道我创业之后,就不能有自己的作品了?太极 App 这个东西,本质上就是在跟各大厂商做对,我实在想不通用这个产品去做公司有什么前途。
    mlgmxyysd
        60
    mlgmxyysd  
    OP
       2020-02-21 13:24:26 +08:00 via Android
    @weishu 一条一条来
    协议内前半句的明显和你说的没有关系啊,你说的都是用户行为,可是在协议里的后半句呢
    所以为什么老用户看不到协议呢?解释一下?
    联网,我直接贴网友的回复吧:“我记得,太极如果服务器不稳定,手机上太极就出错。酷安当时好多人问太极崩了?我觉得这种机制和应用控制器一样可怕。”
    很好,开始撇清管理组的关系了,您的管理可是在酷安以整个管理组(包括您)的名义在造谣哦,建议自己看看?
    您也承认您 fork 的时候是无协议吧,无协议可是不允许使用的哦,建议多去了解下 no-licence 哦
    反编译代码不是我,也不是 Coderstory 来做的,而是热心群友来做的,若不是热心群友我们还在蒙在鼓里,自己被锤就开始肆意扣帽子,逮谁喷谁的行为不太好哦
    付费群那个最后我可是在酷安说过我把大群当付费群了,不过,那个大群确实我是从付费群加进去的
    weishu
        61
    weishu  
       2020-02-21 13:27:32 +08:00
    我从头到尾都没有说过“模块生效范围”这个东西是我首创的,我也不需要这个所谓的名头。不过就是用户提了建议,我实现一下罢了;做完之后我默默更新了官网的链接,甚至都没有在公众号发文告诉大家。那么是谁,在我内测完的几天后,在各个平台到处发文,说是自己首创的?顶着 edxp 作者头衔的你,为什么 edxp 不支持呢?
    mlgmxyysd
        62
    mlgmxyysd  
    OP
       2020-02-21 13:27:45 +08:00 via Android
    mlgmxyysd
        63
    mlgmxyysd  
    OP
       2020-02-21 13:28:47 +08:00 via Android
    @weishu 内测完的几天?看来您内测的时间真早,都早到去年了
    edxp 支不支持你还没有资格来评头论足
    mlgmxyysd
        64
    mlgmxyysd  
    OP
       2020-02-21 13:30:23 +08:00 via Android
    weishu
        65
    weishu  
       2020-02-21 13:31:58 +08:00
    请你解释一下,为什么 Google 在 2 月 18 号收录你的博客的时候,只有一篇文章?

    http://webcache.googleusercontent.com/search?q=cache:tkI9Se2EWQMJ:mlgmxyysd.meowcat.org/+&cd=1&hl=en&ct=clnk&gl=kr

    你为什么要做这个假,居心何在?
    mlgmxyysd
        66
    mlgmxyysd  
    OP
       2020-02-21 13:36:12 +08:00 via Android
    @weishu 我在酷安说过了,域名绑定的是老的 github pages ip 地址,github 一直给我发邮件说暂停自定义域名的访问,我没有在意,所以你看到的和爬虫抓到的都是之前 cdn 缓存的页面,直连是根本连不上的

    ![IMG_20200221_122447_124.jpg]( https://i.loli.net/2020/02/21/FaEtCQ78hZSmzns.jpg)
    weishu
        67
    weishu  
       2020-02-21 13:43:47 +08:00
    哦,你这意思是不是说你的博客之前在网上压根不存在啊?你自己 YY 了一下写在自己电脑的记事本里面,来个死无对证?要不我等会也去我用 **hexo** 做的博客上面发表一篇 1990 年的文章,然后拿着这个文章出来大放阙词?
    mlgmxyysd
        68
    mlgmxyysd  
    OP
       2020-02-21 13:47:49 +08:00
    @weishu 在网上存在,github 传上去过了,通过自定义的 cname 访问不了,当时如果你翻我 blog 的 gh-pages 是能看到这编译出来的静态 html 的
    mlgmxyysd
        69
    mlgmxyysd  
    OP
       2020-02-21 13:52:13 +08:00
    @weishu 我只能说造谣抄代码的人其心可诛,好像是您管理组的人出来造的谣吧
    https://vip1.loli.net/2020/02/21/c89oEHlXevPNbqV.jpg (出处 https://www.coolapk.com/feed/16662299?shareKey=YzU0MGQ5NDMyYWE4NWU0ZjVjODA~&)
    yll2002
        70
    yll2002  
       2020-02-21 14:18:18 +08:00 via Android   ❤️ 2
    虽然用着太极,但看二位之争,还是
    @mlgmxyysd 让人舒服一点。

