今天看到了语雀的安全条款中有这么一条: “双重加密: 所有用户生成的数据,语雀都进行了双重密钥的加密。即使语雀的开发人员,也无法看到你的内容。而即便黑客拿到了数据,也会因为无法取得密钥,而无法破解。”
好奇这个产品的数据隐私和安全是否和它说的一样靠谱,这个所谓的双重加密,和端到端有什么区别。按照他们开发也看不到的说法,应该和端到端加密是同一级别,那么上面的私有笔记,和 joplin 在数据安全上是同一级别。
但是阿里黑历史太多,加上特殊原因,还是比较怀疑这种说法的。希望各位解惑。
1
swulling 2021-05-25 09:30:41 +08:00 via iPhone 6
是这样的,如果做到真正的端到端加密,那么必然违反网络安全法。
所以要么是语雀违法了,要么就是它在吹牛。你觉得是哪种呢? |
2
Vegetable 2021-05-25 09:34:12 +08:00
[即使] 就很灵性,开发人员看不到,(但是风控监管都能看到)。
大概是这样。 |
3
YvesX 2021-05-25 09:34:36 +08:00
可能就是密钥在自己手里的意思
|
4
swulling 2021-05-25 09:34:46 +08:00 via iPhone 4
直接上语雀的服务协议
为了营造绿色、阳光、健康的网络环境,我们有权根据法律法规及监管规定,针对用户使用语雀服务的行为及生成的内容进行审查、监督,为提升审查的质量及效率,我们可能会与第三方合作共同向用户提供该等服务,您同意我们会将您在语雀服务上生成的内容提供给第三方进行审查,也同意第三方可以将审查结果反馈给我们,以便我们进行验证。 请问都端到端加密了,还怎么审查,而且还是第三方审查 |
5
YvesX 2021-05-25 09:36:31 +08:00
这上面倒没什么可苛责的。UGC 从来都是最敏感的,很难预测用户会拿来干嘛。
|
6
SevnChen 2021-05-25 09:40:57 +08:00
可能开发确实看不到内容,但是高权限风控的可以看到吧~
|
7
lagoon 2021-05-25 09:49:38 +08:00 1
双重加密,和端对端加密怎么是一个东西呢?完全不是一个东西啊。
至于说“即便黑客拿到了数据,也会因为无法取得密钥,而无法破解” ,没问题啊。前提说了,是黑客只拿到了数据,没拿到密钥。 “语雀的开发人员,也无法看到你的内容”,也没问题啊,并没有说,除了你自己,其他人无法看到,也没有说“语雀的领导”,想看无法看到。 |
8
Lemeng 2021-05-25 09:54:24 +08:00
密钥类的,一般密钥在手,可能真的有那么安全吧
没必要虚假宣传 如果虚假宣传,容易绝杀自己 |
9
q197 2021-05-25 09:56:27 +08:00
@swulling 我不知道这个 app 功能有哪些,如果有分享功能肯定不是加密的,毕竟这样人家也看不了。还有这个描述可能是接入了敏感字检查的 api
|
11
EasonC 2021-05-25 10:03:21 +08:00 via iPhone
反过来问你一句,你觉得 notion 这类笔记软件数据安全吗?或者再问你一句,你敢不敢不用国内的个人开发者的私有云服务器同步的人笔记软件呢,你觉得你的数据在个人开发者自己的私人服务器里数据会不会比语雀安全呢?
|
12
czfy 2021-05-25 10:08:27 +08:00
在国内,所有国产的大型互联网服务必然接入监管审查,所有 “加密” 都不过是笑话,这个为审查开的口子,必然也有可能被其他方利用
在国内提供服务的外国厂商,不确定。像苹果这种有云上贵州的,理论上也是全盘接入监管审查 |
13
murmur 2021-05-25 10:12:46 +08:00
不要相信国内任何的什么保密、安全,不能审查他这项目就没法上线
|
15
swulling 2021-05-25 10:15:55 +08:00
@q197
1. 都明文传递给第三方了,哪怕是调用 API,请问如何保证第三方不额外保存一份到本地? 2. 根据服务协议:除以下情形外,我们不会将您的个人信息、数据转移或披露给任何非关联的第三方: (1) 相关 xxxxxxxxxx 要求; (3) 为提供您要求的服务所必需; 请问都加密了,数据怎么转移给用户部门? 3. 端到端加密是违法行为,必须提供给有关部门原始数据。这事吧要么他(用户)进去,要么你进去。 |
16
swulling 2021-05-25 10:17:38 +08:00
不对外分享的私有数据也是会审查的,你要是不信,你就去下载一些 BK 信息,然后传到语雀上。看看什么时候被抓~
免责声明:因此造成的一切后果自己承担哈。 |
17
timethinker 2021-05-25 10:43:49 +08:00
端对端加密意味着服务端压根不知道你存的什么东西,跟我本地加密然后上传 Github 是一样的吧。
|
18
SunSurprise OP 这么统一的回复,看来问号都可以去掉了。要保证数据隐私,还是得靠端到端加密,其他地方只能放公共内容。
|
19
SunSurprise OP @lagoon 文字游戏。。。
|
20
SunSurprise OP @EasonC Notion 没有宣称过加密,反而承认过数据对他们是可见的。不是端到端加密,都不靠谱,主体是个人还是公司都一样。
|
21
efaun 2021-05-25 15:24:10 +08:00
上网不涉密,涉密不上网
|
22
jsq2627 2021-05-25 15:40:04 +08:00
双重加密:
db.save(aes(aes(data, key1), key2)) 懂什么意思了吗 :doge: |
24
PerFectTime 2021-05-25 17:24:36 +08:00
敏感数据建议使用自建服务
|
25
cosmtrek 2021-05-25 19:53:44 +08:00
再加密也是会有审查的
|