Category Archives: 杂七杂八

Something uncategorized

Note 7刷机出现custom binary blocked by frp lock的急救办法

昨天拿到台版Note 7(N930FD),晚上就给root了.
然后在一次无意间登录了Google账户(应该是由此触发FRP),重启之后就显示一行小红字:custom binary blocked by frp lock.而且无限重启,不能进入系统,但能且只能进入dowloading模式,上面显示FRP On.
在downloading模式下,无法刷入recovery,提示:blocked by FRP.
这个时候就真的变成砖了.
我不甘心,发现台湾一个网友用Kies3来恢复.
我装好Kies3,问题来了.这个是水货,并不是三码合一,盒子上并没有S/N,也不像行货会提供写着S/N的不干胶条(kies上面写着在电池盒里有,靠,你倒是让我能拆啊).
后来想起被我扔掉的背贴上是不是有.从垃圾桶里掏出来,结果真有.
然后用kies->工具->固件升级和初始化,这个时候输入型号和S/N,竟然开始下载固件了(可能需要科学上网),好感动.
大概过了半个小时,自动重启之后恢复到原始设置了.
这个时候需要联网去(Google)验证”这次未经授权的修改”,需要在路由上挂VPN才可以.
至此,救砖成功.现在已经root,并登录三星和Google账号,一切正常.

Kies3

北京体检医院体验

公司有每年一次的体检,这么些年来,我体验了三家. 五洲,阳光和慈铭.

五洲妇幼医院

这家以前叫女子医院,主要做女子不孕不育,但属于正规医院.去他家就图离家近,停车方便.一进去,便有漂亮的导医护士带你去一个科室一个科室的去体检,在人多忙不过来时候还会说抱歉.这家服务态度最棒,但是,有某个科室的大夫不知道去哪了,结果是隔壁的大夫跨界体检的.我还被检出了精索静脉曲张,要早点去他们那看.其他地方都没检出来过.包括去年要孩子时候体检也没有这个问题.所以,尽管这家服务态度最好,设施也可以,但不推荐去.

国药阳光体检中心

这家以前叫现代阳光体检中心,我去的是郡王府分院,挺大,停车挺方便,看上去主要做团队体检,都是一大巴一大巴拉过去.态度和设施中规中矩.报告可以选择邮寄到指定地点,自取等,也可以在网上查询.做透视时候会给铅服,也有明确怀孕备孕提示.我自己感觉是中规中矩.

慈铭体检

今年我想体验一下慈铭,然后预约了慈云寺分院.预约时候说会把消息发到我手机,后来没收到,我就基本确认收不到它家短信.去体检时候,我要求不做胸透,购买一个胸透.前台让问主任,主任说这个是一样的啊,就差一个纸质报告.你当我真没啥知识么?辐射剂量一样么?最后我选择放弃.过了一周之后,也没收到他们所说的网上报告的密码.打电话问,直接让我找慈云寺店.然后打过去问,告诉他们我收不到他们短信,还敷衍地说让网管重新发.你蠢么?告诉你收不到….总之,在他家体检感觉最差.我的朋友们也普遍反映环境差服务差.所以,以后绝逼不回光顾了.

以后去体验一下爱康国宾了.

移除乐视TV开机广告的方法

乐视TV会有一个很讨厌的地方:每次开机总会有一个又长又臭的商业广告.我买你电视不是为了看你广告,而且我观看广告你也不给我钱或者会员资格.你会买一个每次开机都出现什么脉动之类商业广告的iPhone么?那么就移除它吧.

1.先把乐视TV给root.

之前的Letv版本移除了su命令,就无法使用adb获取su权限之后在root.现在好在有root神器TowelRoot,点这里下载TowelRoot v1(v2在乐视会崩溃).
下载完了之后直接安装即可,安装完毕运行,只需点击一下,15秒后重启即可获得root权限.

2.移除/替换广告

首先安装一个文件管理器,比如root explorer. 浏览到/fastplay目录下,把ad.ts,ad*.ts重命名成譬如ad.ts.bak, ad2.ts.bak,再把adconf.xml重命名为adconf.xml.bak之类的.
接下来,新建一个名为目录adconf.xml,注意是目录.
接下来两步比较重要,不然重启之后依然会生成adconf的xml文件.在adconf.xml目录下新建1-2个任意名字目录,再在其中任一目录中新建1-2个任意名字文件.譬如:

/fastplay
└─adconf.xml (目录)
├─sdsd (目录)
│──────file1 (文件)
│──────file2 (文件)

└─xcdsd (目录)

搞定,这样就会显示乐视TV自己的宣传片(/Customer/video.ts),这个是可以忍受的.删掉/Customer/video.ts的话开机会黑屏一段时间.

