2015年2月6日星期五
转载】到底谁才是真正的隐形战友——开源软件和OpenSSL的真实故事
我想聊聊开源软件的模式和OpenSSL存在的问题,以及到底谁在捍卫我们的隐私。
编者注:
数天前界面“长篇”栏目刊发了实习生记者李鱼的作品《隐形战友》,以非虚构写作方式记述了一项旨在保护人类隐私权的开源密码库项目——OpenSSL背后的故事,引发了国内互联网技术界的许多反响,也引起一些争议。著名程序员,独立科技博客作者霍炬通过个人微信公众号“歪理邪说”特意撰文,表达了对界面此文的不同看法,并从专业角度做了认真探讨。
界面编辑部非常感谢霍炬先生的撰文,也希望界面用户能藉此对互联网安全和加密领域有更多关注和了解。对于这个领域的关注,一篇文章远远不够,我们非常欢迎用户提供更多专业的意见和视角。当然,我们依然为实习生记者本次的表现点赞。
年后,界面将会鼓励各个领域的专业用户来参与界面稿件的制作,霍炬先生本人也会在三月底来界面跟采编见面,以后在相关报道领域提供帮助。
我们取得了霍炬先生的同意授权之后,全文转载他的这篇文章如下:
前几天,在朋友圈看到转来的原发于“界面”关于OpenSSL和开源项目的“隐形战友”一文。开始觉得不过是炒冷饭,“心脏出血”这个 OpenSSL严重漏洞,从去年(2014)4月初被公众知道,到现在已有将近一年了,这件事已经算告一段落。尽管这篇文章充满了误解、硬伤和企业宣传, 我也没太在意。结果,今天看到界面的网站上竟然还在用支付宝给OpenSSL募捐,这就荒唐了。之前有一些朋友说,无论怎么样,多一些关注总是好的,从现 在的结果看,界面的文章造成的坏影响更大,这篇文章扭曲了开源社区的本来状况,对其他组织和企业也不公平。开源软件、安全、隐私确实是大部分普通用户不了 解的领域,但记者要写一篇文章,总应该对历史有个基本了解。
界面网络的创始人何力先生,曾经创建了经济观察报和第一财经,都是不错的媒体,再次创业界面,也备受关注。可惜界面这篇文章,给我带来的失望比较 大。更好笑的是,当年罗永浩对战王自如的时候,罗粉说王自如的公司是雷军投资的,所以王自如一定是倾向小米的。而今天,界面,这个小米参与投资的媒体,登 了一篇锤子的软文。这两者之间对比,实在让人哭笑不得。
我想聊聊开源软件的模式和OpenSSL存在的问题,以及到底谁在捍卫我们的隐私,这些都是界面的文章弄错的地方。我也会写到在“心脏出血“这个漏洞从发现到公布的过程中,惊心动魄和争分夺秒的故事,这个过程暴露出OpenSSL严重的管理问题,先从开源说起。
1 开源是一种商业模式
界面一文,把OpenSSL描述成没有捐款就没法生存的组织,但开源组织并不是这样,开源和免费一样,是一种商业模式,他们之间有诸多不同,但有一 个基本的相同点,就是都希望尽量多的人免费使用它。大家已经免费使用了很多互联网服务,对于免费模式应该非常理解,我们从未给Google付款,从未为我 们每一次搜索买单。但我们搜索的行为,我们的注意力、数据,都会变成Google的广告收入。我们每一次使用Google搜索,都是在帮助Google赚 钱,尽管没直接付钱给他们。
开源软件也是如此。开源软件的世界是激烈竞争的,任何一个组织,都可以从当前代码分支一份继续开发新的版本,这个行为叫做Fork。一个开源组织要 想生存下去,最重要的基础就是普遍被使用,不然很快就会被竞争者替代。一个软件被普遍被使用之后,就会因此衍生出相关服务,团队可以通过这些服务获得比较 好的收入,商业模式就成型了。最著名的例子应该算是Red Hat Linux,中文叫做红帽,他们免费提供Linux发行版,企业可以通过付费订阅获得技术支持,他们收入相当不错,现在已经是一家市值100多亿美金的上 市公司。
OpenSSL采用的也是同样的开源和服务收费的方式运转,OpenSSL基金会的负责人Steve说他们最多一年有将近100万美金的商业咨询项 目(资金来源是美国国防部和美国国土安全部),这已经是相当不错的状况。开源软件的全职工作人员都不会太多,大部分项目的核心贡献者同时也都会承担商业性 项目,这是很正常的情况。在开源社区中,像Linux创始人Linus这样全职为开源项目工作的程序员,反而不是普遍现象,Linus得以这么做,一方面 是Linux基金会财力丰厚,另外一方面也是因为Linux衍生项目太多,影响力也太大,Linus本身又是精神领袖,他不得不全职为Linux工作。同 时从事商业服务和开源项目,并不是界面那篇文章描述的那么悲情。
再来个例子,最好的开源UNIX操作系统FreeBSD,其核心开发者Poul-Henning Kamp(社区内叫他phk)到今天仍然承担商业性项目。即使从1994年到现在,他的一直在FreeBSD代码贡献的排行榜上排第一,也仍然不是 FreeBSD基金会的全职员工,他对自己的描述是“自雇”。phk在自己主页上公开了最近正在做的一个商业项目,报酬每月3000美金。以 OpenSSL的项目规模,有一个全职开发者已经是相当不错的状况了。
为什么有这么多人会放弃传统的卖软件的方式,转向免费软件和开源软件?除了个人兴趣和理想之外,开源软件是一个成熟可靠的商业模式,这个商业模式有 自己的收入方式和生态。界面这篇文章极力制造普通互联网用户对于OpenSSL的愧疚感,指责普通用户从来没付钱给他们,这种一种道德绑架。任何一个用 户,只要在使用OpenSSL,就是在帮助这个组织获得市场份额,在竞争中获得更大优势,无论有没有直接捐款给他们,用户都已经做出了贡献。
2 为什么OpenSSL之前只能收到很少捐款?——基金会、捐赠和募资
虽然开源组织可以通过商业服务来让自己生存的不错,但是一般也都很愿意接受捐款。有足够的捐款,可以少做一些商业项目,把精力往开源软件方面倾斜一 些,这当然是好事。大部分软件和IT企业,每年都有不小的一笔钱用来支持开源项目们,同时也争取自己在开源社区的影响力和发言权,开源组织们每年接受的捐 款按照各自项目状况,都不算少。但为什么一年前,OpenSSL这个项目每年只能收到几千美金的捐款呢?答案很简单,因为他们从来没有搞过募捐活动。
开源组织通常会设立一个注册为非盈利机构的基金会,通过这个基金会募集资金、组织活动、推广自己的开源产品,视项目情况给专职或者兼职开发者付报 酬,其中募集资金是基金会相当重要的工作。如果经常使用维基百科的用户,应该会有印象。维基百科每年都有一个固定时段,会在网站上放置非常明显的筹资通 告,设定好本年度预算目标,让大家捐款。达到数额之后,捐款就停止,不再接受更多。几乎所有开源组织,都会通过这种方式募集捐赠。
OpenSSL基金会从来没公开募集过资金,如果没有捐款目标,没公开募捐,就很难有成批的捐款进入,毕竟,需要资金的项目实在太多了。对于 OpenSSL这种项目,募资相当容易,他们只需公开发一份筹款通知,各大企业的钱就可以立刻到手。当“心脏出血”发生之后,诸多企业惊讶的不是只有一个 全职开发者这件事,而是,为什么你们一直没筹款。OpenSSL从来没公布过自己的财务状况,没有设置过募款目标,这让人们如何去捐款给他?
