V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
raysonlu
V2EX  ›  程序员

为何 Joplin 的作者们都这么固执

  •  1
     
  •   raysonlu · 2021-05-17 11:20:54 +08:00 · 17137 次点击
    这是一个创建于 1046 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近为知会员提示即将到期,基于为知对 markdown 编辑器的落后以及使用一年中遇到不少问题(有反馈),想换个笔记。留意到了 joplin 感觉很不错,特别是多端使用,有本地化端到端加密功能,编辑器初步使用起来也没发现什么 bug 。可是它没有对笔记加锁的功能。

    插个题外话,这个加锁功能,在现有的知名云笔记中其实也很少见,唯一见到有的是有道和为知,有道的实现方式是请求服务器密码校验,为知应该是通过证书密码校验并定期更新和同步证书,这两种实现方式各有利弊,且两款笔记的其他基础功能在深入使用后发觉也不尽人意,印象是全锁,这种与“单个笔记加锁”完全是两个需求场景。

    抱着希望的心情想向 joplin 提交一下这个建议,毕竟好歹也是个开源项目。然后发现,这个需求在 2 年前就已经被提出! https://github.com/laurent22/joplin/issues/289 现在对新功能的建议提交都转到这个地方讨论了 https://discourse.joplinapp.org/t/is-it-possible-to-password-lock-the-application-upon-opening/122/13

    看完后我哭笑不得,貌似作者们一直不愿意添加这个功能,他认为:

    • 这种加锁,并没有加密作用,已经有端对端加密了,现有的方式才是更加可靠的加密;
    • 如果不想别人看到你的笔记,就请锁好自己电脑,或者用一些第三方软件锁定软件或 APP

    我感觉作者们对这个需求一直理解错误,或者不愿意去理解。对单个笔记加锁,是不少特殊使用场景都需要用到的功能,而且不少用户都说明了这样的场景,但他们就是不干,有点类似程序员有时候无脑反驳产品经理的需求那样。

    第 1 条附言  ·  2021-05-17 12:41:59 +08:00
    标题应该改为“为何 joplin 无法接受这样的需求”,本贴根源上是对作者无接受,或是理解错这个需求而发,其实主题就是想讨论这个需求,想不到普遍也对 joplin 作者有同样的想法。
    131 条回复    2023-03-01 09:48:14 +08:00
    1  2  
    WilsonGGG
        1
    WilsonGGG  
       2021-05-17 11:27:08 +08:00   ❤️ 19
    作者的回复也很合理啊,再者任何软件的主理人对功能都需要有取舍,商业软件如此,更何况开源维护的 Joplin 。
    站在你的角度加锁不就是一个按钮和密码的问题,但对于主理人来说这是其理念的边缘功能,为什么要满足每个需求。
    Vogan
        2
    Vogan  
       2021-05-17 11:29:26 +08:00
    不 BB,自己改源码
    wupher
        3
    wupher  
       2021-05-17 11:29:57 +08:00
    它都开源了,不爽可以直接 fork 代码,然后加一个简单的密码锁定功能即可。
    shyangs
        4
    shyangs  
       2021-05-17 11:32:06 +08:00
    你可以用 windows 的锁屏 或 VeraCrypt.

    中国人都喜欢每个软件搞成全家桶?
    thet
        5
    thet  
       2021-05-17 11:32:14 +08:00 via iPhone
    我觉得作者回复挺合理啊
    wednesdayco
        6
    wednesdayco  
       2021-05-17 11:33:27 +08:00   ❤️ 2
    为啥楼主这么固执一定要多做一个功能
    raysonlu
        7
    raysonlu  
    OP
       2021-05-17 11:37:54 +08:00
    @Vogan
    @wupher 精力有限,而且这个是多端项目
    Vogan
        8
    Vogan  
       2021-05-17 11:40:05 +08:00   ❤️ 12
    @raysonlu #7 开源作者也可能是精力有限呢?
    hulala1021
        9
    hulala1021  
       2021-05-17 11:40:07 +08:00
    1.印象是可以单个笔记加锁的,还可以一段笔记加锁。
    2.然后大家理念不同,没必要觉得别人固执
    arischow
        10
    arischow  
       2021-05-17 11:41:39 +08:00 via iPhone
    我觉得作者回复挺合理啊
    yfugibr
        11
    yfugibr  
       2021-05-17 11:43:54 +08:00 via Android
    我觉得没什么问题,谈安全设备安全肯定是第一步,不然做再多都是白搭,但设备安全的话也就没必要再加个应用锁了
    msaionyc
        12
    msaionyc  
       2021-05-17 11:44:10 +08:00   ❤️ 2
    固执是贬义词,我不认为你可以随意评价他们“固执”,还来发帖;如果都这样的话,全中国每天会诞生 1 亿吐槽张小龙的帖子

