@Phoenix_lament #177601 @sag_macerator #179047

目前正在对代码进行重构，重构完成之后，将根据异常类型回报400、401、403、404、409和422错误：）

使用方法

1. 行内公式用\\(和\\)括住表示，例如：

若函数 \( f(x) \)在点 \( x_0 \) 的某个邻域上解析，则称\( f(x) \)在点 \( x_0 \)处解析。

2. 独占一行的公式用一对美元符号$$括住表示，例如

波动方程：

$$ \frac{\partial^2u}{\partial t^2} - a^2 \nabla^2 u = f $$

高斯分布：

$$ \frac{1}{\sqrt{2\pi}\sigma}e^{-\frac{x^2}{2\sigma^2}} $$

CSP规则已更新，现在的规则比之前更严格，并且修复了Youtube无法播放的问题。

default-src 'none';

base-uri 'self'; 

upgrade-insecure-requests; 

script-src https://2047.one/js/ https://2047.one/highlight/ https://2047.one/cdn-cgi/; 

style-src 'unsafe-inline' https://2047.one/css/ https://2047.one/highlight/; 

connect-src 'self'; 

form-action 'self'; 

frame-ancestors 'none'; 

frame-src 'self' https://youtu.be https://www.youtu.be https://youtube.com https://www.youtube.com; 

img-src 'self' https://telegra.ph https://www.telegra.ph https://web.archive.org https://i.imgur.com https://pbs.twimg.com https://i.ytimg.com https://upload.wikimedia.org; 

manifest-src 'self'; 

media-src https://youtu.be https://www.youtu.be https://youtube.com https://www.youtube.com; 

worker-src 'self';

@Prometheus #178213

意思也就是他的硬盘上存储的这些信息可能没来得及物理销毁,而被人身胁迫强制恢复数据

name站的敏感信息，很有可能泄露，这一点需要做最坏假设。

现在的2047.one运行在一台全新的、安全的服务器上，保存有2047.name数据的旧服务器，已经在1月7日-8日当天彻底失去连接，我们目前也无从知道其下落。

于是47.name网站服务器的私信聊天记录，和日志也会泄露用户信息和IP？因为47.name为了管控小号海破坏秩序(某山东大学、鼠人之类的恶意用户)，还是有临时的IP存储日志吗？

目前所知，2047.name会把用户IP显示在屏幕上，但不会永久、持久化地记录用户IP。

但是如果您了解shell编程，就会知道屏幕上的信息可以很容易的通过重定向功能记录到硬盘上。我们不知道thphd是否会把敏感信息重定向存储为文件。为了安全考虑，需要按照最坏情况假设，也就是服务器记录敏感信息并且敏感信息泄露。

47.one取消了这个临时记录功能？

是的。2047.one不记录IP、不接收用户IP地址，我们屏蔽了HTTP请求中的CF-Connecting-IP和X-Forwarded-For标头，因此服务器根本不知道您的IP地址，更不会记录IP。

@Prometheus #178209

非TOR如果有WebRTC保护工具，是否就没有泄露？没有浏览被植入的“思第芬”的帖子就没事吗？

是的。如果同时满足以下三个条件，那么您的IP不会泄露：

1. 您使用VPN或代理浏览2047。
2. 您的浏览器对webRTC泄露有特别保护。例如，安装了广告拦截插件ublock origin。这款插件可以主动拦截webRTC请求。
3. 使用全局代理模式，而非“绕过中国大陆IP和网站”模式。

如果不确定IP是否泄露，可以用当时的浏览器和代理环境，访问 <browserleaks.com/webrtc> 检测安全性。如果在检测报告中没有显示自己的真实IP，那么就说明没有发生IP泄露。

最近几天，我们发现了针对2047.name域名的入侵。我们的旧域名账户遭到了不明人士的举报，并且账户被域名商锁定，当我们向域名商申诉解锁时，被告知要提交实名信息才能解除锁定──我们认为向域名商提交身份，风险极高，因此我们不会配合他们的要求。

