回复 - Wizard
Wizard /dev/null
回复文章: 题库里的题也太难了吧?

如果不记得公式,那就要考验答题者的 Google 能力了 :)

( 恢复自谷歌快照 采集于香港时间 2020-10-18 00:24 )
回复文章: 《火光》征稿启事

@NodeBE4 #102658

顺便说,我说的serverless只是对于部署者而言是serverless,不要跟web tech的serverless混淆。

看来我误解了你说的 Serverless

分布式根本没有什么隐私而言,分布式和隐私是两码事。

基本赞同,分布式更多是为了可用性,而不是隐私。

关于 Tracker :

自由开源的 Tracker 数据掌握在建站者手里,使用 GA 就是把数据给 Google 。

作为站方,如果既想保护用户隐私,又需要收集流量统计数据。当然应该选择自由开源的 Tracker,而不是把数据交给第三方(Google)。不使用 Tracker 当然最好(这也是我最初的建议)

作为用户,我不想让任何一方跟踪我,自然屏蔽所有 Tracker 咯。

注意我的建议针对站方,而不是用户。如果让我给用户建议,肯定也是屏蔽掉任何 Tracker。

总之,用户自己不保护自己的话,根本没有用。

同意,这也是讨论中的共识。

就像我之前所说,分歧在于站点是否应该注重隐私保护。这一点也明确了,没有必要继续争论咯!

回复文章: 权利的起源

没有权力也就谈不上权利

确实如此,政府如果垄断了权力,自然不用承认人们的权利。因此要实现法治,保障权利,分权很重要。

回复文章: 《火光》征稿启事

@NodeBE4 #102629 感觉你是为了怼而怼,并没有注意我说的内容所对应的情况。你只不过想要表述 隐私保护 Server 不应该做,Only client matters 的观点罢了。

( 由 作者 于 2020年10月11日 编辑 )
回复文章: 《火光》征稿启事

@NodeBE4 #102629

Google Analytics和其它任何类似的Tracker/analytics并不能让部署方跟踪user,跟踪他们的是Google, Facebook, Amazon等提供analytic code的供应方。部署方只是知道所有访问者的统计信息,而非单独每个访问者的个人信息。

你说这套不要跟踪码的说法真的是跟小二一样靠看公众号文章学技术的。真实的威胁模型在这里有详细阐述,类似的帖子也在2049转发过。 https://diymysite.github.io/analytics/#!pages/analytics.md 简单说,部署方没有获得除了流量统计之外的超额信息,跟踪码的威胁关键在于你是否相信供应方,也就是Google, FB, Amazon等网站,我是不相信的,所以我选择uBO。其次,中共搜集互联网用户信息主要是client和network两个环节,而不是server,你天天叫人家网站如何如何的是连network如何工作的都没搞清楚。小二就是一个相信你说那套的反面教材,已经被抓几个月了,轻则3年重则5年。

如果你认为GA或者其他跟踪码能够让部署方获取用户个人信息,你可以建个静态网站给我演示一下,我来访问,你能搜集到我什么信息。GA等流量分析码是依靠wordpress或者github pages等第三方服务的网站唯一获知流量信息的方式。网站运营方知道来访者的流量和兴趣是必须的,任何平台都会提供这种服务,你没有资格要求人家不了解自己网站的流量。

总结一下,你是想说:部署 Google Analytics 不会让中共额外收集到网站用户信息,数据只会交给 Google,而站点却可以了解来访者的流量。

对此反驳如下:

  1. 了解自己网站流量真的比访问者的隐私更重要咯?所以网站应该为了方便自己统计数据,把访问者的一举一动告诉 Google?
  2. GA 不是部署者统计用户流量的唯一方法,实际上存在许多自由开源的替代实现。
  3. 对于墙内网站,中共肯定是 Client -> Middleboxes -> Server 都能够收集信息;对于墙外网站,中共也可以让 御用骇客 去偷 高敏感人士 的数据。作为用户,如果可以每个层面都做好隐私防护,为什么不做呢?

我致力于建serverless的网站(serverless是我自己不需要出server,而是通过第三方API完成),也就是说所有的功能,尽可能的在网页端实现,在用户的浏览器里完成功能和计算,服务器端无交互能力,只提供静态文件。这种让建站者零风险的技术架构对于信息自由言论是至关重要的。要是每个搞网站的都要自己出一台服务器,那分分种被中共DDOS或者抓捕,稍微出一个问题,或者Cloudflare里有人被中共买通(参考纽约藏人警察昂旺)服务器就暴露了。js是现在很多网站必须要的元素,而不是可有可无的元素,无论是实现点赞,还是页面的排版,甚至是自动生成网页都需要js,越来越多网站架构都是靠js和nodejs开发的。解决用户安全很简单,就是告诉用户用Tor Browser,如果你的环境不允许用Tor Browser那也很简单,你就不该访问这些「敏感」网站。

你说那些都是不知道多少年前的观念,针对的也不是与中共这种掌握整个network的国家级对手进行对抗的行为,而是针对Google,FB,Amazon这类大公司搜集个人隐私的行为。无论是对抗可能的后果还是威胁模型都是完全不同的。

