这篇仍然是转载。转载不注明出处会被转水。

转载请注明出处。

格式请参考https://2047.one/t/17560。

@hongdisima #183800 感谢您理性沟通的意愿。2047是集体管理制，目前在管理原则和流程上遵循《2047行为倡议》，管理操作在管理日志中可见。如果您对管理员将您的帖子转区有不同意见，可以与@47小管家联系。

另：本主贴言语粗俗，有攻击性，警告一次。如果再犯将会封禁账号。

为什么反贼的运动贴你要转到水？！

本站并不是反共网站，不承诺无条件支持反贼的运动或主张。作为论坛，我们鼓励认真的讨论和思考，欢迎有逻辑、有思想、言语文明、言之成理的帖子，但并不鼓励仅仅是立场“反共”的贴子。

https://2047.one/t/18091 这个帖子转水，和是否反贼无关，而是不适合主区的内容标准。如果想搞一个“大颜色运动”，您可以把纲领写清楚，道理阐述明白。如果内容充实、质量合格，不会转水。

githubusercontent.com允许包含未经处理的图像，理论上可以携带攻击载荷，因此暂时不支持github系的图床。如果要上传图片，建议用支持tor、不关联身份的https://telegra.ph

转载请注明来源。

@jaex #181586

搜索功能在开发计划中，原name站的搜索功能比较耗费资源，易受HTTP DDoS攻击，因此暂时下线。

在搜索功能上线之前，可以在Google，duckduckgo，用site:2047.one 关键字搜索2047站内内容。

暂时还不支持此功能，将来会添加这个功能

@limsupIG0 #180682

你好，首页不能出现针对站内用户或友站的大字报，按照目前的规定，这类贴子应当移入隐藏分区：）

@limsupIG0 #180480 由于主贴是对另一位用户的提问，参考先例（主要内容是对特定用户观点的评价），所以转到江湖。

如果主贴目的是阐述观点或向所有人提问，则归入观点或问题，或按主题分类。

肉身在墙内并且有喝茶风险的，推荐用tor浏览器并启用obfs4网桥，再使用前置代理翻墙。obfs4由学术界设计且经过长时间的严格检验，机场主或GFW无法识别出来你在用tor。

如果一定要用前置代理，建议使用proxy模式，而非虚拟网卡。选择proxy模式后，在浏览器里选择SOCKS v5代理，并勾选Enable DNS over HTTPS，和Proxy DNS when using SOCKS v5，以防止DNS泄露。2047.one目前支持SNI加密，如果担心机场审计，可手动启用SNI加密。

建议用浏览器安全检测工具（https://browserleaks.com/），全面测试上网环境的ip泄露风险：）

2047的前端是安全的。2047现在已经启用了内容安全策略(/t/17300)，启用内容安全策略之后，浏览器不会执行任何白名单之外的脚本，因此黑客无法通过Javascript获取2047用户真实IP地址。

2047的后端代码不记录IP，所以中共网警锁定IP的方法只有两种：

• Cloudflare泄露IP。
• 2047服务器被黑客渗透，后端被植入恶意代码。

如果市值300亿美元的公司Cloudflare被“入侵”，则第一条有可能。如果2047被入侵，则第二条有可能。

如果你用tor浏览器登录2047，网警锁定2047用户IP的方式只有Cloudflare失陷/2047服务器失陷 + tor三层节点都是蜜罐 + 前置代理失陷，中招概率远小于中共明年倒台。

CSP规则更新，增加了hcaptcha和mathjax

default-src 'none'; 

upgrade-insecure-requests; 

base-uri https://2047.one; 

script-src 'self' https://cdn.jsdelivr.net/npm/mathjax@3.2.0/es5/tex-mml-chtml.js https://hcaptcha.com https://*.hcaptcha.com; 

style-src 'self' 'unsafe-inline' https://hcaptcha.com https://*.hcaptcha.com; 

connect-src https://2047.one https://hcaptcha.com https://*.hcaptcha.com; 

font-src https://cdn.jsdelivr.net/npm/mathjax@3.2.0/; 

form-action 'self'; 

frame-ancestors 'none'; 

frame-src 'self' https://youtu.be https://www.youtu.be https://youtube.com https://www.youtube.com https://hcaptcha.com https://*.hcaptcha.com; 

img-src 'self' https://telegra.ph https://www.telegra.ph https://web.archive.org https://i.imgur.com https://pbs.twimg.com https://i.ytimg.com https://upload.wikimedia.org; 

media-src https://youtu.be https://www.youtu.be https://youtube.com https://www.youtube.com; manifest-src 'self'; worker-src 'self';

@asahinaw #180053 已链接。Welcome back.

