访问地址: https://nodebe4.github.io/opinion/
每篇文章搜集被跟踪的评论者每一周的言论,每小时自动更新一次。例如:u/Spinkcat在2020-06-01~2020-06-07的言论
与reddit本身按发言时间倒序排列的方式不同,这个网站是按照主贴的发布时间排序,将同一个主贴下的评论按照 从旧到新 的顺序排列,更符合阅读习惯。而且按照主贴产生目录,有类似2049bbs的回到顶部的快捷按钮。
https://nodebe4.github.io/opinion/feed.xml
jekyll serve或 bundle exec jekyll serve
如果您是清华校友,除了给国会议员写信,还可以通过校友会帮助蔡伟说情。
资源:端点星案新闻报道汇总 https://be4.herokuapp.com/topic/213/
联系方式 (微信) http://nafthaa.org/index.php?option=com_content&view=article&id=105&Itemid=584
北美清华校友会联合会理事介绍 (可以在网上搜索理事会成员的电子邮件)
第二届(2019年10月 - )
秦泗钊 理事,理事长 入学专业及年级:自动化,1979级 最高学历:美国马里兰大学化工博士学位 目前工作及职务:美国南加州大学讲席教授
仰文奎 理事,会长 入学专业及年级:无线电,1980级 最高学历:美国斯蒂文斯理工学院计算机硕士 目前工作及职务:清河资本合伙人
陈苑生 理事,副会长,分管宣传 入学专业及年级:无线电,1981级 最高学历:美国迈阿密大学经济学博士 目前工作及职务:Afiniti Inc., Distinguished Data Scientist
何宇滔 理事 入学专业及年级:电机,1985级 最高学历:加州大学洛杉矶分校计算机博士 目前工作及职务:美国宇航局喷气推进实验室高级研究员
张乐 理事 入学专业及年级:物理,1986级 最高学历:Syracuse大学材料科学与工程系硕士 目前工作及职务:清华校友总会副秘书长,诚志股份有限公司专务副总裁
曹永刚 理事,秘书 入学专业及年级:经管,1986级 最高学历:东北财经大学硕士和中国人民大学博士 目前工作及职务:教育和投资咨询业务
刘伟 理事,常务副会长兼秘书长 入学专业及年级:计算机,1988级 最高学历:加拿大约克大学 Schulich 商学院MBA 目前工作及职务:加拿大电信企业 Telus 任职资深数据库架构师
叶菁菁 理事,法律顾问 入学专业及年级:无线电,1993级 最高学历:纽约州立大学布法罗分校法学博士 目前工作及职务:律师事务所 Culhane Meadows合伙人,Ye & Associates 创始人
庄晓丹 理事,副会长,财务长 入学专业及年级:电子工程,2001级 最高学历:伊利诺伊大学电气和计算机工程博士 目前工作及职务:苹果公司,机器学习研究经理,高级机器学习研发工程师
闫瑾 理事 入学专业及年级:数学,2004级 最高学历:美国马里兰大学数学系数理统计博士 目前工作及职务:Capital One数据科学高级经理
陈科 理事 入学专业及年级:电子工程,2004级 最高学历:美国Notre Dame电机工程博士 目前工作及职务:Google美国总部AI Research (Brain)软件工程师
蔡伟同学,
通过新闻,我得知了你的名字、长相和简历。没想到那句“我们终将在没有黑暗的地方相见”的诺言,竟然以这种不幸的方式实现了一半。
让我先澄清一点,小二并不等于蔡伟或者蔡伟加小唐,事实上两者差异巨大。小二是一个有无数可能性的神秘匿名ID,而蔡伟和小唐则是现实生活中两个真实的人。这封信是写给清华的毕业生蔡伟,而不是写给量子态的小二。对无知之幕背后的小二,BE4的态度取决于小二的众多可能的动机与身份之中最小风险的那个。对于蔡伟,一切要简单得多。
在千千万万在极权体制下受到压迫、打压、监禁的人之中,你有一份漂亮的简历和一颗赤子之心。在你重获自由之后,请认真考虑出国这条路。在新的环境里,你可以选择像柴玲、李禄那样重新探索人生的其他可能,这些可能性当然也包括继续坚持端点星背后的理想。相信我,你可以做下一个Jennifer Pan, Weifeng Zhong, 方可成,裴敏欣,名单还可以很长,他们才是真正改变者中国和世界的人。希望端点星只是你人生的一道开胃菜,而不是你后半生吹嘘、回味或感伤的青春祭奠。
如果双方父母同意,建议你跟唐女士尽快结婚,这应该是出来后的第一件事。你可能没什么经验,遇到甘愿跟你一起做这种“蠢事”的女人,果断娶别犹豫。你的师长都评价你这人老实得一逼,我觉得你头脑里确实有不少中国社会的狗屎理论,所以必须单独就这件事提醒你。女大三抱金砖,唐女生其实根本不在乎你成不成功,别自卑,别犹豫。
以上
Your F--king BE4
我认为就是新品葱站长出卖了小二,因为小二参与新品葱早期开发,并且垫付了服务器和 域名费用。新品葱站长给小二转过帐,他是唯一一个知道小二的真实身份的人。
BE4离开新品葱时给新品葱造成较大冲击,而小二的新品葱帐号被肢解之后,被新品葱站长以真实身份要挟,要小二排挤BE4,小二照做了,并且将新品葱的内容移入搜索引擎无法获取内容的“树洞”版块。
但3、4月份小二容忍rebecca在2049发针对一只鹿儿和懦夫斯基的大字报,并揭发新品葱的关键字审查系统等问题,给新品葱造成第二次危机。小二在遭到第二次威胁之后,关闭了树洞,开辟了无人区。但无人区基本上就等于树洞,新品葱站长非常不满意,于是决定斯票出卖小二作为惩罚。
