首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
华为云
V2EX  ›  问与答

技术角度,明文名字籍贯+Hash(身份证号),能否较好保护网络实名制下个人信息安全?

  •  
  •   twilight · 2015-01-16 12:36:26 +08:00 · 6188 次点击
    这是一个创建于 1403 天前的主题,其中的信息可能已经有所发展或是发生改变。

    一提到网络实名制,很多网友反对的一个重要理由就是担心信息泄露,那么能不能具体分析一下,从技术角度堵住漏洞?

    我的一点愚见:

    名字,籍贯可以明文存储,其它信息,如身份证等,可以用 hash + salt 的方式 。

    第 1 条附言  ·  2015-01-16 16:08:22 +08:00
    hyq 提到一个查水表的问题,发现我的方案忽略了重名的情况。

    所以还要储存一个唯一的UUID.
    第 2 条附言  ·  2015-01-17 09:58:26 +08:00
    A2z提到身份证号码有规律,容易暴力破解。

    我觉的可以hash(身份证号码+住址)解决。
    96 回复  |  直到 2015-01-17 11:34:30 +08:00
        1
    a2z   2015-01-16 12:49:21 +08:00
    身份证号比较规律,熵比较低,加了salt爆破起来也很快,意义不大。
        2
    geeklian   2015-01-16 12:52:39 +08:00 via iPhone
    技术手段解决不了制度问题。

    你想这么多,不如党委找你做个工作管用。
        3
    jjit   2015-01-16 12:55:41 +08:00
    现在新一代的身份证都有记录指纹啊
    去年年底,刚刚去派出所换新身份证
    有按左右2个大拇指的指纹
    以后用身份证去办理重要的东西,都要按指纹了吧
        4
    raincious   2015-01-16 12:57:17 +08:00   ♥ 15
    话说这几天我作为一个看客都看累了。

    1、即使你使用各种加密方式,导致密文不能泄露,但是元数据还是提交给你的。为什么让我信任你不会拦截元数据另外储存?退一步说,CSDN这个故事我想大家也都懂。

    2、根据历史,提出和真正实施“网络实名制”的组织有着各种黑历史。以史为鉴不值得信任。你愿意把自己的元数据提交给一个被这个组织以各种方式控制的商业(或各种)机构么?

    3、“信息泄露”只是一点而已。是拿出来说比较符合“理性”的理由,于是才被拿出来。但是事实上真正的理由是“为什么要实名?”。

    就像你信任某个人,不一定要了解这个人的全部,也不一定必须要看到她裸体才能相信她。反过来说,即便你看/了解到一个人到哪怕一丝不挂的程度,也不能说你了解一个人的全部。那么“网络实名制”就是毫无意义的事,也是根本没必要的事。

    4、为什么要实现“网络实名制”?早先有V2ER已经分析过和“增加信任/提升诚信”毫无关系(因为前台实名啊,大部分人还是不知道你是人是狗),问题其实出现在台面之后,“特权”人士对你可以了如指掌。

    为什么你喜欢总有个人站在你后面对你指指点点?你应该喜欢的是你自己站在自己的后面(Karma),除此之外没有另一个人可以。

    另外“特权”人士为什么就可以这么做?
    我授权了么?没有。
    我能从中享受到的好处大于弊处么?不知道(Doubtable)。
    我能得到平等的权利么(同样监视特权人事)?不可能。

    这是为什么我个人方案实名制。相信不只有我一个人这么想,可能有人能举出更多理由。
        5
    twilight   2015-01-16 13:02:15 +08:00
    @a2z RSA(hash_salt(身份证)),hash算法不公开,足够了吧
        6
    zhujinliang   2015-01-16 13:12:08 +08:00 via iPhone
    即使不知道具体信息,但综合一些信息,靠你们所说的哈希码,我可以筛选某些信息是属于这个人的,某些是与他无关的,这算不算泄漏呢。
    而且每个人在网上的哈希码无法改变,一旦某处可以确定地关联上现实中的人,那这个人这辈子就被破解了。
        7
    twilight   2015-01-16 13:13:39 +08:00
    @raincious 元数据拦截不用担心,https可以破。国家可以统一建个OpenID平台,元数据只提交一次就行了。

