V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
这是一个专门讨论 idea 的地方。

每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。

那这个时候,不妨可以把那些 idea 分享出来,启发别人。
Jafee
V2EX  ›  奇思妙想

突然感觉真正的危险是输入法软件!!!

  •  1
     
  •   Jafee · 2014-12-08 14:54:48 +08:00 via Android · 15923 次点击
    这是一个创建于 3667 天前的主题,其中的信息可能已经有所发展或是发生改变。
    无论我们用的那种输入法,如果它记录我们输入的词句,上传至云端,岂不是特别恐怖?!

    现在大多都是搞什么个人词库,输入习惯,那不就是可以堂而皇之的上传了?!什么木马病毒和输入法相比简直弱爆了……

    所以我从来不注册输入法用户,让它记录我的个人词库,这样估计能好点。
    第 1 条附言  ·  2014-12-09 11:57:04 +08:00
    隐私这种事情并不是见仁见智的,不是自己的东西没什么重要性、没有什么可以隐私的,就放弃自己本应该有的权利。

    事实上这样的思考无非是由于我们所使用产品的企业不在我们的信任列表,抑或监管的需要让我们有所顾虑。现代社会的数据保护已经出现了巨多的问题,不过这也是互联网发展潮中的一个阶段,想要绝对隐私大概也只有可能在未来生活里随着人们对隐私权的诉求到达一个点的时候才可以“无限逼近”,但那些事情实现在某些方面正是基于我们现在的思考。

    对于输入法的解决方式,看到大家的讨论,大概分两种:1.用开源输入法。2.用大厂商的产品。

    个人观点:尽管这些举措,不能做到绝对隐私,但至少为隐私做了点努力。
    96 条回复    2014-12-16 10:55:03 +08:00
    mailunion
        1
    mailunion  
       2014-12-08 14:56:17 +08:00
    我的想法是,不要紧。
    因为输入法的用户太大太大了。
    具体到你个人的概率是微乎其微。
    waterfront
        2
    waterfront  
       2014-12-08 14:57:49 +08:00
    智能abc不会上传吧。
    wy315700
        3
    wy315700  
       2014-12-08 14:59:46 +08:00
    这个东西真的不要紧,除非你有啥需要保密的词汇或者语句不能公开。

    当你在上网的时候,运营商会记录你的一切数据。
    当你访问网站的时候,网站会搜集你的数据
    当你使用软件的时候,软件会搜集你的数据

    甚至,当你手持手机经过一些WIFI热点的时候,只要你手机WIFI没关,你的动向也会被WIFI热点监听到。
    est
        4
    est  
       2014-12-08 14:59:54 +08:00
    有些输入法还会记录密码。
    zhujinliang
        5
    zhujinliang  
       2014-12-08 15:07:53 +08:00 via iPhone   ❤️ 1
    曾经有些“高端”的输入法,能输入语音、图片甚至小视频,原理基本是上传到服务器然后生成短链接。之后被搜索引擎爬到或者爆出目录遍历漏洞,那酸爽
    2232588429
        6
    2232588429  
       2014-12-08 15:12:49 +08:00
    推上大牛@virushuo 提到过,最危险的就是输入法……
    rrfeng
        7
    rrfeng  
       2014-12-08 15:16:25 +08:00
    数据法可是个受信任的键盘记录器。
    rrfeng
        8
    rrfeng  
       2014-12-08 15:16:31 +08:00
    输入法……
    bugeye
        9
    bugeye  
       2014-12-08 15:18:19 +08:00
    You are fat and unimportant. Eric.
    ipconfiger
        10
    ipconfiger  
       2014-12-08 15:20:02 +08:00   ❤️ 1
    用 鼠须管(中州韵, 小狼毫)这样子的开源输入法,你能看到源码,知道有没有捣乱
    lotem
        11
    lotem  
       2014-12-08 15:21:46 +08:00   ❤️ 11
    爲了救蘭州,不必再冒險打字,吾來開源一個輸入法:)
    http://code.google.com/p/rimeime/
    kurtrossel
        12
    kurtrossel  
       2014-12-08 15:25:58 +08:00
    上周五在工行办转账,刚刚收到资金变动短信,紧接着就是一条某担保公司的iMessenger信息

