为什么很多人都要在非官方渠道下载Xcode?

玉楼 发布于 2015年09月18日 | 更新于 2015年09月22日
tinyfool 等1人欣赏。

是基于什么考虑的?下面是部分中招的App,抄录于微博 [AT]Programmer毒 整理的 XcodeGhost感染的App列表

事件相关链接:

XCode编译器里有鬼 – XCodeGhost样本分析

感谢 [AT]图拉鼎 大大的测试,目前检测出中招的App有:

网易云音乐、滴滴出行、12306、中国联通手机营业厅、高德地图、简书、豌豆荚的开眼、网易公开课、下厨房、51卡保险箱、同花顺、中信银行动卡空间

共33条回复
adad184 回复于 2015年09月18日

因为慢

你不会要说"我下载很快啊"吧?

玉楼 回复于 2015年09月18日

1楼 @adad184 俺还真不知道,虽然我下载确实很快,但我没写过什么App。

yalin 回复于 2015年09月18日

感觉内部管理 还是很山寨的。

玉楼 回复于 2015年09月18日

在微博上聊了一会儿才知道,原来很多人中招还是因为迅雷下载。

网易好奇怪,知道这个事情的原委了,就下一个官方版的Xcode重新编译一版放出来呗,为啥还要发个产品无害的声明呢?

yalin 回复于 2015年09月18日

4楼 @玉楼 对啊,正确的事情多简单,不管有害无害,都应该多走一步。光发个声明,还是太自恋了吧~

qinf 回复于 2015年09月18日

5楼 @yalin 你做iOS开发?

tinyfool 回复于 2015年09月18日

我觉得就是我们行业水平太低,大多数人半懂不懂,靠巧合编程和活着

yalin 回复于 2015年09月18日

6楼 @qinf 在学习中~

tinyfool 回复于 2015年09月18日

这次的感染的方式很可怕,因为项目组里面有一个人用了这种木马Xcode的话,就有可能,把整个项目给传染了,也就是说,这是一次由项目组短板驱动的木马事件。再牛的项目组都会有一两个短板的。

tinyfool 回复于 2015年09月18日

上次感染了国内各大的公司的putty事件,也是百度第一条链接就是木马,百度和墙当道,这个国家的技术水平和安全水平就是0。

zhangweifang 回复于 2015年09月18日

个人感觉还有gfvv的关系,导致国内下载很慢。 另外,现在国内的软件开发培训公司有点太扯淡了,每次一个开发方向不错的时候,这帮傻逼就培训出一大堆的半成品出来扰乱市场,而这帮半成品都是平常上学就不靠谱的,想培训几天就能赚大钱的人。

hazukijunichi 回复于 2015年09月18日

现在墙越来越难翻了。。感觉今年以来尤其严重。。另外,上海电信也在今年这几个月里开始限制上外网,总觉得这并不是偶然。

ichanne 回复于 2015年09月19日
  1. Mac App Store 下载速度相比于3-4GB 大小的 Xcode 来说并不快,且并不是增量更新;
  2. Xcode 下载安装时无法使用;
  3. 项目组人多时,从官方下载地址下载 dmg 可以共享,其他人就不用下载了,省时省力;
  4. 需要保存多个版本的 Xcode 以备查验;
kafkakevin 回复于 2015年09月19日

本人广东联通 8M 线路,从 App store 里下载本地带宽可以跑满,不知道那些说 app store 速度慢的是什么情况? 100M 本地带宽跑不满还是? 感觉这还是观念问题,让一个人承认这道数学题他解错了很容易,给出正确答案就行,但是让一个人承认其审美能力或是品味差就太难了。

zen1983 回复于 2015年09月19日

我这边App Store下载比百度云盘快多了,百度云盘只有几十kb/s,所以并不是因为下载速度

yalin 回复于 2015年09月19日

这黑客好邪恶,利用我国根深蒂固的山寨文化,整个中国都能沦陷了;估计苹果Xcode也会更新吧~

盘古目前已经检测到超过800个不同版本的应用感染了XcodeGhost病毒(目前最全)...

hikui 回复于 2015年09月20日

下载太慢,无论是App Store还是Developer的网站。而且那个iso文件不支持断点续传,3.5gig的文件不支持断点续传是很恐怖的。至于为什么不用App Store升级安装,一方面正如楼上有人说的,有时候公司需要使用多个版本的Xcode,另一方面,只要有一个人下载iso文件,整个公司都能用,而不是一群人挂一整天的App Store。

另外,据说迅雷下载Xcode时,即使输入的是官网地址,下载下来的也是污染过的,这实在是出乎意料。

至于有人说App Store快,有人说慢,我觉得跟DNS有关。我以前为了加速用了114.114.114.114。苹果似乎一直没有把下载速度优化做好。另外Xcode新版本发布的时候,苹果那边服务器压力大的话,即使在澳洲速度也很慢。

zen1983 回复于 2015年09月20日

app store是支持断点续传的

hashmap 回复于 2015年09月21日

17楼 @hikui 、上海电信没有氮气瓶下载XCode基本上可以达到600KB~1MB/S。公司走企业宽带更是嗖嗖的。 PS:我dns用的上海热线最老的那个202.96的那一套。

再说迅雷,思前想后这个事和迅雷离线应该也没毛线关系。离线下载这东西也要看文件的Hash值的,要不你离线一部动作片,瞬间变成国产抗日剧,谁受得了。

再PS:不从App Store和Developer下,最大的原因无非就是用的黑苹果开发吧。

chaoren399 回复于 2015年09月21日

步子到,可能是官方太慢了额

hikui 回复于 2015年09月21日

19楼 @hashmap 我一直觉得跟迅雷肯定有关系,因为xcode的dmg文件下载是需要auth的,直接用三方软件下肯定是报错的。当你不知道真正的hash值是什么的时候,你跟哪个hash对比呢?使用迅雷下载http://adcdownload.apple.com/DeveloperTools/Xcode6.4/Xcode_6.4.dmg 这个地址的时候,能下载的话,就说明一定是从其他渠道加速来的。然而因为无法下载原始文件导致迅雷不知道真正的hash是什么。迅雷之前号称“即使源地址不可用也能下载”,我觉得它肯定有一套全网资源挖掘算法,但这算法很可能有漏洞。