    本帖目的就是讨论能不能从技术上打消担心信息泄露网友的顾虑。
        8
    twilight   2015-01-16 13:19:20 +08:00
    @zhujinliang 应该不会,比如你在v2ex登录,先去实名认证平台授权给v2ex,v2ex只是知道你确实是zhujinliang,然后zhujinliang发的帖子并不含那个hash码。
        9
    quix   2015-01-16 13:19:28 +08:00
    @raincious 这边讨论的是实施强制实名这个大前提下,如何尽可能保护信息安全吧.. 权利问题请和权力机构沟通..
        10
    zhujinliang   2015-01-16 13:25:15 +08:00 via iPhone
    @twilight 那还是保证数据不会泄露,如果讨论泄露不泄露的问题,那存明文还是存哈希都是一样的。
    即使v2ex不知道我的姓名,但一样可以拿哈希去测试别的网站,推导我在别的网站上不想关联到一起的信息
        11
    twilight   2015-01-16 13:46:50 +08:00 via Android
    @zhujinliang 没看懂你的意思,别的网站也没存你的哈希。
        12
    m939594960   2015-01-16 13:51:58 +08:00
    实名制有用么? 真正全实名制 你上淘宝搜索一下估计全是。。XXX实名代办。 XXX以认证帐号。。XXX帐号多钱一个!
        13
    loveminds   2015-01-16 13:52:24 +08:00 via iPhone
    基本上任何方式都不可能,放弃吧
        14
    Heracles   2015-01-16 13:53:54 +08:00 via iPhone   ♥ 2
    这从来就不是技术问题。
        15
    GhostFlying   2015-01-16 13:57:03 +08:00
    什么方法都没用的,一切加密之类的前提是要保证信息的最终接收方是可信的,而事实是,“国家”这个机构本身并不可信
        16
    twilight   2015-01-16 14:02:10 +08:00
    @m939594960 感谢讨论,不过这和信息泄露无关啊。
        17
    twilight   2015-01-16 14:03:37 +08:00
    @loveminds 不明白你的意思,请不吝赐教。
        18
    raincious   2015-01-16 14:06:17 +08:00   ♥ 8
    不过这几天通过这一系列的帖子确实知道了,想和对“隐私是什么”这种基本概念的人讨论“如何保护隐私”是多么困难。

    同样,和对“个人权利”都一无所知的人讨论“人权”也是毫无疑义的难。之前不是还有一个帖子的标题直接就是《*我们*需要怎样的自由》这种不自觉就代表别人的以及《*你们*想要什么样的自由?》这种主动站队的。

    你要知道今天你在中国能偷偷骂政府,不会全家集中营,也是很多代人默默努力得来的(当然,包括适合的大环境和一定运气)。

    但是如果你不继续争取,就永远无法得到更大的自由。相反,“特权”总是在限制其他个体的自由。只要他们自己自由就行了。这样慢慢一来,整个国家的社会都会慢慢将权利集中到少数“特权”的手中,而这些“特权”,谁知道他们会怎么做?看看金疯子家你就明白了。

    别忘了,就连美国废除奴隶制也才150年(不到),那时候奴隶制是写进法典的。不要对当前社会的文明程度有任何妄想,随随便便一个理由就能回到奴隶制社会。(而且你要注意“奴隶制”不一定会很明显,你有可能是奴隶,但你自己却一无所知。事实上很多黑奴对自己的身份很满意。)

    “特权”总是想控制“非特权”。“网络实名制”上面也已经说了是一种控制手段而已。

    <strong>先控制你怎么说,然后就可以控制你怎么想,再然后让你做什么你就做什么。别再忘了文革也才过不到50年,你始终玩不过“特权”。</strong>

    要是当时不是有一群人因为无论什么原因停止了文革(主因可能只是毛老头死了),中国社会现在说不定真和朝鲜没什么区别。

    因此你再回过头来看最近对这几个帖子的反应,就不难明白为什么会有人强烈抵制对隐私以及(更加主要的)自由言论的侵犯。

    所以,无论什么原因,你都不应该为“特权”洗地,哪怕你自己是“特权”,谁能保证你不会被其他“特权”吞吃?偏颇的、狭隘的社会必然会被开放包容的社会吞噬。而开放包容恰恰只能萌发在自由平等的社会环境中。所以自由平等的社会(无“特权”人士,每个人都遵守某个约定好的规范,违反规范才会被惩罚)才是真正社会的发展方向,而不是将自己的所有权利都“托管”给某个“值得信任的权威”,并“祈望”“特权们”会保护你(人治)。
        19
    imn1   2015-01-16 14:08:24 +08:00
    @Heracles
    这从来就不是技术问题。
    +1

