昨天看到圈内的计算机学家的王垠前辈老师的一篇文章，科学和伪科学，看标题好像这类话题被谈得太多，细品之后才发现是一篇难得的良心神文，思路严谨，难得有这样的爱国人士。于是，立刻打印下来，准备阅读10遍以上，作为教科书来赏析，同时摘录文中的一些经典语句。

文中也为被15年前创立“伪科学”名词的某位生物学博士所炮轰的中医正名。那位生物学博士，后来推广转基因，才渐渐被更多国人看清楚他的(一言堂的)真面目。这里重点是，恰恰是他这些年所炮轰的目标，大部分都不是所谓的“伪科学”。而且，更可怕的是很多国人，尤其是大学生在追随这一股潮流，很多未知的领域都称为“伪科学”。

在这股潮流下，似乎一切都要用科学、伪科学来区别对待。2007年的《双虎一席一谈》，有一期是对一个学术问题进行讨论，正好当时这位到处走场的生物学博士也有参与。也邀请了几位中科院的院士，讨论到最后，大家对什么是科学，还是没有明确的定义。

科学，其实就是一个专业领域的研究。

《科学和伪科学》一文一针见血地指出，“谁是科学，谁是伪科学，谁说了算呢？谁有权谁说了算，权威说了算……
有些做法（比如中医，针灸），中国人祖祖辈辈实践了几千年，很多人亲身经历，直接感受，切实有效，却忽然被科学界叫做‘伪科学’……
今天的‘科学’已经不再是伽利略时代的科学，它成为了实质意义上的宗教神权，它可以给任何异教徒扣上‘伪科学’的帽子。”

人们眼中的科学
我最近在一些博文里，写作的过程中，发现现在中国的科学，实质就是现代版的儒家文化、独尊儒术。哪怕是学习国外的技术，用不了多久很快又渗透儒家文化在里面。在中国，学历代表着权威。多少人内卷、焊窗苦读，最终是为了什么，大家也知道。有多少人是真的立志要为祖国做贡献、造福人类？大多不过是摆拍，或者为了完成任务而写的立志美文。

大多都是为了学历，年薪，有出息，最终还是为商业服务的。这和古代的科举，没有多少分别。
但是走向社会后，由于国内总体生产力的原因，月薪上万的人，屈指可数，没有太好的岗位。

生活中总是有人要用“相信科学”来和别人辩论，以声明自己是科学的。在说出这四个字的时候，其实恰恰大多是不太去研究科学的。他们眼中的科学，其实是当前有限的认知，仅此而已。

中国人尤其喜欢“科学”。因为电视每分每秒，都在和你谈科学。电视里的这些科学，其实大多是现代版的儒家文化。能播什么节目，都是有严格的审批。(佛家、道家的文化和技术，却不怎么提及，几乎是失传状态。)

科学、不科学，其实本身就是一个激烈的对立。因此，在很多时候没有太大必要去指出什么是科学的，什么是不科学的(甚至称为伪科学)，因为容易以偏概全、一刀切。

爱迪生在经历了几千次的试验，才成功研制了电灯。难道可以说他之前所用的材料，都是不科学的吗？

哥伦布发现了新大陆，当时旁边有人说：“切，我也能发现”。这些人，都是不尊重别人探索付出的劳动，马后炮，说风凉话。轻易说别人不科学、伪科学，往往也是在不尊重别人付出的劳动。

因此，科学，是一个漫长的试验、调试的过程。在经历了无数的有效、无效的测试之后，最终能得出哪些是有效的。

根据亚里斯多德的著作，科学，实质上也可以理解为是技术、经验的融合。

科学，本身是用来为生活服务的，而不能成为攫取别人利益的武器。

科学为商业服务的弊病
现代的科学技术，大多是为商业服务。造成的结果是技术保密，人类生产力总体提升极为缓慢。
各行各业都是如此，也包括医学，请细品(深思)。

由此会产生很多的内幕、潜规则。

《科学和伪科学》一文的启示
此文给我的启示是，暂时可以套用到这几年突然流行的计算机领域的https。因为到目前为止，还没有哪一个人能全面剖析http如何不安全，https如何安全。

借用《科学和伪科学》一文里的一句让人突然如梦初醒的话：“你会发现世界原来是如此地安全，却被某些居心不良的人渲染得如此危险。”

https仅用这几点，就可以看出它的存在是有(不良的)商业意图的：

1. 有人敢卖，就会有人敢前赴后继地买。所以，商业版的SSL在世界各地，一定会成为主流，会一年比一年受欢迎，且价格十分昂贵，超过服务器数倍。

2. 不允许使用自签名SSL，而必须使用第三方SSL。给钱就能安装，这实质就是保护费。

3. SSL并非新鲜事物，在2004年时，就有Verisign的带“√”的认证，那时候就已经有SSL。为什么这几年突然火爆起来了呢？因为营销点。居心不良的浏览器，用“http不安全”制造口粮级刚需。

4. https并非加速，150ms以上的服务器，影响速度很明显。这一点说明套用https，并不是成功的。

5. 以隐私的名义进行恐吓式营销。除了银行帐号和密码、支付密码、住址，在网络上的其它信息都不会影响一个人的安全。

网上社交当然需要发布一定的信息。

而现在使用https的绝大多数网页，都是不需要Cookies登录，直接就能看到的信息。Cookies登录，指的是一些论坛上需要登录，才能看到的内容，这些是真正的隐私内容。

所以，用https访问不需要Cookies的非隐私页，其实还是非隐私访问方式，因为运营商能够查到你的所有访问地址(也包括https实体地址)。

但因为每个人每天访问的网络地址、内部协议地址是极为海量的，运营商去查阅这些是要耗费相当大的精力的，也可能懒得记录。

所以，在隐私方面，https和http几乎没有区别。

https的加密传输，对这种隐私究竟有没有意义呢？对Cookies登录的隐私页，有一些作用。但是，http同样可以自定义加密，实现https的效果。

6. web的密码登录页，https会稍微好一点，但是区别很小，因为在传输中很难拦截(再顶尖的黑(隔开)客都很难做到)，这主要和浏览器有关，是浏览器要做的工作。如果开发者怕不安全，开发时可以把<input>表单做成发送前就加密。

登录页用https，只是一个心理安慰的作用。

这些密码安全，除了浏览器的责任，更多地也是web站点自身要做好加密手段，比如现在很多支付安全级别高的支付宝、微信，等等，换设备需要手机短信验证，能极大地提高安全级别。

web站点自身有了这些加密手段，即使是在一台有很多病毒的电脑上，也不会造成安全问题。

现在很多的杀毒软件，实际上也是一种心理安慰。确实能防止很多的已知病毒，但是有很多病毒、木(隔开)马、后(隔开)门，都是不可能查出来的，因为那些代码本身都是正规的程序，这在无数年的以后都是这个规律。手机上的程序是否安全，也是同理。

所以，密码安全，最终还是靠web站点自身的加密手段。https、杀毒软件，都起不了实质的作用。因此，在密码安全方面，https和http几乎没有多少区别。