问：最近出现假的Google Doc的Google Drive应用，如果收到钓鱼电邮，打开1个Google Doc文件时，会出现1个来自谷歌的请求，要求授权Google Doc接触你的资料，一旦你批准这个请求，就很可能令你的Google Drive资料外泄，那是怎样一回事？

李建军：这次假Google Doc事件，主要是因为谷歌并无将Google Doc以及一系列的谷歌应用列为OAuth授权机制的保留字。黑客利用这个漏洞，制造1个命名为Google Doc的应用，并且四处发电邮以Google Doc名义，请求用户授权将Google Drive资料交予对方。由于OAuth授权画面确实来自谷歌，若不小心防范的用户，就会将自己资料交予对方，完全懵然不知。谷歌经调查后，已经将相关的伪冒应用关闭，并且将一系列谷歌应用列为系统保留字，应会大大减低这类钓鱼手法的风险。

但无论如何，谷歌或大部分正常的应用程式，都不会要求将你Google Drive内所有内容授权给他们阅读，如果收到古怪电邮作出类似请求，你应先拒绝相关请求，并且另发1封电邮查询一下你的朋友，到底发生甚么事。因为相信这种钓鱼手法，在未来可能有个别黑客执行当局要求他们的任务时，亦会用上类似手法，毕竟这种手法不单本小利大，而且用户要提高警觉并不容易，因为那些授权请求，确实是来自谷歌本身，大部分用户未必懂得判断当中的真伪。

问：有1个藏于微软办公室软件的保安漏洞，在去年10月发现，竟然要到上月，微软公司才推出修补程式，堵塞当中漏洞。为何微软公司要用了整整半年时间，才能够修补软件的漏洞？用户又应如何面对这种挑战？

李建军：虽然微软公司人才云集，但现代软件的内容愈来愈大，要找出个别保安漏洞背后的技术原因，并作出妥善的处理并不容易。这亦是为何开放源码软件的更新速度，以及修补保安漏洞的速度，往往比微软作业系统来得快的原因，因为开放源码有全球各地高手的支援，令整个除错过程可以动用的资源和人手，远远多于一间软件公司。这亦解释了为何愈来愈多人在浏览器上，改用开放源码群体开发的浏览器，因为浏览器在保安问题上，往往是首当其冲。

现时微软办公室软件已经是安全，只要安装微软最新的修补软件就可以，但如果仍不放心，或者因使用盗版软件而不敢更新的话，最好的方法，暂时使用谷歌办公室于浏览器上打开档案，以策万全。而如果是用Office 2016，只要订购了微软Office 365的云端服务，就会变成正版用户，现时微软的软件费用，由于可以逐月付款而变得相对便宜。因此，使用正版软件，是不失为1个保障自己安全的方案，毕竟可以经常更新软件，减少出问题的机会。

问：之前介绍过Zeronet这个翻墙软件，而近日这软件已经可以做到即开即用，到底使用有多易？

李建军：Zeronet是使用bitcoin区块链技术的翻墙软件，由于开放源码群体的努力，现时安装Zeronet无论在那一个作业系统，都变得极为容易。在这集翻墙问答，我们准备了视频，示范如何在下载后立即安装和执行Zeronet，欢迎听众浏览本台的网站，收看有关视频。因于现时Zeronet已经是高度跨平台，因此无论Windows、Mac还是Linux的下载和使用方法，都几乎完全一样，不用担心在Mac上示范，于Windows会有走样的问题。