关于对品葱缓存页面安全性的质疑,管理们可以解释一下吗?
技术白痴懦夫斯基“碰巧”推动了品葱一个不起眼的改动
在某站刚建立的头几个月,大家对于上网安全有一条基本共识:绝对不要裸奔,一律用Tor访问某站。但是这条上网安全的社区共识在某位自称“技术白痴”的用户出现之后,逐渐地被彻底改变了。
我对这位“技术白痴”最初的印象非常好,因为她对信息战和水军操纵手法方面很有见地。于是,我经常在处理这类问题的时候以admin的身份@她。虽然她对我的态度在我退出之后的几个月里,经历了180度的转变,从最初一段时间的尊敬到现在如今经常在我“看不到的角落”完全否认我对其曾经的提携,并带头发起不理睬运动,甚至引用「半灌水歪理邪说」理论攻击我是跟踪狂。通过种种人格抹黑,试图吓退到其他网友访问我建的网站。
以上旧事旨在阐述本文的利益相关,本文对此人的质疑必然受到这些往事的影响。
“技术白痴”要求对外链加层隔离
在我退出某站之前,这位“技术白痴”向某站提出了一条建议,要求对站外链接一律加风险提示,防止网友被钓鱼。当时也有包括我在内的网友指出,这种提示对改善安全性毫无帮助,正确做法应该鼓励大家都通过Tor Browser访问,因为网友并不知道这些外链到底有什么风险,该点的还是会点,该中招的还是会中招。
但是,某站还是采纳了这样一条有争议的建议,最初的实现方式是加了一个弹出风险提示框,用户点一次确认按钮才能访问外链,这样是防止用户手滑点了本来不想点的情况。
这位自称“技术白痴”的人又好像比鹿儿这种真正的技术白痴,更懂一点技术。
外链弹出警告变成了独一无二的缓冲页面
这事发生在小二和我退出之后的某个时间。如今,点击某站正文中外链,一律会先打开一个缓冲页面。这个缓冲页面有一个独一无二的网址
https:///url/link/aHR0cHM6Ly93d3cuYmJjb2RlLm9yZy9yZWZlcmVuY2UucGhw
其内容则是一条免责声明
以下链接与本站无关, 请谨慎访问
https://www.bbcode.org/reference.php
在技术层面,这个缓冲页面跟页面内利用JS弹出提示框有什么区别呢?
JS弹出框完全是在你的浏览器内部执行,不会跟网站服务器发生关系。也就是说,虽然页面提示了你,但网站服务器是不知道你点了页面内的哪些外部链接的。
从用户的角度看,缓冲页面跟JS提示框的功能差不多,但从技术的角度,打开这种缓冲页面会在网站服务器的日志里留下一条记录,这样就为网站在后台搜集记录跟踪用户的动作,提供了机会。
最坏的情况下,该网站可以利用服务器日志获取用户在访问网站时点了哪些外部链接,从而挖掘用户的兴趣等。最好的情况,该网站的日志被定期删除,不被用来搜集和跟踪用户行为。作为用户,网站是一个黑箱,你永远不知道网站服务器内发生了什么。但是,从保护自身安全的角度,用户当然应该对黑箱作最坏的假设。
心理攻势
通过上述一系列的操作,某站为普通用户创造了一种安全的心理暗示。某站如今涉及讨论和普及Tor的帖子已变得无人问津——反正又不记录IP不记录访问历史,且有公开的源代码证明,大家用Tor还有什么必要呢?简直是多此一举。
某站最初鼓励带Tor的氛围,在其建立一年后,已经消融于无形。
“技术白痴”在这种氛围的转变中,起到了什么作用呢?碰巧她的建议一开始就是要增加那些直连裸奔用户的心理安全感,对真正改善他们的安全处境毫无帮助。每个外链都弹出一个提示窗口,除了作为网站免责声明以外,有什么用呢?第一次见到这个网址 https://www.bbcode.org/reference.php 你知道这个网页有恶意代码吗?这样的措施,只会让用户放松警惕,觉得裸奔和带Tor区别不大。然而,裸奔直连的危险在于,网络上每一个环节都知道你访问了某个链接。
站在正常人的角度,推动这个改动的人还真是一个不折不扣的“白痴”。但是如果从另外一个角度看,她可真是一位不折不扣的“天才”。
偶然在reddit上看到这篇文章,因为无法确认,个人也并不想故意捣乱或者引起其他葱油的恐慌,所以发水区这里问了,请问缓冲页面的安全性真的有保障吗?
ps:可以顺便回答一下怎么艾特别人吗?