更有意思的是,OpenSSL基金会并没有注册为非盈利机构,而是一个盈利性企业。捐助OpenSSL的人和企业无法从美国政府获得减税。按照他们 自己的说法,是他们没有时间维护一个非盈利组织,这不是个好理由。对于一个开源项目,注册一个非盈利组织比注册公司难不了多少,再说,基金会之所以成立, 不就是为了去做这些事吗?盈利性企业已经定义了他们是希望靠商业活动获得收入,而不是靠捐款生存。捐款给盈利性企业,钱的利用率就会变低很多,按照美国税 法粗算,最多的情况下要多交出30%~40%的税,是巨大的浪费。这也解释了为什么美国企业很少捐款给OpenSSL基金会。
不过,就算如此,事情也是在快速好转的。“心脏出血”事件之后,Linux基金会在极短的时间内就成立了核心基础架构联盟(CII, Core Infrastructure Initiative),这个联盟和以往最大的区别是,他们主动挑选缺乏资金的重要开源项目进行资助,无论对方是否募款,OpenSSL是他们资助的第一 个项目。这个联盟集结了世界各国的科技企业共同出资,其中包括了Google、Amazon、Facebook、思科、富士、惠普、IBM…目前已经有了 10多家企业。其中中国企业只有一家,是华为。特别值得一提的是,除了给CII出资,华为也单独资助了OpenSSL基金会每年5万美金。可惜,界面的文 章似乎把华为忘了。参加CII联盟的企业每年出至少10万美金,按照2014年的数字,CII每年总共有170万美金基金可以使用,第一期资金主要用来资 助OpenSSL和OpenSSH,资金相当富裕。
上面这些事情都发生在去年5月,也就是“心脏出血”事件之后的一个多月时间里。无论是各大科技企业,还是Linux基金会,他们的行动都非常迅速, 这是开源世界的做事方式和效率。到去年5月,OpenSSL的资金问题就算解决了。从这个结果看,之前OpenSSL没有得到足够捐款的直接原因就是其基 金会失职。
做为对比,再看看去年OpenBSD募款的经历。OpenBSD是最关注安全的开源Unix操作系统,他们同时也是OpenSSH的维护者(看到 SS是不是觉得和加密也有关系?没错,这也是一种加密工具,只不过不是给客户用的,是给服务器管理者和程序员用的),去年的募款目标仅仅是15万加币。相 比起来,170万美金实在已经是太多了,如果CII给的钱不够让OpenSSL变好,恐怕再多的钱也不会好了。
除了直接捐钱,各大企业支持开源项目的方式还有很多,比如捐献自己员工的时间。任何一个开源项目中,都有来自各大公司工程师的贡献,这些公司给自己 员工发薪水,他们写的代码会回馈给开源项目,比起捐款,这是更直接的支持。比如去年发现“心脏出血”漏洞的工程师,是Google员工,他在上班时间全职 对OpenSSL代码做安全审计,找到了这个Bug。他确实不是OpenSSL基金会的直接雇员,但这份由Google买单的全职劳动成果是贡献给了 OpenSSL项目的,说所有大公司都没支持过这个项目,未免太不公平。而这种错误言论,正是界面文章宣传的论调,按照这篇文章的说法,一个中国小公司救 了全世界互联网用户,这是何等荒唐。
说到这里,再说说捐款问题。我非常反对界面渲染的这种捐款情绪,这是利用人们的愧疚捐款。钱是非常宝贵的资源,需要用钱的地方太多了,正确的捐款是 在捐款者对项目的充分了解后,基于对其价值观和方向认同,按照自己的愿望进行长期而小额的固定捐助。在这个过程中,税务问题也是必须要考虑的,这直接决定 了资金利用率,比如美国税务居民,捐赠给OpenSSL,资金的利用率就很低,而捐款给CII再由他们资助OpenSSL,就可以得到一部分免税,利用率 高了很多,如果是加拿大税务居民,想对操作系统方面的项目捐款,应该首选OpenBSD,因为它是加拿大注册的非盈利组织。捐款是一个非常理性的行为,隐 藏部分信息,利用人们对开源项目的不了解,煽情,制造愧疚感,这是不可持续的,也是不公平的,这些都是界面的文章和之后的运营所做的事情。
3 OpenSSL的问题和未来
界面的文章中说基层程序员批评他们的代码“令人作呕”,实际上,说这句话的人是Theo de Raadt,是OpenBSD项目的创始人,他可不是“基层程序员”,而是操作系统领域最好的计算机科学家之一。OpenBSD开发者们并没止步于批评, 而是立刻决定从当前OpenSSL版本创建一个叫做LibreSSL的独立项目,从清理OpenSSL的代码重新开始。他们在第一周就删除了9万多行代 码,OpenSSL整个项目只有38万行,相当于删减了近1/4的代码。可见Theo的批评并不是顺口胡说。几年来,OpenSSL出过各种漏洞,在“心 脏出血”之后,仍然有隐藏了10年以上的漏洞被发现,很多熟悉这个项目的人看法都是“除了重写别无办法”。
OpenBSD有一份文档说明了他们在清理过程中遇到的问题,去掉其中的技术细节,我把主要观点列在这里,这些也基本是业内主流看法:
OpenSSL的代码混乱不堪,难以阅读。开源软件一般通过让更多人看到代码来发现bug,如果代码难以阅读,这个办法就失效了。
他们使用了大量自己的代码封装和编程风格,这些代码有的有bug,有的不符合现代主流做法。这让常见的检测工具没法应用于他们的项目,更难以发现Bug。
他们的开发者更关心增加功能,而不是维护和修补。
其他开发者提供的修改和贡献,一般不会被合并到最终代码里。
很多用户指出的Bug,包括一些相当严重的,公开放在追踪系统里面长达几年,没被修补。
其中存留了大量无用的旧代码,比如给windows 2000之前的16位系统写的兼容代码,仍然包含在最新版本的OpenSSL中。
基于以上原因,OpenBSD认为这个项目已经没法维护了,必须要重新开始。这就是他们创建一个分支,从清理代码这种基础工作开始的原因。可见,这 个项目根本不是钱的问题,而是管理方式和社区文化有问题。比起来其他项目,他们在有一个全职开发者和一个全职基金会主席的情况下还能响应如此缓慢,实在更 令人沮丧。顺便说一句,做清理代码这件事的OpenBSD开发者,也不是全职工作,他还在这份文档前面特别注明了“可以被雇佣”。一年之后的今 天,LibreSSL已经基本算可用了,除了清理和改变了原有代码风格,他们也增加了一些更先进的特性,看起来很有前途。另外,这个项目也很需要捐款,如 果更认同他们的做法,可以捐款给他们。
除此之外,OpenSSL公布“心脏出血”漏洞的过程也非常有问题。一般出现严重漏洞的流程,是先不对公众公布,立即通知主流操作系统维护者和相关 厂商,让大家先修改,之后一起发布安全公告和升级。之所以这样做,是因为如果操作系统不去打补丁,很多普通用户知道漏洞也没办法修补,反而让黑客们更容易 利用这些漏洞。OpenSSL不是这么做的,在Google告知了他们漏洞之后,OpenSSL没有告知任何一家操作系统厂商,反而奇怪的被几家主要 CDN厂商知道了,也就是说,在不知道哪个环节发生了泄密。之后开源社区中开始有关于这个重大Bug的传言,直到这个时候,几大操作系统仍然没得到正式通 知。又过了3天,OpenSSL才告知了Red Hat,当天,参与处理这件事的一位Red Hat员工在一个私密邮件组里面把这个消息分享给了SuSE/Debian/FreeBSD等几个重要操作系统相关负责人。多亏了他,因为此时 OpenSSL仍然表示没有任何细节提供,这是加州湾区的太平洋时间4月6日晚上,从Red Hat得到具体细节的几大操作系统,连夜开始忙着打补丁,到这个时候,Red Hat提供的消息是OpenSSL将在9号,也就是3天之后公开这个漏洞。可惜,转天,4月7日一大早,OpenSSL就直接发布了公告,媒体们知道了, 全世界都知道了。如果没有Red Hat提前放的消息,最后的影响恐怕还会大的多,就算如此,因为时差的原因(Red Hat那位员工在印度),很多在他夜里睡觉之后的邮件没来得及回复,仍然有很多厂商没能提前得知细节。关键厂商对于如此重大的漏洞比媒体知道消息还晚,近 年来恐怕这是第一次。这造成了不少损失,比如加拿大国税局CRA在漏洞被公开之后发现数据被盗,此时已经来不及打补丁了,所以干脆直接把电子报税系统关掉 了,当时是4月9号,加拿大2014年的报税截至日期是4月30日,正是电子报税系统最繁忙的日子,其间的尴尬可想而知。整个过程的时间线,在 theage的一篇文章有完整记载,我列在最后,供参考。