    @weishu 大佬戾气太重了。
    NTAULTzM
        71
    NTAULTzM  
       2020-02-21 14:52:47 +08:00
    @mlgmxyysd 您好,好久没用安卓了,打算近期转安卓,请问一下 xposed 官方停止更新这个事情,是 rovo89 发公告了,还是他默默放弃了?
    mlgmxyysd
        72
    mlgmxyysd  
    OP
       2020-02-21 14:58:56 +08:00   ❤️ 1
    @NTAULTzM
    我找原版 xp 制作组问过了,确认停更了
    没发公告,直接弃坑了(
    labulaka521
        73
    labulaka521  
       2020-02-21 15:57:27 +08:00 via Android
    吃瓜
    lazzyboy
        74
    lazzyboy  
       2020-02-21 16:26:45 +08:00
    @mlgmxyysd 原来 EdXposed 是你自己的项目啊,懂了

    @weishu 还是没有理清楚你们的关系
    server
        75
    server  
       2020-02-21 16:34:34 +08:00
    有个时光机网站 https://web.archive.org/ ,虽然不可能全部记录,仅做参考
    locoz
        76
    locoz  
       2020-02-21 16:51:02 +08:00   ❤️ 5
    @yll2002 #70 戾气都有点重😂毕竟撕挺久了,去年年底就看到在撕逼...

    不过换位思考一下之后,我感觉是这样的:
    维术可能是想着“这种应该是个人都能理解用途的做法为什么也能拿出来黑我?”
    mlgmxyysd 可能是想着“我锤都在这了你还能狡辩?”

    ---
    @weishu @mlgmxyysd
    然后有些东西确实是与事实存在偏差的,比如:

    1、协议条款问题:在软件挂在企业名下的情况下, [条款写得严谨一些没什么毛病] ,要不然指不定哪天莫名其妙地就被搞事的人告了...如果要说这个协议代表着太极会在后台做啥见不得人的事情的话,还是拿出抓包或者反编译得到的实锤出来说比较好。

    2、公众号问题:这种盈利方式其实挺好的,只是部分高粘性用户会去点广告给维术创收而已,剩下大部分用户都是完全白嫖的。从阅读量来看的话,维术的公众号一条推文广告收益约为 1W 人民币左右。虽然他公众号还有一些其他可创收的地方,但是毕竟没有看到怎么导流,目测推文广告收益的占比应该是能达到整个公众号收入的 90%甚至更高的。

    推广告的频率的话,我关注他公众号很久了,刚刚翻记录看了一下, [发广告的频率极低] ,大部分推文都是技术分享、日常分享、太极更新等, [并不像 mlgmxyysd 所说] 的“公众号里还 [经常] 可以看到标题党广告”。

    3、太极与维术的企业有关联问题:确实,为了高新企业认证是需要有多个软件著作权的。作为开发者和企业法人,拿自己开发的东西去做这个著作权认证完全没有问题, [并不能证明太极是由深圳次元空间网络科技有限公司运营和管理的] 。

    官网方面,如果只是为了搞著作权的话,官网本来就是随便搞了给审核人员看的, [搞完之后把原本的“官网”全部下掉也是很正常的事情] 。

    4、太极联网问题:“我记得,太极如果服务器不稳定,手机上太极就出错。酷安当时好多人问太极崩了?我觉得这种机制和应用控制器一样可怕。” [这个情况我没有遇到过] ,我觉得这个崩了 [应该是指以前有校验的版本?] (好像什么时候去掉了校验来着?)