    另外,你最后一行很有趣,就好像在说,我很希望我的同事 A 穿紫色的衣服,其他同事也这样提过,但他就是不干

    并且,为什么你的理解就是正确的,他们的理解就是错误的?为什么你能说出“不愿意去理解”这种话呢
    polaa
        13
    polaa  
       2021-05-17 11:46:05 +08:00   ❤️ 19
    你可以问问捐赠多少 作者愿意加这个功能
    raysonlu
        14
    raysonlu  
    OP
       2021-05-17 11:46:29 +08:00
    @shyangs
    @thet
    @wednesdayco
    @WilsonGGG
    我觉得这个功能很有必要,而且也不应该算是边缘。就好像 ios 里面的便签,也有单独上锁功能,windows 也能对某个硬盘加上 bitlock 密码,word 也能给文件上锁。
    保护整台机器的密码,或者是给整个软件上锁,固然重要,但这种情况与”针对性上锁“很不一样,不知道大家有无细味到。或者举个例子,我不可能因为有一个”想上锁“的笔记,而坚决不让机器,或软件,交给其他人暂用吧。
    fengchang
        15
    fengchang  
       2021-05-17 11:52:38 +08:00
    @raysonlu 我不可能因为有一个”想上锁“的笔记,而坚决不让机器,或软件,交给其他人暂用吧。

    --------
    我相信大家都是这么做的。
    wutiantong
        16
    wutiantong  
       2021-05-17 11:53:42 +08:00
    @raysonlu 我觉得“把机器交给别人暂用”就是非常边缘的场景,但至少无论哪个操作系统现在好像都支持“客人”访问账号,如果有更频繁的使用需求,你也可以为 ta 创建一个专用的账号。
    chogath
        17
    chogath  
       2021-05-17 11:54:14 +08:00   ❤️ 7
    头顶天,脚踏地,人生全在一口气;
    切记气上有三忌:怄气赌气发脾气;
    怄气只能气自己,赌气彼此更对立;
    拍桌打凳发脾气,有理反到变没理;
    人生世上不容易,作践自己多可惜;
    生气生上一分钟,六十秒钟没福气;
    生气生上一小时,六十分钟冒傻气;
    生气生上一星期,伤了肝来害了脾;
    人生要想少生气,几件事项须牢记:
    小事小非莫计较,一眼睁来一眼闭;
    有人出语伤情面,未必全是有恶意;
    有人处事拂我意,想必有其难唱曲;
    有人仗势把人欺,多行不义必自毙;
    有人误解我蒙屈,岂有迷雾笼四季;
    有人背信把我弃,流水落花随他去;
    有人优势超过我,十指哪能一般齐;
    尺有所短寸有长,不去事事都攀比;
    人间美景未看全,哪有工夫生闲气;
    心态顺畅身体好,省下药钱旅游去。
    Jooooooooo
        18
    Jooooooooo  
       2021-05-17 11:55:53 +08:00
    需求有优先级之分.
    dallaslu
        19
    dallaslu  
       2021-05-17 11:56:22 +08:00
    支持 Joplin 作者。
    nxy006
        20
    nxy006  
       2021-05-17 11:58:09 +08:00
    对一款笔记软件,单独加锁非必要
    身为开发,我最多只能接受全客户端加锁,单独笔记加锁不会考虑,公开 /保密的数据请完全隔离
    Biggoldfish
        21
    Biggoldfish  
       2021-05-17 12:03:17 +08:00   ❤️ 3
    开源软件作者对你没有义务,需要的话自己 fork 自己写,觉得不少用户都用得到写完可以 PR 回去回馈社区
    disk
        22
    disk  
       2021-05-17 12:06:21 +08:00
    这个功能应该可以通过插件去实现,开源软件的主干功能还是以作者的设计为准,何况这软件笔记方面的开发才是大头。
    learningman
        23
    learningman  
       2021-05-17 12:08:54 +08:00
    给钱呗,不给钱自己写,写完能交个 PR 最好
    amrnxcdt
        24
    amrnxcdt  
       2021-05-17 12:09:18 +08:00 via Android   ❤️ 2
    同 20#说的,看了一下作者的回复,因为数据库本身就是明文的情况下,程序上加锁并无任何作用;相当于骗自己,参考一下之前 chrome 被读 cookies 的问题。
    namelosw
        25
    namelosw  
       2021-05-17 12:09:58 +08:00
    这种需求不是应该利用操作系统的功能实现吗?