与此同时，与该域名账户绑定的邮箱也收到了重置密码的请求。根据邮箱运营商给我们的答复，要求重置邮箱密码的不明人士，提交了自己的身份信息，因此邮箱运营商将可能在未来一段时间里，把邮箱所有权转移给此不明人士。

我们认为这些行为的目的在于控制2047.name域名。遗憾的是，当初2047.name站长选用的域名商并非主打匿名和隐私的域名商，只要有人向此域名商提交自己的真实身份并通过认证，就可以控制某个匿名账户下的域名。由于原2047站长thphd已经大概率被中国警方抓捕，我们认为中国警方很有可能会首先控制域名绑定的邮箱，再向域名商提交他的真实身份，从而获取域名的控制权。我们会尽力与域名商交涉，确保旧域名name的安全。

2047.one非常安全，大家可以放心。我们现在的域名通过离岸公司注册，它不受中国境内法律约束，在中国没有利益牵涉，在匿名和隐私方面也有良好的声誉。因此，我们强烈推荐您通过新域名2047.one来访问本站。

@通音宽依 #177957 PGP登录功能暂时不能使用，请等待更新。

目前为了减小攻击面，提高网站安全性，暂不支持自定义颜色。

将来界面会继续调整，未来可能会推出夜间模式以方便浏览。

tor浏览器的safest模式会禁止JavaScript执行，然而2047的很多功能依赖JavaScript提交异步请求，例如点赞，登录，收藏，使用非JS方法实现这些功能会对用户体验造成严重的影响。

此外，为了保证用户的安全，我们不接收用户的明文密码。2047的前端会在用户登录和注册时用JavaScript实现的密码散列函数对密码进行混淆，基于此，目前亦无法做到全站禁用JavaScript。

2047现在已经开启了严格的内容安全策略禁止站外脚本和网页内嵌脚本执行，可以不必担心XSS攻击。如果仍然对浏览器的安全性有担忧，推荐使用whonix操作系统进行双虚拟机隔离上网。

目前已移除githubusercontent图片源

@通音宽依 #177559 @asdfghjkl #177590 @消极 #177612 @CourtPie #177735 非常感谢建议和反馈。我们会进一步商讨CSP的具体策略。

@鹿卡申科 #177543 2047.one 下线后，管理员在matrix上收到不少网友对新站的问题。此贴即对常见问题的归纳。感谢各位的反馈。

@自由之巔 #177472 @Shawshank #177542 @鹿卡申科 #177545 感谢。欢迎。希望各位新年都平安。

是谁在运营2047.one？

2047.one现在由原2049BBS和2047.name的老用户运营。自成立以来，2047一直遭到来自中国境内的猛烈网络攻击，由于本站的前两任站长均遭到中国当局抓捕或疑似抓捕，考虑到运营网站的高度风险，我们决定不对外公开网络身份，希望大家理解。

2047现管理团队的决策方式是怎样的？

2047现管理团队通过民主投票进行集体决策，具体运作方式见2047基本法与2047行为倡议和管理员守则。

你们为什么如此肯定thphd被中国当局抓捕？

在2021年12月底，我们发现了针对2047的网络攻击。根据这次网络攻击的专业性看，我们和thphd认为，此次攻击是由政府主导的黑客攻击。在发现黑客攻击之后，thphd意识到自己的IP地址已经被当局发现，鉴于此，我们商议和thphd每日互报平安。在1月7日，我们发现thphd失联并且网站下线。thphd失联至今。2022年1月底，我们发现了对于2047.name域名与相关邮箱的入侵企图。种种迹象表明thphd已经被当局抓捕。