    同样,完全不是顾虑技术问题
    1/50亿的概率够低了吧?只要地球上有这么一个人就已经不是技术问题了
        20
    woyao   2015-01-16 14:10:21 +08:00
    @jjit 带指纹的身份证丢了更麻烦吧?
    不知道指纹在身份证存储的形式,如果很容易还原成指纹力图像的话,那……
        21
    twilight   2015-01-16 14:10:42 +08:00
    @Heracles 是说:有人以“信息泄露”为理由反对,只是为了反对而反对么?
        22
    lwqn   2015-01-16 14:20:57 +08:00
        23
    loveminds   2015-01-16 14:30:37 +08:00   ♥ 2
    @twilight 同第一条,另
    在实名制所实施的五年,首尔大学的研究表明,诽谤跟帖数量从实名制实施前的 13.9%下降到后来的12.2%,下降幅度微弱之至。另一项由信息通信部自己参与的研究显示,恶意帖仅仅减少2.2%。而反过来的数据则是——同样来自首尔大学的研究——网络论坛平均参与者从2500余人锐减到不到800人。这些研究的数字告诉了民众:你们所期望的净化至少通过实名制是完全不可得的,倒是会让更多的人在网上选择沉默——即便沉默,个人信息依然有可能被窃取
        24
    laoertongzhi   2015-01-16 14:35:45 +08:00
    看了一些回复,我觉得没必要讨论下去了。
        25
    BlueFly   2015-01-16 14:40:46 +08:00
    @quix
    @raincious 没错,一切脱离现实的讨论,都是耍流氓,闭门造车
        26
    twilight   2015-01-16 14:56:06 +08:00
    @raincious 感谢你写了这么多,但是实在和本主题无关啊。你是不是太敏感了。

    我觉得不管反对什么,或支持什么,尽量用靠谱的理由,用不靠谱的理由去争,容易变成意气之争。

    既然楼歪了,就多说两句:比如有些人对美国反对禁枪的理由是“宪法赋予的权力,让人民有权力推翻做恶的政府“,这特么不是侮辱大家的智商嘛,现有条件下美国公民手里的轻武器能推反手里有重武器的政府?



    私以为部分网站,比如门户网站,微博实行实名制问题不大,而且利大于弊,实名了会少很多过分的话,比如像李妙可贴了张下面条的图,有人就在底下开黄腔,如果是实名,这些人敢数十年后给自己的子女看么?

    微博不是很多人实名了嘛,实名制没想象的可怕,没必要杞人忧天。实在要在实名制网站上匿名发声,12楼也给出了解决方案。

    说来说去,还是没有明显的额外好处,12306也是国家开的,大家还不是大都乖乖的实名了嘛,为了抢票,把密码交给第三方也是蛮拼的,隐私神马的,那个时候都是浮云。
        27
    twilight   2015-01-16 15:03:43 +08:00
    @GhostFlying 你的说法太空泛,按照你的说法,没有一个国家是可信的。
        28
    GhostFlying   2015-01-16 15:05:23 +08:00
    @twilight 当然,没有任何一个政府是可信的,严格的来说,除了自己谁都不可信,自然尽可能少给出自己的信息才是保护自己的最好办法
        29
    twilight   2015-01-16 15:12:12 +08:00
    @loveminds 韩国的做法比较奇葩,每个实行实名制的网站都存身份信息,泄露身份信息的机会比较大。如果搞一个统一的授权平台,应该会很大程度上避免泄露身份信息。