    按照这个思路那么每个有信息的软件都得独立实现一遍加锁…
    showgood163
        26
    showgood163  
       2021-05-17 12:13:03 +08:00
    @raysonlu 自己不想做,就掏钱让别人做咯,sponsor 当起来
    lucybenz
        27
    lucybenz  
       2021-05-17 12:13:09 +08:00
    如果笔记 app 加锁是真需求? 那么单条笔记加锁或隐藏是不是真需求? 如果上述都是真需求? 那么笔记文件部分文字加密或隐藏是不是真需求? 如果上述都是真需求,那么笔记伪装是不是真需求(表面上看是普通笔记,其实隐藏了作者想要隐藏的内容)? 需求无止境 产品只能有限满足
    hoyixi
        28
    hoyixi  
       2021-05-17 12:14:39 +08:00
    先不说开不开源,只要是对外免费的,作者想咋样就咋样,因为没收钱,没义务为别人做什么。
    raysonlu
        29
    raysonlu  
    OP
       2021-05-17 12:15:23 +08:00
    想不到大家也觉得这个需求“无必要”,那作者一直坚持两年不接受这个建议,或者我能开始理解。不过我依然坚持自己见解,诸如“我写了一份不想让人看的笔记本放在家,然后不设置抽屉锁没有房门锁,最终只能不让任何人来我家探访和玩耍” 我是接受不了的。还好为知、有道还是有这功能的,只能先用着了。
    oldshensheep
        30
    oldshensheep  
       2021-05-17 12:17:54 +08:00
    看了一下这个软件支持插件,应该可以自己写个插件实现这个功能吧。
    raysonlu
        31
    raysonlu  
    OP
       2021-05-17 12:19:28 +08:00
    @amrnxcdt 实现方式很多种吧,不一定用本地的数据库,何况本地的笔记内容都能加密解密了,传统 web 登录,服务端也不存储用户密码
    zhzy0077
        32
    zhzy0077  
       2021-05-17 12:24:06 +08:00   ❤️ 1
    其实可以看下 GnuCash 对这个问题的回答,严格意义上来讲 GnuCash 这种财务管理类软件对加密的需求是要比笔记高的。
    https://wiki.gnucash.org/wiki/FAQ#Q:_Can_you_please_add_a_password_feature.3F
    但实际上 GnuCash 没有加。因为你用一个现成的经过考验的文件加密手段,都能做到比内建加密更安全。
    我认为也适用于 Joplin 。

    事实上如果我是开发者,就算有 PR 做这个我都觉得应该多思考一下要不要合并到 master 。
    gam2046
        33
    gam2046  
       2021-05-17 12:24:43 +08:00   ❤️ 3
    开源的意义在于如果原作者不愿意,我们可以自己动手,如果你愿意可以把代码 PR 回去,如果不愿意,也可以自己维护一个版本。

    因此原作者不愿意添加某些功能影响也不大呀,如果自己不能、不会、不愿意添加自己想要的功能,这时候也许要考虑付费了。
    swulling
        34
    swulling  
       2021-05-17 12:25:55 +08:00   ❤️ 2
    四种选择:

