{"version":"https://jsonfeed.org/version/1.1","title":"苏迟但到的主页","home_page_url":"https://kexohproject.pages.dev","feed_url":"https://kexohproject.pages.dev/json/","description":"<p>你好，欢迎访问个人主页！</p><p>擅长密码学，安全分析，数字水印等技术。</p><p>你可以联系我通过:findmykexin@gmail.com或者知乎私信。</p><p>我的知乎链接：<a href=\"https://www.zhihu.com/people/su-chi-dan-dao\" rel=\"noopener noreferrer\" target=\"_blank\">苏迟但到 - 知乎 (zhihu.com)</a></p><p>我的github链接：<a href=\"https://github.com/kexinoh\" rel=\"noopener noreferrer\" target=\"_blank\">kexinoh</a></p>","icon":"https://kexohcdn.gptapi.cyou/kexohproject/production/images/channel-2e54d141ee195646ca12a9d16507a908.jpg","favicon":"https://kexohcdn.gptapi.cyou/kexohproject/production/images/favicon-340a2925d02a0386f3b954a032834917.jpg","authors":[{"name":"苏迟但到"}],"language":"zh-cn","items":[{"id":"XVWwNcKPdY5","title":"如何看待国家网信办就数据安全问题对滴滴全球股份有限公司处人民币 80.26 亿元罚款？有何警示作用？","content_html":"<p data-pid=\"3-wp8Jx5\">今天有看见奇文一篇。</p><a href=\"https://www.zhihu.com/answer/2585519493\" data-draft-node=\"block\" data-draft-type=\"link-card\" class=\"internal\">如何看待国家网信办就数据安全问题对滴滴全球股份有限公司处人民币 80.26 亿元罚款？有何警示作用？</a><p data-pid=\"noNO2t50\">他的核心论点就是这些行为很常见，因此滴滴没错。</p><p data-pid=\"2CBfYpdY\">看到中国有这样的产品经理，也就明白了为什么中国可以发生那么多隐私泄露的事情了。</p><p data-pid=\"or33EUIj\">我们一个个来说</p><p data-pid=\"hjaZRaqQ\">1.身份证明文保存，身份证可以采用公钥加密。只需要保管好私钥就可以了。更为合理的是采用两个数据库，一个只保存了hash值，另外一个只保存了公钥加密的身份证号。在身份证比对端使用hash。在警务合作的使用才调用私钥，正常往数据库填充数据的时候只需要公钥进行加密就可以了。</p><p data-pid=\"MRMq4VC-\">*为什么不采用对称密钥加密，原因很简单：滴滴对于司机的身份证号在上传的时候可以在本地端就使用公钥签名，这样在服务器被控制的情况下，依然可以很好的保护身份证号。警务合作的情况下是少数情况，可以人工调出加密数据，然后在不接触外网的内网中对数据进行解密。如果使用对称密钥的话，那么会话密钥需要在服务器中高强度调用，会话密钥泄露的风险就很大。但是公钥加密则不存在泄露问题。</p><p data-pid=\"uIvFm0om\">2.读取剪切板，我不是很理解为什么要读取剪切板。如果是为了实现读取剪切板来跳转，那么可以本地读取，但是滴滴被抓到而且还有准确的计数，那么肯定还是因为将剪切板内容上传了。</p><p data-pid=\"9W3u2xM0\">3.应用信息列表就是为了获取用户隐私画像，这个不用跑了。例如滴滴广为人知的杀苹果，应用信息列表同样可以分辨用户的资产情况。例如下载了拼多多，淘特等等是比较穷的人，下载了京东就是有钱人。</p><p data-pid=\"_a-71w8X\">4.违法收集截图，这个从产品设计而言一般是为了获取Bug发生场景或者找到用户的分享热点。但是这种获取的方式本身也是产品设计有缺陷，即使通过截图来获取Bug发生场景也是极低效率的行为。可以通过很多措施，比如错误日志等等</p><p data-pid=\"lKKdXh0J\">5.亲情关系，打车软件用不上。</p><p data-pid=\"uqHDkHlM\">6.过度收集学历信息，这个也用不上，就是滴滴的<b>傻逼</b>产品经理喜欢没事发一个PR说多少的大学生，硕士又来跑滴滴了的无聊年度文案。</p><p data-pid=\"zhXcAUNs\">7.过度收集经纬度的原因很简单，这是滴滴用于判断是不是司机骗补或者司机和乘客碰面之后再约定取消订单的行为，压根不是为了用户安全。</p><p data-pid=\"rtM8h9fP\">8.收集乘客人脸信息的行为我不是很理解。猜测滴滴通过收集车内的录像视频，并进行人脸识别并标注。如果滴滴想查一个人的出行，哪怕不是他不是使用自己的账号来打车，滴滴也可以通过人脸识别来实现查找。</p><p data-pid=\"ljhKWRbF\">9.异地商务/异地旅游信息，出行意图信息，常驻城市信息，家”和“公司”打车地址信息等等都主要用于杀熟和数据分析，和用户安全一点关系都没有。</p><p data-pid=\"QnQtvEOK\">最后，这个产品所称的合理收集，在<b>排除掉</b>刻意卖国的行为之后，真实原因只有这三种：<b>技术人员水平太差</b>，想要<b>杀熟</b>，<b>乱发PR</b>。</p><p data-pid=\"oO91F7h1\">注意：杀熟也是违法中国反垄断法的行为，企业中充斥着满脑子想着违法的产品经理只会让中国的企业越加小人，倒闭是迟早的事情。