在某站刚建立的头几个月,大家对于上网安全有一条基本共识:绝对不要裸奔,一律用Tor访问某站。但是这条上网安全的社区共识在某位自称“技术白痴”的用户出现之后,逐渐地被彻底改变了。
我对这位“技术白痴”最初的印象非常好,因为她对信息战和水军操纵手法方面很有见地。于是,我经常在处理这类问题的时候以admin的身份@她。虽然她对我的态度在我退出之后的几个月里,经历了180度的转变,从最初一段时间的尊敬到现在如今经常在我“看不到的角落”完全否认我对其曾经的提携,并带头发起不理睬运动,甚至引用「半灌水歪理邪说」理论攻击我是跟踪狂。通过种种人格抹黑,试图吓退到其他网友访问我建的网站。
以上旧事旨在阐述本文的利益相关,本文对此人的质疑必然受到这些往事的影响。
“技术白痴”要求对外链加层隔离
在我退出某站之前,这位“技术白痴”向某站提出了一条建议,要求对站外链接一律加风险提示,防止网友被钓鱼。当时也有包括我在内的网友指出,这种提示对改善安全性毫无帮助,正确做法应该鼓励大家都通过Tor Browser访问,因为网友并不知道这些外链到底有什么风险,该点的还是会点,该中招的还是会中招。
但是,某站还是采纳了这样一条有争议的建议,最初的实现方式是加了一个弹出风险提示框,用户点一次确认按钮才能访问外链,这样是防止用户手滑点了本来不想点的情况。
这位自称“技术白痴”的人又好像比鹿儿这种真正的技术白痴,更懂一点技术。
外链弹出警告变成了独一无二的缓冲页面
这事发生在小二和我退出之后的某个时间。如今,点击某站正文中外链,一律会先打开一个缓冲页面。这个缓冲页面有一个独一无二的网址
https:///url/link/aHR0cHM6Ly93d3cuYmJjb2RlLm9yZy9yZWZlcmVuY2UucGhw
其内容则是一条免责声明
以下链接与本站无关, 请谨慎访问
https://www.bbcode.org/reference.php
在技术层面,这个缓冲页面跟页面内利用JS弹出提示框有什么区别呢?
JS弹出框完全是在你的浏览器内部执行,不会跟网站服务器发生关系。也就是说,虽然页面提示了你,但网站服务器是不知道你点了页面内的哪些外部链接的。
从用户的角度看,缓冲页面跟JS提示框的功能差不多,但从技术的角度,打开这种缓冲页面会在网站服务器的日志里留下一条记录,这样就为网站在后台搜集记录跟踪用户的动作,提供了机会。
最坏的情况下,该网站可以利用服务器日志获取用户在访问网站时点了哪些外部链接,从而挖掘用户的兴趣等。最好的情况,该网站的日志被定期删除,不被用来搜集和跟踪用户行为。作为用户,网站是一个黑箱,你永远不知道网站服务器内发生了什么。但是,从保护自身安全的角度,用户当然应该对黑箱作最坏的假设。
心理攻势
通过上述一系列的操作,某站为普通用户创造了一种安全的心理暗示。某站如今涉及讨论和普及Tor的帖子已变得无人问津——反正又不记录IP不记录访问历史,且有公开的源代码证明,大家用Tor还有什么必要呢?简直是多此一举。
某站最初鼓励带Tor的氛围,在其建立一年后,已经消融于无形。
“技术白痴”在这种氛围的转变中,起到了什么作用呢?碰巧她的建议一开始就是要增加那些直连裸奔用户的心理安全感,对真正改善他们的安全处境毫无帮助。每个外链都弹出一个提示窗口,除了作为网站免责声明以外,有什么用呢?第一次见到这个网址 https://www.bbcode.org/reference.php 你知道这个网页有恶意代码吗?这样的措施,只会让用户放松警惕,觉得裸奔和带Tor区别不大。然而,裸奔直连的危险在于,网络上每一个环节都知道你访问了某个链接。
站在正常人的角度,推动这个改动的人还真是一个不折不扣的“白痴”。但是如果从另外一个角度看,她可真是一位不折不扣的“天才”。
偶然在reddit上看到这篇文章,因为无法确认,个人也并不想故意捣乱或者引起其他葱油的恐慌,所以发水区这里问了,请问缓冲页面的安全性真的有保障吗?