    1. 努力说服开发者接受你的需求
    2. 自己实现并 PR
    3. 问需要赞助多少开发者愿意实现
    4. 老子不用了
    3dwelcome
        35
    3dwelcome  
       2021-05-17 12:32:05 +08:00
    可能作者刚好没这个需求。
    我倒是觉得楼主这需求挺合理,你把 markdown 当成记录本,里面写几个不是那么重要的网站账号和密码,也是常见操作,并不希望别人看见。
    理论上实现起来也不难,多端保存的时候,按照用户提供的密码,加密一下明文就可以了。1password 那么流行,不就是因为有加密功能嘛。
    newtype0092
        36
    newtype0092  
       2021-05-17 12:32:08 +08:00   ❤️ 2
    明明就是你自己想白嫖一个需求,没有得逞就给人家扣帽子
    固执?理解错误?无脑反驳?
    真把自己当产品经理了啊???
    msaionyc
        37
    msaionyc  
       2021-05-17 12:33:16 +08:00
    不用就不用哈,没必要评价别人
    raysonlu
        38
    raysonlu  
    OP
       2021-05-17 12:36:24 +08:00
    @zhzy0077 这又去到我觉得作者的那种“误解认为”,我觉得,有底层加密的手段,是很赞,是必要的,但这种加密,对于使用者的直观使用过程,是无感的。“上锁”这个需求,是对使用者有明显的使用过程感知的(输入密码),或者可以理解为这种是放君子而不是防小人,或理解为是再加一把简单锁。

    PR 我有机会有时间应该会去做的,只是我很意外大家对“上锁”这个需求,跟我自己的看法,有这么大的分歧。
    raysonlu
        39
    raysonlu  
    OP
       2021-05-17 12:38:21 +08:00
    @msaionyc 确实,我不应该这么写
    nightwitch
        40
    nightwitch  
       2021-05-17 12:38:28 +08:00
    这个问题实现起来挺麻烦的啊。加密不彻底,等于彻底不加密。

    如果你对一个笔记加锁,那么本地文件是明文还是要转成密文?如果转成密文的话,增量同步功能就废了。明文的话,加密的意义在哪里?被加密笔记内索引的图片,附件是否一并需要加密?
    3dwelcome
        41
    3dwelcome  
       2021-05-17 12:39:06 +08:00
    @zhzy0077 文章提到了软件自己实现加密是 poor job,那么 BIOS 开机密码也同样是 poor job,把主板电池拔了,就删除密码了。
    很多时候,一个软件功能里,“有”和“没有”对用户来说,是有非常大区别的。实现的好与不好,反而区别没那么明显。
    sillydaddy
        42
    sillydaddy  
       2021-05-17 12:40:21 +08:00
    楼主,了解一下 VeraCrypt 吧——针对性的密码保护,只需要输入 1 个 password 。也是 Joplin 官方回复里提到的方案。

    理念不同而已,
    用户:意思就是我只要一个简单的 password,就能阻拦大部分普通用户偷看,哪怕本地数据库是明文状态。
    开发方:你数据库都明文了,表面上加一个锁有啥意义呢?不如换其他更靠谱的方法,我们不做这样的累赘功能。

    FAQ 里的原文:
    Q:
    Could there be a password to restrict access to Joplin?(可以给 Joplin 加一个密码准入功能吗?)

    A:
    The end to end encryption that Joplin implements is to protect the data during transmission and on the cloud service so that only you can access it.
    On the local device it is assumed that the data is safe due to the OS built-in security features. If additional security is needed it's always possible to put the notes on an encrypted Truecrypt drive for instance.
    (Joplin 使用了端对端的加密,它可以保证数据传输过程的安全,并且传到云端的数据是加密的,只有你才能解密。
    而本地机器上笔记数据的安全性,只能依赖于操作系统提供的安全防护措施。如果需要额外的保护,你总是可以使用像 TrueCrypt(也就是 VeraCrypt)这样的软件,把笔记放到它们制作的虚拟磁盘里)
    lingo
        43
    lingo  
       2021-05-17 12:43:46 +08:00   ❤️ 3
    标题相当不合适。。
    raysonlu
        44
    raysonlu  
    OP
       2021-05-17 12:44:38 +08:00
    @3dwelcome 难道见到一个能理解的
    raysonlu
        45
    raysonlu  
    OP
       2021-05-17 12:50:06 +08:00
    @nightwitch
    @sillydaddy
    加密和加锁,其实是不冲突的,也不相干,可同时存在的。joplin 现在就是支持加密且能同步。或者理解为,要看加密笔记,就要先解密,但可以在执行解密前加一个用户自己的密码锁,解开了再解密。本地数据库根本不用明文存密码,#31 有说
    zhzy0077
        46
    zhzy0077  
       2021-05-17 12:51:36 +08:00
    @3dwelcome 这其实是一个滑坡谬误,都是 poor job 没错,但是 BIOS 的密码是没有第二种选择时候的唯一方式。回到这个问题上来,实际上有很多现成的,经过考验的加密手段的,包括 PGP,包括帖子里提到的 VeraCrypt,在这个情况下我觉得 Joplin 或者 GnuCash 的确是不该做这个功能。
    zhzy0077
        47
    zhzy0077  
       2021-05-17 12:53:50 +08:00
    @raysonlu 如果你只是定义为“防君子而不是防小人”的话,你就在笔记标题打一个(秘密勿看), 然后开头多打几个空行在不滚动的情况下看不到内容。就足以防君子了。
    归根到底其实是这个防君子怎么定义的问题。
    sillydaddy
        48
    sillydaddy  
       2021-05-17 12:55:29 +08:00
    @raysonlu #45
    其实我发现自己没太明白你的需求,是给所有的笔记加一个密码锁,还是可以针对单个笔记加密码锁?