其它关于thphd本人的问题，由于涉及他的隐私，我们不便回答，希望大家理解。

你们为什么有2047的老域名和数据库？

thphd在12月底发现黑客攻击之后，向我们转交了域名和数据库。

为什么2047下线期间“拜登”论坛还能继续运行？

2047.name的网络架构较为复杂，数据会在多个服务器之间转发。2047主服务器下线，不影响其它服务器转发流量，因此“拜登”论坛一直在线。

为什么2047下线后最初显示thphd写的公告？

中继服务器检测到2047主服务下线就会自动显示这个公告，无须人为干预。

2047的品葱主题和膜乎主题去哪儿了？

使用品葱主题和膜乎主题是2047.name站长的个人决定。现在品葱主题和膜乎主题已经下线，并且未来也不会再使用。

和name相比，2047.one的管理理念是否有变化？

2047.one的管理原则基于2047行为倡议。我们的宗旨是建设理性、认真、友善的高质量中文社区。在保证质量的前提下，我们不对观点做区分对待。

2047移动帖子的标准是什么？

1. 不符合2047主区质量标准的帖子，可能会被移动到水区或“无人区”分区。例如：
   • 未经认真思考的提问：“中国人为什么让人讨厌？”
   • 纯粹的情绪宣泄：“哪个死妈管理员把老子的帖子转水啊”
   • 难以理解的标题和内容：“中华民族理论的奠定者之一康有为子，他噶就说过我们黄种人要进行人种改良噶……”
   • 含有大量事实错误的帖子：“莲花清瘟可以治疗艾滋病”。
   • 其它判例可参见“无人区”分区。
2. 不符合2047主区质量标准的、针对本站或外站人和事的大字报，可能会被移动到“江湖”分区。

2047的新用户是否需要答题或报道？

不需要答题或报道。不过，目前出于防止自动程序刷屏的需要，注册仍然需要完成hCaptcha。新用户发帖有频率限制，在积累够一定数量的赞后，频率限制即自动解除。未来我们可能会适度调整规则。

2047的代码是否开源？

目前2047仍在对老代码进行大规模的加固和重构，因此其内部接口可能不稳定。待重构完成后，我们就会开源全部代码。

2047是否有数据备份计划？

目前2047的数据会每日异地备份1-2次，待代码稳定后，我们还会在GitHub公开备份2047的数据，类似于https://2049bbs.github.io。未来我们计划将站内精华贴上载到ipfs或区块链，让您的作品在互联网上永久保存。

最近一段时间我们大幅加强了2047的安全措施，其中包括添加内容安全策略（Content Security Policy）以防御跨站脚本攻击。12月底2047遭到的黑客攻击就是一次跨站脚本攻击，目前新添加的安全特性，可以永久杜绝此类问题再次发生。

内容安全策略本质上是一个资源白名单。2047除了禁止网页内嵌脚本和跨站脚本执行，还对其它资源加载做出了限制：

• 图片：只允许telegra.ph、imgur、WebArchive、和推特图床的图片加载。

• 视频：只允许youtube链接。

如果您希望把其它安全的图床添加进白名单，欢迎在本贴下面留言。

@冲杯三鹿给党喝 #177469 你们现在也知道了想要的信息，不必在这里和我们持续纠缠。

怎样的信息是想要的信息？

1. 品葱主题和膜乎主题侵犯友站知识产权，因此不会恢复。2047上架这两个主题是thphd个人的决定，与我们无关。

2. 搜索正在测试中，未来一段时间会恢复此功能。

3. 原来的友情链接和显示IP，是thphd的个人决定。新站不记录用户IP，未来计划不接受用户IP（即屏蔽cloudflare ip header），从根源上杜绝安全隐患。此功能将不会上线。

其它功能正在测试中。

@observerEDGE #177260

WebRTC（web real-time connection）是大多数网页浏览器的一个功能，这个功能可以让浏览器绕开代理，直接和远程计算机连接。WebRTC有很多“正常”的用途，例如网页视频会议，WebRTC直接和远程电脑连接，可以降低通讯延迟。

但是黑客也可以利用WebRTC，让别人的浏览器绕过代理，直接和远程电脑连接，这就达到了获取代理背后IP的目的。

注意：WebRTC是浏览器的问题，而不是您使用的VPN的问题。如果您的浏览器安装了屏蔽WebRTC的插件，或者经过安全加固，那么不受WebRTC漏洞的影响。如果不确定自己的浏览器是否有WebRTC漏洞，可以打开代理，用浏览器访问这个链接进行测试：https://browserleaks.com/webrtc