针对这个反常的流程,社区中有不少阴谋论的看法,我不转述这些看法,我只是想说,这是另外一个证据证明OpenSSL有严重的管理问题,而不是钱的问题,人们说他们把事情做的一团混乱绝对不是没理由的指责。
另外,OpenSSL并不是凭空出现的项目,而是继承了另一个项目SSLeay的代码。在SSLeay的开发者去RSA公司工作,不能继续这个开源 项目之后,有好几个项目继承了它的代码继续开发,OpenSSL只是其中比较成功的一个。维基百科上列出了SSL库的实现,包括OpenSSL,现在还在 使用的也有10多个,其中开源的占了将近一半。
这也是我不赞成吹捧OpenSSL的原因,历史的选择往往存在偶然,具体到SSL软件上,就更复杂,这是混合了技术,商业,历史,政治复杂因素之后的偶然结果。现在OpenSSL暂时有最多的用户,以后则未必会如此,我相信,早晚会有一个新的替代者出现。
4 谁是真正的人类隐私捍卫者?——电子前线基金会的故事
界面这篇文章认为OpenSSL是人类隐私的捍卫者,事实上,OpenSSL只是同类加密软件中的一个,他们当不起隐私捍卫者这个头衔。今天,我们可以不知不觉获得加密软件的保护,背后有一些曲折的故事,那是真正的隐私捍卫者的故事。
曾经,加密技术是被美国政府禁止出口的,就像很多武器禁止出口一样,其他国家的人,想要使用这些加密算法,就像要从美国买导弹一样,是不可能的。转 机发生在1995年,这一年,加州伯克利大学的研究生Bernstein在一个叫做电子前线基金会的律师帮助下,起诉美国政府。他的主张是自由发表加密算 法,属于言论自由的一部分,从而受美国宪法第一修正案保护,史称 Bernstein v. United States。这个案子进行了4年,到1999年,美国联邦第九巡回上诉法院出了判决,依据第一修正案,判决美国政府禁止公开密码算法违宪。在这之后,各 种密码协议和开源算法才从美国流传出来,被自由使用。
电子前线基金会EFF(Electronic Frontier Foundation),创建于1990年,是一个法律援助组织,他们的使命是捍卫隐私,自由表达和公民权利。这也是一个基金会,而且是一个完全靠捐款运 作的非盈利组织。EFF创始人之一是Lotus公司创始人卡普尔,曾经是和比尔盖茨齐名的软件天才。80年代,Lotus是最大的独立软件公司,几年之后 微软才超过它。卡普尔是一个极具前瞻精神的奇才,1990年,卡普尔意识到未来技术、隐私、法律和政治的冲突,自己出资创建了EFF,后来的资助者中还有 著名的苹果联合创始人沃兹。当时,商业互联网尚未成型,可见他们前瞻性之强。关于EFF的传奇故事可以写很多篇文章,这里我们先说和OpenSSL有关的 部分。
曾经浏览器的领导者Netscape,于1995年开发了第一个SSL协议。SSLeay也在1995年完成了第一个实现,1998年SSLeay 中止开发,由社区接手。直到1999年美国政府败诉,加密技术终于可以自由流通。这才是人类隐私保护工程的历史脉络。在这个复杂的故事里 面,OpenSSL是受益者之一,也是整个故事中的一小段,界面的文章把OpenSSL开发者捧为人类隐私的捍卫者,不仅过誉,而且显得非常无知。
EFF及其创始人卡普尔,是真正的理想主义者,他们没有商业收入,自己掏钱,做这一件事做了25年之久,通过一个又一个的诉讼案和对隐私相关案件的法律援助,他们成功推动了社会进步。这才是互联网时代真正的隐私的捍卫者。
5 媒体的责任
有朋友说,写写文章,让大家捐点钱,怎么也不会有害,不应该被批评。我不这么认为。媒体传播是可以影响人群选择的。这在开源领域有先例,比 如,BSD是最正宗的UNIX继承者,但曾经的一场诉讼,让BSD应用广泛程度至今不及Linux,媒体在这个过程中起了相当重要的作用。直到今天,谈起 开源软件,媒体都更关注Linux,质量更可靠的BSD缺少关注,从而影响了人们的选择。界面文章中说“如果一个开源项目在商业世界获得了成功,那决不会 是出于侥幸,决不会是因为其它竞争者恰好被规章制度所累、被知识产权法约束”,BSD的历史正好是一个反例。(“决不会”此处错字为界面原文引用)
所以,界面这篇文章的影响是很负面的。我在前面指出了不少他们在整体认知上的错误,其他的小错和不合理之处更是多的说不完。比如,界面的文章说“有 了锤子科技的那笔捐款”OpenSSL的开发者在德国Linux会议期间才终于有机会见了一次面。文章中有一张OpenSSL开发者的合影和人名,就算这 些人你之前完全不知道,现在立刻Google一下就知道,这些人里面有Debian开发者,也有Google全职员工,这些人都不是OpenSSL付薪 的,就凭这张照片,说大企业一分钱没出过也实在说不过去。再说OpenSSL开发者大部分在英国和欧洲,从伦敦飞德国法兰克福,往返机票也就300美元, 硬要说这些有工作,有正常收入的工程师连300美金机票都要等这笔捐款,未免太过夸张。
我想问问界面编辑部,你们认为这篇文章到底是不是软文。如果作者是在写付费软文,那么是职业道德问题,如果没收费,而是作者出于对罗永浩的崇拜写了 一篇软文,那么是公器私用,也是职业道德问题,如果作者没收费又不是公器私用,仍然写出了一篇如此软,错误如此多的文章,那不仅仅是职业道德问题,还是能 力问题。界面网络的编审流程看起来也不那么靠谱,让这么一篇文章发表出来,还四处推广,恐怕编审团队没做什么背景调查,甚至都没去搜索点相关文章读读。另 外,整篇文章连一个观点相反的平衡意见都没有,完全是单方面的观点阐述,这也违背了平衡报道准则。一篇好的报道,应该兼顾各方意见,给读者展示各种观点, 提供多方面信息,界面没能做到这一点。
互联网的安全,不取决于一个特定的软件,即使这个软件是用来加密的。发现“心脏出血”漏洞的Google员工Mehta说过,libjpeg如果出 问题,可能会有极大影响。libjpeg用来生成和显示大部分网站和软件的图片,被普通人用到的范围比OpenSSL更广,威胁也会更严重。当人们被媒体 把关注转向OpenSSL上时,大量更重要的问题就会缺少关注。希望能有更多人关注更多的基础项目,而不是和汶川地震一样,盯着看各大企业谁给 OpenSSL捐款更多。一年了,炒作也应该结束了。
界面的这篇文章对华为、诺基亚,Google这样出钱出力,没自我炒作的厂商不公平,对于其他开源组织也不公平。界面是一家有正规编审流程的机构, 严谨程度还不如我这种完全靠个人爱好写作的非专业人员,虽然不严谨,但他们的煽情技巧确实是出色而专业的,这篇文章被很多人称为精彩,这令人失望,也非常 遗憾。