    如果是前者,VeraCrypt 可以实现你说的,使用很简单。如果是后者的话,确实只能 Joplin 自己能做了。
    encro
        49
    encro  
       2021-05-17 13:00:33 +08:00
    Joplin 加这个可不容易:

    Joplin 没有自己的同步服务器,采用通常是第三方 webdav 之类;
    密码保存在哪里?
    这个密码需要同步吗?
    no1xsyzy
        50
    no1xsyzy  
       2021-05-17 13:12:36 +08:00   ❤️ 2
    @3dwelcome @raysonlu
    送两位一句话

    自恃能言的傻子,正因为有了浅薄的听众随声哗笑,才会得意扬扬。(莎士比亚《爱的徒劳》)

    ——

    人们有「视觉器官」、「听觉器官」,但大部分人是没有「安全态器官」[1][2]的,唯有的「安全感器官」[1]是非常容易被糊弄的。
    人们常常陷入一种「虚构的安全感」,警惕非虚构妄想: https://inqb.ga/hanasu/delusion-of-reality
    [1]: 采用「器官」的宽泛定义,不一定是生理器官,也可能是心理器官,甚至知识也是一种器官。
    [2]: 当然,「安全态器官」不可能存在(因为安全的状态是一种需要维持的状态),我是指「威胁感知器官」,这里只是为了文学上的对仗。

    ——

    A 岛几乎每个月都有几起「秘密被其他人意外发现」的事情。倒不是别人有意去揭发你的秘密,而是别人误打误撞地发现 了你的秘密。这种事因为「只有被发现方会特别重视」且「被发现方不愿意分享」且「发现方通常也避免冒犯别人从而不去传播」等性质,受幸存者误差的影响而鲜有耳闻,但 A 岛却是个可以相对放松地分享这事儿的地方。
    (比如,某人的飞机杯被家里人打扫卫生时翻出来了…… 还洗干净了……)
    A 岛才多少人?就这么多事儿。我觉得想要每个软件各自做一遍安全验证还希望都做得对,都把安全看太随意了。
    3dwelcome
        51
    3dwelcome  
       2021-05-17 13:23:36 +08:00
    @no1xsyzy "我觉得想要每个软件各自做一遍安全验证还希望都做得对,都把安全看太随意了。"
    安全是分等级的,正常人也不可能把几十万比特币加密随便存普通软件里。

    楼主标题可能不好听,但作为笔记软件的加密需求,同样也是客观存在的。

    设计这种 markdown 纯文本加密,和我前几天讨论加密贴一样,可以做到无唯一解,也就没办法暴力破解。普通密码 hash 一下,AES 加密后存本地,安全性绝对达标了。
    labulaka521
        52
    labulaka521  
       2021-05-17 13:24:44 +08:00
    白嫖还理直气壮让别人给你开发功能?
    beibeijia
        53
    beibeijia  
       2021-05-17 13:33:36 +08:00
    哈哈,我也有这个需求,当时找了一堆替代品,就这各方面符合我的需求,可惜就是数据库不加密,本地明文存储,打开笔记也没认证,作者论调也是相当滑稽,但你没办法,开发者会强调使用习惯安全责任云云,小朋友会强调这是免费滴你爱用用不用滚,所以还是得自己找其它替代品,话说我当时也想发帖喷下开发者来着,可惜没勇气,佩服老铁,哈哈。
    yunyuyuan
        54
    yunyuyuan  
       2021-05-17 13:34:12 +08:00   ❤️ 4
    作者不愿实现我的需求 = 为何作者们都这么固执
    raysonlu
        55
    raysonlu  
    OP
       2021-05-17 13:35:35 +08:00
    @sillydaddy 确实是后者,VeraCrypt 只是个加密工具,不是加锁。加密的话,joplin 原本就支持加密了。
    ulosggs
        56
    ulosggs  
       2021-05-17 13:38:02 +08:00   ❤️ 1
    fork
    wipbssldo
        57
    wipbssldo  
       2021-05-17 13:39:50 +08:00
    白嫖还理直气壮提需求~
    raysonlu
        58
    raysonlu  
    OP
       2021-05-17 13:41:11 +08:00
    @beibeijia 或者可以试试 icloud 的便签,不过在 PC 端就只能是 web 打开了
    harwck
        59
    harwck  
       2021-05-17 13:49:39 +08:00
    不用 xx 笔记之类的,但看完作者的回复确实感觉没问题很合理,哈哈
    laydown
        60
    laydown  
       2021-05-17 13:50:29 +08:00
    作者没这个需求吧,谁整天来摸你电脑,打开你的电脑里的某一款软件来看你写的内容呢,你说加锁一点用都没有吧,其实是有的,但微不足道。