据我们所知，name站长thphd的浏览习惯很糟糕。他在品葱和2047的多处，都透露过自己用不安全浏览器上网。这次攻击导致了他在中国境内的IP地址泄露，而IP地址泄露之时他人亦在国内。众所周知，国内的一切都可以和真实身份关联起来。鉴于此，我们猜测thphd很有可能已经被抓捕。

我们在发现问题后，第一时间清除了黑客的代码，并且修复了漏洞。我们现在删除了thphd添加的很多不安全功能，并且加固了服务器，网站的安全性有大幅提高。比起name我们也更重视用户隐私，不会记录IP和其它敏感信息。不过我们仍然建议访客采取零信任原则，始终用tor浏览器访问本站。

对站务操作的投诉请到这里。

如原账号被封禁请新注册账户投诉。

2047.one有多位超级管理员（简称超管），并共同作为最高决策机构。

2047.one超管每个个人有进行站务处理的权力，包括但不限于转水，删帖，封号，等。如果受超管处理影响的当事人对处理有异议，那么可以向超管群体进行上诉（2047站务处理楼)，如果有两位或以上超管愿意接受上诉，那么超管会进行内部会议，作出决定，并由Admin账号公开投票结果和会议记录，其中的敏感信息会以密文的形式公开，在未来公告解密的方式。

普通管理员（简称普管）会由超管集体任命，普管有进行站务处理的权力，包括但不限于转水，删帖，封号，等。如果受普管处理影响的当事人对处理有异议，可以向超管进行上诉，一位超管会决定维持或者推翻原判，这个决定成为他进行的站务处理。

一切涉及站务的更改会由超管进行内部会议，会议的记录会由Admin账号公开，其中的敏感信息以密文的形式公开，在未来公告解密的方式。

欢迎大家来到2047。

• 关于网站的定位，2047认同旧品葱的原则，并试图在论坛的建设上借鉴旧品葱。参考：【历史文件】品葱行为倡议

【基本规则】

• 如果您尝试遵守上方所提及的品葱行为倡议，那么您应该不会在2047遇到很大的问题或纠纷。

• 管理员的操作遵守基本法，实际操作上会很大程度依照先例和之上提及的行为倡议。参考： 2047.one基本法

• 楼主可以删除自己楼下的发言。管理员鼓励楼主自己审核自己楼中的内容，并会在绝大多数情况下尊重楼主的处理。管理员的管理范围更侧重于楼间的关系，，楼与板块之间的关系，和楼的存在与否。当然在楼主的缺乏下，管理员会介入楼中的管理。

• 如遇楼主审核，管理员建议用户自己开新帖给予反驳。

• 2047拥有黑名单功能，请参考： 新功能：黑名单（已更新，操作简化）

• 个人信息泄露的，经用户申请，可以由管理员进行删除。

• 用户的操作包括： 发帖，回复，点赞，私信，关注，屏蔽。新帖和近评可以看到最新的帖子和回复

• 管理员可以将低质量的帖子转移到水区，可以选择高质量的帖子置顶。

• 关于站务的建议或投诉只应该发在站务区。

• 本站官方Matrix群： teahall:matrix.org，建议加入matrix的时候不使用自己的常用邮箱，而是使用fake mail generator产生的临时邮箱。

待更。希望您能在本站有所收获。

@奭麦郎 #177250

不需要更换设备。

请主要检视是否在私信中提及个人敏感信息，以及12月20-12月27之间使用tor的情况。

公告

我们是原2049BBS和2047.name的管理员。2047.name在12月底遭到了一次黑客攻击，根据这次攻击的专业程度判断，我们认为这次攻击是中国政府组织的行动。这次攻击利用了浏览器的WebRTC功能获取用户代理之后的IP，不过，如果您使用了Tor浏览器，那么这次攻击对您没有影响。

不幸的是，原2047站长thphd在安全方面较为疏忽大意，他未严格按照安全规范，全程使用tor浏览器操作。这次攻击造成了他的ip地址泄露。1月8日左右，thphd与其他管理员失去联系，现已失联一星期。根据各种迹象推测，我们认为thphd很有可能已经被中国警方控制。

