有关 CNNIC 的警告这里有个 详细的说明 ，不多做解释。对于 Mac 用户，这里有个简单的办法禁用 CNNIC CA 证书。

打开「钥匙串访问」，搜索 「CNNIC 」即可看到对应的证书。双击该证书

下拉「信任」选择「永不信任」即可。

根据上述文中的提醒，同时把有「entrust.net」关键字的证书也禁用掉，这样就没有上述文中的风险了。

先不讨论文中有关证书的风险，但 CNNIC 的流氓 已经众人皆知，这的确让人感到很不安。因此，个人对于这件事的态度，也是「宁可信其有，不可信其无」。

个人信息安全这块，有时候往往会忽视。 国内的大环境如此 ，也只能是人人自危。

PS，这里有个投票号召众浏览器厂商移除 CNNIC 证书， 有兴趣可以看下 （ 查看结果 ）。

-- EOF --

可能是我「火星」了，不过在 空虚 的 Blog 中学到的一招。这个技巧的原理是利用 iframe 载入本机各盘符的根目录，然后判断 iframe 是否已经载入完毕，从而判断对应的本地计算机的盘符是否存在。

根据目前的测试情况，在 IE6、7、8 下使用默认安全策略均可以获取到本地盘符。利用这个技巧，可以做的事情有还有很多。例如「摸黑」判断指定路径是否存在文件，即可以获取对应的信息，例如 Windows 的安装位置等等。

根据 空虚 的代码，我改进了下，即检测 A-Z 所有的盘符，并获取已经存在的盘符输出。还是上代码吧， DEMO 在这里 ， 源代码在这里 。

再次感谢 空虚 和 KJ 的提示，很受用。

-- EOF --

很多时候得益于 Google Safe Browsing 可免于恶意代码攻击，但有时候此功能也会对用户造成困扰。

测试发现只要请求了在 Google Safe Browsing 中沦为黑名单中的站点资源（无论此页面是否为此域下甚至是本地页面），Chrome 浏览器提示禁止用户继续浏览页面。

那么想象下此情况会造成的影响，在任何可以输入内容的站点中，加入已知已被 Google Safe Browsing 扔到黑名单下的某域资源，那么该站点就会被牵连。

进一步的，我们可以做个这样的测试，使用 Chrome 打开 Google Reader ，订阅下面的 RSS 种子

http://feed.feedsky.com/malware

在你打开此 RSS 种子的条目时，Google Safe Browsing 的策略甚至无法让您继续正常浏览 Google Reader。

这虽然算不上安全漏洞，但对于「捉弄」目标站点，以及影响其他在 Google Safe Browsing 的策略下访问此站点的用户而言，已经能造成一定的困扰。

因此，当我们引用第三方资源时，尽可能的检查下对方是否在 Google Safe Browsing 的黑名单中，否则被「连坐」是很无辜的 :^(

注：上面的情况在 Google Chrome 4.0.237.0 中测试通过，Chromium 没有加入 Google Safe Browsing 无反应

-- EOF --