    如果能达成共识:技术上是可以最大限度避免泄露身份信息,以后讨论实名制就可以专心讨论其它利弊。


    为了反对而反对,争论就会变的很丑陋。
        30
    jjit   2015-01-16 15:21:36 +08:00   ♥ 1
    @woyao
    指纹应该是存在公安局的系统里的
    以后去办理什么重要的东西,他们让你当场按指纹
    然后他们把指纹信息传到公安总局那里去
    和档案里的指纹信息进行核对
        31
    raincious   2015-01-16 15:26:02 +08:00   ♥ 2
    由于我在码代码,不想分心解释这个帖子(常识性的内容,没什么需要解释),所以……如果你觉得不解,请忽略吧,或许某天你自然就懂了。于是我最后来回复下,针对你这个帖子。

    > 尽量用靠谱的理由

    我的解释已经很靠谱了,简而言之TL;DR:你不应该指望你脱体之后就会获得更好的保护。因此这根本不是技术问题。你无法再获得更多数据的同时保证这些数据的私密性,想要保护你用户的隐私,最佳手段就是不去搜集它们。(iPhone为什么不会上传你指纹的靓照?想想就明白)

    关于技术方面,@a2z 已经说的很清楚了,要想讨论那个话题请AT他。



    关于你的回复:

    > 既然楼歪了,就多说两句:比如有些人对美国反对……

    1、这根主题的关系一点都没有。
    2、在互联网上你会遇到各种知识水平、社会地位的人,获得的信息有正确的和不正确的。如果你不能提取出错误的信息,整理和消化正确的信息,互联网真的不适合你。
    3、对方指出的其实是一部分人的一种观点,但就这一点来看,虽然可能只是少数人持有这种态度,但毕竟不能说没有:
    On page http://en.wikipedia.org/wiki/Second_Amendment_to_the_United_States_Constitution#Experience_in_America_prior_to_the_U.S._Constitution
    One aspect of the gun control debate is the conflict between gun control laws and the right to rebel against unjust governments. Blackstone in his Commentaries alluded to this right to rebel as the natural right of resistance and self preservation, to be used only as a last resort, exercisable when "the sanctions of society and laws are found insufficient to restrain the violence of oppression".


    > 李妙可贴了张下面条的图,有人就在底下开黄腔,如果是实名,这些人敢数十年后给自己的子女看么?

    @loveminds 在#23说的很清楚。


    > 实名制没想象的可怕,没必要杞人忧天

    这是我反对的。请看我已经回复过的帖子。
        32
    levn   2015-01-16 15:29:55 +08:00
    上网用u盾
        33
    hahastudio   2015-01-16 15:34:54 +08:00   ♥ 1
    这根本就不是技术问题 +1
    技术反对只是因为现在你无法反对特权,所以用一个弱理由去反对实名制,主要是考虑到特权很可能不屑于花大把的资源去保护隐私信息。用大把的资源去保护隐私信息的特权,也很大可能不会去提实名制这样的事情。
    如果你认为他们有足够强的非人力技术(硬件、软件),去保护你的信息不被泄露,但依然有可能会被滥用,因为这套系统最终用于人(特权们),而人永远是安全链上最脆弱,而且是无法堵住的漏洞。
        34
    hyq   2015-01-16 15:35:42 +08:00
    不明文保存身份信息,到时候怎么查水表
        35
    twilight   2015-01-16 15:36:55 +08:00
    @levn 好机智。
        36
    ilili   2015-01-16 15:46:42 +08:00
    再收集一下生日和性别,那身份证明文也就3个字还未知。。。
        37
    loveminds   2015-01-16 15:48:55 +08:00
    @twilight 没有人保证统一的授权平台不会泄露以及被相关部门拿去卖钱
        38
    twilight   2015-01-16 15:53:45 +08:00
    @hyq 好问题,我忽略了重名的情况,简单的说,还要存一个UUID,以保证唯一性,帖子要和UUID关联起来。

    比如“北京,李刚,UUID={xxxxxxxxxxxxxxxxxxxxxxxx}”,发了一条帖子,需要确认其身份,先用UUID把找到这个“北京,李刚",这时得到的身份证信息是hash后的,找到的这个hash比如是ligang_hash.