————————————————————————————————
如果界面这样水平的文章,也可以赚钱,我一直免费写文章简直是对自己不尊重。因此,按照他们的逻辑,如果您觉得我这几个月的文章挺值得一看,想对我 的写作工程给予一点点支持,请在微信中长按,或者扫描以下二维码捐助我。我比界面鼓动的方式靠谱一点,每次捐助我10块钱就行了。非常感谢。
编者注:
数天前界面“长篇”栏目刊发了实习生记者李鱼的作品《隐形战友》,以非虚构写作方式记述了一项旨在保护人类隐私权的开源密码库项目——OpenSSL背后的故事,引发了国内互联网技术界的许多反响,也引起一些争议。著名程序员,独立科技博客作者霍炬通过个人微信公众号“歪理邪说”特意撰文,表达了对界面此文的不同看法,并从专业角度做了认真探讨。
界面编辑部非常感谢霍炬先生的撰文,也希望界面用户能藉此对互联网安全和加密领域有更多关注和了解。对于这个领域的关注,一篇文章远远不够,我们非常欢迎用户提供更多专业的意见和视角。当然,我们依然为实习生记者本次的表现点赞。
年后,界面将会鼓励各个领域的专业用户来参与界面稿件的制作,霍炬先生本人也会在三月底来界面跟采编见面,以后在相关报道领域提供帮助。
我们取得了霍炬先生的同意授权之后,全文转载他的这篇文章如下:
前几天,在朋友圈看到转来的原发于“界面”关于OpenSSL和开源项目的“隐形战友”一文。开始觉得不过是炒冷饭,“心脏出血”这个 OpenSSL严重漏洞,从去年(2014)4月初被公众知道,到现在已有将近一年了,这件事已经算告一段落。尽管这篇文章充满了误解、硬伤和企业宣传, 我也没太在意。结果,今天看到界面的网站上竟然还在用支付宝给OpenSSL募捐,这就荒唐了。之前有一些朋友说,无论怎么样,多一些关注总是好的,从现 在的结果看,界面的文章造成的坏影响更大,这篇文章扭曲了开源社区的本来状况,对其他组织和企业也不公平。开源软件、安全、隐私确实是大部分普通用户不了 解的领域,但记者要写一篇文章,总应该对历史有个基本了解。
界面网络的创始人何力先生,曾经创建了经济观察报和第一财经,都是不错的媒体,再次创业界面,也备受关注。可惜界面这篇文章,给我带来的失望比较 大。更好笑的是,当年罗永浩对战王自如的时候,罗粉说王自如的公司是雷军投资的,所以王自如一定是倾向小米的。而今天,界面,这个小米参与投资的媒体,登 了一篇锤子的软文。这两者之间对比,实在让人哭笑不得。
我想聊聊开源软件的模式和OpenSSL存在的问题,以及到底谁在捍卫我们的隐私,这些都是界面的文章弄错的地方。我也会写到在“心脏出血“这个漏洞从发现到公布的过程中,惊心动魄和争分夺秒的故事,这个过程暴露出OpenSSL严重的管理问题,先从开源说起。
1 开源是一种商业模式
界面一文,把OpenSSL描述成没有捐款就没法生存的组织,但开源组织并不是这样,开源和免费一样,是一种商业模式,他们之间有诸多不同,但有一 个基本的相同点,就是都希望尽量多的人免费使用它。大家已经免费使用了很多互联网服务,对于免费模式应该非常理解,我们从未给Google付款,从未为我 们每一次搜索买单。但我们搜索的行为,我们的注意力、数据,都会变成Google的广告收入。我们每一次使用Google搜索,都是在帮助Google赚 钱,尽管没直接付钱给他们。
开源软件也是如此。开源软件的世界是激烈竞争的,任何一个组织,都可以从当前代码分支一份继续开发新的版本,这个行为叫做Fork。一个开源组织要 想生存下去,最重要的基础就是普遍被使用,不然很快就会被竞争者替代。一个软件被普遍被使用之后,就会因此衍生出相关服务,团队可以通过这些服务获得比较 好的收入,商业模式就成型了。最著名的例子应该算是Red Hat Linux,中文叫做红帽,他们免费提供Linux发行版,企业可以通过付费订阅获得技术支持,他们收入相当不错,现在已经是一家市值100多亿美金的上 市公司。
OpenSSL采用的也是同样的开源和服务收费的方式运转,OpenSSL基金会的负责人Steve说他们最多一年有将近100万美金的商业咨询项 目(资金来源是美国国防部和美国国土安全部),这已经是相当不错的状况。开源软件的全职工作人员都不会太多,大部分项目的核心贡献者同时也都会承担商业性 项目,这是很正常的情况。在开源社区中,像Linux创始人Linus这样全职为开源项目工作的程序员,反而不是普遍现象,Linus得以这么做,一方面 是Linux基金会财力丰厚,另外一方面也是因为Linux衍生项目太多,影响力也太大,Linus本身又是精神领袖,他不得不全职为Linux工作。同 时从事商业服务和开源项目,并不是界面那篇文章描述的那么悲情。
再来个例子,最好的开源UNIX操作系统FreeBSD,其核心开发者Poul-Henning Kamp(社区内叫他phk)到今天仍然承担商业性项目。即使从1994年到现在,他的一直在FreeBSD代码贡献的排行榜上排第一,也仍然不是 FreeBSD基金会的全职员工,他对自己的描述是“自雇”。phk在自己主页上公开了最近正在做的一个商业项目,报酬每月3000美金。以 OpenSSL的项目规模,有一个全职开发者已经是相当不错的状况了。
为什么有这么多人会放弃传统的卖软件的方式,转向免费软件和开源软件?除了个人兴趣和理想之外,开源软件是一个成熟可靠的商业模式,这个商业模式有 自己的收入方式和生态。界面这篇文章极力制造普通互联网用户对于OpenSSL的愧疚感,指责普通用户从来没付钱给他们,这种一种道德绑架。任何一个用 户,只要在使用OpenSSL,就是在帮助这个组织获得市场份额,在竞争中获得更大优势,无论有没有直接捐款给他们,用户都已经做出了贡献。
2 为什么OpenSSL之前只能收到很少捐款?——基金会、捐赠和募资
虽然开源组织可以通过商业服务来让自己生存的不错,但是一般也都很愿意接受捐款。有足够的捐款,可以少做一些商业项目,把精力往开源软件方面倾斜一 些,这当然是好事。大部分软件和IT企业,每年都有不小的一笔钱用来支持开源项目们,同时也争取自己在开源社区的影响力和发言权,开源组织们每年接受的捐 款按照各自项目状况,都不算少。但为什么一年前,OpenSSL这个项目每年只能收到几千美金的捐款呢?答案很简单,因为他们从来没有搞过募捐活动。
开源组织通常会设立一个注册为非盈利机构的基金会,通过这个基金会募集资金、组织活动、推广自己的开源产品,视项目情况给专职或者兼职开发者付报 酬,其中募集资金是基金会相当重要的工作。如果经常使用维基百科的用户,应该会有印象。维基百科每年都有一个固定时段,会在网站上放置非常明显的筹资通 告,设定好本年度预算目标,让大家捐款。达到数额之后,捐款就停止,不再接受更多。几乎所有开源组织,都会通过这种方式募集捐赠。
OpenSSL基金会从来没公开募集过资金,如果没有捐款目标,没公开募捐,就很难有成批的捐款进入,毕竟,需要资金的项目实在太多了。对于 OpenSSL这种项目,募资相当容易,他们只需公开发一份筹款通知,各大企业的钱就可以立刻到手。当“心脏出血”发生之后,诸多企业惊讶的不是只有一个 全职开发者这件事,而是,为什么你们一直没筹款。OpenSSL从来没公布过自己的财务状况,没有设置过募款目标,这让人们如何去捐款给他?