ps:可以顺便回答一下怎么艾特别人吗?
URL跳转代码在这里:
开源的代码不记录点击链接历史。
品葱服务器上运行的代码是和GitHub同步的,因此不存在服务器运行一套和开源代码不同的情况。只有部分前端功能(投诉、hCaptcha验证码、屏蔽等)没有在GitHub上开源,但也都能在网页源代码中找到。当然,品葱没有办法证明服务端运行的代码和GitHub开源代码一致。如果您无法信任站方,请参考新手指南,使用Tor + VPN的上网模式。
此外,是否记录IP和是否信任站方也已是老生常谈的问题,请参阅以下内容:
https://pincong.rocks/question/item_id-103673
https://pincong.rocks/question/item_id-187282
https://pincong.rocks/question/item_id-34061
- https://github.com/pincong/pincong-wecenter/blob/master/app/url/main.php
- https://github.com/pincong/pincong-wecenter/blob/master/views/default/url/link.tpl.htm
开源的代码不记录点击链接历史。
品葱服务器上运行的代码是和GitHub同步的,因此不存在服务器运行一套和开源代码不同的情况。只有部分前端功能(投诉、hCaptcha验证码、屏蔽等)没有在GitHub上开源,但也都能在网页源代码中找到。当然,品葱没有办法证明服务端运行的代码和GitHub开源代码一致。如果您无法信任站方,请参考新手指南,使用Tor + VPN的上网模式。
此外,是否记录IP和是否信任站方也已是老生常谈的问题,请参阅以下内容:
https://pincong.rocks/question/item_id-103673
https://pincong.rocks/question/item_id-187282
https://pincong.rocks/question/item_id-34061
虽然俺完全不懂web。但是逻辑上俺觉得这个做法的确不够避嫌。也如他所说用户并不能确信服务器上真正运行的代码一定是开源的那份。承认事实还是有必要的。
毕竟新品葱成立之初就准备好被橄榄后的转世,各位也不会只上新品葱一个网站,尽管窝佬绝对信任站长,但是在安全芝士上较真一点也没坏处。
确实可以做出这个效果,毕竟请求的页面服务器当然可以记录下来。
发过雄文【流量跟踪码是什么,有什么危害,是否等同于钓鱼】的BE4,如此渲染这个危险,俺也的确是还在蒙古里。
俺反对BE4所说的跟踪码无害,俺局的即使只是进行这种程度的用户分析,对于一个异议者社区也不大合适,BE4就是党国的探子也不必说楽
这个页面是为了防止外链网站发现用户是从新品葱来的。要起到这个作用,把外链全部变成文字,或者用空格断开用户打开时必须选中后右键打开。这样能防止泄露来源网站吗?
