百科问答小站 logo
百科问答小站 font logo



脉脉声明「未向第三方提供发帖用户信息」,但拼多多还是拿到了员工过往发帖内容,脉脉的匿名区真的安全吗? 第1页

  

user avatar   yi-zhi-zhu-ding-lou 网友的相关建议: 
      

会相信脉脉匿名区安全的人:要么不是程序员,要么是外宾。


user avatar   yang-leonier 网友的相关建议: 
      

当然不安全,首先前后台同时匿名在境内是违反《网安法》的。然后,从技术上来看,彻底的匿名会导致大量功能无法实现,比如用户不能看到自己以往的发言、删除或编辑自己的发言只能用一个每次发帖都随机生成的密钥等等(参照某些日系匿名版常用的文件上传器)。

现在真正玩前后台同时匿名的估计就国外的老式日系匿名版,比如日本的5ch、美国的4channel了。而且,两者都会有一个用户ID,5ch是前台显示的,根据用户的IP地址、发帖日期、发帖所在的版而变化; 而4channel的用户ID则不会在前台显示,而且只对同一个讨论串有效,但它是和浏览器的Cookie有关的。对最终用户来说,它唯一的作用就是是用来显示回帖号后面的(You)标志。


这种匿名版在用惯国内高度成熟的互联网的用户眼里,简直和“阴间”一样。但是上面却有不少极有价值的灰色内容,比如去年的任天堂源码大泄露、Windows XP/2003源码泄露,都是源自4channel。


当然,匿名版的匿名是在远端匿名,全程匿名需要整个链路的每一环都匿名。你自己使用的网络出口上可能有流量监控,自己的电脑或者手机上可能有网络管理软件,你使用的手机卡和家宽是实名的,这些都会使得匿名形同虚设。

然而,就算是在真正前、后台都匿名的的匿名版上,使用相对来说安全的网络环境,通过隐藏自身IP地址的形式发帖,仍然可以通过帖文中无意或有意透露的个人信息、行文与用词风格等来特定个人。不过这就属于社会工程学、侦探等行业的范围了。

像脉脉的匿名,后台是实名,前台会显示全站唯一、由用户登录名生成的ID。这样的匿名意义不大,只要有一篇帖文被认为可能是某个人的,就可以上下文分析找出这个人其他的发帖,然后可供推理出此人真实身份的证据就直接呈数量级增长。


user avatar   morgancheng 网友的相关建议: 
      

当过架构师的人来告诉你:怎么可能真的匿名呢!

从技术上来说,要想实现真正绝对的匿名,最起码一点,就是服务器端根本就不要记录一条信息是谁发的,服务器都彻底失忆,当然不可能泄露出一点点发帖人信息,但是——有关部门要求你的服务不能失忆。

一个产品对外宣传匿名,但是不能对有关部门说我的用户真的匿名,要是某人发表反动言论,你还对有关部门说,对不起我查不到是谁,你这不是找死吗?你这平台还能开的下去吗?

张三说川普是只猴,平台就必须记录下来,『张三』说过『川普是只猴』,有关部门来问『谁敢说川普是只猴』,你就要把张三供出去。

所以,现实一点,平台是绝对要记录下来谁说了什么话,甚至谁点了什么的赞都要全部记录下来,只不过不要给普通用户看到这些记录就好了......真的就好了吗?

如果平台真的达到『匿名』效果,不只是说一条消息的作者打上马赛克就完了。

『XX说川普是只猴』,张三的名字看不见了,这就够了吗?

这些平台有时候犯一个致命错误,就是虽然作者给马赛克了,作者的ID也不是真实的ID,但是作者发过的所有匿名消息,都用同一个ID,这可就出大问题了,最后稍微分析一下从服务器端获得的信息,就能够对得上谁说了什么。

XX (id:9527):川普是只猴

XX (id:1234):你在某夕夕上班?

XX (id:9527):是又怎样?

XX (id:1234):为啥说川普是只猴?

