@choury 用迅雷下片就行了。下载生产工具还是其他工具的好。我都是 curl / wget

@aa45942 解释一下为什么必须要跳转？

@aa45942 个人觉得需要登录的链接和死链没区别。

@aa45942 回想起来一句话真是有道理。安全仿佛永远考虑的是点。考虑如何保护第一点第二点，安全攻击永远考虑的是一个 graph ，处处相连，此路不通马上换一路。很多时候人们提到：

点 A 可能被突破 -> 辟谣，我大点 A 怎么可能被突破 -> 点 A 可以以 X 猥琐技巧突破 -> X 姿势在某环境下不能突破，所以 A 是不可能突破的 -> 点 X 可以被 X+Y 姿势突破 -> 证明 X+Y 也是有缺陷的 …… 如此循环。

@aa45942 然而下载 xcode 是需要登录 cookie 的。投毒者可以抢先一步直接向正常 URL 投毒

其次，可以去外边传播类似

http://adcdownload.apple.com/xcode-installer-1.1.1.1.dmg

这种地址，勾引大家用迅雷下载。不就成功了么。

迅雷下载运营产品经理 强伊文 跟 evil_xi4oyu 吵起来了

http://weibo.com/xlyangtai

论你永远不可能叫醒一个装睡的人。都一个 URL 可以下载 2 份不同的文件了，还死不承认 URL 可以被投毒。

@aa45942 原作者也说了，正常任意 URL 都可以污染。他做这个 demo 是为了防止给别人造成麻烦才没有投毒正常的 URL

想一下也想的通，一个 URL 都可以下载出 5M 和 30M 两个版本，肯定是先后投毒出来的效果。说明任意 URL （无论存在不存在）都可以被投毒。

@sunchen getbit setbit 可以实现，但是 pfadd pfcount 不也行么。

redis 不支持 bloomfilter ，但是支持 hyperloglog ，可以当 bloomfilter 来使用。

@breeswish 这不是靠迅雷偷偷上传么。。。。

你下载的网址都会被迅雷记录，但是倒霉的迅雷会记录它第一个看到的网址。。。。。。

@squid157 投毒的啊。估计任意网址都可以被投毒。

@squid157 迅雷最新版也可以实现的。

@yexm0 所以还是相信迅雷算了？

表示我又把这文件用迅雷下载了一次，还下载成功了！

@yexm0 这脑子。。。。。。。。。。。原文件那么大一个 fake ，这文件还能存在？

要用迅雷下载才可以 [成功] 下载的好吧！

@66beta @AKQJT @Antonidas @Gandum @aisk @avastms @breeswish @dikcen @florije

来看看，投毒 demo 出来了： /t/222553

@sojingle 不开发票，很多公司不会去付那个 $19.99 的 server 版 。。。。。

LZ 一定没见过淹没在几百个 tag 里的那种无聊的感觉。

同兴趣交友其实没意思，很多人对兴趣之外的东西才感兴趣！

@yksoft1 那还能怎么下？给 IT 配一个单独的 apple developer 帐号，让他们每次下载了手工提取出 dmg ？还是直接用公司的集团 developer 帐号？