更有意思的是,OpenSSL基金会并没有注册为非盈利机构,而是一个盈利性企业。捐助OpenSSL的人和企业无法从美国政府获得减税。按照他们 自己的说法,是他们没有时间维护一个非盈利组织,这不是个好理由。对于一个开源项目,注册一个非盈利组织比注册公司难不了多少,再说,基金会之所以成立, 不就是为了去做这些事吗?盈利性企业已经定义了他们是希望靠商业活动获得收入,而不是靠捐款生存。捐款给盈利性企业,钱的利用率就会变低很多,按照美国税 法粗算,最多的情况下要多交出30%~40%的税,是巨大的浪费。这也解释了为什么美国企业很少捐款给OpenSSL基金会。
不过,就算如此,事情也是在快速好转的。“心脏出血”事件之后,Linux基金会在极短的时间内就成立了核心基础架构联盟(CII, Core Infrastructure Initiative),这个联盟和以往最大的区别是,他们主动挑选缺乏资金的重要开源项目进行资助,无论对方是否募款,OpenSSL是他们资助的第一 个项目。这个联盟集结了世界各国的科技企业共同出资,其中包括了Google、Amazon、Facebook、思科、富士、惠普、IBM…目前已经有了 10多家企业。其中中国企业只有一家,是华为。特别值得一提的是,除了给CII出资,华为也单独资助了OpenSSL基金会每年5万美金。可惜,界面的文 章似乎把华为忘了。参加CII联盟的企业每年出至少10万美金,按照2014年的数字,CII每年总共有170万美金基金可以使用,第一期资金主要用来资 助OpenSSL和OpenSSH,资金相当富裕。
上面这些事情都发生在去年5月,也就是“心脏出血”事件之后的一个多月时间里。无论是各大科技企业,还是Linux基金会,他们的行动都非常迅速, 这是开源世界的做事方式和效率。到去年5月,OpenSSL的资金问题就算解决了。从这个结果看,之前OpenSSL没有得到足够捐款的直接原因就是其基 金会失职。
做为对比,再看看去年OpenBSD募款的经历。OpenBSD是最关注安全的开源Unix操作系统,他们同时也是OpenSSH的维护者(看到 SS是不是觉得和加密也有关系?没错,这也是一种加密工具,只不过不是给客户用的,是给服务器管理者和程序员用的),去年的募款目标仅仅是15万加币。相 比起来,170万美金实在已经是太多了,如果CII给的钱不够让OpenSSL变好,恐怕再多的钱也不会好了。
除了直接捐钱,各大企业支持开源项目的方式还有很多,比如捐献自己员工的时间。任何一个开源项目中,都有来自各大公司工程师的贡献,这些公司给自己 员工发薪水,他们写的代码会回馈给开源项目,比起捐款,这是更直接的支持。比如去年发现“心脏出血”漏洞的工程师,是Google员工,他在上班时间全职 对OpenSSL代码做安全审计,找到了这个Bug。他确实不是OpenSSL基金会的直接雇员,但这份由Google买单的全职劳动成果是贡献给了 OpenSSL项目的,说所有大公司都没支持过这个项目,未免太不公平。而这种错误言论,正是界面文章宣传的论调,按照这篇文章的说法,一个中国小公司救 了全世界互联网用户,这是何等荒唐。
说到这里,再说说捐款问题。我非常反对界面渲染的这种捐款情绪,这是利用人们的愧疚捐款。钱是非常宝贵的资源,需要用钱的地方太多了,正确的捐款是 在捐款者对项目的充分了解后,基于对其价值观和方向认同,按照自己的愿望进行长期而小额的固定捐助。在这个过程中,税务问题也是必须要考虑的,这直接决定 了资金利用率,比如美国税务居民,捐赠给OpenSSL,资金的利用率就很低,而捐款给CII再由他们资助OpenSSL,就可以得到一部分免税,利用率 高了很多,如果是加拿大税务居民,想对操作系统方面的项目捐款,应该首选OpenBSD,因为它是加拿大注册的非盈利组织。捐款是一个非常理性的行为,隐 藏部分信息,利用人们对开源项目的不了解,煽情,制造愧疚感,这是不可持续的,也是不公平的,这些都是界面的文章和之后的运营所做的事情。
3 OpenSSL的问题和未来
界面的文章中说基层程序员批评他们的代码“令人作呕”,实际上,说这句话的人是Theo de Raadt,是OpenBSD项目的创始人,他可不是“基层程序员”,而是操作系统领域最好的计算机科学家之一。OpenBSD开发者们并没止步于批评, 而是立刻决定从当前OpenSSL版本创建一个叫做LibreSSL的独立项目,从清理OpenSSL的代码重新开始。他们在第一周就删除了9万多行代 码,OpenSSL整个项目只有38万行,相当于删减了近1/4的代码。可见Theo的批评并不是顺口胡说。几年来,OpenSSL出过各种漏洞,在“心 脏出血”之后,仍然有隐藏了10年以上的漏洞被发现,很多熟悉这个项目的人看法都是“除了重写别无办法”。
OpenBSD有一份文档说明了他们在清理过程中遇到的问题,去掉其中的技术细节,我把主要观点列在这里,这些也基本是业内主流看法:
OpenSSL的代码混乱不堪,难以阅读。开源软件一般通过让更多人看到代码来发现bug,如果代码难以阅读,这个办法就失效了。
他们使用了大量自己的代码封装和编程风格,这些代码有的有bug,有的不符合现代主流做法。这让常见的检测工具没法应用于他们的项目,更难以发现Bug。
他们的开发者更关心增加功能,而不是维护和修补。
其他开发者提供的修改和贡献,一般不会被合并到最终代码里。
很多用户指出的Bug,包括一些相当严重的,公开放在追踪系统里面长达几年,没被修补。
其中存留了大量无用的旧代码,比如给windows 2000之前的16位系统写的兼容代码,仍然包含在最新版本的OpenSSL中。
基于以上原因,OpenBSD认为这个项目已经没法维护了,必须要重新开始。这就是他们创建一个分支,从清理代码这种基础工作开始的原因。可见,这 个项目根本不是钱的问题,而是管理方式和社区文化有问题。比起来其他项目,他们在有一个全职开发者和一个全职基金会主席的情况下还能响应如此缓慢,实在更 令人沮丧。顺便说一句,做清理代码这件事的OpenBSD开发者,也不是全职工作,他还在这份文档前面特别注明了“可以被雇佣”。一年之后的今 天,LibreSSL已经基本算可用了,除了清理和改变了原有代码风格,他们也增加了一些更先进的特性,看起来很有前途。另外,这个项目也很需要捐款,如 果更认同他们的做法,可以捐款给他们。
除此之外,OpenSSL公布“心脏出血”漏洞的过程也非常有问题。一般出现严重漏洞的流程,是先不对公众公布,立即通知主流操作系统维护者和相关 厂商,让大家先修改,之后一起发布安全公告和升级。之所以这样做,是因为如果操作系统不去打补丁,很多普通用户知道漏洞也没办法修补,反而让黑客们更容易 利用这些漏洞。OpenSSL不是这么做的,在Google告知了他们漏洞之后,OpenSSL没有告知任何一家操作系统厂商,反而奇怪的被几家主要 CDN厂商知道了,也就是说,在不知道哪个环节发生了泄密。之后开源社区中开始有关于这个重大Bug的传言,直到这个时候,几大操作系统仍然没得到正式通 知。又过了3天,OpenSSL才告知了Red Hat,当天,参与处理这件事的一位Red Hat员工在一个私密邮件组里面把这个消息分享给了SuSE/Debian/FreeBSD等几个重要操作系统相关负责人。多亏了他,因为此时 OpenSSL仍然表示没有任何细节提供,这是加州湾区的太平洋时间4月6日晚上,从Red Hat得到具体细节的几大操作系统,连夜开始忙着打补丁,到这个时候,Red Hat提供的消息是OpenSSL将在9号,也就是3天之后公开这个漏洞。可惜,转天,4月7日一大早,OpenSSL就直接发布了公告,媒体们知道了, 全世界都知道了。如果没有Red Hat提前放的消息,最后的影响恐怕还会大的多,就算如此,因为时差的原因(Red Hat那位员工在印度),很多在他夜里睡觉之后的邮件没来得及回复,仍然有很多厂商没能提前得知细节。关键厂商对于如此重大的漏洞比媒体知道消息还晚,近 年来恐怕这是第一次。这造成了不少损失,比如加拿大国税局CRA在漏洞被公开之后发现数据被盗,此时已经来不及打补丁了,所以干脆直接把电子报税系统关掉 了,当时是4月9号,加拿大2014年的报税截至日期是4月30日,正是电子报税系统最繁忙的日子,其间的尴尬可想而知。整个过程的时间线,在 theage的一篇文章有完整记载,我列在最后,供参考。