另外,如果开机开宣传片还不爽,可以自己找个喜欢视频,命名为ad.ts,到/fastplay目录下即可.

一个外地逼提取公积金的过程

由于北京公积金提取政策即将改变,以后租房只能每3月提取一次前面3个月交的钱,这就意味着如果不买房或者没正在还房贷,你前面交的公积金将无法提出来.从新闻来看,从7月1日起就要实行.
我找行政要了个人账号查了一下,里面也有3万,数目不小了.提取了吧.
情况是这样:弊司公积金是国管的,由人事代理公司代理,首次提取.
第一步,需要交房租的税.如果正常办,需要:

1、 房主本人交税需提供:房产证或购房合同原件及复印件、身份证复印件、房屋租赁合同复印件。并在合同复印件、租金金额页签注与合同原件内容一致的字样。2、 委托他人交税者,除提供上述材料外,还需提供:代办人身份证复印件和房主出具的委托书。3、 填制代开发票申请表。

Day 1:

需要房东全力配合,看上去比较麻烦,时间也不一定.我找淘宝黄牛代办,需要600手续费.(后来听黄牛跟别人电话里说他收300).下午跟黄牛说好,约第二天早上9点办.

Day 2:

早上到约定地点,靠,其实就是一个街道办理个人出租房租赁税费的地方,人很多,有两拨黄牛.到上午10点多就不收材料了.期间我观察到,如果不是黄牛带,街道的会要求你房本原件这些,而黄牛提交的就不需要,你们懂的.因为我用的房本名字和身份证不一样,黄牛中午还拉我去他店里重新打印了,结果是PS一下…花了整整一个上午. 然后下午把需要的材料都复印了一份.意外的是,行政正好去办事,当天就把我的提取单弄好了.

Day 3:

因为需要建行卡,早上9点准时到建行办卡.又出了个小插曲:我办的时候打印机坏了,最后确认单是手写的.花了30分钟.出门找了复印店复印了银行卡正面.出门打车到指定建行.根据提示上三楼,领取号之后等了大概10来分钟就开始办理了,把材料提交之后,大概10来分钟.之后,办事人员告诉我,等一会儿到账了喊我名字.大约5分钟后给我回单,说已经到账,可以取了.总共大约花费30分钟.

最后简要总结一下我用到的材料:

1.身份证,建行卡,租房合同,房屋租赁的发票 原件和复印件.
2.单位办的公积金提取申请单.

总共花费:

1.5%的税费=1500
2.黄牛代办税票手续费=600
3.复印=0.5
4.打车来回=28

另外,配偶可以代办.需要准备对方身份证,委托书和双方结婚证的原件和复印件.然后公司的申请书可能会比较花一点时间.当然,这是我个人情况,如果市管的还能稍微方便些,敬请咨询公司人事.

在微软官方商城购买Surface Pro 2的惨痛经历

简单提示:我在微软官方商城购买了两台Surface Pro 2, 结果其中一台包装写着256G,实际上版本是128G版本的被我怀疑为日本版的机器,包装和机身的SN码不一致差价2300.而微软没有7×24的客服.

微博全文戳这里–>http://weibo.com/p/1001603693457167277284
心水Surface Pro 2已经很久,最近终于决定买了. 其中还有一个顺丰说货车被扣的插曲.今天早上收到了.

我拿了其中一台,兴冲冲的开机,结果开机默认语言是日语(图02),设置过程中一直是日语(图03).行货默认语言是中文,虽然非常疑惑,但是没理会,反正Win8 专业版可以下载语言包.

日文界面

日文界面

开机过程也是日文

设置过程也是日文

在下载语言包的时候发现内存是4G (图08),我记得是8G的,然后看了一下硬盘大小,结果是128G (图09) ,我拿出发票和订货单一看,不对,两台都是256G硬盘/8G内存的(图04).

4G内存

4G内存

128G硬盘

128G硬盘

磁盘管理

磁盘管理

发票和订单都显示256G版本

发票和订单都显示256G版本

于是,我马上开箱另外一台,显示是256的(图07)

另一台256G

另一台256G

我仔细看了包装,是不是发错货了.检查了一下,两个包装都是256G的(图05).但是掀开支架,却是一个128G,一个256G(图07).