    5、模块作用域是否抄袭问题:虽然 mlgmxyysd 博客的评论区在 github 上对应的 issue 创建时间是昨天,但是 [B 站上的视频确实是 2019-12-28 13:12:12 发布的] 。而 [太极这边的这个功能建议] 我也确实在维术的群里看到过, [确实是有人提过这种需求] 。只能说有抄袭嫌疑,但无法证明,拿这个出来撕逼我个人认为也没啥必要...
    locoz
        77
    locoz  
       2020-02-21 16:53:46 +08:00
    @locoz #76 拿中文方括号划的重点被自动转英文方括号了...想直接看重点的复制出来自行替换一下吧
    lazzyboy
        78
    lazzyboy  
       2020-02-21 17:04:51 +08:00   ❤️ 2
    > 1、协议条款问题:在软件挂在企业名下的情况下, [条款写得严谨一些没什么毛病] ,要不然指不定哪天莫名其妙地就被搞事的人告了...如果要说这个协议代表着太极会在后台做啥见不得人的事情的话,还是拿出抓包或者反编译得到的实锤出来说比较好。

    这点说的很好,凡是企业挂名的软件,隐私条款都会写的比较严格,但是并不代表一定做了什么见不得人的事情,一切还是以事实说话,不要因为一个人长得像流氓,就说他是流氓!

    > 2、公众号问题:这种盈利方式其实挺好的,只是部分高粘性用户会去点广告给维术创收而已,剩下大部分用户都是完全白嫖的。从阅读量来看的话,维术的公众号一条推文广告收益约为 1W 人民币左右。虽然他公众号还有一些其他可创收的地方,但是毕竟没有看到怎么导流,目测推文广告收益的占比应该是能达到整个公众号收入的 90%甚至更高的。

    > 推广告的频率的话,我关注他公众号很久了,刚刚翻记录看了一下, [发广告的频率极低] ,大部分推文都是技术分享、日常分享、太极更新等, [并不像 mlgmxyysd 所说] 的“公众号里还 [经常] 可以看到标题党广告”。

    凡是做开源,有付出,通过这种方式获取点许收益本来就无可厚非。

    3、太极与维术的企业有关联问题:确实,为了高新企业认证是需要有多个软件著作权的。作为开发者和企业法人,拿自己开发的东西去做这个著作权认证完全没有问题, [并不能证明太极是由深圳次元空间网络科技有限公司运营和管理的] 。

    官网方面,如果只是为了搞著作权的话,官网本来就是随便搞了给审核人员看的, [搞完之后把原本的“官网”全部下掉也是很正常的事情] 。

    4、太极联网问题:“我记得,太极如果服务器不稳定,手机上太极就出错。酷安当时好多人问太极崩了?我觉得这种机制和应用控制器一样可怕。” [这个情况我没有遇到过] ,我觉得这个崩了 [应该是指以前有校验的版本?] (好像什么时候去掉了校验来着?)

    “我觉得这种机制和应用控制器一样可怕“ ,你觉的东西不一定是事实。

    5、模块作用域是否抄袭问题:虽然 mlgmxyysd 博客的评论区在 github 上对应的 issue 创建时间是昨天,但是 [B 站上的视频确实是 2019-12-28 13:12:12 发布的] 。而 [太极这边的这个功能建议] 我也确实在维术的群里看到过, [确实是有人提过这种需求] 。只能说有抄袭嫌疑,但无法证明,拿这个出来撕逼我个人认为也没啥必要...

    先实锤别人抄袭再说吧,没有实锤都是猜测,这种猜测很容易让人反感,哪怕是别人不了解情况,看到也会反感
    mlgmxyysd
        79
    mlgmxyysd  
    OP
       2020-02-21 17:21:05 +08:00   ❤️ 1
    @lazzyboy
    >1、为什么老用户[不配]看到用户协议?
    >4、这不是我说的,引用网友的话。云控之类的 hhhh,不多评价
    >5、我没提过有关“抄袭”的问题,整个抄袭的节奏是他们太极管理组里一个叫“韵の祈”的人在酷安带起来的
    locoz
        80
    locoz  
       2020-02-21 17:31:16 +08:00
    @mlgmxyysd #79

