V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
gzelvis
V2EX  ›  程序员

对于国内团队协作和企业信息服务(例如钉钉)的安全性迷思

  •  
  •   gzelvis · 2016-02-27 18:19:13 +08:00 · 12192 次点击
    这是一个创建于 3193 天前的主题,其中的信息可能已经有所发展或是发生改变。
    现在移动互联网时代,我们很多小型创业团队都开始使用类似 Trello (团队任务) + Slack (团队信息沟通) 这样的协作软件。但有一个很大的问题,这些软件的国内版(理论使用起来速度更快,更接地气,也少了某一天突然就不能使用(被墙)的风险),然而,另一方面,你们就没担心过 团队(公司)的核心机密泄露的问题吗?

    譬如就拿开发支付宝的阿里公司来说,最近它可火了。而 它的 钉钉(企业及信息协作服务),你那么多的员工在上面畅所欲言,还有那些所谓的 澡堂模式,可是你是什么公司,那个是什么级别的人发出的信息,阿里都能知道(有没有保存或者大数据很难说)。 往坏一点去想。。。 这是衣服都脱光,甚至脑袋都挖出来给人看啊。。 有鉴于国内道德方面的素质。。。 你们就没担心过?
    100 条回复    2016-03-01 22:22:33 +08:00
    gzelvis
        1
    gzelvis  
    OP
       2016-02-27 18:21:17 +08:00
    其实我们最近用下来, Trello 不太接地气,反观国内的 Teambition 很不多,同时它也有推类似 slack 的简聊服务。其实我们很想用,但又怕 。。。 而且它比阿里那种少了些担心(就是它即便把我们创意或公司信息拿去了一般因为跨行跨界可能意义不太大),但另一方面这种级别的公司如果 BAT 开发类似软件然后压下来,难免就挂了,这样我之前积累的数据就都没了。。。 呦
    gzelvis
        2
    gzelvis  
    OP
       2016-02-27 18:22:14 +08:00
    就怕有些更鸡贼的公司,直接把我们的内部资料卖给我们竞争对手,成为他们真正的盈利来源,这就 sb 了(我没特指什么公司或软件,只是因为国人的素质,难免有这方面的忧虑)
    Heracles
        3
    Heracles  
       2016-02-27 18:29:58 +08:00
    中国产品就别想什么安全了,不是技术问题。就算公司有节操,政府呢
    lxy
        4
    lxy  
       2016-02-27 18:36:44 +08:00
    腾讯在各方面都很成功的原因其实是……我只是随便说说……
    gzelvis
        5
    gzelvis  
    OP
       2016-02-27 18:53:42 +08:00 via iPhone
    @Heracles 企业级应用我还是首先担心信息安全问题,说实话,譬如,我们还在构想中,或者刚花费很大精力做了可行性调研,刚私密模式发给老板看,结果人家直接拿到了然后凭借更牛逼得团队,庞大的用户群还有资金,等你小创业公司老板咬咬牙把预算批下来,人家都出可行性产品了,你还创个屁业啊
    terence4444
        6
    terence4444  
       2016-02-27 19:02:33 +08:00 via iPhone   ❤️ 1
    我觉得数据肯定是收集的,但不会拿出去卖, BAT 不差这点钱…不过小公司的产品就说不定了。
    但是他们应该会拿数据自己用,特别是如果和提供方有业务重合的情况下,我认为最好不要用。
    uxstone
        7
    uxstone  
       2016-02-27 20:12:25 +08:00
    钉钉并不好用
    功能太复杂了,
    Heracles
        8
    Heracles  