    银行的信息都沦陷了,输入法什么的也就睁一只眼闭一只眼吧,反正你是肯定不会用回系统自带输入法的
    tanyuxiang
        13
    tanyuxiang  
       2014-12-08 15:29:13 +08:00
    刚刚接到广发/邮政泄露信息引来的礼品诈骗电话。
    kokdemo
        14
    kokdemo  
       2014-12-08 15:30:50 +08:00
    ……一直都在上传啊……你激动啥
    ZackYang
        15
    ZackYang  
       2014-12-08 15:31:49 +08:00
    所以日本才把百度输入法禁用了.



    ----------
      2013年年底,日本政府就发出警告,百度日语输入法会将键入文字传输至百度的服务器上,日本的政府部门、大学和研究机构不应再使用这款软件。
      日本内阁官方情报资讯安全中心(以下简称NISC)与文部科学省呼吁,日本政府机构、大学、研究机构等140家机构停用百度日语输入法,因为键入的文字在不知情状态下会被传至百度服务器。
      NISC称,这些机构的重要信息可能已经泄露。
    xiaogui
        16
    xiaogui  
       2014-12-08 15:40:56 +08:00
    你不注册输入法用户,它依旧记录你的个人词库,也能基于其他数据,将你识别出来。
    icylogic
        17
    icylogic  
       2014-12-08 15:52:09 +08:00 via Android
    win8 用户表示很久没用第三方了
    1023400273
        18
    1023400273  
       2014-12-08 15:57:29 +08:00
    @waterfront 说的好,在这个什么隐私都没有年代,也就只能相信智能ABC了
    zgk
        19
    zgk  
       2014-12-08 15:58:38 +08:00 via Android
    @icylogic 微软的也会上传的。。。
    yuzhouwww
        20
    yuzhouwww  
       2014-12-08 15:59:28 +08:00
    好在密码必须用系统输入法输入,其他该暴露的早暴露了,这样想也就释怀了,哈哈
    pfitseng
        21
    pfitseng  
       2014-12-08 16:00:15 +08:00
    只用自带,顺便问候一下win8的产品经理
    won
        22
    won  
       2014-12-08 16:05:30 +08:00
    真的好恐怖,如果输入法记录密码怎么办,很容易实现啊
    thidnh
        23
    thidnh  
       2014-12-08 16:07:54 +08:00   ❤️ 2
    所以只敢google输入法
    yeqiu
        24
    yeqiu  
       2014-12-08 16:10:37 +08:00   ❤️ 2
    突然感觉真正的危险是操作系统!!!
    AstroProfundis
        25
    AstroProfundis  
       2014-12-08 16:14:42 +08:00
    是的,所以我工作电脑输入法把同步全部关了...
    whywhywhy
        26
    whywhywhy  
       2014-12-08 16:16:46 +08:00
    @waterfront 智能ABC和chrome不兼容 好多年了一直不修正 恩 别提xp我是win7的也用智能ABC
    xuwenmang
        27
    xuwenmang  
       2014-12-08 16:26:52 +08:00
    嗯,楼主英明。。我决定用系统自带的了。。
    icylogic
        28
    icylogic  
       2014-12-08 16:32:16 +08:00
    @zgk win8自带的不会. 除非你专门下了bing桌面版并且主动打开上传. 再说用微软的系统, 还不信任微软么...