作为新品葱的联络人懦夫斯基应该立刻去掉自己的2049管理员权限,否则这里有强烈的利益冲突。
威胁记录
征集antispam方案 https://2049bbs.xyz/t/3942?btn=next&key=100 @小二 #101 對你而言我並不重要,這是說給別人聽的。你要萬分注意自己的安全,不可魔征。 一只鹿兒 at 2020-04-02 @小二 #100 恁佬说出这种话,恁佬怕是当初和be4就是一伙的吧,现在演不一下去了? 个人建议:网站也关一阵吧,别只关注册 @看电视了 PumpkinAvatar at 2020-04-02 @小二 #93 恁佬随意屏蔽我的发言就已经破坏当初立下承诺的了 PumpkinAvatar at 2020-04-02 @一只鹿兒 #118 明白。 小二 at 2020-04-02 « 回复 123 一只鹿兒 @小二 #123 恩,你小心。 一只鹿兒 at 2020-04-02 « 回复 124 小二 @一只鹿兒 #124 《教父1》柯里昂之所以会被刺杀,就是因为大儿子多说了一句话。 昨天不小心多说了一句话,往后我会注意。 有矛盾不可避免,但是对任何激化挑拨的第三方一定要警惕。 小二 at 2020-04-02 @一只鹿兒 #126 我觉得你呢,不要过于欺骗自己,事实上现在没人会信你。别人对你的客气更多只是为了某种稳定罢了,比如害怕网站整天报5XX。相比你而言,小二更了解我是个什么性格的人,更加了解我现在因为什么目的出现在此。虽然我和小二有过严重过节,但是人家知道我的底线在哪。我个人是劝你珍惜别人对你的正面印象。少点威胁,多点实干吧。 阿離 at 2020-04-02 @看电视了 #130 别人对你的客气更多只是为了某种稳定罢了,比如害怕网站整天报5XX。
我同意,畢竟採取後面這種方式,大家都沒得玩。 一只鹿兒 at 2020-04-02
我认为就是新品葱站长出卖了小二,因为小二参与新品葱早期开发,并且垫付了服务器和 域名费用。新品葱站长给小二转过帐,他是唯一一个知道小二的真实身份的人。
BE4离开新品葱时给新品葱造成较大冲击,而小二的新品葱帐号被肢解之后,被新品葱站长以真实身份要挟,要小二排挤BE4,小二照做了,并且将新品葱的内容移入搜索引擎无法获取内容的“树洞”版块。
但3、4月份小二容忍rebecca在2049发针对一只鹿儿和懦夫斯基的大字报,并揭发新品葱的关键字审查系统等问题,给新品葱造成第二次危机。小二在遭到第二次威胁之后,关闭了树洞,开辟了无人区。但无人区基本上就等于树洞,新品葱站长非常不满意,于是决定斯票出卖小二作为惩罚。
作为新品葱的联络人懦夫斯基应该立刻去掉自己的2049管理员权限,否则这里有强烈的利益冲突。
Please voice for three Chinese Covid-19 activists detained by Beijing police
Dear Sir/Madam [Name of Congressman],
My name is XXX, a resident of [hometown] from the district of Senator [name]. I am writing to urge you voice for 3 young Chinese activists in Beijing, who were detained on April 19, 2020, after sharing censored coronavirus material on crowdsourcing site Github. (Source https://www.scmp.com/news/china/politics/article/3081569/chinese-activists-detained-after-sharing-censored-coronavirus) At this moment, they were kept in an unknown place by Beijing police, leaving their desperate parents alone. Please voice for the trio, calling Beijing to release their detained location and health condition, help them to avoid further restriction of freedom, torture or even disappearance.
"The trio – Cai Wei, his girlfriend, a woman surnamed Tang, and Chen Mei – were contributors to a crowd-sourced project known as Terminus2049 that began in 2018 and collected articles that had been removed from mainstream media outlets and social media. Microsoft-owned Github lets programmers collaborate on code, but has increasingly become a haven for Chinese activists who want to circumvent the Great Firewall to publish censored content."