</p><p data-pid=\"IOFpZBw9\">技术水平差要从开掉这种傻逼产品经理开始改变，乱发PR的无聊行为可能就要等滴滴什么时候有硬科技之后才能戒掉了，不然滴滴会发现自己没啥好夸的，</p><p></p>","content_text":"今天有看见奇文一篇。\n\n如何看待国家网信办就数据安全问题对滴滴全球股份有限公司处人民币 80.26 亿元罚款？有何警示作用？\n\n他的核心论点就是这些行为很常见，因此滴滴没错。\n\n看到中国有这样的产品经理，也就明白了为什么中国可以发生那么多隐私泄露的事情了。\n\n我们一个个来说\n\n1.身份证明文保存，身份证可以采用公钥加密。只需要保管好私钥就可以了。更为合理的是采用两个数据库，一个只保存了hash值，另外一个只保存了公钥加密的身份证号。在身份证比对端使用hash。在警务合作的使用才调用私钥，正常往数据库填充数据的时候只需要公钥进行加密就可以了。\n\n*为什么不采用对称密钥加密，原因很简单：滴滴对于司机的身份证号在上传的时候可以在本地端就使用公钥签名，这样在服务器被控制的情况下，依然可以很好的保护身份证号。警务合作的情况下是少数情况，可以人工调出加密数据，然后在不接触外网的内网中对数据进行解密。如果使用对称密钥的话，那么会话密钥需要在服务器中高强度调用，会话密钥泄露的风险就很大。但是公钥加密则不存在泄露问题。\n\n2.读取剪切板，我不是很理解为什么要读取剪切板。如果是为了实现读取剪切板来跳转，那么可以本地读取，但是滴滴被抓到而且还有准确的计数，那么肯定还是因为将剪切板内容上传了。\n\n3.应用信息列表就是为了获取用户隐私画像，这个不用跑了。例如滴滴广为人知的杀苹果，应用信息列表同样可以分辨用户的资产情况。例如下载了拼多多，淘特等等是比较穷的人，下载了京东就是有钱人。\n\n4.违法收集截图，这个从产品设计而言一般是为了获取Bug发生场景或者找到用户的分享热点。但是这种获取的方式本身也是产品设计有缺陷，即使通过截图来获取Bug发生场景也是极低效率的行为。可以通过很多措施，比如错误日志等等\n\n5.亲情关系，打车软件用不上。\n\n6.过度收集学历信息，这个也用不上，就是滴滴的傻逼产品经理喜欢没事发一个PR说多少的大学生，硕士又来跑滴滴了的无聊年度文案。\n\n7.过度收集经纬度的原因很简单，这是滴滴用于判断是不是司机骗补或者司机和乘客碰面之后再约定取消订单的行为，压根不是为了用户安全。\n\n8.收集乘客人脸信息的行为我不是很理解。猜测滴滴通过收集车内的录像视频，并进行人脸识别并标注。如果滴滴想查一个人的出行，哪怕不是他不是使用自己的账号来打车，滴滴也可以通过人脸识别来实现查找。\n\n9.异地商务/异地旅游信息，出行意图信息，常驻城市信息，家”和“公司”打车地址信息等等都主要用于杀熟和数据分析，和用户安全一点关系都没有。\n\n最后，这个产品所称的合理收集，在排除掉刻意卖国的行为之后，真实原因只有这三种：技术人员水平太差，想要杀熟，乱发PR。\n\n注意：杀熟也是违法中国反垄断法的行为，企业中充斥着满脑子想着违法的产品经理只会让中国的企业越加小人，倒闭是迟早的事情。\n\n技术水平差要从开掉这种傻逼产品经理开始改变，乱发PR的无聊行为可能就要等滴滴什么时候有硬科技之后才能戒掉了，不然滴滴会发现自己没啥好夸的，\n\n","date_published":"2022-07-22T14:59:07.000Z","_microfeed":{"web_url":"https://kexohproject.pages.dev/i/8026-yuan-XVWwNcKPdY5/","json_url":"https://kexohproject.pages.dev/i/XVWwNcKPdY5/json/","rss_url":"https://kexohproject.pages.dev/i/XVWwNcKPdY5/rss/","guid":"XVWwNcKPdY5","status":"published","itunes:title":"New Article Title for iTunes","date_published_short":"Fri Jul 22 2022","date_published_ms":1658501947000}}],"_microfeed":{"microfeed_version":"0.1.2","base_url":"https://kexohproject.pages.dev","categories":[{"name":"Education","categories":[{"name":"Language Learning"}]},{"name":"Technology"}],"subscribe_methods":[{"name":"RSS","type":"rss","url":"https://kexohproject.pages.dev/rss/","image":"https://kexohproject.pages.dev/assets/brands/subscribe/rss.png","enabled":true,"editable":false,"id":"4KlfbtkEfzy"},{"name":"JSON","type":"json","url":"https://kexohproject.pages.dev/json/","image":"https://kexohproject.pages.dev/assets/brands/subscribe/json.png","enabled":true,"editable":false,"id":"DVFm7TYiNSq"}],"description_text":"你好，欢迎访问个人主页！\n\n擅长密码学，安全分析，数字水印等技术。\n\n你可以联系我通过:findmykexin@gmail.com或者知乎私信。\n\n我的知乎链接：苏迟但到 - 知乎 (zhihu.com)\n\n我的github链接：kexinoh","copyright":"©2024","itunes:type":"episodic","items_sort_order":"newest_first"}}