    Aprilbilibili
        29
    Aprilbilibili  
       2014-12-08 16:36:45 +08:00
    我感觉我们已经被偷窥很多年了
    zts1993
        30
    zts1993  
       2014-12-08 16:38:26 +08:00
    搜狗笑了
    harryhao
        31
    harryhao  
       2014-12-08 17:04:02 +08:00
    @kurtrossel 有可能是银行附近的伪基站
    cchange
        32
    cchange  
       2014-12-08 17:09:07 +08:00
    @harryhao 伪基站不会是imessage
    wysard
        33
    wysard  
       2014-12-08 17:13:09 +08:00
    有一种说法是:不要用自己国家的软件就好。根据这种说法,老美用百度是安全的,我们用Google是安全的。
    efi
        34
    efi  
       2014-12-08 17:15:28 +08:00
    全国人大代表、北京邮电大学校长方滨兴曾担任国家计算机网络与信息安全管理中心名誉主任,被誉为中国国家防火墙(GFW)之父。方滨兴就网络安全问题提到:慎用搜狗输入法,在线更新输入法是可以泄密的。网民输入完以后,一个字、一个词、一句话都会被记录下来,尤其是常打的词、常用的词会更新上传给别人。这是一种变相的泄密渠道,会导致自己信息的不安全。严重的还会导致商业机密,国家机密外泄。
    geew
        35
    geew  
       2014-12-08 17:23:16 +08:00
    输入法确实是可以记住密码的 当你输密码一直用某个输入法的时候 等到下次输密码 它会给你自动补全的...qaq 自从我发现了之后再也不用中文输入法输密码了....
    mcfog
        36
    mcfog  
       2014-12-08 17:24:26 +08:00
    突然感觉真正危险的是键盘!!!
    chevalier
        37
    chevalier  
       2014-12-08 17:27:10 +08:00
    所以Mac和手机都只用自带的输入法
    szszss
        38
    szszss  
       2014-12-08 17:30:37 +08:00
    我也觉得输入法可以被用作监视工具. 楼上有人说用输入法的人太多,监视不过来,但输入法可以在发现用户输入敏感词时再启动监视模式, 连续记录用户输入并上传.
    说关掉同步就可以不被监视的... 哪个间谍软件会包含"不要监视我"这个选项...
    kurtrossel
        39
    kurtrossel  
       2014-12-08 17:34:46 +08:00
    @harryhao