According to evidences provided by one of their anonymous collaborators (Chinese Source: https://github.com/2049bbs/2049bbs.github.io/blob/master/README.md), Cai Wei is the owner of Github account 'TerminusBot' (https://github.com/Terminus2049), which has been inactive since April 18th. Via TerminusBot, Cai Wei running tens of crowd-sourced social projects, including the crowd-sourced project Terminus2049 (https://github.com/Terminus2049/Terminus2049.github.io) and a Chinese BBS website (url https://2049bbs.xyz, codebase https://github.com/Terminus2049/2049bbs ). The Github account TerminusBot (renamed from Tsai1993) is linked to Cai Wei's Tsinghua university email ([email protected]). Note: In Chinese language, Tsai = Cai, the former is used in Taiwan, the latter is used in mainland China.
Since 2018, the trio and their crowd-sourced social projects made huge impact via fighting the censorship in China. Cai Wei and their online followers are fighting in the frontline for the freedom of speech in China during Hongkong protests and Wuhan coronavius pandemic in 2019-2020. Their crowd-sourced social projects help to wake and encourage tens of thousands of Chinese both in mainland and oversea to join the counter-campaigns against the disinformation campaigns funded and orchestrated by the Chinese Communist Party.
I urge you to voice for these activists, Cai Wei, Miss Tang, and Chen Mei, calling the Chinese police to publish their detaining location and latest conditions, and calling for their immediate release. The three young people are the latest example of human rights abuses and information warfare committed by Chinese Communist Party to its own citizens as well as to the whole world, after the Chinese whistleblower Li Wenliang, and disappeared citizen journalists Fang Bin and Li Zehua.
Here is the detailed information of the three young heroes (Source https://www.epochtimes.com/gb/20/4/25/n12060478.htm ) if any help:
Cai Wei was born in Hubei and was born in 1993. He used to work for an Internet company in Beijing. He got bachelor's degree from Central University of Finance and Economics and master's degree from the Department of Social Sciences of Tsinghua University in 2018. Volunteer in youth education activities during college.
Chen Mei was born in Shaanxi and was born in 1993. He graduated from South China Agricultural University in 2016. Worked in a public welfare organization in Beijing, and raised books and organized public welfare lectures for public welfare activities.
Miss Tang is a native of Anhui. She was born in 1990, graduated from Peking University's Department of Sociology with a master's degree.
Coming from a nation founded on the principles of freedom you must understand how critical this moment is. We have seen first hand the costs of censorship from the CCP in the lives of innocent Americans. This oppressive government has now ripped away the very basic freedom of life and liberty from countless people that it can't go unnoticed. Actions taken during hard times like these define who we are, and sitting back and letting this regime have its way makes us no better than them. If you share these values of freedom that our ancestors risked their lives for I urge you to take action and speak out in support of those fighting for freedom on the front line in mainland China. This isn’t a matter of communism versus democracies, this is a matter of basic human rights.
Thank you very much!
Sincerely,
[Your Name]
[Phone]
[Date]
你曾透露過你爲香港抗爭事件到美國國會作證,請你利用好這個威望,給國會山的朋友寫信,幫蔡偉(小二)和他女朋友一把,避免他們人身安全受到威脅。
感謝。
訊息 https://www.epochtimes.com/gb/20/4/25/n12060478.htm
端點星志願者,即2049bbs站長榴蓮/Ciao/小二,Matters使用者 2049bbs 於2020年4月19日被北京警方抓捕,文後附訊息的圖片版。
首先,2049站長的名字是真實的,他最早在某社交平臺用過Tsai1993的使用者名稱,並且該資訊可以通過2049bbs上的早期帖子追蹤到。而警方公佈的名字是蔡偉,出生於1993年。
其次,這條訊息公佈的蔡偉等人蔘與的志願者內容、位置和學歷資料高度符合我長期線上對小二的認識。他的活動時區就是東8區。他的網路志願者內容和強烈符合他現實生活中的活動內容。
再次,訊息公佈的被捕日期4月19日也是真實的,事實上從4月19日起NodeBE4论坛在連續一週的時間內突然有從未有過的大量爬蟲訪問流量,而在訊息公佈的25日起,爬蟲訪問量已顯著減少。同時這說明,小二被捕之後已立即將他所掌握的BE4的資料全部向中共警察供出。 依此可以推斷,小二還供出了他掌握的其他網路匿名者的資料。
首先,如果您曾經在訪問2049bbs時未曾使用Tor,請立刻停止使用您的2049bbs帳號。
其次,立即取消以下RSS訂閱:端點星、2049bbs、Nei.st(此網站最早在2049bbs被人推廣,且19日-25日RSS出現空白,而25日開始又重新開始推送文章)。防止被跟蹤IP地址等資訊。
再次,如果你的安全措施做得足夠好,從始至終採用Tor訪問一切圈內網站或者敏感網站,請幫助 蔡偉 和 小唐 以及 陳玫 在外網呼籲, 請定期關注他們的人生安全和最新動態,影響力越大越安全,如果沒人討論那他們就更容易受到中共警察的迫害。 可惜的是直到現在,品蔥竟然沒有人討論這件事,連天天巴結小二的懦夫斯基和一隻鹿兒也沒有討論和行動,我感到非常痛心。
最後,基於新品蔥對小二被抓的沉默,結合我先前釋出的品蔥安全措施方面的質疑內容,我現在也強烈建議你立即停止使用品蔥,除非你從始至終都在Tor活動,且自認為自己的活動時段進行了很好的偽裝。
(儘管BE4跟小二有很多意見不合,並在網絡安全方面有過衝突,但BE4絕對不會允許他們的人生安全和權利受到任何侵犯)
請你把我當作殺父仇人,用盡一切手段蒐集我的資料,並通過私信告訴我你搜集到的我的資料和對我的反饋。這對改善我自己的安全會非常有幫助。歡迎你告訴我(BE4),你認為我的興趣愛好是什麼,有什麼語言特徵,有哪些小號,在哪些網站活動,參與了哪些網路匿名活動,掌握哪些github和gitlab帳號,您對我的身份的猜測等等。
您的安全和對我的身份挖掘反饋至關重要,萬分感謝!