    可以

    for person in database
    {
    if(hash_salt(person.id) == ligang_hash)
    {
    print(persion.id)
    }
    }

    这样只要能保证hash算法安全,就能在不存明文身份证的情况下查水表了。
        39
    twilight   2015-01-16 15:58:32 +08:00
    @raincious 已经预设立场了,就没什么好讨论了。各持己见吧。
        40
    yyfearth   2015-01-16 15:59:08 +08:00
    @loveminds 实名制肯定不是用来自律和净化网络的
    实名制只是一直用控制手段而已
        41
    twilight   2015-01-16 16:00:23 +08:00
    @loveminds 这个真没办法保证,比如没办法保证12306不会拿信息去卖钱,没办法保证taobao不会拿信息去卖钱,没办法保证银行不会拿信息去卖钱.
        42
    twilight   2015-01-16 16:06:27 +08:00
    @ilili 这么说吧,如果按我设计的这套方案,有一天某个人的身份证泄露了,你说这个人身份证泄露的最可能原因是 生日+性别 + 3位数猜出来的,还是他在其它中介,交友,求职网站泄露出来的?
        43
    Heracles   2015-01-16 16:08:55 +08:00   ♥ 1
    @twilight 关于在现代公民持枪能否对抗拥有核武器的政府这个问题,美国人早就有过讨论。

    当政府和民众发生冲突的时候,如果民众有枪,政府是会顾忌一点,还是会丢核弹?
        44
    Heracles   2015-01-16 16:13:52 +08:00
    @twilight 反对实名制不应该以“信息泄露”为由反对,因为这默认了政府该项政策的合法性。
    所以我说反对GFW还是要从权利入手,不能说墙之恶是因为干扰了使用谷歌学术和Gmail。因为政府完全可以说,好啊,那就只允许你用谷歌学术和Gmail,其他网站和Google Play继续墙。我反对墙,是因为使用国际互联网是我的权利(尽管这个权利可能不被政府承认)。

    回到你的帖子上来,我反对实名制,原因是政府凭啥实名制?红贵家族们的资产公开了吗?
        45
    colt2014   2015-01-16 16:17:19 +08:00
    又要讨论政治,不讨论技术,真是忧国忧民
        46
    AntonChen   2015-01-16 16:18:20 +08:00
    套用安全界的话 ”没有攻不破的系统,没有破不了的密码“

    楼主洗洗睡吧,纠结这个干吗?准备做实名制的外包业务?
        47
    ilili   2015-01-16 16:22:04 +08:00
    @twilight 你这个是防君子不防小人。当然,中介啥的现在的状况是君子小人都不防。
        48
    laoertongzhi   2015-01-16 16:27:21 +08:00   ♥ 1
    各种歪楼。

    LZ,你提到的跟我想的比较类同,可以实现。
        49
    twilight   2015-01-16 16:28:17 +08:00
    @hahastudio 感谢你的坦诚。不过我觉得保护隐私真不用花多少资源,以我的愚见想到的方案,只要保护好hash算法、密钥,基本上是不可能泄露信息的。

    ==========================================================
    引用 :
    如果你认为他们有足够强的非人力技术(硬件、软件),去保护你的信息不被泄露,但依然有可能会被滥用,因为这套系统最终用于人(特权们),而人永远是安全链上最脆弱,而且是无法堵住的漏洞。
    ===========================================================

    你这个说法针对12306,taobao,银行,求职网站也是一样的,这些可都是已经存在并还在运行的。

    所以以信息泄露为理由反对实名制,确实是个弱理由。

    还不如直接说“没有明显额外的好处”更令人信服。
        50
    twilight   2015-01-16 16:30:18 +08:00
    @Heracles 不会丢核弹,直接机枪突突,政府为什么顾忌他们手里的轻武器?
        51
    justsoso   2015-01-16 16:35:06 +08:00
    根本不是技术问题。

    要讨论这个问题的话,是不是也可以讨论一下
    技术角度,如何砍掉你一条胳膊比较好?
        52
    twilight   2015-01-16 16:35:55 +08:00
    @Heracles 你讲的很有道理,我也是看其它帖子一直强调“信息泄露”才想讨论一下技术方面能不能解决。

    我的观点是GFW肯定会消失的,等中国占了话语权优势,等拿段子当史实(v2ex里不少)的人少了,自然就消失了。

    公布官员财产,同支持....
        53
    colt2014   2015-01-16 16:36:11 +08:00   ♥ 1
    必须有个什么机构作为第三方来发送验证后token和名字给网站作为用户标示,至于政治上的事情不值得谈论(一说到这个一群人就屁股坐歪的)
        54
    twilight   2015-01-16 16:41:30 +08:00
    @AntonChen 没纠结,就是看有不少人拿“信息泄露”当理由反对实名制,感觉其反对的姿势不对。

