有容乃大,无欲则刚
在Windows Vista登录界面,如果默认的输入法是微软拼音,使用Tab键将输入焦点移至圆形的“→”按钮上,然后输入一些英文,会看到微软拼音的输入框出现在屏幕上,同时有一个名为“Finalize the string”(中文版是“完成字符串”)的有趣的小按钮显示在输入文字右侧。
关于这个包含“Finalize the string”小按钮输入框的功能和用意,我暂时没有找到答案,希望有明白的网友可以帮忙解释一下。(目前通过google只找到这样一条相关帖子:http://www.asksam.com/Forums/ShowPost.aspx?PostID=4515)
这个特性会导致一个潜在的危险:不少用户习惯在输入用户名之后用Tab键切换到密码框,如果不小心多按了一下Tab键,使焦点移至“→”按钮,此次输入的密码(如果是纯英文)就会在微软拼音输入框中明文显示。
无聊时试验了一下,发现经典的输入法漏洞在 Windows XP Pro SP2 安装了最新的 Windows Update 之后依然可以实现。
Windows 自带的输入法以及各类流行输入法早已解决了这个漏洞,Windows 针对旧版本输入法可能存在的问题也做了采取了很多防范措施,比如限制应用程序和文档的权限,将已打开的窗口隐藏等。但经过试验(采用紫光拼音输入法 2.3),我还是找到一些没有补上的漏洞。比如下图所示,C 盘在没有登录的情况下被成功共享。此外 Windows Picture and Fax Viewer 等少数应用程序可以在这种情况下成功运行。
尽管现在的机器上几乎不会安装有漏洞的老输入法了,但漏洞的存在总是有可能被细心的攻击者通过形形色色的方法所利用。也许简单的社会工程就可以诱导菜鸟安装一个老输入法吧。
给同学装Debian,装好系统就要装新立得软件包管理器,但我忘记了“新立得”的英文拼法。google一下“新立得”吧!可是,没有中文输入法怎么办?没事,上新浪新闻,先复制一个“新”字。随机打开了几个新闻,忽然看到一句:“新党立委仅得1席”。哈哈,一句话“新立得”仨字全有了!复制!google到它的英文拼法,apt-get……
回去向朋友炫耀我的幸运,朋友提醒:你为什么不先安装小企鹅输入法?是呀!fcitx这个词的拼法我又没忘,怎么不先装它……我晕!大约是习惯了用新立得安装小企鹅,思维定势。
不过我想谁都会有糊涂的时候,于是Down了一个“网上输入法”( http://chinese.cari.com.my/ime/ ),放在了校园网上( http://10.1.0.63/ime/ )。下次如果谁和我一样晕了,就用这个网页输入中文吧!毕竟在网上的一句话中找到自己想要的所有的字是个小概率事件。