    电脑创建访客账户吧,因为除了这款软件,你电脑里的其它软件里保不齐也有不想被人知道的内容,锁不完的。
    no1xsyzy
        61
    no1xsyzy  
       2021-05-17 13:50:37 +08:00
    @3dwelcome 加密需求应当用更正确的、更简单的方法实现
    而不是像这样这样每个地方以各自微妙的差异实现一遍

    你有信心比 ssh version 1 实现得更正确吗 ;P
    你有信心实现得比各种全盘加密更简单吗?(尤其你可以单独加密一个分区,并且推迟到使用该分区时才需要解密。)
    raysonlu
        62
    raysonlu  
    OP
       2021-05-17 13:51:31 +08:00
    @encro 具体实现代码还没扒,我感觉可以参照 joplin 自己的端到端加密流程:PC 设置了加密,或更新了加密,其他端也会自动知道要怎样加密解密。
    zlbruce
        63
    zlbruce  
       2021-05-17 13:55:36 +08:00
    楼主提到的需求,其实更一般的应该是对笔记有不同的安全级别,这种需求应该还是存在的。
    wee911
        64
    wee911  
       2021-05-17 14:00:46 +08:00
    作者说的在理啊
    3dwelcome
        65
    3dwelcome  
       2021-05-17 14:05:28 +08:00
    @no1xsyzy case by case, 不同加密你不要混为一谈。

    纯文本加密,你只要能防止黑客用彩虹表之类的暴力破解,就已经足够了。

    如果防不住,那你用别的加密方案,同样也防不住。
    3dwelcome
        66
    3dwelcome  
       2021-05-17 14:12:13 +08:00
    @no1xsyzy “加密需求应当用更正确的、更简单的方法实现”

    你是指用系统加密 API 或者用标准开源库吗?不好意思,黑客最喜欢这种加密方法了。直接 API HOOK 一下,下个断点,就能找到密钥所在。

    安全性也要顾及一点黑盒概念,不是常规加密方案,让黑客猜不透黑盒运行原理,无从下手,这才是提升安全系数最好的方法。
    Greenm
        67
    Greenm  
       2021-05-17 14:20:13 +08:00   ❤️ 1
    帖子里大部分都是反对楼主意见的(当然也包括我),这个时候更明智的选择是使用 veracrypt 或者 1password 这样的工具对重要的东西加密。

    如楼上所说,一旦决定加了这个需求,那么必须要考虑到这部分的逻辑严密和后续的需求,加密做得不够好不如不做,这样就不用骗人骗己。

    要么放弃选择其他路线,要么给钱。
    Greenm
        68
    Greenm  
       2021-05-17 14:23:19 +08:00
    其他的讨论我还能忍,# 66 楼这样的认知简直刷新了我的认知下限。

    “安全性也要顾及一点黑盒概念,不是常规加密方案,让黑客猜不透黑盒运行原理”

