新品葱有严重安全问题

已知这个新品葱同以前的旧品葱网站不是同一管理者办的,新品葱管理员的政治思想应该是没问题的。但在网站管理上似乎是安全小白。新品葱的数据库似乎能够被外部的网站程序进行分析,应该是新品葱使用了开源软件的缘故,但管理员对这种情况似乎束手无策。前一阵子,竟然有人公开发帖分析新品葱用户的上线时间规律,根据用户上线发帖时间段分析用户的时区,甚至还分析别人每天睡几小时,有没有午睡习惯都分析出来了。这种分析类似侵犯用户隐私,绝对是带有恶意的。就算你懂一些数据处理技能,能猜出某些用户的一些情况,又何必如此八卦呢?支那一些五毛就很喜欢做这种事。

后来站长应该是将用户发帖时间做了处理,设为随机的一个时段内,而且在表面上不显示精确时间,这么处理是对的,但是后台数据库的时间是否也做了处理?这个不清楚,后台数据库的记录时间同前台显示时间一般来说是不同的,如果第三方站点的程序可以挖掘数据库时间,那么仍然是很大隐患。

第三方站点程序还可以分析数据库里的用户注册人数、统计帖子数量、调取某用户的所有帖子。这些同样是严重安全隐患,你一个论坛的数据都可以被人随意整来整去,可以说基本上这个站用户没有任何隐私可言。对安全注重的管理员来说,数据库就是一个网站的底裤,是绝对不能被任何人碰的!

对于存在这种安全漏洞的站点,可以选择以下方法来对策,

一是如果不是每天大量灌水的话,学习控制自己发帖数量,每天只发或回复一两个帖,这样对方无从根据你的发帖数据来分析。为什么发帖那么少?我逼格高啊,别人一挑逗你就跳起来,然后来来回回在网上吵嘴,显得自己很low是不是
二是或者,使用自动化脚本来执行发帖处理,你自己先拟好要回复的内容,设定好发帖时间,然后就去睡觉了。等到了设定的时间,自动化程序自动帮你把帖发出去。这种自动化程序有很多,是不难实现的。这种方法适用于发帖多的人,理想的话最后发帖时间应该是均匀分布的,无法根据数据分析出你的时区和作息习惯。
已邀请:

小二 - 神烦

麻烦以后不要总是想搞个大新闻。

第一,新品葱不收集用户的任何个人信息。所以请以后不要轻易说出



可以说基本上这个站用户没有任何隐私可言。




这种话。


第二,新品葱不仅网站源代码开源(https://github.com/pincong/pincong-wecenter),网站数据也是开放的(https://github.com/pin-cong)。这些数据只有一些用户id与帖子的信息,再怎么分析,无法关联到线下身份。之所以开放数据,也是为了一旦新品葱被毁,其他人能快速重建另一个品葱。

本来就没几个活跃用户,每天都要被吓跑好几个。真是日了dog了。
这是站务为了网站的存续有意而为之的,具体参考原帖:

https://pincong.rocks/article/98

KonaisPC - 野生自由爱好者

这是为了方便品葱三,甚至是品葱四直接使用之前数据。所以这也算是品葱备份计划的一部分吧。

1901zxc已停用 - We shall meet in the place where there is no darkness.

一個時區好幾個國家, 你來幫共黨想出一個靠時區準確定位到個人的辦法吧 : ) 研究出來下半輩子不愁吃喝
最看不惯你这种同样一个话题另外开一贴的行为,愚蠢,无知,幼稚。你根本就不知道世界是怎么运作的,你连情报分析网络安全的基本概念都没有,还不谦虚。你文中那种把问题扫到床底下掩盖起来的态度就更加愚蠢之极了!本人表示你如果不是小学生的话,就是个蠢货,如果是蠢货就不配来品葱玩。建议管理员将此贴关闭。


你用的所有网络服务,从给你宽带服务的ISP,到你常用的邮箱、社交网络都在搜集你的数据,比品葱搜集更多的数据,并且你对他们是实名的。他们掌握你生活中的一切细节。即便是他们自称会保护你的隐私,他们的数据仍然是可以被政府黑客访问的,你的行为仍然可以被分析,你的数据仍然通过合法和非法的途径被出售给第三方,只不过你不知道而已。



品葱公开代码和数据是最好的安全措施。

时区泄漏的漏洞是任何网络服务都有的,如果品葱不公开数据或者那个黑客不公开这个漏洞,那这些信息仍然有人能够分析,但是除了政府和情报机构以外都没有人会知道。如果你不知道这个漏洞就不会采取任何自我保护措施,知道之后就会约束改变自己的行为。什么都比不过主动安全意识,网络上不要期待别人来救你保护你,别人最多教给你自我保护的方法,隐私泄漏的后果你自己承担,所以决策和行动也需要你自己去做。
没有将话题另开一帖,只是发现新品葱确实是数据库能被其它程序调集分析的问题,这对一个具有基本安全常识的人来说是不可接受的。你如果说宽带ISP、常用的邮箱、社交网络都在搜集用户数据,所以不担心一个社交站点收集用户数据,那我对你这种愚痴的回答无话可说,常用邮箱和社交网络获得的数据与匿名网络的数据能相同吗?什么样的人才会蠢到常用邮箱同匿名网络混用不分?你会使用常用的邮箱发表政治敏感问题吗?你鼓吹网民不要太在意这些问题,可以看出你有想挖用户隐私的动机,,或许你就是官方的五毛或者自干五。新品葱这种自由网站的发言尺度是相当大的,我可以在这里说我想去炸中共政府,报复社会,但这种言论在普通社交网络上能发表吗?

要回复问题请先登录注册

联系我们