       2016-02-27 20:33:41 +08:00
    @gzelvis 你有这个担心就不要用国产软件了。如果还有更高保密需求的请用 telegram
    gzelvis
        9
    gzelvis  
    OP
       2016-02-27 20:35:58 +08:00 via iPhone
    @Heracles 主要是刚刚想起来,细思恐极,真的是很容易被一锅端的节奏,最近钉钉在企业里发展汹涌啊
    geeglo
        10
    geeglo  
       2016-02-27 20:36:34 +08:00
    @gzelvis
    这种可能,也是自建 git 服务器 的一方面因素。
    zjb861107
        11
    zjb861107  
       2016-02-27 20:45:04 +08:00
    @gzelvis BAT 不会这么做的,都是等你做出来有一定规模了,才开始发力。盯着你的聊天记录?这个成本太高了。。。
    gzelvis
        12
    gzelvis  
    OP
       2016-02-27 21:08:32 +08:00
    主要是一些公司发展战略,重要战术等等的,在那个 “澡堂” 模式下,你以为非常安全,其实最不安全,因为你因为安全,就敢于把很多要当面谈的重要公司信息以文字方式泄露出去了。而这些数据都肯定“经过”了某些公司的服务器
    wtz123
        13
    wtz123  
       2016-02-27 21:28:14 +08:00
    那种企业提供软件,部署到公司自己的服务器这种模式怎么样?
    brando
        14
    brando  
       2016-02-27 21:29:44 +08:00
    这些公司还是要出来混的,但关键这个模式还是要有个相关的一个法律保护模式。
    master
        15
    master  
       2016-02-27 22:56:44 +08:00   ❤️ 2
    你们要自己都执行不出来 谁稀罕你们什么战略
    那么多公司喊了那么多战略 最后又怎么样了
    先让你们的业务发展到值得被盯上再说吧
    leeyiw
        16
    leeyiw  
       2016-02-27 23:37:18 +08:00
    阴谋论患者
    leeyiw
        17
    leeyiw  
       2016-02-27 23:39:48 +08:00   ❤️ 1
    嗯,淘宝上这么多卖家的数据阿里也能拿到,到时候阿里就去开淘宝店把其他卖家都打败咯
    sandywu
        18
    sandywu  
       2016-02-27 23:44:17 +08:00
    想多了,接入钉钉的大多应该是中小规模的公司,你业务没起来前阿里压根不会把你放眼里,等真正业务做大后,公司又会自己搞一套协作工具了。
    leeyiw
        19
    leeyiw  
       2016-02-27 23:52:43 +08:00   ❤️ 4
    调侃两句, LZ 别介意。以阿里安全团队一员的身份说几句,从没见过公司对哪个别的业务部门的安全如此重视过,除了钉钉。为了钉钉的安全阿里做了很多的努力,有兴趣可以看《钉钉安全白皮书》: http://download.alicdn.com/freedom/33465/pdf/dingtalksecuritywhitepaperV1.0.pdf?spm=a3140.7832593.0.0.rpZvkL&file=dingtalksecuritywhitepaperV1.0.pdf 。我们的很多同事都为钉钉的网络、数据、基础架构、客户端安全做了很多很多努力,与此同时看到 LZ 以这种阴谋论的心态在这里明的暗的怀疑阿里作为一家上市公司的商业道德,有点心寒。