申请删除葛花A 葛亦民 葛亦民神这三个账号，后两个账号的密码使用浏览器生成，喝茶后已经丢失。现申请删除这三个账号的数据，避免以后再次喝茶

已处理

@falsehippo @Wolfychan @刺刺 @消极

非常感谢各位反馈。封禁用户对于我们是一个非常严肃的决定；超管内部亦有对于规则解读与具体管理思路的分歧。此例中，参与投票的四位超管，三位支持封禁，一位反对封禁，且支持封禁的标准各不相同。

我们的共识是：(1) 遵循程序（请参见基本法与2047行为倡议和管理员守则），接受投票结果；（2）超管组对于案例的讨论（主贴内容）会记录、公开并作为未来的参考；（3）对于各位对于我们的决定的赞成或反对，我们会认真阅读和考虑。

这次的封禁时间线是：

• 2022.2.5 管理员1因为发言礼貌问题封禁用户Albert_Ong。

• 2022.2.5 管理员2提议解封，由管理员1解封，并且与该用户联系提出建议和警告。

• 2022.2.15 管理员3因为发言礼貌问题再次封禁该用户。

• 2022.2.16 用户提出申诉。

• 2022.2.16 超管进行内部会议，讨论后投票，决定维持封禁决定。

• 2022.2.17 正式封禁。

@Antony #179820 是的。2047目前无需考试即可注册。

@zviejfefrnoej #179553

现在支持的图床有：

https://telegra.ph

https://web.archive.org

https://i.imgur.com

https://pbs.twimg.com

https://i.ytimg.com

https://upload.wikimedia.org

@食野之苹 #179524

您好，目前出于用户的信息安全考虑，暂时不支持匿名投票。大多数投票系统为了防止重复投票，所谓的匿名只是前台匿名，后台仍然是可见的。我们担心这种伪匿名会破坏信息安全的零信任原则，所以决定公开投票结果，由用户评估风险。

现在Markdown语法参考指向此贴，旧说明参考：/t/7140

您好，现在2047的精品贴标准是

1. 知识类作品：精品知识类帖子需要是原创作品或翻译作品。原创知识类作品需要体现一定的知识性、专业性、或者观察阅历；翻译作品需要在中文社区内独一无二，可以使用人工翻译，也可以机器翻译之后再做校对，但需要意思准确，语言通顺；

2. 文学类作品：文学作品需要有一定的阅读和欣赏价值，例如原创连载小说等；

3. 新闻：涉及2047的新闻报道，或者真实、可核查、有信息量的第一手消息。

@Phoenix_lament #177601 @sag_macerator #179047

目前正在对代码进行重构，重构完成之后，将根据异常类型回报400、401、403、404、409和422错误：）

@MeltingOwl #178793

点击延时发送后不能关闭页面，因为目前延迟发送是前端功能。之前发生过恶意用户向延时队列提交大量垃圾信息导致溢出的事件，为了防止破坏，暂时取消了后端的延时功能。

茶餐厅已恢复，欢迎大家来留言~

2047有延迟发帖功能。在个人资料的“启用延时发送”里填写yes，然后保存个人资料，再刷新发帖页面，就可以使用延迟发帖功能。

CSP规则已更新，现在的规则比之前更严格，并且修复了Youtube无法播放的问题。

default-src 'none';

base-uri 'self'; 

upgrade-insecure-requests; 

script-src https://2047.one/js/ https://2047.one/highlight/ https://2047.one/cdn-cgi/; 

style-src 'unsafe-inline' https://2047.one/css/ https://2047.one/highlight/; 

connect-src 'self'; 

form-action 'self'; 

frame-ancestors 'none'; 

frame-src 'self' https://youtu.be https://www.youtu.be https://youtube.com https://www.youtube.com; 

img-src 'self' https://telegra.ph https://www.telegra.ph https://web.archive.org https://i.imgur.com https://pbs.twimg.com https://i.ytimg.com https://upload.wikimedia.org; 

manifest-src 'self'; 

media-src https://youtu.be https://www.youtu.be https://youtube.com https://www.youtube.com; 

worker-src 'self';

@Prometheus #178213

意思也就是他的硬盘上存储的这些信息可能没来得及物理销毁,而被人身胁迫强制恢复数据

name站的敏感信息，很有可能泄露，这一点需要做最坏假设。

现在的2047.one运行在一台全新的、安全的服务器上，保存有2047.name数据的旧服务器，已经在1月7日-8日当天彻底失去连接，我们目前也无从知道其下落。

于是47.name网站服务器的私信聊天记录，和日志也会泄露用户信息和IP？因为47.name为了管控小号海破坏秩序(某山东大学、鼠人之类的恶意用户)，还是有临时的IP存储日志吗？

目前所知，2047.name会把用户IP显示在屏幕上，但不会永久、持久化地记录用户IP。

但是如果您了解shell编程，就会知道屏幕上的信息可以很容易的通过重定向功能记录到硬盘上。我们不知道thphd是否会把敏感信息重定向存储为文件。为了安全考虑，需要按照最坏情况假设，也就是服务器记录敏感信息并且敏感信息泄露。