    原来信息安全和密码学也有民科,还好大部分人不这样认为。
    raysonlu
        69
    raysonlu  
    OP
       2021-05-17 14:24:49 +08:00
    @3dwelcome 其实我觉得,如果大家能把`加密`,和`加锁` 区别理解起来,就好很多了。
    raysonlu
        70
    raysonlu  
    OP
       2021-05-17 14:27:32 +08:00
    @Greenm 区别一下"加密"和"加锁",加密的话,joplin 已经做得很好了,veracrypt 或者 1password,都不符合"对单个笔记加锁”的需求,宛如#48 说的,只能 Joplin 自己能做了~
    3dwelcome
        71
    3dwelcome  
       2021-05-17 14:33:29 +08:00
    @Greenm 你知道现在软件加密加壳,都是用虚拟机来防破解吗?这和黑盒加密一个道理。

    直接调用系统加密 API,对黑客来说就相当于看开源代码,也不知道这点有什么值得你们去骄傲的。

    我压根也没想造瑞士银行,就想把家里的保险柜,自己软件弄弄结实。有那么难理解吗?
    no1xsyzy
        72
    no1xsyzy  
       2021-05-17 14:38:12 +08:00   ❤️ 1
    @3dwelcome “加密需求应当用更正确的、更简单的方法实现” 当然是用内核态提供的加密,用户态下拿不到 Hook 的。
    倒不如说你都能 Hook 了,直接扫目标软件的内存不就行了?
    VeraCrypt 操作看上去比开笔记输入密码简单多了。
    黑盒玩法不适用密文体系,这都已经被淘汰了,向落后进化。
    3dwelcome
        73
    3dwelcome  
       2021-05-17 14:41:30 +08:00
    @raysonlu "其实我觉得,如果大家能把`加密`,和`加锁` 区别理解起来,就好很多了。"

    这些人都是为怼而怼,都没有软件安全分层的概念。

    我源代码部分文本都加密,要连测试服务器,安全性没那么非常重要,但也肯定不希望密码以明文形式展示出来。

    也许 Joplin 也可以考虑这种部分文本嵌入式加密。终端密码也只有访问的时候,用户前端输入后才有。无暴力破解,无密钥保存。
    ParfoisMeng
        74
    ParfoisMeng  
       2021-05-17 15:05:36 +08:00
    啊这……
    exonuclease
        75
    exonuclease  
       2021-05-17 15:12:40 +08:00
    bitlocker/windows hello 还不足以保护你的笔记吗 你笔记里面有核弹发射密码?
    nikan999
        76
    nikan999  
       2021-05-17 15:30:04 +08:00
    第一 这个需求对 90%的场景不适用。
    第二 我们确实需要考虑 10%的场景,楼主的这个需求满足少部分场景,合情合理
    第三 开源项目为爱发电,是不是应该考虑赞助作者实现这个功能
    itgoyo
        77
    itgoyo  
       2021-05-17 15:54:58 +08:00
    之前听了一个 ggtalk padcast 关于微信的,现在想想嘉宾当时说得好有道理,每个人都觉得自己提出来的需求很重要,但是并没有想过到底有多少人会用,更没想过会有多少人会愿意付费。想太多,有本事自己搞不就行了
    ragnaroks
        78
    ragnaroks  
       2021-05-17 16:01:13 +08:00
    你 fork 原项目自己改,如果有更多人用你的发布,那么说明你是对的,反之~
    hui314
        79
    hui314  
       2021-05-17 16:03:50 +08:00
    有道加锁的笔记在 document 能找到明文。不知现在是否还是一样。
    raysonlu
        80
    raysonlu  
    OP
       2021-05-17 16:08:31 +08:00
    @hui314 试试为知的那个加锁
    20015jjw
        81
    20015jjw  
       2021-05-17 16:15:28 +08:00
    从未见过如此理直气壮之人 - -
    realskywalker
        82
    realskywalker  
       2021-05-17 16:27:05 +08:00
    给作者捐款 1w usd,估计能加进去。
    itianjing
        83
    itianjing  
       2021-05-17 16:27:07 +08:00
    楼主明显比开源作者更固执
    pluvet
        84
    pluvet  
       2021-05-17 16:29:03 +08:00   ❤️ 1
    是我我也不喜欢把自己的软件做成功能大全
    pluvet
        85
    pluvet  
       2021-05-17 16:30:08 +08:00
    给你提供一个思路,用另外的目录存放笔记文件,修改后自动复制到 joplin 的目录,复制过程中通过 meta 信息进行加锁解锁
    knives
        86
    knives  
       2021-05-17 16:39:28 +08:00
    Joplin 支持自己编写插件,楼主可以从这个思路尝试下。例如,向 markdown 中添加特定的语法,经过插件处理后才能正确显示。
    blvvet
        87
    blvvet  
       2021-05-17 16:46:31 +08:00
    人家有资格"固执", 你有什么资格说人家
    dianso
        88
    dianso  
       2021-05-17 16:51:20 +08:00 via Android
    千万别加这个功能 没必要
    jenlors
        89
    jenlors  
       2021-05-17 16:59:56 +08:00
    开源的意思在于不爽自己改
    cmdOptionKana
        90
    cmdOptionKana  
       2021-05-17 17:17:57 +08:00   ❤️ 2
    重点不是这个功能对 Joplin 有没有好处,由 Joplin 来实现是不是最优解,不该讨论这个。