说实话,我很惊讶有很多你这样的墙国人竟然是如此教条主义,从来不亲自验证或者深入思考一下自己看到的安全观念到底是怎么回事。

  1. Serverless 用 ZeroNet/IPFS 多多少少也能实现一点(技术不成熟,仍然建议观望),编程随想的电子图书馆在墙内使用 BTSync 也运转良好。
  2. 交互性比较强的网站为了用户体验确实需要 JS ,可是《火光》是作为类似电子杂志的存在,仅仅阅读文章可不需要 JS 。
  3. 禁用 JS 的理由很简单,在本机执行代码很危险,当然很早就有人想到了。只是历史悠久不一定代表过时,可能反而是因为其耐得住考验。
  4. 不妨说说你是如何亲自验证自己的安全观念的?被御用骇客盯上了身份却没有暴露?同在这匿名论坛上,并不能说明你我的安全观念谁高谁低吧?
回复文章: 《火光》征稿启事

@NodeBE4 #102471 看了你的其他帖子,你的观点应该是:隐私保护在于 Client 而不是 Server,这点我比较赞同。用户确实不应该过分相信网站的隐私声明,应该自己做好隐私防护,但是这不等于网站就应该使用追踪技术。

同时,在服务器被端了的情况下,

一个是 Client + Server 都做好了隐私防护,Server 托管静态站点

另一个仅 Client 做好了隐私防护,Server 并没有做。且如果禁用 JavaScript 就无法使用,因此用户不得不启用 JavaScript。

信息泄漏量可想而知,哪个更大。

回复文章: 《火光》征稿启事

@NodeBE4 #102471

你说加载慢和Google Analytics都是Wordpress自带的。

Wordpress 自带不等于不能去掉吧?

另外,Tracker应该是用户自己去安装浏览器插件解决,懒到连uBO都舍不得装的用户根本没有资格谈什么保护隐私,网站没有义务去掉tracker。

Tracker 确实可以用 uBO 屏蔽,甚至 FF 自带的隐私保护也能屏蔽掉。看来分歧就在于最后一句了,《火光》既然处于致力于建设一个自由人的精神角落的立场,就不应该去跟踪用户吧?所以我觉得站点主动做些措施保护用户隐私也是理所应当。

更没有必要用什么Tor网址

我没说过这句话

wordpress本身对Tor已经很友好了

从可用性来说确实算友好,可 Tor 主打隐私保护,加载一大堆第三方资源还带 Tracker 的行为可谓与隐私保护相悖。

你提这些要求真的是有病。

建议不是要求,还请擦干净屏幕看清楚

回复文章: 路由黑洞有什么存在的必要吗?

@solids #102201 其实所有基于 TCP RST 的屏蔽都可以这样绕过,例如 DNS over TCP(or DoT/DoH), VPN 等等,针对 HTTP 的敏感词审查也可以绕过。

当然,这样虽然可以绕过 GFW 很大一部分的屏蔽,但是考虑到速度和安全性,代理 + Tor 还是最好的选择。

回复文章: 《火光》征稿启事

@习猪习 #102191 GET 发送的内容只能塞到 URL 里,但是 URL 的 de facto 长度限制是 2000 字符

回复文章: 《火光》征稿启事

@习猪习 #102188 浏览器通过 <form> 发的应该就是 HTTP POST

回复文章: 路由黑洞有什么存在的必要吗?

@solids #102184 如果是 Windows 端,可以试试 TCPioneer

通过 desync GFW 的 TCP 状态的方式翻墙,效果可能并不理想。性能较差,且在不同地区的效果也不同。但是优点在于,如果能找到可用 ip,可以不经过代理使用 Google。(Google 服务器不接受无 SNI TLS 连接)

回复文章: 《火光》征稿启事

@solids #102185 发帖评论可以直接用 HTTP POST,缺点是需要刷新才能看到新评论。

回复文章: 路由黑洞有什么存在的必要吗?

@solids #102179 不是,仅客户端忽略 RST 没用的,GFW 的 RST 是双向的,服务端收到 RST 之后一样断连接,然后客户端会显示超时。

desync 是指 让 client -> server 实际的 TCP 状态和 GFW 判断的 TCP 状态不同。比如 GFW 以为连接断了,就不会发 RST 了。但实际上连接并没有断。

INTANG 就是 Your state is not mine 里提到的 desync 方法的实现。

回复文章: 《火光》征稿启事

提一些建议:

1.网站不必要的第三方资源太多了,影响加载速度。

2.Google Analysis 这种 Tracker 希望能去掉。

3.做成静态站点(无 JS)可能对 Tor 用户更友好。

回复文章: 祝你阖家自由

@青年 #101774 这样的人可能没有理解自由的概念。

比如我给你百万英镑,但是你没有使用它的自由,那么钱也就失去了意义。

不过可能其意在:宁可放弃政治自由来获得经济自由。

然而结果往往是既得不到政治自由,也得不到经济自由。

回复文章: 路由黑洞有什么存在的必要吗?

@solids #102160 Google Voice, Skype 应该都会用 UDP

而且 RST 仅在 GFW 判断 TCP 状态是 ESTABLISHED 才会发送,所以如果能 desync GFW 检测到的 TCP State,也可以绕过 RST。

回复文章: 路由黑洞有什么存在的必要吗?

RST 在 Transport layer 上屏蔽,路由黑洞在 Network layer 屏蔽。路由黑洞屏蔽效果更彻底(UDP 也会被屏蔽)

example notif text