包装显示都是256G版

包装显示都是256G版

最后发现这台有问题的机器机身的SN和包装上的SN只对得上前面几位,尾号对不上.

好吧,一个256G的包装里装一个128G电脑,但收人256G电脑的钱是什么行为? 也就是对电脑懂的人知道原来货不对板,我甚至怀疑这不是行货,不然为啥有日语版?而宝尊是微软官方商城的实际运营商,详见商城官网.

那怎么办?对于一个投诉达人来说,必须要去矫他们一下情,何况还有真金白银的2000多差价呢.

打电话400-8822-059,当然今天周末,没人接听.这让用户关怀卡上的”7X24小时在线,世界一流服务”(图04顶部)显得特别的讽刺.

鉴于微软商城给我带来了极大的烦恼,还让费我两个小时写这个长微博,且认为微软商城行为属于价格欺诈,所以提出以下要求:

1.调换正确的全新的256G版本Surface Pro 2给本人,运费由微软商城承担.

2.书面或口头赔礼道歉.

3.根据消法,赔偿两个版本差价的10倍,即(9688-7388)*10=23000元给本人,或捐给联合国儿童基金会此金额,并提供捐款发票影印件或扫描件.

做为一个国际巨头,挂羊头卖狗肉实属不该.如果微软官方商城的处理结果无法令我满意,我将升级维权行为. 一个屌丝当然可以死磕巨头,反正不会粉身碎骨.

携程泄露信用卡信息那点事

昨天,乌云爆出携程泄露信用卡信息的问题.然后携程声明如下:

携程声明

通稿充满了公关意味,看不到诚意,没有透露受影响的范围,总之不道歉.现在携程发动了公关,一堆洗地党背书,甚至连银联风险部门的人在接受采访是都说存在”瑕疵”.瑕疵?

本来想写几句,看到网易李熙有篇文章写的不错,原文摘抄.原文中的Bin可能为Pin误写,Bin(Bank Identification Number)不属于敏感数据,只是发卡行的区别号而已

 

携程网暴露的不止是安全漏洞

携程网安全漏洞中所能泄露的信息,可以使窃取信息者不必有信用卡密码就能盗刷客户的信用卡

携程网安全漏洞中包含的用户信用卡CVV码即“信用卡检查码”,是由卡号、有效期和服务约束代码生成的3位或4位数字,一般写在卡片磁条2磁道用户自定义数据区里面。信用卡无需密码支付的方式也叫“脱机交易”,这种支付方式仅凭卡号、CVV码等信息即可完成。对于此支付方式而言,CVV安全码等同于密码。一般进入支付金额这一流程,用户被要求输入身份证号、持卡人姓名、信用卡卡号、信用卡卡背面上三位CVV安全码,交易就宣告成功,根本无需输入信用卡密码。所以,它的作用与风险可想而知。所以CVV安全码相当于信用卡“第二密码”,需妥善保管。

此次事件暴露携程网存储客户的支付卡信息,但2014年1月携程网回复中国广播网采访时自称不保留用户的支付信息

对此,携程网做了及时回应。但是,该漏洞事件显示,携程将用户的姓名、身份证、银行卡号、卡CVV码、卡6位Bin码做了存储。而2014年1月中国广播网经济之声《天下公司》栏目采访携程网时,携程网公关事务部工作人员的正式回复是“目前携程网的后台不会记录用户的支付信息,同时后台的安全性也得到银联和银行的评估”。携程网客服也确认了“付款的信息都是不做保留的”。相隔两月,事实证明了携程网之前的表态并不尽真实。

携程网自称已通过认证的PCI-DSS标准明确规定了商户不允许存储CVV码、Bin码等顾客信用卡“敏感验证数据”,信用卡支付授权完成后这些数据必须马上安全删除

携程网支付页面自称支付环节通过了PCI认证,但PCI-DSS(支付卡行业数据安全标准)明确规定了商户不允许存储CVV码。通过PCI-DSS标准要求的商户要将其适用于自己将存储、处理或传输持卡人数据和/或敏感验证数据等帐户数据的业务中。而标准中的“敏感验证数据”就包括CVV码与Bin码数据块。针对收单机构而言,敏感的认证数据在支付授权完成后,是必须要安全删除的。授权之后,即使已加密,也不允许存储敏感验证数据。按PCI-DSS标准的中国方认证机构“atsec中国”商业IT安全实验室的经验而言,要通过PCI-DSS标准合规验证,首先要达到的目标就是“删除敏感认证数据并限制不必要位置和非业务必须的持卡人数据的存储”。