    1、我印象中在某次版本更新后是看到过用户协议的,并不是没提示。

    5、“抄袭”相关话题其实是你自己挑起来的...你这个帖子的第一条附言发布的时间比维术在这帖里回复的时间更早。
    “本来是懒得提个人 blog 的,某个小人照搬的太舒服了”,在你发酷安那个 feed 说“我可没说过这句话”之前(今天凌晨),我对这句话的理解都是“某个小人洗稿 /抄代码”,本身这条附言的倾向性就很明显...
    mlgmxyysd
        81
    mlgmxyysd  
    OP
       2020-02-21 18:08:39 +08:00
    @locoz
    >1、我也是老用户,更新从来没看到过,后来卸载一次才看到,问其他老用户也说没看到过
    >5、并非指代 weishu
    mlgmxyysd
        82
    mlgmxyysd  
    OP
       2020-02-21 18:19:31 +08:00
    @locoz
    >1、但是这条款在这摆着,如果哪天做点见不得人的事你想告都没门,已默认勾选同意协议
    yu1222
        83
    yu1222  
       2020-02-21 18:20:55 +08:00   ❤️ 2
    @mlgmxyysd 你说的基本都是你的猜测,然后到处发文冷嘲热讽。既然你说太极手机用户隐私,那你拿到确实的证据了吗?按你这个黑太极的耐心我觉得抓包反编译看代码拿到证据都是分分钟的事吧。要黑拿出真凭实据来
    locoz
        84
    locoz  
       2020-02-21 18:24:25 +08:00
    @mlgmxyysd #81
    1、那就不知道了
    5、我说直接点吧...你正文部分大量提及到维术,被相关人员(比如你说的太极管理组的人)关联理解的概率很高,不管是不是被理解错误了都确实是你挑起的。
    (话说到底指的谁,好奇
    yu1222
        85
    yu1222  
       2020-02-21 18:27:09 +08:00   ❤️ 1
    附件:

    目前已知的几种 Xposed 实现方案的「作者是个人还是公司、是否开源、是否商业化」的总结

    鉴于阻止运行的前车之鉴「 2.3.2 之后(不含 2.3.2 )的阻止运行你敢用嘛?」( From @LetITFlyW

    如果你没为服务付钱,那可能你就是产品。免费商业化比收费商业化更可怕。建议各位有使用 Xposed 的需求的朋友在条件适宜的情况下拥抱开源或者虽闭源但非商业化的实现方案。另:在任何情况下均不建议关注「某个 Xposed 实现方案的作者」的「推送过多次广告文章」的微信公众号。

    这也是你在挑事不是?
    而且公众号都能成为黑点吗?公众号发广告影响到太极 app 的体验了吗?
    你是个高中生生活无压力用爱发电这完全 ok,但是不代表所有人都可以都必须用爱发电吧?
    locoz
        86
    locoz  
       2020-02-21 18:32:45 +08:00
    @mlgmxyysd #82 条款这种东西,各个大厂都有,比这更容易坑人、涉及内容更深的比比皆是,这种事情没啥别的办法,要么选择信任要么选择放弃,要么就用技术手段封杀可能搞事情的部分(就像限制模块作用域一样)。

    如果事情发生了,你能拿出证据证明是这个 APP 干的,并且你可以肯定自己没有收到过协议的确认提醒或者是压根就没接受过协议,而开发者也拿不出已经给你展示过协议、你接受了协议的证明,那么你实际上是占了优势的,并不是“想告都没门”。
    mlgmxyysd
        87
    mlgmxyysd  
    OP
       2020-02-21 18:53:29 +08:00
    @yu1222 8 好意思,这 8 是我说的,From 看到了马?
    mlgmxyysd
        88
    mlgmxyysd  
    OP
       2020-02-21 18:54:16 +08:00
    @locoz 那我还是选择放弃,大厂起码有保障,小厂甚至个人的“口头保证”我肯定是不信的
    mlgmxyysd
        89
    mlgmxyysd  
    OP
       2020-02-21 18:56:28 +08:00
    @yu1222 请吧
    https://vip1.loli.net/2020/02/21/5BcGi13P2YDSa7h.png

