主题：黑客与许霆 -- yhz

这个在实际取证中是非常困难的，根源就是数字信号的完全可复制性和模拟性。所以，虽然理论上都会有这个要求，但是实际上几乎没有这么操作的。

例如说QQ虽然也有那种要求，但是实际上无论从珊蝴虫之类的修改版到eva或者pidgin之类的完全重写版本，伪造客户端这种行为，根本就无从防范，腾讯只能做的，也就是频繁的升级自己的协议版本，来打时间差了。

当然，ATM机那类的和硬件捆绑的客户端容易防范。不过从软硬件等价的原理来看，要完全模拟一个ATM机，从理论上不是不可能的。

这点不用多说，几乎所有的攻击操作，都是在“服务商允许的操作范围内操作”的，即使不是，也是从这里开始的。

道理很简单：如果不是“服务商允许的操作范围内操作”，那么一开始，系统就会拒绝你的请求和操作，那你又如何进行下一步的攻击呢？

这点在理论上也不是有太多的可操作性。

特别是部署在公网中的服务系统来说，这些链路的安全性，从技术上几乎不可能得到完全的保证，包括ssl之类的也是这样。

所以，从系统安全的角度来说，没有任何一种技术和措施可以保证绝对的安全，唯有加强管理和内部执行条例来大到目的。

再举一个例子：

我们现在的银行卡密码，基本上都是只接受6位10进制数（至少中国的是这样），学过基本的软件安全的都知道，只有10^6次的枚举对于现在的硬件运算速度来说，顶多就是几分钟的事情。所以，要保证客户的密码不外泄，从技术的角度来看是几乎不可能的，只有通过管理等办法来保证这个。

所以，安全防范的措施多少及严密与否，取决于其重要性、被攻击的风险及后果，还有对于潜在攻击者所拥有和愿意为此付出的资源。