    如果我是创业公司的一员,要怀疑某个 App 有没有盗取自身的信息,我会先从以下几个角度考虑以下问题:
    1 、数据量这么大,对方是否能够精准的分析出聊天记录中哪些信息是有价值的?
    2 、获取这些有价值的信息,带来的成本和产生的受益,是否值得这家公司去进行冒险?
    3 、就算真的被获取了重要的信息,对方是否能直接利用带来非常高的利益?

    作为工程师,可以往坏的方面想,但是不考虑以上这些实际的问题,我觉得就有点抹黑的嫌疑了。
    gzelvis
        20
    gzelvis  
    OP
       2016-02-28 00:16:33 +08:00   ❤️ 1
    刚看了一下我真的很想用的 T***** 团队协作软件 的用户隐私协议,其中有一段话,不知道大家怎么解读 “本网站保留使用汇总统计性信息的权利,在不透露单个用户隐私资料的前提下,本网站有权对整个用户数据库进行分析并对用户数据库进行商业上的利用”
    yxc
        21
    yxc  
       2016-02-28 00:18:17 +08:00   ❤️ 1
    @leeyiw

    楼主说的是公司的机密有可能会遭阿里偷窥,合理怀疑为什么却变成抹黑了,抹黑指的是指明你阿里肯定偷窥了而你没有干。

    就算你是阿里团队的一员把安全问题做到天依无缝,某一天来自高层的决策你能拿挡得住么,或者你会知道么。

    再有一天老大哥需要审查某家企业的信息你拿安全白皮书挡得住吗,还是拿上市公司的商业道德。

    新浪不也堂堂上市公司,微博上肆无忌惮删贴封号,多少营销号转载未经授权的文章投诉无门
    leeyiw
        22
    leeyiw  
       2016-02-28 00:20:40 +08:00
    @yxc 那你觉得考虑到我所提到的三个问题, LZ 的怀疑还是合理的吗?我觉得他的怀疑不太合理,你觉得呢?
    还有,为什么我们讨论这个问题要扯上新浪呢?真的有可比性吗?
    leeyiw
        23
    leeyiw  
       2016-02-28 00:22:55 +08:00
    @yxc 另外,你说高层的决策我们是否挡得住,我觉得这个是一个伪命题,我不认为高层有这么做的动机,原因我也在我提的问题里面说了,这真的值得吗?这是我们每个人考虑安全问题要考虑的一个问题,做坏事的成本和所得到的利益。老大哥的问题,我觉得就不是商业上的问题了,如果老大哥需要审查一些企业的信息,你觉得会在什么情况下做呢?纯粹是为了好玩?
    leeyiw
        24
    leeyiw  
       2016-02-28 00:26:37 +08:00
    @yxc @gzelvis 我觉得我们在作一些假设和怀疑的时候,没有考虑过成本和受益的问题。对于在公众底下的一家巨型公司,就算自己没有做所谓的“坏事”,每天负面新闻也会接踵而出,就如前段时间的“支付宝隐私门”。更别说如果真的做了这些“坏事”,就算在公众界“曝光”的概率是 0.1%,难道这个后果是可以承受的吗?
    我觉得 BAT 这个级别的公司如果出了这种负面的新闻,以后都不要做了,绝对会倒闭的,你觉得呢?
    thinkif
        25
    thinkif  
       2016-02-28 00:30:23 +08:00
    与其考虑机密信息的安全问题倒不如考虑隐私的问题来的实际

    除非被专门盯上,否则分析零散的信息中有利用价值的部分成本是非常高的

    反倒是个人隐私被盗用和贩卖成本倒是低很多,例如某些机票事件那种
    gzelvis
        26
    gzelvis  
    OP
       2016-02-28 00:41:34 +08:00   ❤️ 2
    @leeyiw 首先,希望也请你体谅,我不信任并不是针对某一家公司,而是整个国内的风气让我首先往“有罪”方向设想一些可能性,因为现在中国人心中只有一把尺,那就是“有钱能使鬼推磨,没钱万万不能”,所以为了钱,他们可以出卖一切,包括灵魂。其实钉钉我们也有在用,最近发展势头很猛的说。但前几天的 支付宝事件 。其实这世上很多事情都是这样的(你如果炒股的话很容易就能理解),可能他们真的没做,但只要有那么一下子,让用户怀疑他们做了,其实他们做没做已经没区别了,因为用户的信心已经动摇。对比国外软件,从注册那一刻开始,就非常强调 用户隐私问题,而国内软件只强调功能啊,只强调免费或者目前特价注册等等让后忽悠你给予这个授权那个授权,你看我上面的帖子,“有权进行分析及对数据库进行利用”。哪么宽的灰色地带,咋玩都不坏啊,吃亏的只有用户而已,在中国买的什么时候有卖的精?

    我再说回来,因为 钉钉 是标榜非常非常安全的做卖点的,但你们的安全性执行方案,跟 Telegram 是否采取同一级别,在你们服务器上根本不保留数据?

