话说 Debian 系的 /bin/sh 是默认链接到 dash 的，多么有远见... ╱/( ◕‿‿◕ )\╲

@VYSE SQL 注入这个确实是程序自己的责任。
大部分 SQL Server 都提供类似 prepared statements 的机制，程序自己不用，非要使用未验证的用户输入来拼 SQL 字符串……

不知道

在「系统偏好设置」－「听写和语音」里面安装并选择一个其它语言的作为系统嗓音，系统就能读这个语言的文字了。但是没法做到识别文本的语言并自动选用这个语言的嗓音来朗读。

img src=xxx.svg 是可以用的啊，Github 上面常见的各种 badge image 服务，如 travis ci 的，想支持 Retina 的话，最方便的方法就是提供 svg 版的图片了。

被苹果发现的话你这个开发者账号就没了……

@mengzhuo
稍微正常一点的服务，即使用 root 的话也是做一些设置之后就 drop root 权限、切换到普通权限用户的。

我的机器上，没有 dhclient 和 smbd。（再说 dhclient 又不会从网络获取什么环境变量，更不用说 shell 了）。

ps aux | grep root 能看到的，可能会受影响的，也就是 nginx 而已。但是 nginx 也只是 master process 是用 root 跑的，它没有监听任何端口；监听端口、提供 HTTP service 的那些子进程，都是用 www-data 用户跑的。

没看到和 root 权限相关的说明。

CGI 暂且不提（反正多年没用过 CGI 了），
我的本地和远程机器的登录 shell 都是 fish shell，

---- 本地 ----

1) env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
显示果然有漏洞

2) env x='() { :;}; echo vulnerable' fish -c "echo this is a test"
没触发漏洞

3) env x='() { :;}; echo vulnerable' zsh -c "echo this is a test"
没触发漏洞

4) set -x x '() { :;}; echo vulnerable' # 相当于 bash 的 export x=...
bash -c "echo this is a test"
触发漏洞

---- ssh ----
5) set -x x '() { :;}; echo vulnerable'
ssh 到远程机器之后执行：bash -c "echo this is a test"
没见漏洞（这是自然的，因为远程机器 sshd 配置里面 AcceptEnv 只允许了 LANG LC_*）

6) 那么试试 set -x LANG '() { :;}; echo vulnerable' # 这里｀包括之后每次执行一条命令都会有警告 locale 不对
再 ssh 到远程机器，看了下，LANG 没传递过去……
那么执行：bash -c "echo this is a test"
很自然地还是没见漏洞

7) 再试 set -x TERM '() { :;}; echo vulnerable'
ssh 到远程机器，远程 fish shell 提示：Could not set up terminal
然后连接断开

PS: 同第六步，设置 LANG 之后，ssh 到另一台登录 shell 为 bash 的机器上，LANG 依然是没传递过去
同第七步，设置 TERM，然后 ssh 到另一台登录 shell 为 bash 的机器上，终于成功触发了漏洞

谁说 gist 不支持 markdown 的，你把扩展名改成 md 试试。

苹果这文档里面的 AirPort 实用工具是什么版本的，怎么从来没见过……
看 UI 样式，像是 10.8 之前的系统……

@haker 如果之前用过的话，Apple ID 就已经有风险了……

还是按 zieglar 说的，到 https://reportaproblem.apple.com 撤销对这个应用的购买吧。

所以我就换用 fish shell 了……

配置文件在这里，很少，也很快 https://github.com/dorentus/.fish

缺点是 fish script 的语法一点也不兼容 bash

UTC+0 时区也只是人为设定的，和其它 UTC+X 的又没有区别。

既然北京时间现在也没有夏令时，那我自然会选择都使用我现在所在地的 UTC+8 时区了。

我一般用同样是 UTC+8 的 Asia/Hongkong。
因为简称是 HKT，一看便知是哪里的。相反地北京时间的简称 CST 除了可以指中国标准时间外，还可以是北美的 Central Standard Time、澳洲的 Central Standard Time，以及 Cuba Standard Time……

1) OS X 自带 ruby（当然，也自带其他的如 perl、python等；不过很多 Linux 发行版默认按照是只有 perl、python 而没 ruby 的）。
2) Ruby 社区的人用 OS X 的很多……
3) Ruby 社区解决问题的时候比较倾向于构造 DSL 玩，而 brew 的 recipe、pod 的 spec，刚好很适合用 DSL 来搞。
4) 这两个工具都大量利用了 Github 提供的服务，而 Github 上面 ruby 的项目一向很活跃，Github 自身也是用 rails 搭建的。

@SkYoung “使用时”就是这个版本新加的。我猜是这样：新提交的 app，不需要在后台跑的，就应该申请这个“使用时”的权限。但是那些没更新的 app，或者 iOS 8 之前系统上运行的 app，获取的就是“总是”权限，也就是说这些 app 被切到后台的时候应该还是能获取到用户的位置信息的；在之前版本的 iOS 里面，它们在后台获取位置信息时，用户不会得到任何提示，而在 iOS 8 里面，用户开始收到提示了。

@ymonke 他说的应该是雅虎另外的一个独立发布的天气应用，在应用和通知中心里面都是显示天气外加一张来自 flickr 的当地照片。

Yahoo Weather 和 Kindle

@Cassandra 没看明白，但是觉得是和自己职业有点关系、好奇、然后就点击过去看了，大概广告投放者想要的就是这样的结果吧。到底效果如何就不清楚了…


@linKnowEasy Adblock 应该也可以，不过估计需要手动写 CSS selector 来匹配。