私人和重要数据不要存放在笔记软件 Craft 中

2022-12-04 13:27:41 +08:00
 Xmk

想不到上次发帖还在给 Craft 做推广,这次发帖就是要质疑了。

事情的经过:

北京时间 12 月 4 日 11:01 我收到一封邮件,提示我的 Craft 账号邮箱已被更改。我登录账号发现,用户名和邮箱确实都被莫名其妙修改了,没有任何验证(用户名被改成了 GuangXuan G ,邮箱忘记截图了)。

我登录 Craft 的设备有三个,都在我身边,且不存在密码泄漏问题,因为它是用邮箱验证码登录的。但是邮箱被更改之前,我没有收到任何验证码之类的东西,就直接被更改了。

然后我将邮箱修改回我之前的邮箱,发现被占用了(因为我之前尝试过用原邮箱登录 Craft ,它自动给我创建了一个新账号),然后我把邮箱修改成 Gmail ,一切顺利,顺利到不需要任何验证,只要新邮箱收一个验证码就行。

最后,最离谱的事情发生了,我用新的 Gmail 邮箱账号登录 Craft ,提示我账号不存在,又给我创建了一个新账号,所以,我的 Craft 账号就这么莫名其妙消失了……

想不到 2022 年的今天,还有安全措施如此之差的软件。

7843 次点击
所在节点    macOS
49 条回复
coolair
2022-12-04 16:04:45 +08:00
目前用 Obsidian + MEGA ,很舒服。
Nitroethane
2022-12-04 16:19:58 +08:00
「原因是 Craft 加入了 Setapp ,因为 Setapp 是拼车的(声明:不推荐),所以有人通过我的 Setapp 账号直接无验证登录了我的 Craft ,并且修改了邮箱」
没看懂这个,为什么别人能通过你的 setapp 账号无验证登陆你的 craft ? craft 在加入 setapp 后通过 setapp 登录的时候也需要 setapp 账号的密码呀?难道你拼的 setapp 不是每人一个单独的账号么?
Phishion
2022-12-04 16:22:14 +08:00
苹果的家庭组要不是强制组织者人替所有家庭成员承担费用,估计也是被拼的乱七八糟。
你这个要是个人类型的账户拼的车,我觉得也还好,变相反拼车了属于是,有可能就*故意这么设计*的。
你这个要是多用户的 Team 类型,我觉得不可原谅,简直是 BUG 。

享受优惠就要承担风险,重要的东西还是不要拼了吧,谁知道跟你一辆车的是什么牛鬼蛇神
yibie
2022-12-04 16:22:23 +08:00
emacs + 坚果云 舒适
swulling
2022-12-04 16:23:26 +08:00
你要这么想,要是别人不改邮箱而是持续窥探你的隐私笔记……

为啥会有共享笔记的想法?
shuxhan
2022-12-04 16:27:08 +08:00
本地优先,云端同步也要走自己的机器,最大程度避免使用平台软件
Xmk
2022-12-04 16:28:06 +08:00
@Phishion 是这样的,但是我 Craft 本来就是单独订阅的,没有跟 Setapp 关联,只是邮箱相同而已,但是却可以通过 Setapp 直接登入同邮箱的 Craft ,不需要密码。

现在感觉离谱的是 Craft 不需要二步验证就能直接改邮箱和删除账号。
Xmk
2022-12-04 16:30:32 +08:00
@Nitroethane 对的,Setapp 现在没有家庭版了,找了一段时间没找到老家庭版的车,所以就个人账号拼的。我没想到 Craft 可以通过 Setapp 无验证直接登入,而且 Craft 更是单独订阅的,和 Setapp 也没有关联。

主要是 Setapp 大多软件都是本地的,都没什么问题,想不到 Craft 是这么个策略。确实拼车有风险,等到期准备自己开了。
Xmk
2022-12-04 16:32:23 +08:00
@swulling 并不是共享笔记,而是 Craft 的邮箱和 Setapp 的邮箱是同样的,就可以免验证直接登入 Craft 了,哪怕之前 Craft 并没有关联 Setapp 也可以。

之前 Setapp 里我使用的 APP 都是本地验证+iCloud 同步的,所以都没出过任何问题,但这次 Craft 的策略有些不一样。
swulling
2022-12-04 16:35:53 +08:00
那以后应该用一个小号邮箱去拼 setapp
@Xmk
Phishion
2022-12-04 16:39:58 +08:00
@Xmk 你这种是属于,它后加进来 APP 之后原有账号被“污染”了,如果是正常使用,当然是好事,属于突然帮你省了一笔订阅费,它还好心帮你关联了账号。

但是这种极端情况,就出现了这种有🐶手欠改你东西删你数据的人,但是也有可能是,那个人也用了 Craft ,然后你们的数据出现了冲突,跟你一个车的以为是数据同步出错了,然后就删了你的账号。

总之大伙儿引以为戒,希望 OP 的笔记数据没有丢。
Xmk
2022-12-04 16:46:37 +08:00
@Phishion 希望它好心之前可以询问一下用户 hh…总之还是觉得它应该把密码和二步验证加上去,改邮箱和删账号都属于账号的高危操作,现在的情况是只要登录了就啥都能干。是另一个用户通过 Setapp 登录了 Craft ,然后改了我的邮箱,估计他也没搞清楚这个账号机制。

数据还好,通过离线导出了一份,现在看看之前的 Pro 账号能不能找回来…
neochen13
2022-12-04 22:28:43 +08:00
所以还是不要拼车,这种事故屡见不鲜,动不动就出事
jakes
2022-12-04 22:52:16 +08:00
还是推荐用 obsidian
Makarich
2022-12-05 06:49:45 +08:00
只用备忘录,其他都不如备忘录方便。
Baoni
2022-12-05 10:56:09 +08:00
也就是说,楼主的笔记被别人占有了?楼主也有 setapp 为什么不能重复那个人的操作,再登上去改回来呢?太惨了
Nielsen
2022-12-05 11:21:17 +08:00
特地去看了下,Craft 提供了一个“Sign in with Setapp”的选项……这样看其实就没什么问题了。

之前 Setapp 没有这个功能……所有 op 遇到的这种,算是个人帐号拼车的附带伤害吧。
coolcoffee
2022-12-05 11:31:53 +08:00
我也觉得 craft 这种云笔记风险很高,难保不会哪天出现数据泄露事件,所以一年订阅到期后就准备迁移了。

不能指望笔记应用厂商有能力和经历去把安全问题考虑好
limbo0
2022-12-05 11:32:23 +08:00
@b1ghawk #2 obsidian
Joeith
2022-12-05 11:47:13 +08:00
现在迁移到 Obsidian ,除了几个痛点(云端操作难搞 + 只能编辑 md+云上分享+不支持块状格式),其他的很满意。这个不出意外,几乎是可以用很久的笔记软件了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/899957

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX