V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
SunSurprise
V2EX  ›  互联网

语雀的内容安全是否像宣称的那样靠谱

  •  
  •   SunSurprise · 2021-05-25 09:25:13 +08:00 · 5168 次点击
    这是一个创建于 1270 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天看到了语雀的安全条款中有这么一条: “双重加密: 所有用户生成的数据,语雀都进行了双重密钥的加密。即使语雀的开发人员,也无法看到你的内容。而即便黑客拿到了数据,也会因为无法取得密钥,而无法破解。”

    好奇这个产品的数据隐私和安全是否和它说的一样靠谱,这个所谓的双重加密,和端到端有什么区别。按照他们开发也看不到的说法,应该和端到端加密是同一级别,那么上面的私有笔记,和 joplin 在数据安全上是同一级别。

    但是阿里黑历史太多,加上特殊原因,还是比较怀疑这种说法的。希望各位解惑。

    第 1 条附言  ·  2021-05-25 10:50:52 +08:00
    这么统一的回复,看来问号都可以去掉了。要保证数据隐私,还是得靠端到端加密,其他地方只能放公共内容。
    25 条回复    2021-05-25 19:53:44 +08:00
    swulling
        1
    swulling  
       2021-05-25 09:30:41 +08:00 via iPhone   ❤️ 6
    是这样的,如果做到真正的端到端加密,那么必然违反网络安全法。

    所以要么是语雀违法了,要么就是它在吹牛。你觉得是哪种呢?
    Vegetable
        2
    Vegetable  
       2021-05-25 09:34:12 +08:00
    [即使] 就很灵性,开发人员看不到,(但是风控监管都能看到)。

    大概是这样。
    YvesX
        3
    YvesX  
       2021-05-25 09:34:36 +08:00
    可能就是密钥在自己手里的意思
    swulling
        4
    swulling  
       2021-05-25 09:34:46 +08:00 via iPhone   ❤️ 4
    直接上语雀的服务协议

    为了营造绿色、阳光、健康的网络环境,我们有权根据法律法规及监管规定,针对用户使用语雀服务的行为及生成的内容进行审查、监督,为提升审查的质量及效率,我们可能会与第三方合作共同向用户提供该等服务,您同意我们会将您在语雀服务上生成的内容提供给第三方进行审查,也同意第三方可以将审查结果反馈给我们,以便我们进行验证。

    请问都端到端加密了,还怎么审查,而且还是第三方审查
    YvesX
        5
    YvesX  
       2021-05-25 09:36:31 +08:00
    这上面倒没什么可苛责的。UGC 从来都是最敏感的,很难预测用户会拿来干嘛。
    SevnChen
        6
    SevnChen  
       2021-05-25 09:40:57 +08:00
    可能开发确实看不到内容,但是高权限风控的可以看到吧~
    lagoon
        7
    lagoon  
       2021-05-25 09:49:38 +08:00   ❤️ 1
    双重加密,和端对端加密怎么是一个东西呢?完全不是一个东西啊。