如果不可行,还可以考虑把所有网址用空格断开,必须复制粘贴到地址栏打开。
也可以考虑在所有外链上加上像【支那】这样的声明标记。
Tor+VPN对于墙内用户的确有必要。至于在新疆等敏感地区的葱油,就忍一忍暂时别翻墙吧。
毕竟新品葱成立之初就准备好被橄榄后的转世,各位也不会只上新品葱一个网站,尽管窝佬绝对信任站长,但是在安全芝士上较真一点也没坏处。
最坏的情况下,该网站可以利用服务器日志获取用户在访问网站时点了哪些外部链接,从而挖掘用户的兴趣等。
确实可以做出这个效果,毕竟请求的页面服务器当然可以记录下来。
发过雄文【流量跟踪码是什么,有什么危害,是否等同于钓鱼】的BE4,如此渲染这个危险,俺也的确是还在蒙古里。
这个页面是为了防止外链网站发现用户是从新品葱来的。要起到这个作用,把外链全部变成文字,或者用空格断开用户打开时必须选中后右键打开。这样能防止泄露来源网站吗?
如果不可行,还可以考虑把所有网址用空格断开,必须复制粘贴到地址栏打开。
也可以考虑在所有外链上加上像【支那】这样的声明标记。
Tor+VPN对于墙内用户的确有必要。至于在新疆等敏感地区的葱油,就忍一忍暂时别翻墙吧。
对不起哦,我在萌新时期,是向小二8964学习的。我给套着admin皮的BE4点过多少踩,electron8964的帖子里明白地摆着呢。
半年前的破事,女仆长都徐娘半老了,霸道总裁还不换个人追,真是个情圣。
---
编辑:为什么我正经回应你们不顶,反而顶这个吐槽……
半年前的破事,女仆长都徐娘半老了,霸道总裁还不换个人追,真是个情圣。
---
编辑:为什么我正经回应你们不顶,反而顶这个吐槽……
理论上来说,外链通过一个缓冲页面跳转,后台确实可以记录到用户访问了哪些页面,并以此跟踪用户行为。我个人相信品葱不会记录用户行为;记录用户行为既浪费资源,现阶段也无法藉此营利。
如果把外链缓冲做成一个前端功能,就可以彻底断绝跟踪用户的可能。既让不懂技术的人放心,同时也能堵住一些人的嘴。
如果把外链缓冲做成一个前端功能,就可以彻底断绝跟踪用户的可能。既让不懂技术的人放心,同时也能堵住一些人的嘴。
偶然在reddit上看到这篇文章
请给出链接。
唷,這不是BE4發在不可描述的文章嗎哈哈哈
吕妹说本文是BE4在2049发布的内容,具体链接请ta来提供。
BE4已有前科,使用多个小号,在一个墙外社区指责另一个墙外社区不安全、别有用心。此君尚在品葱时,就攻击过小站安全性,具体过程,要问亲身经历现场的目击者。
本次言论,来自新手教程第一页的前十条评论。题主可以看到,第一个建议对链接安全性做出提示的,是蒹葭苍苍。至于BE4针对我,大约是因为我确实是技术白痴,对于这样的指控,很难自证清白吧。
关于Tor,我很久之前发言的原文:
品葱后台管理员声称,品葱不记录用户IP,不记录浏览器指纹,连发帖时间都模糊化,避免流量分析。也就是说,从技术层面上,品葱是完全匿名的。能够暴露你,带来危险的,只有社会工程学。
当然了,以上有个前提,你信任品葱建设者的声明。如果你不敢信任品葱,那么使用Tor浏览器可以在技术层面上保护你的安全。
谷歌“编程随想的博客”,可以看到相关的网络安全教程。
留在舒适区,不改变自己使用网络的习惯;
保护自己的安全;
发表党国不喜欢的言论;
这三样都是你希望得到的,但是你只能选两样。
涉及到代码的问题,请问admin. 前台管理员只是品葱的用户,声望到达一定数值,解锁了封禁他人、折叠回复等功能,对品葱代码并没有任何解释权和影响力。
其实这个提问个人不是想针对某些管理进行质疑,我也不是特别关心这个,毕竟我不是管理层也没有相关利益,我最想得到的回答主要还是关于缓冲页面究竟存不存在安全隐患?
唷,這不是BE4發在不可描述的文章嗎哈哈哈
發在隔壁大可不理會,但是既然搬回來了你佬是不是得再看看哇@懦夫斯基
發在隔壁大可不理會,但是既然搬回來了你佬是不是得再看看哇@懦夫斯基