    公众号发广告影不影响我不知道,公众号发激活码倒是有影响
    yu1222
        90
    yu1222  
       2020-02-21 19:07:19 +08:00
    @mlgmxyysd from 又怎样?引用了不就代表你的观点吗?你不想传播这事你会 from?
    公众号发激活码倒是有影响??
    啥影响???
    影响用户拿码??
    那又跟你何干,人家写的代码做的公众号要咋玩咋玩不是?
    yu1222
        91
    yu1222  
       2020-02-21 19:08:32 +08:00
    @mlgmxyysd 就跟你转发了个谣言,跟警察说
    8 好意思,这 8 是我说的,转发看到了马?
    ???
    lazzyboy
        92
    lazzyboy  
       2020-02-21 19:26:52 +08:00   ❤️ 2
    @yu1222
    @locoz
    @NTAULTzM
    @weishu

    最好的方式就是不要回复这个帖子
    mlgmxyysd
        93
    mlgmxyysd  
    OP
       2020-02-21 20:32:41 +08:00
    @yu1222 所以这是谣言?不想和杠精争论,已 block
    yu1222
        94
    yu1222  
       2020-02-21 20:33:48 +08:00
    @mlgmxyysd 我就成肝经了?服气呵呵
    已 block too 不客气
    bkmi
        95
    bkmi  
       2020-02-22 00:05:44 +08:00 via Android   ❤️ 2
    弱弱问一句太极开放第三方插件了吗,最早听说太极支持 Android 9 的 xposed 框架了,备份刷机升级一顿操作,兴高采烈装上自己写的插件发现竟然不让用…

    幸亏 edxposed 救了我,小小捐助了一把以示支持。
    lijialong1313
        96
    lijialong1313  
       2020-02-22 01:33:50 +08:00
    老实说,我无法理解为什么太极不支持第三方模块。我们有一些简单的专门用来黑我们学校软件的模块……然后不支持太极,完全没办法。
    locoz
        97
    locoz  
       2020-02-22 05:19:59 +08:00 via Android
    @lijialong1313 #96 我觉得最开始可能是考虑到这种重打包一下就能免刷机使用 xposed 的操作过于简单了,面对的用户群体也是五花八门,担心有那种只懂一点的小白装了之后导致安全隐患吧…
    FrankHB
        98
    FrankHB  
       2020-02-22 07:28:32 +08:00   ❤️ 1
    什么商业化不商业化的,功能残废还没给源码给用户改的余地就是无能,哪来那么多废话。
    是 idea 的实现更有价值还是 idea 更有价值这个依赖三观的问题暂且不论,防止手贱 /用户友好的附加功能和项目存在的意义的来源哪个更重要,奉劝某些人分清主次。
    Dk2014
        99
    Dk2014  
       2020-02-22 09:10:29 +08:00   ❤️ 2
    阴阳怪气 vs 暴躁老哥
    tearain
        100
    tearain  
       2020-02-22 10:29:25 +08:00   ❤️ 3
    看了 @weishu 的话,新技能

    片面谬误
    当你的观点被证明是错误的时候,你用特例来给自己开脱。
    人类都不喜欢被证明是错的,所以当他们被证明是错的时候总会想办法给自己开脱。人总是觉得自己以前觉得正确的东西必须是正确的吗,所以总能找到理由让自己阿 Q 一下。只有诚实和勇敢的人才能面对自己的错误,并且承认自己犯错了。

    窃取论点
    你采用循环论证的方法来证明一个被包含在前提里面的观点。
    这是一种逻辑智商破产的谬误,因为你把你的前提假设默认为真的,然后利用循环论证的方式来证明它。

    德克萨斯神枪手
    你在大量的数据 /证据中小心的挑选出对自己的观点有利的证据,而不使用那些对自己不利的数据 /证据。
    你先开了一枪,然后在子弹击中的地方画上靶心,搞得自己真是个神枪手一样。你先决定了自己的立场,然后才开始找证据,并且你只找对自己有利的,而对于那些对自己不利的就选择性忽略。

    get
    1  2  
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1110 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 587ms · UTC 18:39 · PVG 02:39 · LAX 10:39 · JFK 13:39
    ♥ Do have faith in what you're doing.