https://www.epochtimes.com/gb/20/4/25/n12060478.htm
https://twitter.com/southern_idiot/status/1253970069756850179
https://wo3t.wordpress.com/2020/04/25/北京三名90后武汉疫情志愿者遭非法拘留/
原帖见树洞 https://2049bbs.xyz/t/3699 本帖是纯技术部分, 谢绝碰瓷转水
首發 Matters
不少网站(包括NodeBE4论坛)承诺不记录IP不搜集用户信息,甚至公开自己的源代码来证明自己不记录IP等信息。作出这样的承诺,甚至公开源代码都是很好的。但是承诺和开源就能证明网站不记录你的IP等信息吗?再好好想想。
一句话:这是个无法证明的承诺。
懂技术的和不懂技术的对所谓网站不记录访问者IP这句话的理解可能差十万八千里。
在很多不懂技术的人看来,「一个网站不记录访问者IP」好像意味着自己在这个网站的时候是完全匿名的,世界上没有任何人知道自己的IP地址。更有甚者,一些不懂技术的朋友会以网站是否开源、是否作出这样的承诺来判断这个网站是否保护使用者的隐私,甚至用这个标准来研判网站的安全性。
下面,让我们来逐一破解所谓「不记录IP、不搜集用户信息」的神话:
No,你访问任何一个网站都知道你完整的IP地址,否则你根本无法访问这个网站。当然,你可以用代理、VPN、TOR去掩盖自己的真实IP,但是你访问的网站是知道你的出口IP的。任何一个网站如果自称不知道你IP地址,那它一定是骗子。
例外,某个Wordpress或Blogspot上的博客,比如编程随想的博客,编程随想本人并不知道访问者的IP地址,但是blogspot知道且记录访问者的IP地址。
No,知道你IP地址的可不仅仅是你访问的网站,还有你的ISP、DNS服务器。这篇文章用快递包裹来比喻互联网上的数据包传输,实在再恰当不过。你去淘宝下单时,知道你收货地址的只有网店老板吗?不,淘宝网、快递公司、海关、各种安检、你家小区门卫大爷,全都知道这个包裹的收件人和收货地址。访问网站同样,即便网站真的不把你的IP地址告诉任何人,这中间还有一大堆ISP、DNS服务器、防火墙等等知道你访问了这个网站。否则,你以为金盾工程、防火长城装在哪儿?
除了你和被你访问的网站,还有很多中间环节都知道你访问了某个网站。要保证安全,得靠https、VPN甚至Tor等带有加密属性的措施,让这些中间环节不知道你真实的目的地。
Bullshit! 基本上所有的网站服务器都会保留访问日志,访问日志会详细记录你的IP地址,浏览器,操作系统等信息。
有人会问如果网站用了Cloudflare这样的CDN那就掩盖双方的真实IP了。错!Cloudflare官方网站有N篇技术文档教你怎样获得用户的真实IP。
所有的网站服务器都会记录访问者的IP地址,浏览器等信息,无论你是否登录。区别只有这个记录会保留多久,有的是几个小时几天,有的可能是几年。
如果一个网站承诺不记录你的IP地址,它实际的意思是不会永久保留你的IP地址。
Naive! 首先,网站公开的源代码不一定是它实际部署的代码,实际部署的代码你没有办法看到,只有网站后台管理员能看到。
其次,记录访问者IP地址的操作并不需要在网站源代码里实现。对IP地址的记录这种操作是由更底层的服务器软件实现的,比如前面提到的保留服务器的访问日志就根本不需要网站代码来实现。是的,在网站源代码的层面可以不记录你的IP地址,但是更底层的服务器软件还是会记录你的IP地址。服务器必须知道你的IP地址才能为你服务!