携程的赔付承诺要靠受害者自我举证被盗刷,并不可靠

携程网这次做出赔付的承诺并不可靠,因为信用卡用户几乎无法举证信息泄露与携程有关。即便现在携程客户的信用卡没有被盗刷,黑客还是可能把泄露出的信息保存起来静默一段时间再实行盗刷,而到时被盗刷的原因也很难判断。如果信用卡被用此种方式盗刷,维权也很困难,因为银行会认为是本人持卡在执行这些操作。以中国国内相似的网银盗窃案件为例,迄今为止,所有的用户存款被通过网上银行转走的盗窃案件中,用户起诉银行时,银行无一例外会指责用户未妥善保管密码而予以罪犯可乘之机,并自辩自己的信息安全系统可靠。作为个体的用户显然在举证证明银行的网银存在技术漏洞方面存在很大困难,因此,此类案件多以银行胜诉告终。而此次事件的信用卡用户若坚持向携程网索赔,情形不会更乐观。

携程网存储支付卡敏感账户信息违反《银联卡收单机构账户信息安全管理标准》与《银行卡收单业务管理办法》,但银联无法按此标准实质惩处携程网

2014年1月份,携程网称自己的“后台的安全性也得到银联和银行的评估”。而银联2008年出台的《银联卡收单机构账户信息安全管理标准》显示,银行卡受理终端仅限于保存当前交易批次内用于交易清分所必需的基本信息要素,并在该批次结束后及时予以清除;各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。但中国银联只是家银行卡组织,尽管它实际上垄断了中国的信用卡相关业务,但其管理标准在正式意义上是既没有法律效力也没有行政约束力的,并且这个管理标准中连违反标准的罚则都没有。

此外,中国央行发布的《银行卡收单业务管理办法》第28条规定,收单机构不得以任何方式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。但第四十八条罚则规定,只有从事收单业务的支付机构,未按规定建立交易和信息安全管理等制度的,才会被罚款。而携程网是商户,并非第三方支付机构。

PSN服务发生泄露用户数据事件后,索尼公司因未尽对客户信用卡与个人信息的有效保护义务,被英国官方处以40万美元罚款

比较携程网在中国说谎、违规却可以摆脱惩处的情况,同样不注意保护用户信息的索尼公司在英国就倒霉多了。由于2011年4月PSN服务的大规模数据泄露事件,2013年7月索尼公司被英国数据保护监管部门罚款40万美元。英国信息专员办公室表示,这一事件严重违反了英国的数据保护法,因此对索尼处以40万美元罚款。当时PSN服务泄露的用户数据包括用户姓名、地址、电子邮件地址、生日和帐号密码等,用户的信用卡信息也面临泄露风险。对于此次罚款,英国信息专员办公室副专员、数据保护主管大卫•史密斯(David Smith)表示,索尼本应尽对客户信息提供有效保护的注意义务:“如果你掌握了如此多的支付卡和登录信息,那么确保用户数据的安全将是优先工作。然而在本案中情况并非如此。当数据库被攻击时,安全保护措施完全不够。”

Visa公司规定其美国商户要使用不储存“信用卡敏感信息”的支付系统软件,旗下任何一家“一级商户”存储用户信用卡CVV码与Bin码等“敏感信息”的话每月将被处罚25000美元

作为PCI-DSS标准的发起者之一,2007年11月起,Visa公司规定其美国商户及其代理商使用不储存“信用卡敏感信息”的支付系统软件。Visa公司规定,如果收单机构有任何一家“一级商户”(有600万次卡交易的贸易商和已经危及持卡人数据信息安全的贸易商)在2008年9月30日前仍未达到PCI-DSS标准的合规要求、继续存储用户信用卡CVV码与Bin码等“敏感信息”的话,那么,这家收单机构将被Visa公司处罚每月25,000美元的罚款。自从该措施实施以来,PCI-DSS标准达标率快速提升。迄今,超过99%的“一级商户”和“二级商户”(卡交易在100 万次到600 万次之间的贸易商)已经确认它们没有储存敏感数据。相较中国央行与银联而言,Visa公司为美国信用卡用户提供的安全保障机制显然更可靠。