针对这个反常的流程,社区中有不少阴谋论的看法,我不转述这些看法,我只是想说,这是另外一个证据证明OpenSSL有严重的管理问题,而不是钱的问题,人们说他们把事情做的一团混乱绝对不是没理由的指责。
另外,OpenSSL并不是凭空出现的项目,而是继承了另一个项目SSLeay的代码。在SSLeay的开发者去RSA公司工作,不能继续这个开源 项目之后,有好几个项目继承了它的代码继续开发,OpenSSL只是其中比较成功的一个。维基百科上列出了SSL库的实现,包括OpenSSL,现在还在 使用的也有10多个,其中开源的占了将近一半。
这也是我不赞成吹捧OpenSSL的原因,历史的选择往往存在偶然,具体到SSL软件上,就更复杂,这是混合了技术,商业,历史,政治复杂因素之后的偶然结果。现在OpenSSL暂时有最多的用户,以后则未必会如此,我相信,早晚会有一个新的替代者出现。
4 谁是真正的人类隐私捍卫者?——电子前线基金会的故事
界面这篇文章认为OpenSSL是人类隐私的捍卫者,事实上,OpenSSL只是同类加密软件中的一个,他们当不起隐私捍卫者这个头衔。今天,我们可以不知不觉获得加密软件的保护,背后有一些曲折的故事,那是真正的隐私捍卫者的故事。
曾经,加密技术是被美国政府禁止出口的,就像很多武器禁止出口一样,其他国家的人,想要使用这些加密算法,就像要从美国买导弹一样,是不可能的。转 机发生在1995年,这一年,加州伯克利大学的研究生Bernstein在一个叫做电子前线基金会的律师帮助下,起诉美国政府。他的主张是自由发表加密算 法,属于言论自由的一部分,从而受美国宪法第一修正案保护,史称 Bernstein v. United States。这个案子进行了4年,到1999年,美国联邦第九巡回上诉法院出了判决,依据第一修正案,判决美国政府禁止公开密码算法违宪。在这之后,各 种密码协议和开源算法才从美国流传出来,被自由使用。
电子前线基金会EFF(Electronic Frontier Foundation),创建于1990年,是一个法律援助组织,他们的使命是捍卫隐私,自由表达和公民权利。这也是一个基金会,而且是一个完全靠捐款运 作的非盈利组织。EFF创始人之一是Lotus公司创始人卡普尔,曾经是和比尔盖茨齐名的软件天才。80年代,Lotus是最大的独立软件公司,几年之后 微软才超过它。卡普尔是一个极具前瞻精神的奇才,1990年,卡普尔意识到未来技术、隐私、法律和政治的冲突,自己出资创建了EFF,后来的资助者中还有 著名的苹果联合创始人沃兹。当时,商业互联网尚未成型,可见他们前瞻性之强。关于EFF的传奇故事可以写很多篇文章,这里我们先说和OpenSSL有关的 部分。
曾经浏览器的领导者Netscape,于1995年开发了第一个SSL协议。SSLeay也在1995年完成了第一个实现,1998年SSLeay 中止开发,由社区接手。直到1999年美国政府败诉,加密技术终于可以自由流通。这才是人类隐私保护工程的历史脉络。在这个复杂的故事里 面,OpenSSL是受益者之一,也是整个故事中的一小段,界面的文章把OpenSSL开发者捧为人类隐私的捍卫者,不仅过誉,而且显得非常无知。
EFF及其创始人卡普尔,是真正的理想主义者,他们没有商业收入,自己掏钱,做这一件事做了25年之久,通过一个又一个的诉讼案和对隐私相关案件的法律援助,他们成功推动了社会进步。这才是互联网时代真正的隐私的捍卫者。
5 媒体的责任
有朋友说,写写文章,让大家捐点钱,怎么也不会有害,不应该被批评。我不这么认为。媒体传播是可以影响人群选择的。这在开源领域有先例,比 如,BSD是最正宗的UNIX继承者,但曾经的一场诉讼,让BSD应用广泛程度至今不及Linux,媒体在这个过程中起了相当重要的作用。直到今天,谈起 开源软件,媒体都更关注Linux,质量更可靠的BSD缺少关注,从而影响了人们的选择。界面文章中说“如果一个开源项目在商业世界获得了成功,那决不会 是出于侥幸,决不会是因为其它竞争者恰好被规章制度所累、被知识产权法约束”,BSD的历史正好是一个反例。(“决不会”此处错字为界面原文引用)
所以,界面这篇文章的影响是很负面的。我在前面指出了不少他们在整体认知上的错误,其他的小错和不合理之处更是多的说不完。比如,界面的文章说“有 了锤子科技的那笔捐款”OpenSSL的开发者在德国Linux会议期间才终于有机会见了一次面。文章中有一张OpenSSL开发者的合影和人名,就算这 些人你之前完全不知道,现在立刻Google一下就知道,这些人里面有Debian开发者,也有Google全职员工,这些人都不是OpenSSL付薪 的,就凭这张照片,说大企业一分钱没出过也实在说不过去。再说OpenSSL开发者大部分在英国和欧洲,从伦敦飞德国法兰克福,往返机票也就300美元, 硬要说这些有工作,有正常收入的工程师连300美金机票都要等这笔捐款,未免太过夸张。
我想问问界面编辑部,你们认为这篇文章到底是不是软文。如果作者是在写付费软文,那么是职业道德问题,如果没收费,而是作者出于对罗永浩的崇拜写了 一篇软文,那么是公器私用,也是职业道德问题,如果作者没收费又不是公器私用,仍然写出了一篇如此软,错误如此多的文章,那不仅仅是职业道德问题,还是能 力问题。界面网络的编审流程看起来也不那么靠谱,让这么一篇文章发表出来,还四处推广,恐怕编审团队没做什么背景调查,甚至都没去搜索点相关文章读读。另 外,整篇文章连一个观点相反的平衡意见都没有,完全是单方面的观点阐述,这也违背了平衡报道准则。一篇好的报道,应该兼顾各方意见,给读者展示各种观点, 提供多方面信息,界面没能做到这一点。
互联网的安全,不取决于一个特定的软件,即使这个软件是用来加密的。发现“心脏出血”漏洞的Google员工Mehta说过,libjpeg如果出 问题,可能会有极大影响。libjpeg用来生成和显示大部分网站和软件的图片,被普通人用到的范围比OpenSSL更广,威胁也会更严重。当人们被媒体 把关注转向OpenSSL上时,大量更重要的问题就会缺少关注。希望能有更多人关注更多的基础项目,而不是和汶川地震一样,盯着看各大企业谁给 OpenSSL捐款更多。一年了,炒作也应该结束了。
界面的这篇文章对华为、诺基亚,Google这样出钱出力,没自我炒作的厂商不公平,对于其他开源组织也不公平。界面是一家有正规编审流程的机构, 严谨程度还不如我这种完全靠个人爱好写作的非专业人员,虽然不严谨,但他们的煽情技巧确实是出色而专业的,这篇文章被很多人称为精彩,这令人失望,也非常 遗憾。
————————————————————————————————
如果界面这样水平的文章,也可以赚钱,我一直免费写文章简直是对自己不尊重。因此,按照他们的逻辑,如果您觉得我这几个月的文章挺值得一看,想对我 的写作工程给予一点点支持,请在微信中长按,或者扫描以下二维码捐助我。我比界面鼓动的方式靠谱一点,每次捐助我10块钱就行了。非常感谢。
