@loading No no no. 之前看过一个微软tech talk的视频，大概在vista/7的时候，他们对内核做了一次重构，撸出个win的最小内核，只有几十M，以后所有的windows/windows phone版本都是基于这个内核的。
这也是为什么windows 10敢把目标定成一个系统跑在所有设备上的原因。

@ibolee 你这种逻辑就是有问题的。
不喜欢口头沟通并不会必然导致人变得没有趣味，并不可怕，并不会抹杀生活情趣、希望和创造力。
我们机器并不必然不如你们人类。

人的乐趣是自我满足的，不需要其他人来告诉我是有趣还是无趣。
人的恐惧是自我感受的，不需要其他人来告诉你怎样才是可怕。

去除不必要的社交压力，只会提升创造力。
口头沟通和im比起来并不高效，并且在很多时候会增加社交压力。

什么叫气氛严肃，没人说话么？
写代码不就应该安安静静的么？

人类折腾了几千年，N次工业革命，终于撸出了互联网解，决了通信基本靠吼的问题。
然后你要我当面交流？

别拿普通人的眼光来看程序员的世界。

联系support了，然后support会对你进行图灵测试。

除非传感器标配，并且提供API支持，然后才有可能，比如Leap Motion就能从网页里调用。
不然你要自己写算法？摄像头的帧率本身不足以达到实时交互，js的性能更不足以支撑复杂的CV算法，虽然理论上可以通过hacker WebGL shader来做GPU加速。
假如说某家公司投入大量人力物力做到了，前端你懂的，代码无处藏，全被别人白捡走了，没人会去干这种事的。

这几天正在撸v2ex的可视化

独立围脖和独立博客有什么本质上的区别么？
你强迫自己每篇博客不超过140字，然后theme搞得像微博，搞定，哪还需要重复造轮子。

@silverymoon 别混淆概念，我说的是实用性和外观的平衡，而不是桌面体验和移动体验的平衡，这一点请参考win7而无视win8。
Win8键鼠和触控交互混合做得很蠢这点我毫不否认，我连鼠标都不用的人，拖着我用触控？

@takato 你显然没搞清楚这个漏洞的利用途径，我伪造一次上传，在我的网盘里就会有那个文件，然后我正常的从我的网盘上把那个文件拖下来就行了。

@ZzFoo
@takato

从这个请求里看参数的含义很显而易见吧，并没什么防护措施。
URL query string里就是正常的客户端版本信息、设备id和登陆信息
Post payload里都是文件的信息：
* path 网盘上的存储路径
* content-length 文件长度
* content-md5 整个文件的md5
* slice-md5 文件里某块的md5
* content-crc32 文件的crc32

所以基本上就是伪造下客户端的登陆请求，只有payload里后4个参数是需要分享的。

@Automan 那不同，前提是你已知要碰撞的文件，然后找个hash一样的文件，而不是随便猜一个已经被用到的hash。
Anyway，之前也没理解请lz的意思。

微软的无脑黑就是多。
Win的GUI比OSX好多了，做到了实用和美观的平衡。
桌面系统早过了玩的年代，讲的就是生产力和创造价值。
华而不实的嘘头也就哄哄爱玩的小孩子而已。

简单的分析下概率就知道可行性有多低了。
文件的特征码本质上就是hash，hash空间是相当稀疏的。
以git用40位sha1编码文件对象为例，不考虑碰撞的话，整个hash空间能编码16^40=1.46*10^48个文件。
全球人口不过才7*10^9，就算每人上传一个hash完全不同的文件，也还连hash空间的零头都占不到。

想用hash碰撞到任意一个文件？除非你恰好有一份一模一样的文件，否则别想了。不过你都有一样的文件了，还碰撞神马。

Mark
之前看到NY Times英文站前端把d3.js玩得很转的样子