    所以想从技术方面打消其顾虑。

    安全界不是还有句“只要破解的付出的代价大于其收益,就是好的加密”.
        55
    Heracles   2015-01-16 16:42:07 +08:00
    @twilight 你可以看一下这个视频,讲的非常好
        56
    twilight   2015-01-16 16:43:16 +08:00
    @colt2014 参照weibo授权的模式可行么?
        57
    a2z   2015-01-16 16:44:55 +08:00
    @twilight

    中国政府永远占据不了话语权优势,至少现政府不可能,因为血债/黑历史太多,自己宣传的东西和自己的现实差距太大,自己说的话无法经过逻辑推敲,经常自己打自己脸。
        58
    soiidseg   2015-01-16 16:50:36 +08:00
        59
    colt2014   2015-01-16 16:52:29 +08:00   ♥ 1
    @twilight 可以啊,我觉得甚至可以更复杂一些,例如这个认证的机构可以帮用户接受PUSH的短信和邮件,并且转发给用户,用户可以在这个第三方机构的平台上选择接收哪一家提供的PUSH的短信/邮件订阅
        60
    ddaii   2015-01-16 16:52:32 +08:00
    @twilight 看来你还是没明白,他们说的信息泄露可不单是黑客入侵这些方式,保管信息的人泄露信息才是他们最担心的,这是用任何技术手段都防不了的。所以,这根本就不是技术问题。

    另外: 12306,taobao,银行,求职网站 他们泄露的消息还少么?你觉得都是被黑的么?
        61
    twilight   2015-01-16 16:52:42 +08:00
    @a2z

    不是看实力么?欧美黑历史血债也不少,现在不也洗白了?

    中宣部,是指望不上了,公认战五渣。
        62
    twilight   2015-01-16 16:54:37 +08:00
    @Heracles 看了,我的观点和你相反。不是专业人士遇到事件时,持枪死更快。

    不然,你说为什么不给商船加武器对付海盗。
        63
    a2z   2015-01-16 16:59:19 +08:00
    @twilight

    欧美能把黑历史/血债推给上一任政府/总统,并且给个合理而且让人信服的说法,给不了至少会道歉。
        64
    twilight   2015-01-16 17:00:36 +08:00
    @colt2014 本楼里少有的技术讨论,很有见地,谢谢。

    另外手机实名是个大趋势,貌似反对的不多,如果间接以手机实名认证,可能简单些。关键是如何保护手机号不轻易泄露
        65
    AntonChen   2015-01-16 17:04:55 +08:00
    @twilight 不是破解不了 成本和漏洞会随着时间而不成问题
    其实现存的加密方式在最顶级那圈人里面早玩腻了,像MD5就是玩得不想玩了扔出来民用的
        66
    twilight   2015-01-16 17:06:06 +08:00
    @ddaii 明白你的意思,不过我觉得这种想法有点儿极端。
        67
    twilight   2015-01-16 17:10:05 +08:00
    @a2z 给个合理而且让人信服的说法,这.......

    实力在那儿,不服也不行啊。

    印第安人哭晕在保留地。还有渣也不剩的土著没办法从坟墓里起来表示不服啊。
        68
    colt2014   2015-01-16 17:16:30 +08:00   ♥ 1
    @twilight 可能让认证公民身份的一方做保护邮箱/手机号的方案让他们压力太大,我觉得可以交给第三方(例如阿里这些不差钱信誉好)来做,让他们也有钱可赚,估计也是可以推动的一个事情.
        69
    a2z   2015-01-16 17:18:40 +08:00
    @twilight

    公开道歉:

    http://firstpeoples.org/wp/tag/the-apology-to-the-native-peoples-of-the-united-states/

    印第安人在保留地开赌场只用付很少的税给政府



    土改道歉了么?赔偿了么? 文革道歉了么?赔偿了么? 64道歉了么?赔偿了么?
        70
    qazplkm   2015-01-16 17:21:00 +08:00
    5毛你好
        71
    AntonChen   2015-01-16 17:25:03 +08:00   ♥ 1
    @twilight
    楼主要纯技术角度讨论你就不该提实名制,不论你是怎么想我觉着有好多人因为最近的其它人...