很不幸,根本就没有办法确切地知道。如果一个网站承诺不会记录你的IP地址,你只能选择相信或不相信,没有任何办法知道他是否遵守了承诺。
只有在自己的电脑上下功夫才能保证自己的安全,无论是VPN,Tor,双虚拟机,前置代理,后置代理,消除浏览器指纹的Tor Browser等等。
不要轻信陌生人的承诺,也不要迷信开源。
有注意到 @懦夫斯基 在持續性的誤導論壇使用者對隱私保護的認識,鼓吹品蔥所謂開源不記錄用戶IP的神話,她這種觀點和言論在我退蔥之前幾個月就有,無論是確實因爲技術白癡,還是有意誤導,隨着她的影響力擴大,她的錯誤觀點已經造成嚴重的安全性隱患。
爲了駁斥和彌補這種流行的錯誤觀點帶來的危害,特寫此文,打臉那些迷信「開源和不記錄IP」的神話。
給大家交個底,我從來不直連任何網站,無論是否以任何帳號還是完全匿名瀏覽,我都從來不直連品蔥、2049bbs、matters、包括我自己建立的網站。傳播錯誤觀念的人,造成的實際效果跟釣魚無異。
從來都是用Tor、或VPN+Tor、Tor+VPN等方式訪問這個圈子裏瞭解到的一切知識、一切網站,never ever裸奔。
你的瀏覽器和網站之間還有無數個路由器、防火牆、DNS服務器、網關等設備,即便是你身在海外,這些設備和網絡運營商都可能有漏洞,都可能有間諜僱員或者被黑客攻擊控制,就連CIA內部都可能有中共間諜或者被中共黑客入侵。
跟你的政治觀點相左的人甚至跟你在網上鬥得死去活來的「敵人」,有可能就在Google、Cloudflare、虛擬主機和域名提供商內部工作,也有可能他就在信用評級機構或者數據分析公司工作。一個掌握你個人信息的人,只要用心想,總能找到那種巧妙、無蹤跡的方法泄漏你的個人信息,對你造成傷害。
認爲自由世界的互聯網就是安全的這種觀點,是完全錯誤的,十分愚蠢的。
BE4 at 2020-03-25
站在用戶的角度,從安全性上來說,以下模式沒有任何區別
開源+不記錄IP的申明 (品蔥、2049) = 不開源 + 不記錄IP的申明 (NodeBE4) = 開源+記錄IP = 不開源 + 記錄IP = 不開源 + 記錄IP + 記錄瀏覽記錄 (matters) = 不開眼 + 無任何申明
因爲根本不可能驗證。
正確的思維方式是,根據你活動的性質決定是直連,還是虛擬機+Tor,還是非虛擬機 Tor Browser。 正確的方法是多參考PrivacyTools, Prism Break 等隱私工具和策略,而不是聽網紅吹。
順便說一句,Brave Browser已經被PrivacyTools.io Delist了,因爲其隱私保護標準不合格。
BE4 at 2020-03-25
totally agree
但是我补充一点
开源比不开源好,因为如果不是应用程序本身记录ip,而是像cloudflare等防火墙记录的ip,关联发言账号和ip是不太容易的,几乎不太可能。
因此,对于应用程序,还是要开源,而且遵守开源协议也是对源程序的基本尊重。
小二 at 2020-03-26
@小二 #28 文中已经提到了Cloudflare可以提供访问者真实IP。Cloudflare官方为常见的服务器平台提供获得访问者真实出口IP的插件,随便搜一下关键词就能找到官方文档,这些插件都是配置在服务器平台层面。cloudflare隐藏IP的功能是单向的,只对访问者隐藏服务器IP,对服务器并不隐藏访问者IP。
如果是登录用户,用论坛数据库很容易匹到服务器访问记录。服务器访问日志记录每条访问完整的请求路径、来源IP、访问时间。论坛数据库包含登录用户每一条留言、赞踩的时间和先后顺序。很容易匹配出哪条访问日志对应到哪个登录用户。品葱的时间模糊很可能只是前台显示的模糊,而非真实数据库的模糊。即便是真实的数据库记录时间模糊,数据库还是保留了每条记录真实的产生顺序。对于登录用户而言,记录产生的顺序跟服务器日志的顺序是相同的,只要有几十条记录就能匹配出服务器日志里的记录。这些匹配甚至可以用独立于论坛应用程序的第三方软件实时实现。
如果论坛应用记录浏览历史,像matters那样,那么非登录用户也能很容易的被匹配出来。
所以,只要是裸奔的用户,无论网站应用软件如何不保留用户IP,都非常容易精准还原其常用登录IP和访问设备。因为裸奔用户的IP基本上是固定的,而且如果用户用不同的设备登录网站,常用设备也很容易被还原出来。 BE4 at 2020-03-26
对了,纠正一下4楼的表述错误,NodeBE4用的是开源论坛软件,NodeBB
BE4新闻站的源代码会在适当条件下开源,现在只有4、5个活跃用户,现在我一开源别人直接拿去建个一模一样还是一级域名的网站,那我不是成了凯子了?新闻聚合类网站的价值只有在有足够数量和质量的活跃用户之后才难以被抄袭。除非有人能提出更有说服力的理由,否则肯定是要等一个足够健壮的用户社区形成之后才会开源。
初始源代码的AGPL协议,那个代码问题很多,基本上都被我重写一遍了,今后多半会换个技术架构重写一个。 BE4 at 2020-03-26
本贴只欢迎讨论技术相关,谢绝以评论区风向为由转水,授权管理员将不相关回复折叠。