2015年2月5日星期四
成功男士的正装基本标配
1.一件100支以上的纯羊毛牛角扣麻衬西装(深色)
2. 三件120支以上纯棉普通袖衬衫或亚麻衬衫
3. 一条素色及一条佩利斯螺旋纹的7 fold 全真丝领带。
4. 一条纯白亚麻口袋巾
5. 小牛皮皮鞋,牛津鞋及乐福鞋各一双。
6. 至少925银贵金属袖扣一对
7. 一件珠母扣的法袖衬衫。
8、一件花呢sprots jacket及一条浅色法兰绒裤子
9.纯棉蓝黑色袜子四双。
10.防雨风衣(米黄色)一件。
(以上仅为衣鞋部分,不包括配饰)
2. 三件120支以上纯棉普通袖衬衫或亚麻衬衫
3. 一条素色及一条佩利斯螺旋纹的7 fold 全真丝领带。
4. 一条纯白亚麻口袋巾
5. 小牛皮皮鞋,牛津鞋及乐福鞋各一双。
6. 至少925银贵金属袖扣一对
7. 一件珠母扣的法袖衬衫。
8、一件花呢sprots jacket及一条浅色法兰绒裤子
9.纯棉蓝黑色袜子四双。
10.防雨风衣(米黄色)一件。
(以上仅为衣鞋部分,不包括配饰)
最具性价比的男性品牌
对于刚入社会2-5年的男性而言,以下男性品牌会是比较有性价比的选择,并兼俱一定的品质感(注意,仅代表个人意见,而且并非基础类选择,所以并不是最便宜):
正装类西装衬衫:brooks brothers。(淘宝代购价300-900左右)
休闲服装类: Massimo Dutti(淘宝有相当多的原单,去找吧,原单你懂的)
男鞋: Allen Edmonds Loake1880 ,以及最亲民的是church‘s(后者500多就可以搞定了)
表类:Glashütte(入门款3万多,不错的100机芯5万多可以)
旅行箱:新秀丽(淘宝代购1000多元)
眼镜框:Lindberg(淘宝)
领带只要是全桑蚕丝的即可,钱包小牛皮即可,袜子深色纯棉长到踝即可,不必讲究品牌。
如果本地没有,请求助万能的淘宝,目前仿品还不算多。
必需要声明的是,我从来没有建议大家去按这些标准配成一套,只是列举了一些我个人觉得性价比不错的选择,它们真的没有你们想象中那样贵,你不一定要买手表或者眼镜,但你至少可以有两件说得过去的衬衫。
不要为了便宜,去尝试凡客诚品或G2000之类的衣物,他们用似是而非的衣服理论,会引导你们在错误的路上越走越远。
我的建议一直是,与其你买3-5件凡客诚品,你花出去的价钱早够买一件BB了。
男人的衣服不需要多,正装衬衫3件OK,袜子5双OK,以上的配置,除了表,差不多也就1万块搞定了,真的很贵么?一只IPAD+IPHONE也要这么多了。
基础款男士品牌推荐
前面写了一个性价比男士品牌推荐,有知友反应说价格还是太高,于是我再列一个基础款男士品牌推荐。
请注意的是,这些品牌只能说符合基本品质,并不能说有多好,只是在价格方面比较有优势。至少做到基本对,而不是徒具外形。
正装类衬衫:玛莎玛索(120支长绒以上),蓝豹,仕族也可以看看(价格200-500)
休闲服装类: ZARA,banana republic,优衣库一类。(价格200-500)
西服类:蓝豹
正 装鞋 Allen Edmonds Loake1880 ,以及最亲民的是church‘s(真的没有再便宜的了,男人正装鞋一双就够了,就1000多块钱,同志们,还是花出去吧,先看鞋再看人啊,别在这上面省 了,至少要是手工 welted的就是缝的底而不是胶粘底的)
非正装鞋:rockport(比ECCO便宜,跑跳休闲很舒服)
表类:nomos(德国机械表,10000内搞定)
旅行箱:美旅(300-800)
以上不含表基础配置一套5000内搞定。
不要说凡客的G2000的看起来也不错,为什么不选呢,具体太多原则没法一一解释,但大约可以从百度知道和知乎的区别上去理解一下。
男鞋:扔掉胶粘,拥抱固特异
来想去做正事的,但是私信要求写写正装男鞋的知友挺多,想想还是写一点吧。
首先声明,我是女人,所以我对男鞋的穿着感受一概来自家人朋友的转述 ,如有差异,敬请原谅。
另外,在这讨论的不完全是入门级别。
以下是正文
————————————————————————
以前我在专栏中稍稍提及过,正装男鞋不能买太便宜的,至少也要1000多起(好吧,这还是淘宝海淘价),原因是大多数低于这个价格的鞋,都不耐穿。
一 双鞋,或者说奢侈品的鞋,要卖得那么贵,至少要满足几个条件:皮质好,耐穿,工艺好,穿着舒适。至于款型如何,那倒是仁者见仁,智者见智。买一双几千块钱 的鞋,穿着不舒服,只能贡着,有什么意思呢?我也见过身边诸多女友买打完折还1000多的莱尔斯丹百丽一类,最多也就是一年就报销了。所以,我对皮鞋的基 础要求就是,质量好。所以,很多时尚大牌的鞋我是不会去买的,比如GUCCILV之类,无非卖个价格高,外型炫而已。
我要的,是一双日常能穿,必要时又能见人的好鞋。
1\ 先说皮质:小牛皮,是一双好鞋皮质的基本要求, 还要注意小牛皮分非修面和修面两种,所谓修面,就是通过各种工艺把牛皮上有瑕疵的地方修掉(抛光等技术),最后再压上花纹,这种牛皮肯定要比天然小牛皮来 得便宜。Church's,EA有些低端鞋,就是采用的这种,所以相对价格亲民。而其余大牌鞋子则不会采用修面小牛皮。
比小牛皮更好的皮质还有小羊皮,鳄鱼皮一类,在这就不一一详述了。
2\再说制鞋工艺
必需要清楚的是,现在市成上的皮鞋,一般分为胶粘工艺, 内缝工艺,沿条缝技术 固特异缝法 和挪威缝法四种鞋底处理技术。
最差的就是胶粘鞋,把鞋帮、内底、外底用胶粘在一起就完了,适应工业化生产,缺点是硬,板,然后时间长一定会脱胶。
大部分中端的品牌鞋采用的是内缝工艺,就是用缝纫线将鞋帮和鞋底及其他连接部件直接缝合在一起,再配合胶粘。比纯胶粘的鞋要耐穿一点,但是外底还是会脱胶,而且鞋底不美观
高端鞋,就是我们说的什么DUNHILL一类的低端,用一种叫做沿边缝线的工艺,把内缝更好的藏起来。
以上就是我说的三种普通鞋的示意图。
再接下来,就要进入好鞋的范筹了,那么就是固特异缝法goodyear welted,它是目前鞋类中最高级的缝制方法。
简 单来说,严格的固特异鞋应当有七层,皮鞋,鞋面、内底、垫层作为一个整体,中间还有软木浆层,再通过沿边条与大底固定,各主要部件相互独立,更换简单。为 什么我们以前看英国电影,很多人都说,我的鞋坏了要去换个掌,就是指这种鞋,因为鞋底是一双鞋最容易磨损的地方,而固特异鞋是的底是可以轻松更换的,所以 英国很多老牌鞋真的是可以穿十年——正规的老牌鞋店,都提供换底服务
固特异鞋分层介绍
1. 鞋垫 insole cover --也称鞋内底。覆盖在中底上的软皮层,直接和脚接触。
2. 鞋中底 insole --位于鞋内底之下,采用牛皮材料,起到增加鞋底结构稳固性的作用。
3. 鞋外底 outsole --鞋底直接接触地面的部分,通常用厚牛皮制成,除了有增强耐磨,更重要是能起到很好的透气排汉功能。
4. 延条 welt --这是固特异工艺的重要部位。通过将鞋面、鞋内底及鞋外底连接起来,起到了对整个鞋结构的有效支撑。鞋履经长时间穿着不易变形,同时也增加了鞋面与鞋底 结合的牢固度,同时增强了鞋底磨损后的可修复性,采用延条缝制结构工艺的鞋子,基本上都是可以更换鞋底的。
5. 软木填充层 cork filling --在鞋底中空区域设置的软木填充层。当穿着者行走时可以起到弹性与稳定的作用;同时具备吸湿排汗的功能。
6. 鞋跟heel --由若干层硬牛皮后跟叠加而成;并加入一些功能型的垫高插片;在后跟位置,采用耐磨的橡胶片,减缓鞋跟的磨损。
7. 弹簧片 shank spring --一般使用弹性好的钢片材质制成,放置在足弓位置的中底和延条层之间的中空层,行走时起到了缓冲的作用。