在假设thphd人身被控制的前提下，他掌握的部分私人通讯内容和原2047.name的日志可能泄露。请大家以此为前提检视自己的安全措施。如果认为自己的账号有信息泄露风险，我们建议您更换用户名并重新注册新的账号，有泄漏身份可能性的人请做好电子痕迹清除，并且防范喝茶。

我们在这里代替thphd向各位用户为这次的事故道歉。在管理员接管后台后，我们出于安全考虑暂时下线了网站，并进行了代码审计和加固。出于减小攻击面的原则，我们对原2047.name的代码做了大幅度删改，禁用了一部分非必要、可能带来安全隐患的功能。2047.one不记录用户账户和IP地址的对应关系，当然，出于安全考虑，我们仍然强烈建议您使用tor浏览器访问本站。

2047.one是2049BBS和2047.name的继承者，但不是2049BBS和2047.name。我们目前的运营与thphd没有任何关系，将来也不受到他的干涉。我们从原来拥有的代码和用户数据中重建了这个网站，并会将它运行下去。您可以用您在2047.name的账号和密码来登录2047.one。

由于我们无法确定thphd的安危，我们已将thphd的账号禁止登录。我们将持续对thphd的有关消息保持关注。

FAQ

Q: 我用原有2047.name的账号是否安全？

A: 2047原数据库有泄露的可能。您需要考虑您在name时期留在47上的数据（包括私信和登录IP）是否会泄露您的私人信息。如果您的账号曾经泄露过私人信息，或有过使用非加固浏览器（注：加固浏览器如Tor browser等）注册使用2047.name的经历，我们强烈建议您重新注册账号。

Q: 我想保留原有账号，但希望更换密码，可以吗？

A: 2047不储存明文密码，您原有的密码在数据库中以慢哈希算法保存，**因此您的明文密码并未泄露。**若您决定继续使用原账号但担心密码被破解的风险，我们强烈建议您更改密码。

Q: 安全起见我想换一个账号和密码，必须要再考试和新人报道吗？

A: 重新注册账号依然需要考试。如果您是老用户，也可以在matrix大群里联系管理员索取邀请码。

其它：关于本站的其它疑问，例如“2047现在是谁在运营”，“你们为什么有数据库？”，“2047.one比起name有什么变化？”，请参见《2047.one功能改版，以及网友常见问题答疑》

品葱的宗旨是什么？

品葱的创建是希望在繁杂的互联网世界里打造一个客观、理性、认真、严谨的知识分享社区。在这里可以了解更多的知识，和更多有趣的人交流。品葱的名字则寓意为“对知识世界的探寻和挖掘需有像一层层拨开洋葱那样的品格和精神”。

分享是一种精神，是一种快乐。有人说，分享的最大的价值是让我们发现更好的自己、成为更好的人，以及发现更有趣的别人。

• 比如说一个在生活中热衷于谈八卦和星座的女孩儿，在这里认真地撰写与人打交道的长文章；
• 比如说一个在吃饭时沉默寡言的朋友，在这里认真地回答关于电影和古典音乐的问题； ......

品葱和一般问答型网站及论坛有哪些不同？

品葱不同于普通论坛，也不同于一些问答型网站，近些年这些网站虽然普遍存在一些问题：

诸如:

• 戾气较重。因为一些原因，人们似乎在网络变得不太会正常说话了，开口就是嘲讽，不是嘲讽题主就是嘲讽答主。
• 大量的用户更是爱看热闹不爱看严肃的论述，抖机灵爆照吹牛等的回答可以轻易上千赞，而万字的专业答经常是两位数……
• 互怼撕打严重，宁愿赢，不要真相。
• 人身攻击，扣帽子，随口就来。口水战令理性讨论氛围荡然无存。
• 还有如商业营销、大V抱团、组队攻击、欺诈假冒、自我阉割等等。

品葱希望在繁杂的互联网世界里打造一个客观，理性，认真，严谨的知识分享社区，我们深知营造出这样一个氛围很不容易，需要大家一起的努力:)