在某站刚建立的头几个月,大家对于上网安全有一条基本共识:绝对不要裸奔,一律用Tor访问某站。但是这条上网安全的社区共识在某位自称“技术白痴”的用户出现之后,逐渐地被彻底改变了。
我对这位“技术白痴”最初的印象非常好,因为她对信息战和水军操纵手法方面很有见地。于是,我经常在处理这类问题的时候以admin的身份@她。虽然她对我的态度在我退出之后的几个月里,经历了180度的转变,从最初一段时间的尊敬到现在如今经常在我“看不到的角落”完全否认我对其曾经的提携,并带头发起不理睬运动,甚至引用「半灌水歪理邪说」理论攻击我是跟踪狂。通过种种人格抹黑,试图吓退到其他网友访问我建的网站。
以上旧事旨在阐述本文的利益相关,本文对此人的质疑必然受到这些往事的影响。
在我退出某站之前,这位“技术白痴”向某站提出了一条建议,要求对站外链接一律加风险提示,防止网友被钓鱼。当时也有包括我在内的网友指出,这种提示对改善安全性毫无帮助,正确做法应该鼓励大家都通过Tor Browser访问,因为网友并不知道这些外链到底有什么风险,该点的还是会点,该中招的还是会中招。
但是,某站还是采纳了这样一条有争议的建议,最初的实现方式是加了一个弹出风险提示框,用户点一次确认按钮才能访问外链,这样是防止用户手滑点了本来不想点的情况。
这位自称“技术白痴”的人又好像比鹿儿这种真正的技术白痴,更懂一点技术。
这事发生在小二和我退出之后的某个时间。如今,点击某站正文中外链,一律会先打开一个缓冲页面。这个缓冲页面有一个独一无二的网址
https://<某站的域名>/url/link/aHR0cHM6Ly93d3cuYmJjb2RlLm9yZy9yZWZlcmVuY2UucGhw
其内容则是一条免责声明
以下链接与本站无关, 请谨慎访问 https://www.bbcode.org/reference.php
在技术层面,这个缓冲页面跟页面内利用JS弹出提示框有什么区别呢?
JS弹出框完全是在你的浏览器内部执行,不会跟网站服务器发生关系。也就是说,虽然页面提示了你,但网站服务器是不知道你点了页面内的哪些外部链接的。
从用户的角度看,缓冲页面跟JS提示框的功能差不多,但从技术的角度,打开这种缓冲页面会在网站服务器的日志里留下一条记录,这样就为网站在后台搜集记录跟踪用户的动作,提供了机会。
最坏的情况下,该网站可以利用服务器日志获取用户在访问网站时点了哪些外部链接,从而挖掘用户的兴趣等。最好的情况,该网站的日志被定期删除,不被用来搜集和跟踪用户行为。作为用户,网站是一个黑箱,你永远不知道网站服务器内发生了什么。但是,从保护自身安全的角度,用户当然应该对黑箱作最坏的假设。
通过上述一系列的操作,某站为普通用户创造了一种安全的心理暗示。某站如今涉及讨论和普及Tor的帖子已变得无人问津——反正又不记录IP不记录访问历史,且有公开的源代码证明,大家用Tor还有什么必要呢?简直是多此一举。
某站最初鼓励带Tor的氛围,在其建立一年后,已经消融于无形。
“技术白痴”在这种氛围的转变中,起到了什么作用呢?碰巧她的建议一开始就是要增加那些直连裸奔用户的心理安全感,对真正改善他们的安全处境毫无帮助。每个外链都弹出一个提示窗口,除了作为网站免责声明以外,有什么用呢?第一次见到这个网址 https://www.bbcode.org/reference.php 你知道这个网页有恶意代码吗?这样的措施,只会让用户放松警惕,觉得裸奔和带Tor区别不大。然而,裸奔直连的危险在于,网络上每一个环节都知道你访问了某个链接。
站在正常人的角度,推动这个改动的人还真是一个不折不扣的“白痴”。但是如果从另外一个角度看,她可真是一位不折不扣的“天才”。
根据上一篇文章 https://2049bbs.xyz/t/3699 的回复内容的反馈,写本文。
小二和某傻逼站长对流量跟踪码是什么根本就是一知半解,靠道听途说和脑补,把流量跟踪码说成是试图获取网站访问者身份的钓鱼行为,更是发展出一套所谓「BE4是跟踪狂」「没有流量跟踪码的网站就是安全的」等等歪理邪说。
原来你们搞技术主要是靠脑补啊。如果不是有人认真研究实验过,还真被这套歪理邪说给骗了。
X「BE4是跟踪狂」
X「没有流量跟踪码的网站就是安全的」
上面两个都是假命题
大家日常访问的绝大部分网站都部署了流量跟踪码,这里有张统计截图 https://i.imgur.com/ej3fwAZ.jpg 其中的数字代表阻断了多少次跟踪请求。
至于为什么这些网站要部署流量跟踪码,上面那张截图的来源网站给出了更好的解释,这里就不重复了,有兴趣多了解的朋友可以去读这篇文章。
这里强调两个事实
对于「部署方」来说,如果要获取访问者的身份,直接在自己服务器上部署跟踪码就行了,根本不需要在网页部署跟踪码。网页的跟踪码没有隐蔽性,查看网页代码就都可以看见,而且还容易被浏览器block。事实上Netlify就提供了服务器端的流量/点击统计,无需任何跟踪码。
「部署方」利用跟踪码主要是为了方便的获取「有公信力的」流量统计。这些流量统计可以帮助「部署方」优化运营,甚至吸引投资,因为对于绝大部分网站而言,流量就是现金。
问题来了,跟踪码的「提供商」为什么要「免费」提供流量跟踪码,以及相关的流量统计服务呢?