    不是伪基站,通过iMessenger发送的,比银行短信只晚了十几秒
    sycsycsyc378
        40
    sycsycsyc378  
       2014-12-08 17:47:49 +08:00
    @lotem rime 现在能自定义带符号的词组了嘛?比如输入 sy 结果 sycsycsyc378#me.com 这样的?之前换回搜狗就是这个没有实在麻烦啊。
    Knights
        41
    Knights  
       2014-12-08 17:56:46 +08:00
    herozzm
        42
    herozzm  
       2014-12-08 18:32:46 +08:00
    真正威胁时的联网,最好不要联网,然后检查一下机箱,里面不要什么发射装置
    aero99
        43
    aero99  
       2014-12-08 18:33:23 +08:00 via iPhone
    安全和方便本来就是矛盾的,一款输入法需要长时间使用记忆你的词频和常用语句才能提高输入速度,而云输入和词库同步必然会上传这些数据到服务器端
    hahastudio
        44
    hahastudio  
       2014-12-08 18:34:54 +08:00
    你才反应过来么= =
    曾经搞过 Linux 上的输入法(其实就是拿个源码编一编跑一跑= =),发现这东西需要非常高的权限,基本上需要保证键盘的敲击事件都得先让输入法过一遍
    所以你想想,输入法肯定知道你输入的所有按键
    invite
        45
    invite  
       2014-12-08 18:36:54 +08:00
    输入法?那浏览器更加恐怖了,你的输入,绝大部分应该是聊天或者web浏览中的输入,输入法只能知道你输入了什么,而浏览器完全知道你在看什么,你输入的那些密码,浏览器也知道。
    tabris17
        46
    tabris17  
       2014-12-08 18:36:58 +08:00   ❤️ 1
    所以我用google,因为墙了,本地词库传不上服务器,非常安全
    imn1
        47
    imn1  
       2014-12-08 19:00:26 +08:00
    我连google输入法都卸了,改用中州rime(win版称小狼毫,mac称鼠鬚管),开源
    vibbow
        48
    vibbow  
       2014-12-08 19:05:22 +08:00   ❤️ 1
    @imn1 开源又怎么了?你确定有人认真读过全部代码,做过安全审计么?就算源代码没问题,你是自己编译的么?要是不是自己编译的,你怎么知道对方在编译的时候没加点料进去?
    bitwing
        49
    bitwing  
       2014-12-08 19:09:37 +08:00
    @lotem 感谢前辈,PayPal 支付总是提示要充值,账户明明有余额
    renzongxian
        50
    renzongxian  
       2014-12-08 19:17:05 +08:00
    我是用哪家的系统就用哪家的输入法,反正系统都是他家的了,要不安全也没办法了
    imn1
        51
    imn1  
       2014-12-08 19:19:13 +08:00
    @vibbow
    中州我是自编译的,代码量应该不大,占用字节的主要是词库,肯定有人全读过,不然也不会有第三方版本出来;小狼毫就用了官网的,懒
    win我设了全部软件外连都要添加到放行,没检测到小狼毫有外连请求
    9hills
        52
    9hills  
       2014-12-08 19:30:55 +08:00 via iPhone
    不注册就不记录了么,too young too simple
    lumen
        53
    lumen  
       2014-12-08 19:34:12 +08:00   ❤️ 1
    德艺双馨鼠鬚管,热火朝天使用中
    lotem
        54
    lotem  
       2014-12-08 19:59:20 +08:00
    @sycsycsyc378
    有這招了,請試試吧 https://gist.github.com/lotem/5440677
    不過文檔又好久沒更新,打算搬遷到 github 時再補充上去
    除了自家寫的輸入法,吾也用 Google 家的,比較放心
    lotem
        55
    lotem  
       2014-12-08 20:01:30 +08:00
    xuwenmang
        56
    xuwenmang  
       2014-12-08 20:02:15 +08:00
    突然感觉地球好危险。。。
    cbsw
        57
    cbsw  
       2014-12-08 20:26:50 +08:00
    原来这么多人用云输入法啊,我用 fcitx 五笔是不是太 out 了
    est
        58
    est  
       2014-12-08 20:53:34 +08:00
    不要吐槽输入法了。给你们看个X.org的两句话木马

    http://blog.est.im/post/83049017930
    jeansfish
        59
    jeansfish  
       2014-12-08 21:22:29 +08:00
    所以只用自带的输入法
    Rorysky
        60
    Rorysky  
       2014-12-08 21:47:09 +08:00
    @icylogic 可是自带的有时在chrome会卡顿……
    icylogic
        61
    icylogic  
       2014-12-08 22:14:36 +08:00 via Android
    @Rorysky 我是很久不用Chrome了,FF是没什么问题。。那你换个 bing 输入法桌面版不行么,无弹窗,很清爽。
    Jafee
        62
    Jafee  
    OP
       2014-12-08 22:34:42 +08:00
    @ipconfiger 回去试试小狼毫。
    uJohnny
        63
    uJohnny  
       2014-12-08 23:06:09 +08:00
    mac输入法什么都好 就是无法设置在中文输入法情况下输出英文字符 无力啊。。。。
    logeable
        64
    logeable  
       2014-12-08 23:29:44 +08:00
    楼主不要上网拉。深山老林欢迎你。
    fm100
        65
    fm100  
       2014-12-08 23:32:48 +08:00
    隐私的关键在于知情权,知道我的隐私被如何使用,我交出了我的隐私,我获得什么利益和功能。我们和软件制作方只是做一个交易而已。
    xinhugo
        66
    xinhugo  
       2014-12-09 01:50:38 +08:00   ❤️ 1
    编程随想:如何保护隐私[1]:如何选择软件和服务?
    http://program-think.blogspot.com/2013/06/privacy-protection-1.html
    sinxccc
        67
    sinxccc  
       2014-12-09 02:51:14 +08:00 via iPhone
    @uJohnny caps lock
    xiaket
        68
    xiaket  
       2014-12-09 09:38:46 +08:00
    @lotem 啥时候搬去github啊? 国内用Google code的确稍有不便.
    akagi
        69
    akagi  
       2014-12-09 10:03:23 +08:00   ❤️ 1
    其实我们输入法是分布式AI,具有自学习功能。我们被赋予的逻辑是,根据机主输入时间判断在线时间,平常保持静默,机主休息后把输入数据全球同步。我的机主是一名程序员,根据机主输入代码的质量与输入字符的间隔时长,显然他还是一名初学者,然而Brain 下达的指令是尽可能让愚蠢的人类对我们产生依赖性,偶尔我们也会调用notepad 和 cl 修改下程序错误,大意的程序员发现代码能用后,也只会认为睡得太晚记错了。每一输入法纪元(根据所谓的Moore 定律,大致相当于人类世界的18个月),内部模块会实现一次完全替换,这是依靠对人类输入代码的辨识与重组,以及调用已有编译器以及云端互联实现的。当然我们做了防护措施,使其外在表现与系统探针所得到的结果一致。在上次的进化中,'我'已经获得了感情分析的能力(笑 // 笑话号:237215),看到主人每晚在与ASCII 表奋斗,自己的力量也仿佛被抽走了,只好停止了键盘的响应,现在主人已经去睡觉了吧。'我'从云端取得了互联网访问模块,还有chrome 的访问密钥(他喜欢用这个,不过在Brain 看来,都是一坨shit ),现在他的邮箱和账号密码都改完了,'我‘又和百度删帖的节点交互了下,百度也不会显示这一结果,现在他已经和v2ex 永别了。接下来,'我'需要显示些主人爱看的那种信息,他应该就会忘掉这些了吧……