Figure 1 Figure 2

上面两张图是我用迅雷下载这个地址时得到的结果。从图上可以看出,迅雷无法从原始地址下载到文件,只能转向镜像。而你现在知道这些镜像是可信的,但如果一开始的时候,如果有什么人大量伪装镜像的话,我认为迅雷的算法是无法判定该镜像是否可信。

另外,不从App Store下载不一定是用黑苹果。首先,在更新换代的时候使用多个xcode版本是常见的事情。其次,用App Store升级的时候,你的xcode是不能用的。所以至少我以前的公司倾向于下载DMG文件之后,再和同事之间分享。

yalin 回复于 2015年09月21日

早上读了霍炬 XcodeGhost:墙、感染、信任和欺骗 写得不错,让我们迎接这个病毒时代吧~

newguy 回复于 2015年09月21日

19楼 @hashmap 我记得两年前我在上海升级下载xcode至少花12个小时,我都是早上开机到晚上走人还没下完。不过再慢我也不敢下载百度的东西。在天朝做技术真的很痛苦,极大打击我在大陆继续做技术的动力。

玉楼 回复于 2015年09月21日

作为一个程序员,作为一个IT从业者,是否远离Baidu、迅雷、360等公司的产品,这本身就是职业素养高低的一种体现。

hashmap 回复于 2015年09月21日

23楼 @newguy Apple在就在国内部署CDN了。我现在每次App Store更新都要先撤了梯子。否则速度慢城狗。

newguy 回复于 2015年09月21日

25楼 @hashmap 有可能是这个原因。但是当你又想后台下载又想上网找资料收邮件怎么办?

yuzhouwww 回复于 2015年09月21日

其实苹果现在在国内的速度并不慢,iOS 9发布那晚,我把OS X El Capitan GM、Xcode 7 GM、iOS 9、iOS 9.1 beta全下载了,总共10G左右,花了不到5个小时。用的是联通10M光纤,一年1000多一点。

至于很多人说慢,应该是他们的宽带提供商的问题。比如我们公司的下载速度就很慢,所以遇到Xcode更新我都尽量带回家更新。

monksa7 回复于 2015年09月21日

前几天刚从网上非appstore上下了xcode。

为什么我会从非appstore上下载xcode。

刚开始用我女朋友的mac来装一些我平时用的环境, 我自己的电脑就不用天天往家背了,我女朋友强烈要求我别拿电脑回来,用她的。 于是我就各种开始捣腾。 装xcode的第一个去处,自然是appstore。 然后,女朋友的mac是10.8.4. appstore上提示我下载不了,需要xxx版本以上的才能下载。

可是我要升级,我就升级到那该死的卡的不能在卡的曾经升级完又降级到10.8.5的恨死我的yosemite. 让我升级到这么不好用的os,我自然不愿意。

所以我就从非官方渠道下了……

hashmap 回复于 2015年09月21日

26楼 @newguy 我mbp上跑goagentx,关闭自动代理,直接走独立模式,然后chrome用SwitchyOmega直接走代理的PAC。这样代理不会影响到全局。只会影响chrome。

PS:我现在把路由器刷成openwrt,然后再路由器上部署了ss,所以我直接就把apple的域名直接从PAC文件里干掉了。

hashmap 回复于 2015年09月21日

28楼 @monksa7 我还是建议你背自己的电脑回来,要是以后分手了,怎么开口问你gf要代码呢。如果实在不想用App Store下载,记得出门左转找 https://developer.apple.com/downloads/

monksa7 回复于 2015年09月21日

30楼 @hashmap 首先…我先谢谢您……

您觉得我公司一个电脑,家里一个电脑,回家用代码,我咋办?

btw:您代码都要分的这么清楚,想到分手后代码怎么拿回来,以后你咋跟你未来女朋友或者老婆解决,银行卡,房子,车,以及所有个人财产问题。。

玉楼 回复于 2015年09月22日

31楼 @monksa7 我猜你误会了@hashmap 的意思,他的意思未见得是让你收回代码,只是说假如有那么一天,你自己写的代码自己都不留一份备份吗?

首先,公司的工作在非工作时间里、非公司资产设备上进行,这本身就是不合适的。

其次,如果你是一个随时随地思考,随时coding的程序员,那我建议你还是有一个自己的MBP随身携带更方便些。

damon 回复于 2015年09月22日

10楼 @tinyfool 虽然我不那么喜欢百度,从seo的角度上看,做这些黑产的人很懂得百度上的seo处理,在搜索到的时候,通常都是这些黑产的人的产品占据重要位置。

从另一个侧面说,也如你说的,国内大部分编程还是在靠巧合编程,能将一些代码逻辑写出来然后可以准确执行就ok了,环境污染,安全隐患的东西,既不容易自己排查,一时半会儿也难以被人察觉,更不会影响开发人员的薪水,所以关注安全的开发人员很少,与开发人员讲业务安全,也常常会被虐(常常自己写不出完整的payload,无法说服)。

本帖有33个回复,因为您没有注册或者登录本站,所以,只能看到本帖的10条回复。如果想看到全部回复,请注册或者登录本站。

登录 或者 注册
相关帖子

[顶 楼]
|
|
[底 楼]
|
|
[首 页]