    关于这个技术

    个人觉着腾讯有类似的东西,在腾讯具体叫什么我忘记了。我个人称之为账户认证系统。

    总之它的API会生产一堆key去比对数据库,而wooyun上也是常有人劫持到这段key... 然后就跟Cookies一样 账号权限到手。


    回到实名制
    技术上封堵不了这样的操作实名制就是个笑话,现实中我借给你我的身份证你能拿着去坐飞机么?而网络中给你账号,你可以随便玩。如果真是违法 那么我还可以推脱账号被盗...

    这样一来和没有做这些有什么区别。

    最后如果真要实名制 不用太费时 让腾讯做 基本成了
        72
    ddaii   2015-01-16 17:34:04 +08:00
    @twilight 这一点也不极端,也许你还不知道那些人从上到下都已经烂透了,你可以翻出去看看 编程随想的博客,他的资料大多来自官媒或国外知名媒体。
        73
    twilight   2015-01-16 17:35:32 +08:00
    @a2z 这就是“合理而且让人信服的说法”?君子可欺以其方,兄台善良的可爱。

    就此打住,还是各持己见吧。
        74
    a2z   2015-01-16 17:36:20 +08:00
    @twilight
    呵呵
        75
    twilight   2015-01-16 17:38:27 +08:00
    @AntonChen 越复杂越容易出漏洞。wooyun怎么劫持key的,难道不走https么?
        76
    bugmenott   2015-01-16 17:40:04 +08:00   ♥ 1
    我想问发这么一帖多少钱?呵呵
        77
    twilight   2015-01-16 17:44:24 +08:00
    @ddaii 我的意思是利弊衡量,用强调“信息泄露”的风险反对实名制,恐怕说服力不够。

    现在实名制最大的缺点是没有明显额外的好处。

    如果有的话,信息泄露就不是问题了。

    你看,大家踊跃把用户名密码交给第三方的抢票软件就很好的说明了这一点。
        78
    twilight   2015-01-16 17:48:24 +08:00
    @bugmenott 不妨以你的智商猜猜。提示一下,右下角有最高在线记录。
        79
    twilight   2015-01-16 17:50:40 +08:00
    @qazplkm 已经block ,不谢。智商和bugmenott一样。
        80
    fchypzero   2015-01-16 20:28:51 +08:00
    @twilight 既然没办法保证不会泄漏,那么为什么还要多一个有可能泄漏的途径?自相矛盾吧。
        81
    Heracles   2015-01-16 22:28:46 +08:00
    @twilight 为什么你们总喜欢意淫印第安人对华盛顿的刻骨仇恨?去美国问问印第安人,喜不喜欢做美国人,愿不愿意让保留地独立。

    想象一下一个外国人认为汉族应该特别恨蒙古族和满族,你觉得奇不奇怪?你恨蒙古族和满族吗?
        82
    twilight   2015-01-17 00:48:19 +08:00 via Android
    @fchypzero 本主题试图从可行性说明实名制认证可以将信息泄露风险降到远低于12306或其他需要实名的网站。

    非要100%保证,那跟个人信息相关的行业都不要做了。
        83
    twilight   2015-01-17 01:01:49 +08:00 via Android
    @Heracles 看来是我孟浪了,我确实没问过美国印第安人,只是凭网上搜到的“美国印第安人现状”,就主观臆测了。从网上看的情况,基本是被圈养的混吃等死状态。

    莫非仁兄去美国问了印第安人,请问有多少不恨山姆,样本如何? 欢迎以正视听。
        84
    jerryjhou   2015-01-17 03:22:12 +08:00 via iPad
    @twilight 关于美国的枪支问题,现有条件是一回事,初衷是另一回事,限制重武器实际上是后来加入的额外限制,原文只写了人民持有武器的权利不受侵犯。但是即使是轻武器也能防止滥权,推翻政府虽然不可能,但是有武器相较于没有,能够给政府施加的压力可不是一个级别的

    如果中国人有武器,8平方就不一定是镇(tu)压(sha)了,更有可能是暴动甚至内战

    至于印第安人,你可以参考云南少数民族和藏族的状态,政府给予一些“特权”,中国是计划生育高考加分等等,美国就是赌场的特许经营权(美国除了内华达州,赌场是违法的,但是印第安人例外,税收也比拉斯维加斯低)。在这样的“优待”下,你觉得他们会仇恨主要民族吗?民族仇恨从来都不是油然而生的,只能是宣传煽动出来的。虽然这种“优待”也可以理解为“圈养混吃等死”,但是被洗脑的猪们会意识到吗?