XX (id:9527):拜登也是只猴

你看,虽然作者名字都加上了马赛克,但是每个用户暴露出来的ID都是一致的,单个信息看不出啥,但是这些信息串起来,虽然不知道他是张三,但是可以知道,有一个id为9527的用户,他在某夕夕上班,他不光说川普是只猴,他还说拜登也是只猴。

就是这么一个简单的追溯方法,你说过的话都可以串起来。

对于平台来说,可以做的一个改进,就是每一个消息的作者ID都是不同的,即使是同一个作者,也不要暴露一样的作者ID,或者干脆就不要暴露任何作者ID,在现有法规框架下,能做得也就是这个了。

当然,更重要的,还要把自己的数据库给捂紧了,别人要是能够把你的数据库当鬼子司令部一样,想来就来想走就走,啥都别说了,用户的任何匿名隐私全都没有。

——————更新分割线——————

经过大家讨论,发现其实不光是根据ID来对比,还可以网络日志和客户端访问记录对比。

如果员工用公司的WiFi访问某平台,那么所有的访问记录公司都有,再根据平台上暴露出来的消息发布时间,做一个对比,就知道员工什么时间说了什么话。

如果你觉得上面的方法并不是100%准确,如果你觉得不用WiFi只用4G就好,呵呵,人家早就想到了,要求员工安装一个应用,获得最大权限,就能够获得用户所有操作记录,包括其他应用的网络请求记录,包括手机设备唯一号......然后,某些平台又傻呵呵地把用户发帖时的手机设别唯一号暴露出来......如此一来,只要对比一下时间和手机设备唯一号,你还跑的掉吗?


user avatar   sywx 网友的相关建议: 
      

防民之口甚于防川。

拼多多可能觉得无所谓,你算哪门子川啊,格老子才是川。铁打的。


user avatar   wang-long-long-60-45 网友的相关建议: 
      

蹭个热点。。。

作为一个勉强合格的运营,昨天对拼多多删用户图片问题进行了研究。

发现了,以下2种情况,可以复现BUG(但是每一种都有解决方法,质疑pdd技术能力。。。



不安全!!不安全!!不安全

太长不看版:

①每个人在不同帖子里面发言时候,gossip_uid是一样的。

②也就是说,公司可以爬虫穷举所有脉脉中帖子链接,找到某个用户在下面的全部回复内容。


详细步骤版本:

一、前提声明

本人不是技术,只是运营,一下内容只是步骤,具体技术细节不要较真。

二、步骤:

①复制脉脉APP中帖子链接

②用谷歌浏览器打开

③F12,进入调试模式

③network--XHR

④刷新页面

⑤可以获取 response下面明文信息

复制response信息到word(技术可以做处理,处理成表格形式)

可以看到每条回复都有一个gossip_uid


最重要的来了!!!!

每个人在所有帖子中,gossip_uid都是唯一且相同的


因此:公司可以爬虫穷举所有脉脉中帖子链接,找到某个用户在下面的全部回复内容。


大家可以找自己在脉脉回复一些内容进行测试,亲测一样!!!


user avatar   pansz 网友的相关建议: 
      

这个问题透着一股邪乎味儿,怎么看怎么危险啊……

建议专业机构给予支援。




  

相关话题

  如何看待最近网上很火的「年纪轻轻工资就达到了 3200」? 
  济南警方对阿里女员工被侵害事件调查取证,济南华联称涉事员工停职接受调查,如果查实将承担哪些责任? 
  哪一瞬间让你觉得情商高真的很重要? 
  国美处罚上班「摸鱼」员工,公布看视频、听歌 APP 及流量,这种做法合理吗?是否侵犯员工个人隐私? 
  如何管理“自以为是”的员工? 
  如何看待拼多多创始人黄峥卸任 CEO? 
  为何在知乎比在豆瓣更易获得关注? 
  美团亏了 108 亿,是不是快不行了? 
  霍尊与前女友陈露纠纷一事已于 8 月报案,还有哪些细节值得关注? 
  知乎内容被今日头条抄袭但提示「投诉失败」怎么办? 

前一个讨论
如何看待网传拼多多员工因转发"发布救护车被开除"的员工所发的帖子而被开除,是否真实?
下一个讨论
最近上海楼市很火爆,群里有房的朋友都说涨,没房的朋友都看空。到底上海房价走势如何?





© 2024-11-08 - tinynew.org. All Rights Reserved.
© 2024-11-08 - tinynew.org. 保留所有权利