跟踪码主要是用于流量分析和广告投放,它给用户带来的隐私威胁主要在于可能被跟踪码提供商分析用户的个人偏好。拿最流行的Google Analytics(简称GA)来说,由于大量日常访问的网站都使用GA提供的跟踪码,这就让Google能够了解一个人在无任何防护措施下的日常上网习惯,从而让谷歌掌握这个用户的大量隐私和偏好。比如,用户的常用设备、常用IP地址,上网习惯,常访问的网站、应用等等,从这些信息可以分析用户的偏好、财富、位置、性别、年龄、种族等等许多隐私信息。Google主要用这样的个人信息和偏好向你精准的投放广告,因为广告是谷歌的主要营收来源。
这里有一篇纽约时报的观点文章,说明跟踪码的普遍程度。I Visited 47 Sites. Hundreds of Trackers Followed Me.
但毕竟Google也是由人运营的,所以让陌生人比自己更了解自己的小秘密,实在是让人不舒服的事。更何况前两年还出现了跟脸书有关的剑桥数据分析丑闻,其中之一的应用便是利用脸书搜集的大量用户私人数据,分析用户的政治倾向,投放竞选广告。值得说明的是,这些数据可不止你在脸书上的活动和个人信息,还有你访问过任何带有脸书插件的第三方网站的记录。把自己的隐私交给Google,FB这些公司其实是很让人不安的,尤其当你是一个持有跟Google或FB公司内部主流的progressive意识形态相反的保守主义人士的时候。
在了解跟踪码的真正目的是尽量搜集你的完整上网记录并数据挖掘分析你的个人偏好之后,你对下面的反跟踪码措施可能会更加理解。
首先,使用全匿名的上网方式,比如Tor Browser,本身就对跟踪码有了天然防护,因为跟踪码提取的用户IP是全球Tor用户公用的Tor节点IP,浏览器指纹也被Tor Browser抹去。所以,Google对这类流量是根本无法定位到个人的。Google的机器人识别系统reCAPTCHA对Tor网络格外严厉,或许也夹带了这点私货。
其次,日常上网不可能全部通过Tor,毕竟Tor很慢。所以在裸奔的情况下,安装阻断跟踪码的插件是非常重要的隐私保护手段。uBlockOrigin是一款能够阻断绝大多数跟踪码的浏览器插件,支持Chrome,Firefox等主流浏览器。它的数据库是由社区维护,并且在不断更新,能够阻断绝大部分主流的跟踪码,充分保护你的隐私。 欢迎你到uBO社区举报尚未被封锁的跟踪码
https://be4-news.herokuapp.com/item/41b63d88-ca51-4ca8-af1f-4b5a905f6303
biteinside是品葱站长不是小二,但是他在试图冒充小二
首發 Matters
不少网站(包括NodeBE4论坛)承诺不记录IP不搜集用户信息,甚至公开自己的源代码来证明自己不记录IP等信息。作出这样的承诺,甚至公开源代码都是很好的。但是承诺和开源就能证明网站不记录你的IP等信息吗?再好好想想。
一句话:这是个无法证明的承诺。
懂技术的和不懂技术的对所谓网站不记录访问者IP这句话的理解可能差十万八千里。
在很多不懂技术的人看来,「一个网站不记录访问者IP」好像意味着自己在这个网站的时候是完全匿名的,世界上没有任何人知道自己的IP地址。更有甚者,一些不懂技术的朋友会以网站是否开源、是否作出这样的承诺来判断这个网站是否保护使用者的隐私,甚至用这个标准来研判网站的安全性。
下面,让我们来逐一破解所谓「不记录IP、不搜集用户信息」的神话:
No,你访问任何一个网站都知道你完整的IP地址,否则你根本无法访问这个网站。当然,你可以用代理、VPN、TOR去掩盖自己的真实IP,但是你访问的网站是知道你的出口IP的。任何一个网站如果自称不知道你IP地址,那它一定是骗子。
例外,某个Wordpress或Blogspot上的博客,比如编程随想的博客,编程随想本人并不知道访问者的IP地址,但是blogspot知道且记录访问者的IP地址。
No,知道你IP地址的可不仅仅是你访问的网站,还有你的ISP、DNS服务器。这篇文章用快递包裹来比喻互联网上的数据包传输,实在再恰当不过。你去淘宝下单时,知道你收货地址的只有网店老板吗?不,淘宝网、快递公司、海关、各种安检、你家小区门卫大爷,全都知道这个包裹的收件人和收货地址。访问网站同样,即便网站真的不把你的IP地址告诉任何人,这中间还有一大堆ISP、DNS服务器、防火墙等等知道你访问了这个网站。否则,你以为金盾工程、防火长城装在哪儿?