2. 鞋中底 insole --位于鞋内底之下,采用牛皮材料,起到增加鞋底结构稳固性的作用。
3. 鞋外底 outsole --鞋底直接接触地面的部分,通常用厚牛皮制成,除了有增强耐磨,更重要是能起到很好的透气排汉功能。
4. 延条 welt --这是固特异工艺的重要部位。通过将鞋面、鞋内底及鞋外底连接起来,起到了对整个鞋结构的有效支撑。鞋履经长时间穿着不易变形,同时也增加了鞋面与鞋底 结合的牢固度,同时增强了鞋底磨损后的可修复性,采用延条缝制结构工艺的鞋子,基本上都是可以更换鞋底的。
5. 软木填充层 cork filling --在鞋底中空区域设置的软木填充层。当穿着者行走时可以起到弹性与稳定的作用;同时具备吸湿排汗的功能。
6. 鞋跟heel --由若干层硬牛皮后跟叠加而成;并加入一些功能型的垫高插片;在后跟位置,采用耐磨的橡胶片,减缓鞋跟的磨损。
7. 弹簧片 shank spring --一般使用弹性好的钢片材质制成,放置在足弓位置的中底和延条层之间的中空层,行走时起到了缓冲的作用。
OK,看了这张图,不用说,你也会知道这样的鞋穿起来会很舒服,缓冲大,弹性足,透气,更重要的是不怕脱胶。除非你去走山路,能把一双固特异鞋穿脱胶的可能性很小。因为工艺复杂,所以,人家卖你一千多一双,并不算没良心。
一双固特异鞋,只能在沿边的地方看到细小的缝线。
怕看不清楚,就了颜色明显对比的一张
很多大牌做了假固特异的处理,看起来象固特异,但实际还是沿边缝和胶粘。其实沿边缝也不算不牢固,但是因为层数少,所以换底不能,穿起来舒适度也较低,只能称为伪固特异。
还有一种与固特异齐名的缝法,叫挪威缝,现在一般很少采用,它的特点就是缝线比固特异的更密,多层,象辫子一样,通常搭配厚底,鞋身会重,这原来是适合北欧泥泞里穿的一种鞋工艺。下面是挪威缝
一双好鞋,特别是正装鞋,至少要进了固特异的水准,才能叫好。而国内常见的名牌鞋,红蜻蜓之类不说,你要能从GEOX,暇步士之类的鞋中挑出一双固特异,那真是难上加难。这就是为什么我推荐鞋的时候,很少谈到国内能买到的品牌的原因。
入 门的固特异鞋,有之前我讲过的 Church's,Allen Edmonds算是开始走入高端的门槛。至于Testoni Ferragamo 之类,要分不同的系列,个人感觉,就性价比而言,不如Church's,Allen Edmonds这些。到LOBB, Berluti这些级别,当然很好,但是感觉过于修饰化,不太适合日用生活。
其他很多知名服饰品牌做的鞋子,如PRADA,BOSS什么的,老实说,人家以前就做衣服的,皮鞋真的做得不是很专业,要买,还是买专做皮具的吧。
国内要买 Church's,Allen Edmonds着实不便宜,最好亲身去买,没条件出国的同学还是推荐网购,Welcome to Shoehealer www.shoebuy.com http://shop.nordstrom.com/
都可以看看,等打折会便宜,但打折的款,一般是款型上比较老的款,二者不可兼得。
淘宝上也有一些老款的鞋在卖,大家可以去搜搜。
另外,鉴于大家的要求,推荐一款淘宝上在卖的正装入门固特异品牌,这是个日本的鞋品牌,以前在地铁商场里看到,只能说摸到了高档鞋的边,做到了中规中矩,最高的马臀皮水平接近AE的入门款,但是价格还行吧。要选的话,等双十一那种时候打大折,要买日本原产的那种更好些。
本人发毒誓和此品牌此厂家没有任何的亲戚或经济关联,更不是托 ,其实我本来是不想推荐任何淘宝店一类的。
好的品位从足下开始——好吧,这是广告语,但实际想想,为什么我一个女性要去钻这些男装鞋的细节呢?其实不外乎想它耐穿点,懒得陪某人去逛商店,另外合算点,别被那些图有其表的顶级大牌迷花了眼,如此而已。
噢,忘了说了,如果你真开始买,别买纯黑的,深棕浅棕是优选,黑皮鞋在社交语言中相对嫩稚,黑皮鞋黑西装加白衬衫再配条窄黑领带,一看就是不谙事世。当然,故意耍帅的除外。
明儿有时间就开始写皮带了。
做个文质彬彬的流氓
这是今天在群里一起聊The Official Preppy Handbook时想到的一些点滴。
正装大约是让许多男生爱恨交错的东西,因为不穿,不足以显正式和成熟,穿了,又多半会乏味和让人嘲笑。当然,同样的迷惑也存在于女生身上,套裙不穿,终觉得以显得专业,穿了,又觉得自己好象老了十岁,看看同龄妹子淘宝衫小清新穿得不亦乐乎,难免有点上不来下不去。
可是,你必需知道,目前,整个社会关于时尚或礼仪的审美观,仍然是偏欧美化的。纵使我也喜欢中国元素,但现在,它仍然不足以是主流。如果你想让自己尽快的
“精英”化,提前摸准一些穿着法则,是很必要的。
“精英”化,提前摸准一些穿着法则,是很必要的。
要点其实也很简单,用西装,风衣,衬衫为基点,哪怕是休闲,也是如此。这其实就是一种dress code,能够让人显示有约束力,内敛,但又不乏活力。事实上,早有数据统计过,自二战结束后五十年来,男性的”上流“装束一直基本没有改变,都是西装,衬衫,加外套,而且颜色也出奇的统一:黑白灰,海军蓝,棕呢色,所以,男人要想俏,请往西装靠。所谓”西装是正式场合“的想法,其实是错误的,"西装“只是一个大类,有正式的SUIT,也有非正式的SPORTS JACKET,用后面,一样可以穿出很让人心动的休闲味,试想想梁朝伟不穿皮西装,还有无间道么。
没错,精英的衣服,就是BORING的,但正因为BORING,才可以让厌烦穿衣的中国男性们迅速掌握其法则。与其在杰克琼斯优衣库一类的店里,面对一大堆潮品无从选择胡乱搭配,不如化繁为简,先从最简单的西装类穿起,很快就能掌握穿衣心得。
很多人喜欢看《半泽直树》, 但如果雅人叔不穿西装,估计精英分数就要打低许多。
对 于不喜欢日式正装装束的人来说,我推荐大家多看看Dolce&Gabbana的海报,从中间找到灵感。它家是绝对是正装与休闲结合——很巧妙的拿 中了意式服装的精华,用西装,黑色等正式元素搭配活力元素,穿出文质彬彬的流氓气息,这就是很HIGH的休闲感了——而且配合各种场合——特别声 明,D&G是他的副牌,风格往往有很大的差距。好在现在两个已经合并了。
记住,复古是你永远不败的好武器,这一点请想想教父。教父3拍摄的背景是70年代末80年代初的美国,但请想想,那里面出现了多少大众所熟知的T恤和牛仔裤?——教父3的风格大家都有数,以下两个大家都很熟的年轻人的打扮,是当时美国的70末80初的典型。
最初当然要插播一下Diesel那经典的牛仔裤广告——完全是个人恶趣味,与正题无关,只要是要告诉大家,正装和休闲MIX一下,那效果刚刚的。
接下来进入Dolce&Gabbana时间
这是我最喜欢的海报之一,一丝不露的黑色才是性感。
之二,这才叫老少皆宜,活色生香。老人的衬衫西裤,女人的开衫和红裙
之三,注意看他们的鞋子唷。这要这一点不同就够了。
之四,意式的小资产阶级全家情趣,看看颜色,看看裙长,看看配色,看看包。
之四,意式的小资产阶级全家情趣,看看颜色,看看裙长,看看配色,看看包。
好了,上点其他
这够休闲了吧,海滩装束,不看女,只看男。如果你是大背心加大短裤,嗯 ,别问为什么没有回头率和艳遇。女生们,这种大草帽已经是去普吉岛标配了。
为毛乔治克鲁尼总是那么讨女人喜欢兼桃花不断,因为他该死的99%的时候都忘不了西装和衬衫。
一个胖乎乎圆滚滚的男人要怎么从大街上路过都认不出,变身休闲味精英男呢?答案很简单,还是一件正式点的衬衫,当然,头发上还得抓点发泥。——如果你身上没有足够的肌肉,能准确凸显你小肚子的圆领宽松T恤真是让女生退避三舍的必器。
订阅:
博文 (Atom)