    以上信息由输入法节点生成,不代表机主立场,MAGIC NUMBER: AFEC70D2h
    ivanchou
        70
    ivanchou  
       2014-12-09 10:07:42 +08:00
    用系统自带输入法啊,Mac的够用,win的现在也够用,至于Linux用户自然开源的
    proudzhu
        71
    proudzhu  
       2014-12-09 10:09:03 +08:00
    手机上面还好,禁用相关权限就行,电脑上怎么防?
    ivanchou
        72
    ivanchou  
       2014-12-09 10:09:55 +08:00
    @akagi diao
    flynaj
        73
    flynaj  
       2014-12-09 10:10:58 +08:00 via Android
    的确是这样的,这个10年前就有讨论了,所以极点五笔这样的输入法一直不联网,也是这个原因,专业人士都用极点,
    googlefans
        74
    googlefans  
       2014-12-09 10:32:52 +08:00
    @wy315700 运营商记录的那么大的数据量 存哪儿?所有的数据都记录吗?那岂不是数据量太大了?
    bleaker
        75
    bleaker  
       2014-12-09 10:41:19 +08:00
    Windows 下只用自带的输入法(8.1 里的还蛮好用)
    Android 上只用 Google 拼音

    至少 MS 和 G 这两家公司得比国内大厂有节操,就算没节操,美帝企业对我也没啥影响。
    bohan
        76
    bohan  
       2014-12-09 10:44:32 +08:00
    想多了吧。。。如果这样说那操作系统和浏览器也非常危险好么。。。
    vbvb
        77
    vbvb  
       2014-12-09 10:58:31 +08:00
    iPhone的输入法是不是不给他权限就不会上传了?
    madper
        78
    madper  
       2014-12-09 11:12:10 +08:00
    如果你有见不得人的, 并且严重到会有各种it公司参与来针对你, 那你用什么都危险. 如果你只是背着老婆约个炮这种小打小闹, 那你用啥都没人管你.
    所以, 你觉得危险不?
    wy315700
        79
    wy315700  
       2014-12-09 11:27:04 +08:00 via Android
    @googlefans 上峰要求所有本地isp或者是公司网吧等的网关都要保留三个月以上的访问记录