    即使证明了让 Joplin 添加这个功能有一万个好处,人家作者也可以不加,也不能对作者使用贬义词。这才是重点。
    oamu
        91
    oamu  
       2021-05-17 17:28:40 +08:00
    站作者。你都说了这个是开源项目,你又没钱投资开发,凭什么苛责别人实现你的需求?
    evejwp
        92
    evejwp  
       2021-05-17 17:31:55 +08:00
    @lingo 标题:为什么楼主这么固执
    efaun
        93
    efaun  
       2021-05-17 17:35:25 +08:00
    要么 fork,要么捐赠一笔作者无法拒绝的数字。
    oamu
        94
    oamu  
       2021-05-17 17:37:05 +08:00
    @oamu #91 漏了个”不“ 字,苛责别人不实现你的需求。
    Cy1
        95
    Cy1  
       2021-05-17 17:42:48 +08:00
    “有点类似产品经理有时候无脑提需求那样”
    SenLief
        96
    SenLief  
       2021-05-17 17:48:10 +08:00
    因为这功能没啥必要。
    joplin 是明文存储的,本身就是加密的,这样的功能不觉得游什么用处。joplin 就是给自己用,没打算给别人看。
    zhzy0077
        97
    zhzy0077  
       2021-05-17 18:20:02 +08:00
    @3dwelcome 有点看不下去你的发言了, 软件加壳加密和加密一个笔记文本是一样的吗? 软件加壳加密是为了在部署分发到不可控的机器上时做到防篡改. 且不说 Joplin 永远不会 host 在别人的电脑上, 如果你认为系统加密 API 或者用标准开源库对文本加密是不可控不安全的, 我希望你破解了 /t/776529 这个再说,这就是个通过业界标 AES 加密的普通文本。
    Junzhou
        98
    Junzhou  
       2021-05-17 18:26:32 +08:00   ❤️ 4
    去年年底把自己写的 b 站升级助手放 github 了,然后好有就问能不能支持多账号,支持多账号没有那么麻烦,但是我内心就很抵触,一般大家都是 1 个号,多账号的就是少部分人,所以一直没加多账号。

    如果有人在 issue 里好好的说,我会耐心解释为啥不加这个功能。 单如果有人因为我说不加这个,发帖说我固执(固执这次不是啥中性词),我会怼回去。。。 。

    ·毕竟好歹也是个开源项目· ,怕不是楼主对开源有所误解。
    IgniteWhite
        99
    IgniteWhite  
       2021-05-17 18:50:33 +08:00
    GitHub 上 issue 多看一些,你就会发现很多用户希望的改进,都在和作者讨论之后被怼回去,这是一个很普通很普通的情况,要秉持一个对事不对人的原则。

    另外要认识到,作者拥有对一个开源项目的决定权,用户可以选择用或者不用,免费的。用得不满意,用户可以选择提 issue 和作者讨论,作者愿意做他会提到 repo 的计划里,作者没时间会接受用户以 PR 方式的贡献。如果作者不愿意,用户有能力的话自己 fork 然后改代码,没能力的话请别人去改,开始和另一个人的交流。

    同一类产品,在收费的市场上是竞品,在开源平台上,彼此是 alternative 。这就使得开源作者没必要向用户妥协作者自己的想法,因为用户随时有其他的选择,这就是开源平台的自由性和独立性,也期望了作者和热心用户同为爱好者群体的互相尊重。这种互相尊重是开源社区极为看重的,本身也能促进事情向前推进。
    Ritr
        100
    Ritr  
       2021-05-17 18:54:29 +08:00
    我不要你觉得,我要我觉得
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2712 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 15:41 · PVG 23:41 · LAX 08:41 · JFK 11:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.