关于高质量

品葱对内容的质量有要求吗？

是的，我们目的是打造一个高质量的知识分享社区。

品葱对内容做审核删除吗？

在保证内容质量和不情绪化的前提下，我们对涉及的范围几乎不做审核。但我们目前禁止: 广告、淫秽、色情、赌博、暴力、凶杀、恐怖。

品葱推荐提问什么样的问题？

带有知识性的问题，尽量少些八卦问题，不提倡无病呻吟的问题，比如“一个生活平淡的男生是一个什么体验”这样的一些网站经常出现的问题。

回答需要注意什么？

对于回答（不是评论），品葱想营造出一种不专业不了解就不要回答的良性氛围，因为您是在认真地解答问题。对于一个问题，如果您有专业的知识，或一定的观察阅历和见解，抑或是有过相关研究和信息搜集整理，大家期盼着您可以分享出来。如果你只是有所了解，也请尽量搜索过证实过，不要完全凭记忆。随意、明显编造的回答会归为低质量的范畴，并会受到处理，同时也会影响您的的社区声誉。 政治，历史等容易引起争议的话题论据请尽量给出出处（如历史照片，档案解密资料，个人回忆录，维基百科等。国外一些过激和国内一些和谐的媒体请尽量避免）。

评论需要注意什么？

回答是对问题的高质量回复，评论是对回答的补充。评论是一些短小的观点的表达。请尽量避免一些无意义的评论，如“赞”、“呵呵”等。

关于不情绪化

中文网站惯有的戾气是什么？

所谓的戾气，用白话说，就是「写的字，不是人话，不能当人的面说。」 比如

“呵呵，NC，台巴子湾湾滚出大陆……” 真实世界，这些话是不会当着人面说的。

品葱不情绪化的要求是什么？

总结起来就是一句话：好好说话，讲道理。

您持有何种观点立场品葱并不会限制。“避免使用情绪化语言”是品葱管理员最为关注的地方。几乎所有人都有过这样的体会: 网上一看到有人对自己出言不善，再想理性的讨论下去也难了。 针对问题不针对人，指出说的哪里不对，就事论事探讨问题。 Quora能做到理性讨论，上面的中国人也能自觉的理性讨论，为何中文社区就不可以呢？

哪些属于我们禁止的情绪化语言？

比如：

• 用词粗鄙，让人一看就不太舒服： 如“这和xx有毛关系”
• 情绪宣泄: 如“就是讨厌洗地的” “弱智都去地狱吧”
• 嘲讽，无端怀疑（不提供论据）： 如“假的” “你也配谈论约翰洛克么？” “丽江都是坏人行了吧？” “你小号是吧？” “没见过这么厚颜无耻的”
• 扣帽子： 如“行啦，别洗地了。” “你这个五毛。。” “果粉智商。。”
• 口水战： 无休止的无意义的对骂。

对于有人情绪化说话则该如何对待？

1. 如果你发现对方已经脱离了理性的对话题的探讨，进入所谓的“无理取闹, 抓住你一两句话断章取义，毫无思辨”感到不忿，请不要动气，您完全可以忽略（比如你论述民国的某些优点，有人回复“失败者没资格论述历史”）。您不是要说服谁，你说出你的观点，让众葱友能看到就行了。Even if you don't like it, don't shout against it。

2. 点击帖子右下角 “举报”，或者留给我们辛勤的管理员去处理好了。

怎么样才能更友善的讨论？

经过观察和调查统计，我们发现下面一些方法能增加讨论的友好氛围，也能让讨论按照原本的意思进行： 好好说话，什么都能解决；

• 多多赞美，少点批评，每个人都喜欢听到好话；
• 避免使用反问句。“你以为公布官员财产要干什么？”，可以说“公布官员财产的原因原本是”这样的陈述性语句；
• 多说所谓客套话。 如“感谢”，"抱歉，我刚才确实看错了"，"赞同x兄的说法"。

关于其他

其他一些常规的破坏社区氛围的如：

• 注册大量小号, 滥用权利
• 营销广告
• 恶意灌水
• 刻意的作为舆论阵地，比如境外某些组织和境内一些党政机构

2017年6月6日

原文见 https://pincongbackup.github.io/protocol/