@neutrino 做错了它要付出代价

@udumbara 所以要积极地阻止他们收集信息，这件事情的第一步是 adblock plus 。银联的问题，可以通过尽量使用现金来缓解。
原则上减少暴露可用于侧写的信息

@codecrash 觉得和已经确定的或潜在的后门，广告推送，用户信息上传相比，词频的缺点可以容忍。

连设备安全都没有了实在没意思讲性能。

百度显然不会关 moplus sdk 的后门，它要的就是这个

@abelyao

“你希望能以最小权限执行一些 APP 自己的业务”
是的，只要一件事情能不用 app 自己做，就应该不让 app 自己做，特别是那些超级 app


“而不会去打开相机啊，我要付钱跟拍照有什么关系呢？—— 这是我在 #5 想表达的意思。 ”
对于这件事情的，我的理解是：
1 ，因为要付钱，
2 ，付钱依赖于解析出二维码，
3 ，解析出二维码依赖于对二维码拍照

所以我要付钱，和微信去扫二维码有什么关系

而通用的 3 的做法是使用第三方软件，如 barcodescanner 之类的 app


至于
“你完全可以单独复制一条消息（如果消息内只有一个 URL ）然后打开 Safari 进行访问”
这是做不到的，因为微信内大多数的分享并不能复制出 URL

@abelyao

逻辑是这样的：

在 Android 里，如果一个应用自身没有权力调用摄像头，但还是想拍照的话，它可以：
发起一个 Intent 到系统的拍照应用，然后用户在系统拍照应用里拍照，系统拍照应用会把拍好的照片返回给那个应用，这种情况也适用于二维码，只是负责获取二维码的应用是另一个第三方应用。

如此对最小权限原则更友好。

现在的软件都喜欢搞闭环，动不动来一个二维码，要求用 XX 扫一扫

这样不太好：
如果我的手机上有这样的软件
1 ，我会想办法把它变成开环的
2 ，如果做不到 1 ，那就不使用 1 涉及的功能
3 ，如果 1 涉及的功能是这个应用的不可缺少的核心特性，大概会卸载吧

具体的例子像微信的公众号，内部的分享
如果要打开它们，必须先把这件事告诉腾讯(用户点击了它)，并用微信内置的浏览器打开后，才可用外部浏览器访问。
所以我不接受通过微信分享的网页，这么做不合适。

@abelyao
但是总的来说
我并不允许 App 使用非原生的分享机制
因此让 app 自身调用二维码，只会出现在登陆的场景

http://www.cnbeta.com/articles/444769.htm

按照其中的截图

如果支付宝打算再在 Google Play 上架
它就得使用一个全新的包名
而不是原先的
"com.eg.android.AlipayGphone"

大快人心的大好事

@Cu635
是的，要检查数字签名，是不是 Oracle 的

就是放弃
@tracyone
说的
“层主我现在基本把手机当成钱包了，因为这里处处可以用支付宝付款，非常方便。”

@revlis7
确实阿里没法在不实名账户挖坑

@zander
如果用了，总有用的一刻
毕竟支付宝 app 的一些坏习惯不太好纠正，仅是凭借绿色守护和黑白门

@dong3580
如果是棉花糖，可以尝试强力 doze ，效果可能不错

@tracyone
微信不能动钱
支付宝不能动人

@alect
别人发微信红包，我不收的

@zonghua
不能烧
可以远离

@kyze8439690
我把朋友圈关了
为了不让“购物”出现，把系统语言调成了英文

@killpigman
@lanlanlan
支付宝应该迁就我们，而不是我们迁就支付宝
如果只有退网一个选项，应该退网的是它

@HXM 那人真棒！

@gdtv

百度的 app 在不考虑 wormhole 漏洞所依赖的后门的情况下，就应该下架了

因为
“
这些应用都会从自己的服务器下载 dex 格式的 jar/dex 文件，然后用 DexClassLoader 调用运行
即它们都违反了“不允许从 play 以外的渠道获取二进制内容”的条款”

有意思的是，这个“ wormhole 漏洞所依赖的”后门本身似乎不违反 play 的条款

此外，这些软件肯定违反了这个条款
"只能用 AdId 进行广告跟踪，不能将 AdId 与任何设备串号关联"

从链接来看：
https://play.google.com/store/apps/details?id=com.eg.android.AlipayGphone
确实是下架了

实际上微信等大量国产应用都应该下架的
这些应用都会从自己的服务器下载 dex 格式的 jar/dex 文件，然后用 DexClassLoader 调用运行
即它们都违反了“不允许从 play 以外的渠道获取二进制内容”的条款

@caisd1998
知乎没上线全程 HTTPS(早期的说法是不支持视频网站)，对运营商劫持的防御很弱

用了十年的路过

@pubby 不支持 LTE Band39 和 TD-S
所以缺口比较大(现在需要有人实际使用，看它的 CSFB 能不能用)

就算是 Nexus 6p 国际版，现在还没有人在中移动的网络实际使用过(同样检测它的 CSFB 能不能用，之前有人在小鸟上说这个可能有问题)

@TangMonk

可以参考一下 PKI 的原理
它相当于在卡里存了私钥，但是这个私钥读不出来
每次鉴权验证的时候，服务端发一个冲激过来，写到卡里，卡里的处理器用私钥加密这个冲激，返回密文
对于卡外面的存在，只知道冲激和密文

然后，服务端有公钥，能解密密文，如果它解密的密文等于冲激，就认为鉴权成功

@erDaren mac,unix,windows 下的换行用的字符都不一样。
windows 是回车（\r ）+换行（\n ）
苹果肌是回车符
unix 是换行符

回车和换行的概念来自于机械打字机
回车指的是把打字机对准的位置往左移回到行头，换行是移到下一行。

@zhfy1991
那句话的意思是说，某个应用可以在没有联系人权限的时候，通过发 intent 给系统的联系人应用，由用户在联系人应用中刻意选择了联系人后，联系人应用再把这个联系人返回给那个应用。
所以这里两个问题， 1 支付宝没处理好这种做法。 2 支付宝是不是故意的

类似的例子还有拍照，第三方应用可以调用系统的拍照应用（或别的第三方能拍照的应用）拍照而不需要权限，但是它能不能收到拍好的照片取决于被调用的应用