除了你和被你访问的网站,还有很多中间环节都知道你访问了某个网站。要保证安全,得靠https、VPN甚至Tor等带有加密属性的措施,让这些中间环节不知道你真实的目的地。
Bullshit! 基本上所有的网站服务器都会保留访问日志,访问日志会详细记录你的IP地址,浏览器,操作系统等信息。
有人会问如果网站用了Cloudflare这样的CDN那就掩盖双方的真实IP了。错!Cloudflare官方网站有N篇技术文档教你怎样获得用户的真实IP。
所有的网站服务器都会记录访问者的IP地址,浏览器等信息,无论你是否登录。区别只有这个记录会保留多久,有的是几个小时几天,有的可能是几年。
如果一个网站承诺不记录你的IP地址,它实际的意思是不会永久保留你的IP地址。
Naive!
首先,网站公开的源代码不一定是它实际部署的代码,实际部署的代码你没有办法看到,只有网站后台管理员能看到。
其次,记录访问者IP地址的操作并不需要在网站源代码里实现。对IP地址的记录这种操作是由更底层的服务器软件实现的,比如前面提到的保留服务器的访问日志就根本不需要网站代码来实现。是的,在网站源代码的层面可以不记录你的IP地址,但是更底层的服务器软件还是会记录你的IP地址。服务器必须知道你的IP地址才能为你服务!
很不幸,根本就没有办法确切地知道。如果一个网站承诺不会记录你的IP地址,你只能选择相信或不相信,没有任何办法知道他是否遵守了承诺。
只有在自己的电脑上下功夫才能保证自己的安全,无论是VPN,Tor,双虚拟机,前置代理,后置代理,消除浏览器指纹的Tor Browser等等。
不要轻信陌生人的承诺,也不要迷信开源。
不信本文的人直接去问编程随想君吧 https://program-think.blogspot.com/
永久域名 https://be4.herokuapp.com
https://be4-news.herokuapp.com/
Hacker News排序算法结合时间和热度两个维度对帖子进行排序,从而避免刷屏或垃圾信息之类的信息污染问题,能够通过社区的力量筛选出最新鲜最受关注的时事新闻。
https://be4-news.herokuapp.com/archivenow/
目前这个存档工具还有点问题,不过可以API调用
比如将https://2049bbs.xyz/ 存档到archive.org
https://be4-news.herokuapp.com/archivenow/ia/https://2049bbs.xyz/
存档到archive.li
https://be4-news.herokuapp.com/archivenow/is/https://2049bbs.xyz/
加密聊天专用贴,内附方法 https://2049bbs.xyz/t/2925
你的用户名我记不太准确,反正你知道是邀请你就行,我知道你都是用一次性ID,没关系聊两句就知道是你。
私聊的主题跟社区有关,大致内容很可能会在两三个月内公开,所以未被邀请的朋友不必多虑。
加密私聊的方法在这里
阅后即焚部分可以选择下列服务
已经公开邮箱的朋友我会陆续给你们发邮件,如果一周内没回应我会在本帖楼层中@你们。
下面是我的RSA公钥,该公钥仅用于论坛私聊,你可以用上述方法给我发加密消息。
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
中央社 武漢肺炎疫情专题
https://www.cna.com.tw/topic/newstopic/2012.aspx
消息相对来说非常即时和全面
作为普通用户,管理员、站长对我们有不对称的权力。而我们有免于恐惧的自由,有说包括站长和管理员在内任何人坏话的自由。还有不需要任何原因的私聊的自由。
我鼓励所有人学习真正安全的私聊手段 https://2049bbs.xyz/t/1912
并且邀请大家都生成并公开自己的公钥,确保任何时候与任何人可以进行1对1沟通。
可以安全的不被窥探的私聊,是制衡公权力的必要手段。
@小二 #16 @懦夫斯基 #15 两位同志,鉴于品葱后台admin先后将小二帐号肢解后又将品葱学院分类取消,我已经不相信admin8964的动机是为了小二的安全或者流量因素。我想跟两位分别私下交换一下看法,请两位申请RSA密钥对,并且公布公钥,我会将我的邮箱地址发送给两位,建议选择具有加密功能的邮箱。
临时RSA密钥对申请+在线加密解密工具
https://www.devglan.com/online-tools/rsa-encryption-decryption?generateKey=
在生成key pair时,Generate RSA Key Online,Select RSA Key Size,请选择4096bit
@懦夫斯基 上面链接包含全部操作需要的密钥生成和消息加密解密,如果有技术上的疑问请留言。
@小二 如果你认为这种方式不够安全,请补充或提议其他方式。
下文是我的公钥
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
Credit: https://civicforum.github.io
感谢一直默默守护知识的英雄们
2049bbs原本是一个网络支点,靠低活跃度排除宣传帐号,保持高信噪比,实际上成为了高效能人士的汇集地。现在考虑用多层次“事业群”的发展概念来保存原有的价值,开辟新的功能。关键是分析需求,然后找到最佳的现成工具去满足已有需求。能用现成的代码就别自己开发,尤其是站长自学go来改变2049bbs这种方式不可取。
先前的讨论分散在不同帖子内,现统一汇集到此。充分论证。