    至于说“即便黑客拿到了数据,也会因为无法取得密钥,而无法破解” ,没问题啊。前提说了,是黑客只拿到了数据,没拿到密钥。


    “语雀的开发人员,也无法看到你的内容”,也没问题啊,并没有说,除了你自己,其他人无法看到,也没有说“语雀的领导”,想看无法看到。
    Lemeng
        8
    Lemeng  
       2021-05-25 09:54:24 +08:00
    密钥类的,一般密钥在手,可能真的有那么安全吧
    没必要虚假宣传
    如果虚假宣传,容易绝杀自己
    q197
        9
    q197  
       2021-05-25 09:56:27 +08:00
    @swulling 我不知道这个 app 功能有哪些,如果有分享功能肯定不是加密的,毕竟这样人家也看不了。还有这个描述可能是接入了敏感字检查的 api
    q197
        10
    q197  
       2021-05-25 09:57:18 +08:00
    @swulling 端对端加密真的违法吗?产品形式假如不含用户间互动呢,例如网盘、相册、笔记
    EasonC
        11
    EasonC  
       2021-05-25 10:03:21 +08:00 via iPhone
    反过来问你一句,你觉得 notion 这类笔记软件数据安全吗?或者再问你一句,你敢不敢不用国内的个人开发者的私有云服务器同步的人笔记软件呢,你觉得你的数据在个人开发者自己的私人服务器里数据会不会比语雀安全呢?
    czfy
        12
    czfy  
       2021-05-25 10:08:27 +08:00
    在国内,所有国产的大型互联网服务必然接入监管审查,所有 “加密” 都不过是笑话,这个为审查开的口子,必然也有可能被其他方利用
    在国内提供服务的外国厂商,不确定。像苹果这种有云上贵州的,理论上也是全盘接入监管审查
    murmur
        13
    murmur  
       2021-05-25 10:12:46 +08:00
    不要相信国内任何的什么保密、安全,不能审查他这项目就没法上线
    murmur
        14
    murmur  
       2021-05-25 10:13:07 +08:00
    @q197 网盘、相册、笔记都有分享功能,国内这些肯定要审查的
    swulling
        15
    swulling  
       2021-05-25 10:15:55 +08:00
    @q197
    1. 都明文传递给第三方了,哪怕是调用 API,请问如何保证第三方不额外保存一份到本地?
    2. 根据服务协议:除以下情形外,我们不会将您的个人信息、数据转移或披露给任何非关联的第三方:
    (1) 相关 xxxxxxxxxx 要求;
    (3) 为提供您要求的服务所必需;

    请问都加密了,数据怎么转移给用户部门?
    3. 端到端加密是违法行为,必须提供给有关部门原始数据。这事吧要么他(用户)进去,要么你进去。
    swulling
        16
    swulling  
       2021-05-25 10:17:38 +08:00
    不对外分享的私有数据也是会审查的,你要是不信,你就去下载一些 BK 信息,然后传到语雀上。看看什么时候被抓~

    免责声明:因此造成的一切后果自己承担哈。
    timethinker
        17
    timethinker  
       2021-05-25 10:43:49 +08:00
    端对端加密意味着服务端压根不知道你存的什么东西,跟我本地加密然后上传 Github 是一样的吧。
    SunSurprise
        18
    SunSurprise  
    OP
       2021-05-25 10:50:10 +08:00
    这么统一的回复,看来问号都可以去掉了。要保证数据隐私,还是得靠端到端加密,其他地方只能放公共内容。
    SunSurprise
        19
    SunSurprise  
    OP
       2021-05-25 10:53:20 +08:00
    @lagoon 文字游戏。。。
    SunSurprise
        20
    SunSurprise  
    OP
       2021-05-25 10:58:10 +08:00
    @EasonC Notion 没有宣称过加密,反而承认过数据对他们是可见的。不是端到端加密,都不靠谱,主体是个人还是公司都一样。
    efaun
        21
    efaun  
       2021-05-25 15:24:10 +08:00
    上网不涉密,涉密不上网
    jsq2627
        22
    jsq2627  
       2021-05-25 15:40:04 +08:00
    双重加密:
    db.save(aes(aes(data, key1), key2))

    懂什么意思了吗 :doge:
    iminto
        23
    iminto  
       2021-05-25 16:16:23 +08:00
    @q197 没有任何公开文件说端对端加密是违法的,但是端对端加密就是违法的。
    PerFectTime
        24
    PerFectTime  
       2021-05-25 17:24:36 +08:00
    敏感数据建议使用自建服务
    cosmtrek
        25
    cosmtrek  
       2021-05-25 19:53:44 +08:00
    再加密也是会有审查的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2804 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 12:47 · PVG 20:47 · LAX 04:47 · JFK 07:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.