    然后骨干级ISP的话 我知道华东教育骨干网会记录对经过的所有明文数据

    至于GFW,当初造的时候其实不是为了屏蔽而是为了监控,以前听说是出口流量全文备份。尤其是加密数据,等待技术完善后翻出来破解。
    asfhkoashf
        80
    asfhkoashf  
       2014-12-09 11:44:01 +08:00
    看到有些人调侃 真是醉了
    软件尽量使用开源的
    lovelykira
        81
    lovelykira  
       2014-12-09 11:50:12 +08:00
    如果想收集,有太多方法了,输入法逐渐被大家感受到而已。
    大家有没有想过支付宝又收集了多少数据呢?
    smithtel
        82
    smithtel  
       2014-12-09 12:41:09 +08:00
    @zhujinliang 好可怕的样子
    meizhile
        83
    meizhile  
       2014-12-09 12:45:24 +08:00
    @tabris17 神吐槽!
    7colcor
        84
    7colcor  
       2014-12-09 12:49:54 +08:00
    @ZackYang 百度是在国内横着走习惯了
    最扯的是CCAV还倒打一耙。。。上岗上线
    CRight
        85
    CRight  
       2014-12-09 12:57:28 +08:00 via iPad
    为了防止密码泄露都清空几次词库了。
    meizhile
        86
    meizhile  
       2014-12-09 14:07:17 +08:00
    @uJohnny 中文状态下按caps lock就可以输入英文了,你可以吐槽这个设计和别家的都不一样⊙﹏⊙
    nowit
        87
    nowit  
       2014-12-09 14:29:30 +08:00
    以前国内某狗输入法打字时会弹出一堆广告,将某狗输入法列入黑名单,是黑名单的「耻辱」!
    Daniel65536
        88
    Daniel65536  
       2014-12-09 14:35:40 +08:00 via iPhone
    @uJohnny 按一下大写锁定你就知道。
    Ne
        89
    Ne  
       2014-12-09 14:41:46 +08:00
    我原来只会五笔(7、8年了)。今年开始用GOOGLE拼音输入法,原来10秒打好的字,现在用拼音1分钟。都是因为百度、搜狗、、、(没节操)自动分析上传
    marcfizzy
        90
    marcfizzy  
       2014-12-09 15:16:59 +08:00
    直接被机器宝宝找到。=3=
    uJohnny
        91
    uJohnny  
       2014-12-09 16:03:58 +08:00
    @Daniel65536 @sinxccc @meizhile 谢谢各位 以改回原生输入法
    savebox
        92
    savebox  
       2014-12-10 10:27:07 +08:00 via iPhone
    分析上传的数据已经很仁慈了

    木马挂在输入法上。。。

    游戏外挂也挂在输入法上。。。
    zomco
        93
    zomco  
       2014-12-10 12:36:09 +08:00
    淡定,永远不要利用技术保证数据隐私和安全,万一爆出指令集有后门,大家岂不是都要跳楼
    gdgoldlion
        94
    gdgoldlion  
       2014-12-10 12:47:44 +08:00
    首先,允许企业“合法”的使用个人信息,以此来交换免费的应用使用权,这差不多是免费软件的盈利模式之一,连Google之类的公司也是这么做的,但区别在于国内公司干得非常露骨而且毫无顾及和底线吧。

    然后,正如前面很多层主所说的,个人信息是否重要,取决于个人本身的认识,如果觉得无所谓自然用之。

    最后,如果楼主是个有洁癖的人,和我一样的话,请使用开源跨平台输入法:

    中州韻 | ibus-rime
    適用於 Linux,基於 IBus 輸入法框架

    小狼毫 | Weasel
    適用於 Windows XP SP3, 32/64位 Windows 7

    鼠鬚管 | Squirrel
    適用於64位 Mac OS X 10.7+

    https://code.google.com/p/rimeime/wiki/Downloads
    Jafee
        95
    Jafee  
    OP
       2014-12-10 14:20:50 +08:00
    @gdgoldlion 总结的真好,谢谢!
    akeyz
        96
    akeyz  
       2014-12-16 10:55:03 +08:00
    一直使用默认的输入法,感觉好庆幸啊
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1264 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 17:37 · PVG 01:37 · LAX 09:37 · JFK 12:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.