47.one取消了这个临时记录功能？

是的。2047.one不记录IP、不接收用户IP地址，我们屏蔽了HTTP请求中的CF-Connecting-IP和X-Forwarded-For标头，因此服务器根本不知道您的IP地址，更不会记录IP。

@Prometheus #178209

非TOR如果有WebRTC保护工具，是否就没有泄露？没有浏览被植入的“思第芬”的帖子就没事吗？

是的。如果同时满足以下三个条件，那么您的IP不会泄露：

1. 您使用VPN或代理浏览2047。
2. 您的浏览器对webRTC泄露有特别保护。例如，安装了广告拦截插件ublock origin。这款插件可以主动拦截webRTC请求。
3. 使用全局代理模式，而非“绕过中国大陆IP和网站”模式。

如果不确定IP是否泄露，可以用当时的浏览器和代理环境，访问 <browserleaks.com/webrtc> 检测安全性。如果在检测报告中没有显示自己的真实IP，那么就说明没有发生IP泄露。

@通音宽依 #177957 PGP登录功能暂时不能使用，请等待更新。

目前为了减小攻击面，提高网站安全性，暂不支持自定义颜色。

将来界面会继续调整，未来可能会推出夜间模式以方便浏览。

tor浏览器的safest模式会禁止JavaScript执行，然而2047的很多功能依赖JavaScript提交异步请求，例如点赞，登录，收藏，使用非JS方法实现这些功能会对用户体验造成严重的影响。

此外，为了保证用户的安全，我们不接收用户的明文密码。2047的前端会在用户登录和注册时用JavaScript实现的密码散列函数对密码进行混淆，基于此，目前亦无法做到全站禁用JavaScript。

2047现在已经开启了严格的内容安全策略禁止站外脚本和网页内嵌脚本执行，可以不必担心XSS攻击。如果仍然对浏览器的安全性有担忧，推荐使用whonix操作系统进行双虚拟机隔离上网。

目前已移除githubusercontent图片源

@通音宽依 #177559 @asdfghjkl #177590 @消极 #177612 @CourtPie #177735 非常感谢建议和反馈。我们会进一步商讨CSP的具体策略。

@鹿卡申科 #177543 2047.one 下线后，管理员在matrix上收到不少网友对新站的问题。此贴即对常见问题的归纳。感谢各位的反馈。

@自由之巔 #177472 @Shawshank #177542 @鹿卡申科 #177545 感谢。欢迎。希望各位新年都平安。

@冲杯三鹿给党喝 #177469 你们现在也知道了想要的信息，不必在这里和我们持续纠缠。

怎样的信息是想要的信息？

1. 品葱主题和膜乎主题侵犯友站知识产权，因此不会恢复。2047上架这两个主题是thphd个人的决定，与我们无关。

2. 搜索正在测试中，未来一段时间会恢复此功能。

3. 原来的友情链接和显示IP，是thphd的个人决定。新站不记录用户IP，未来计划不接受用户IP（即屏蔽cloudflare ip header），从根源上杜绝安全隐患。此功能将不会上线。

其它功能正在测试中。

“猜测已由迷雾通官方关闭了这一功能。”

金吉拉担心暗网用户干坏事导致迷雾通背黑锅。因为迷雾通的出口ip很少。

@observerEDGE #177260

WebRTC（web real-time connection）是大多数网页浏览器的一个功能，这个功能可以让浏览器绕开代理，直接和远程计算机连接。WebRTC有很多“正常”的用途，例如网页视频会议，WebRTC直接和远程电脑连接，可以降低通讯延迟。

但是黑客也可以利用WebRTC，让别人的浏览器绕过代理，直接和远程电脑连接，这就达到了获取代理背后IP的目的。

注意：WebRTC是浏览器的问题，而不是您使用的VPN的问题。如果您的浏览器安装了屏蔽WebRTC的插件，或者经过安全加固，那么不受WebRTC漏洞的影响。如果不确定自己的浏览器是否有WebRTC漏洞，可以打开代理，用浏览器访问这个链接进行测试：https://browserleaks.com/webrtc

据我们所知，name站长thphd的浏览习惯很糟糕。他在品葱和2047的多处，都透露过自己用不安全浏览器上网。这次攻击导致了他在中国境内的IP地址泄露，而IP地址泄露之时他人亦在国内。众所周知，国内的一切都可以和真实身份关联起来。鉴于此，我们猜测thphd很有可能已经被抓捕。

我们在发现问题后，第一时间清除了黑客的代码，并且修复了漏洞。我们现在删除了thphd添加的很多不安全功能，并且加固了服务器，网站的安全性有大幅提高。比起name我们也更重视用户隐私，不会记录IP和其它敏感信息。不过我们仍然建议访客采取零信任原则，始终用tor浏览器访问本站。

@奭麦郎 #177250

不需要更换设备。

请主要检视是否在私信中提及个人敏感信息，以及12月20-12月27之间使用tor的情况。

https://twitter.com/nyrola/status/1473358010823188490?s=20

@solids #135086 下次可以直接置顶。