    回到这个贴的主题,实名制和隐私问题,从来就不是技术问题,只能是政治、法律和道德问题,当然,本质上还是信任问题

    补充:
    “镇(tu)压(sha)”用词可能不符合很多人的观点,我想表达的意思是中国人如果有枪这件事的结果可能会大不一样,并没有支持或希望发生暴动或内战的意思(那将会是一场灾难)
    “被洗脑的猪”仅指少数民族(且并非特指中国的少数民族),不是泛指中国人
    “政治、道德和法律问题”“信任问题”并非特指中国,而是泛指所有国家
        85
    laoertongzhi   2015-01-17 08:33:20 +08:00   ♥ 1
    都喜欢讨论政治问题,楼不晓得歪到哪里去了……

    真尼玛可悲!
        86
    shuangxi   2015-01-17 08:36:41 +08:00
    @twilight 你这说的应该是openid的方案吧,现在sina、tencent不都在给别的站提供一键登录吗?
        87
    twilight   2015-01-17 09:06:32 +08:00 via Android
    @laoertongzhi 没办法,好多人就是喜欢泛政治化。
        88
    twilight   2015-01-17 09:10:39 +08:00 via Android
    @shuangxi 是的,讨论技术上实名制OpenID如何保障个人信息安全
        89
    Cu635   2015-01-17 09:11:49 +08:00
    这从来就不是技术问题。
        90
    typcn   2015-01-17 09:18:36 +08:00
    var pwa = md5(pw).substr(0,8);
    var pwb = sha1(pw.substr(0,4) + pwa);
    var pwc = md5(pwb + pwb.substr(3,11) + "Poweredbytypcn");
    var pwd = sha1(pwc+pwc+pwb);

    我的网站是这样存储密码的,可以参考一下
        91
    twilight   2015-01-17 09:42:09 +08:00 via Android
    @jerryjhou

    见仁见智吧。合法持枪,人人自危,12岁的小孩挥舞玩具枪都会被击毙。

    搞不清有武器的美国人民对政府的施压能力具体是什么级别,不过发现美国人民都挺克制的,示威骚乱都甚少用枪向政府施压。是秉承核武器在发射架上威力最大的精神么?
        92
    twilight   2015-01-17 09:46:49 +08:00 via Android
    @typcn 嗯,多谢。其实只要hash算法不泄露,几乎无法反推回明文。
        93
    jerryjhou   2015-01-17 10:55:53 +08:00 via iPad
    @twilight 美国政府绝对不敢用实弹甚至坦克来对付游行示威。美国政府知道人民有枪就够了,亮出来反而提供了武力镇压的理由(用武器就可以算暴乱了)
        94
    twilight   2015-01-17 11:17:27 +08:00
    @jerryjhou 恕我愚钝,真没看出美国人民有枪无枪对政府施压级别有什么明显差异。

    就此打住。各持己见吧。
        95
    jerryjhou   2015-01-17 11:28:22 +08:00 via iPad
    @twilight 我不支持自由持枪。。。但是中国的BT控枪我更不支持,明显是“维稳”考虑
        96
    jerryjhou   2015-01-17 11:28:22 +08:00 via iPad
    @twilight 我不支持自由持枪。。。但是中国的BT控枪我更不支持,明显是“维稳”考虑
        97
    jerryjhou   2015-01-17 11:34:30 +08:00 via iPad
    @twilight 好吧,实际上我是反感中国政府花大力气对付人民,军队警察可以佩枪,却绝对禁止人民拥有武器(极端情况下连菜刀火柴都要实名)
    美国的拥枪自由是个历史遗留问题,我对此根本就没立场(关我鸟事)
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   779 人在线   最高记录 3821   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.1 · 26ms · UTC 22:45 · PVG 06:45 · LAX 14:45 · JFK 17:45
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1