作者lostt (事不过三!)
看板SYSOP
标题Re: [公告] 关於隐私权
时间Fri Nov 5 01:47:44 2010
以下完整引述in2对於信箱隐私权的说明
期待现在的ptt站方能传承in2等过去ptt站方的精神
让ptt是一个不需要感受到恐惧的发言环境
请告诉所有网友,ptt会保障网友注册资料等隐私权
让我们相信ptt值得信赖
※ 引述《in2 (敬请期待 :P)》之铭言:
有许多板友质疑隐私权是不是会被侵犯,个人信件会不会被看光光,容我花
一点篇幅来解释这次事件所用的手法以及相关的修正。下面文章使用的「站
长」一词指非拥有系统权限的站长。
1.使用手法-为什麽个人的信件会被看到呢?
在批踢踢的程式里,只有登入的那个人可以看到自己的信件 (以及包括水球
记录、聊天记录、暂存档等等) ,站长是没有办法看到使用者信件的。并且,
所有的密码都是经过单向加密後才进行储存,所以理论上是没有办法得知每
个人设定的密码是什麽 (注一) 。
那这次为什麽会有使用者的信件被看到呢,这是因为透过两个站长可以使用
的功能,就可以达到这个效果:
a.透过「使用者设定-设密码」,直接写一份新的密码上去。
a1. 於是现在手上就有该使用者的新密码,透过这一份密码登入,程式
认可这是该使用者合法的帐号及密码,所以就放行,包括进入邮件
选单。
b.透过「查阅备份使用者资料」,取该使用者的资料备份盖回,於是密码
又回到原始状态。
2.所以为了保护使用者,应该取消这两个功能吗?
答案是否定的。
因为如果取消了「使用者设定-设密码」,忘记密码的使用者就只能等着四
个月後被砍帐号然後重新注册,同时他所有的信件、金钱文章数五子棋等等
记录就全拿不回来了。
因为如果取消了「查阅备份使用者资料」,如果有使用者因当机或其他因素,
帐号资料遗失或毁损的时候,站方就没有办法处理 (所以可能又是放着四个
月後让他被砍帐号?)
基本上,科技本身是中性的,端看你怎麽来用它。核能可以拿来发电也可以
拿来炸掉地球,这两个功能可以拿来救发生奇怪状状的人,也可以合起来侵
权。
3.那未来是不是可能又被滥用导致类似事件呢?
从技术的关点上来说,是的。
但是在这个同时,我们尽力避免这件事情的发生:
a.所有对使用者资料╱密码╱权限更动,都会留下记录,包括日期、时间
、由哪一位站长、对哪一位使用者进行更动。这份资料会保留在站务区,
供所有站长检查。同时没办法进行修正。
b.程式已经修正「使用者设定-设密码」的同时:
b1. 程式会自动发信给三位提供保证的使用者告知站长修正该使用者密码。
b2. 程式部门目前正在修正相关的程式,只有让有「帐号管理员」权限
的站长得以使用本功能。尽量让只有最少的人有这个权限,相对的
就可以减低发生这种事情的风险。
预计在一周内会将相关修正完成的程式上线。
c.程式已经修正「查阅备份使用者资料」取回时,会延用最新的密码。所
以如果又有其他站长尝试使用上面这个方式,使用者将发现自己的密码
不正确,即可调阅相关上站记录以及帐号密码更动记录检查是否有问题
发生。
d.如果怀疑自己的帐号有可能被不明人士入侵,本站提供完整的上站 ip
记录可供查询。
4.「我的信件到底被偷看没?」
所以现在只有一种情况可以偷看到你的信件,即拿到你的密码 (不管是你原
来设的密码被别人知道了,或是有站长帮你设上去) ,接着用你的帐号登入。
但是只要登入成功一定会留下登入记录,例如说你这半年都只在台大里面登
入批踢踢,突然有一个从清大登入成功的记录,那显然就是有问题。
如果说您对这方面有疑虑的话,建议您:
a.定期更改密码,并且用较复杂的密码。
b.跟帐号部门调阅上站资料,我们提供完整的日期时间 ip 登入记录。
注一: 当然如果你拿到加密後的密码,可以用暴力法把密码跑出来,这要花
点时间。同时越复杂的密码理论上要花更久的时间才能被跑出来。建议密码
包括大写及小写英文字母,配合上数字空白及特别符号。
in2
Sun Oct 9 00:27:18 CST 2005
------------------------------------------------------------------
ok,此线以下不算在公告的部份,我发表一些个人的看法。
我忘了在哪边看到有人批评说站上不受法律管辖的,这是完全错误的想法,
也许小莎接下来就要面对法律的诉讼。容我再次提醒所有的人 (包括所有
的服务团队) ,法律不是开玩笑的,同时希望不要再有其他人会须要面对
法律的制裁。
有些朋友很强硬一直要分谁是「官」,谁是「民」,分成两大群体互相对立,
我个人想 (或说希望) 这在批踢踢上不成立,在这个平台上面,你可以贡献
自己的心力让这个社会更美好。
例如说,你去修了某堂课觉得真是爆烂,所以你就在 NTUcourse板上贴了一
篇文章,於是就救赎了众多的学弟妹免被荼毒;例如说,你觉得某个板主实
在当的太差,这样子实在欠网友一个交代,你可以接替他的位置,好好管板,
给网友一个交代。你要是觉得现在的制度实在有够差,fine,你可以毛遂自
荐,提一套新的制度,在一定的程序同意後 (当然现在并没有这种程序,你
也可以提一个) ,新的制度上线,於是大家就有一个更好的制度可以用。你
要是觉得现在的程式写的实在爆差, bug一堆,功能不够,你可以自己动手
来写修改程式,有人会负责 review 你的程式然後 commit ,於是我们就有
更多的功能或更少的 bug,事实上这样子会比你在 PttSuggest 板快很多 XD
你现在所用的一切,是前人的贡献累积下来的;现在,你有这个机会可以替
未来的人做点事情,或是可以让现在的你过的更愉快-例如说摆脱某个有够
笨的板主,换成聪明的你取而代之。
最後,批踢踢实业坊
永远不会商业化,不会成立公司,也不会拿来营利。
:)
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 111.253.163.7
※ 编辑: lostt 来自: 111.253.163.7 (11/05 01:48)