    我举个例子,如果我因为相信某种软件,我发送的 “机密” 信息绝对不会被留存或者截获,于是相对放松了警惕发送了假设是我包二奶的信息。如果某一天,因为涉及商业竞争或者什么巨大利益的事情,这种“证据”会否就突然重新出现在我眼前并成了对手要挟的绝杀武器。就好比,如果你知道跟那人说话不安全,或许你压根就不会考虑说一些对自己影响如此重大的机密信息出来,但正因为你相信这个过程安全,才让信息处于不安全的境地,因为这世上最安全的只有自己的大脑,退而其次的还有脱光了衣服的澡堂。

    看到这里你肯定已经把我当成一个阴谋论者。说实话我们刚拿了点小投资,像这里帖子之前回帖的兄弟们说的那样,“你就屁那么大点事,还怕人家抄”? 谁说这话的时候都容易,直到你被 BAT 抄到了你的头上,这么多年来他们赶尽杀绝了多少小微公司,我想,终有一天,轮到你的时候,再回头想想你今天说过的风凉话吧。

    T , B , A ,还有新进吹牛很厉害的 X 。。

    全都是“借鉴之王”啊,如果看过中国整个互联网发展历史的,你又怎么会不知道

    中国最可怕的就是,很多人簇拥着利益,睁眼说瞎话

    而更多不明真相的人

    还居然信以为真...

    我发这贴不是突然有什么替上帝出头的想法,而是最近在组建初创团队。对于小型团队,最需要效率 up 起来,这个时候这种团队协作软件第一时间成为了我们如何提升效率的考量。考察来考察去剩下了两种组合,一个是全 E 文,貌似没有被“借鉴”风险的 Trello (团队任务管理)+slack (团队实时信息协作) 和 有可能成为风险的 T**** + 简* 。 而之前一直有个人玩闹用开的 钉*,真的不敢在初创公司里使用。

    Trello+slack 的优点是发展势头很猛,国外公司几乎不用考虑泄密问题,而且这两个公司貌似都有成为独角兽的潜力(前者可能被收购,而后者已经是独角兽了),这样的话也不用担心用着用着对方创业失败,我的数据迁移不了的问题。 而缺点就是全英文的,团队里有些非程序开发的组员可能用起来效率不高,而且有些英文思维模式的确跟我们中文的有些出入,用起来有点别扭。再加上 slack 的组件很多都是国外的,例如是印象笔记,人家也有,但那是 Evernote 。 而国内的全中文肯定没的说,组员里用起来谁都没问题。但认真看了看隐私协议,就是上一贴那段话,不得不细细揣测,难下定论啊
    leeyiw
        27
    leeyiw  
       2016-02-28 00:46:42 +08:00
    @gzelvis
    “我再说回来,因为 钉钉 是标榜非常非常安全的做卖点的,但你们的安全性执行方案,跟 Telegram 是否采取同一级别,在你们服务器上根本不保留数据? ”
    A: 服务器上会保留数据
    “国外公司几乎不用考虑泄密问题”,你说这个是因为你们用中文交流,觉得国外公司如果想窃取信息的成本比较高吗?
    gzelvis
        28
    gzelvis  
    OP
       2016-02-28 00:49:17 +08:00
    当数据越来越发达后,一些细思恐极的事情慢慢就滋生了,大家看这样一个假设有没有可能

    假设某人不小心去叫鸡,得了性病,于是他这段时间不断去看医生,买对口药品,这个过程,他刷微信支付或者支付宝。。哪么,以今天的大型计算机和足够的数据量还有地图 GPS 数据。绝对能分析出来那个人 XX 时间去叫鸡, XX 时间在医院检查后因为有验单的费用,再加上什么药品,基本上你是梅毒还是艾滋都肯定知道了。如果是艾滋的。会不会因为对自己公司安全有影响,进而在解雇了这个成员,而这个成员甚至还不知道为什么被解雇。而这种信息,将来以“超级大数据”,以特别昂贵的费用卖给某些大型企业或者信用机构呢?

    在以前,因为我们有现金,有各个银行的银行卡,因为银行间不互通的,因此数据有断层,而且那些银行的 IT 部太烂,根本没办法分析出有用的数据。而现在,超级 IT 企业 BAT 完全拥有足够的运算能力,足够持久的用户行为数据,足够完整的商家信息和地图 GPS 数据。。

    想一想吧。。

    如果你每天把脑子摊开在人家面前,有多难堪

    别认为我是科幻片看多了,否则人家苹果怎么第一时间强调我的 Apple Pay 绝对不上传用户的购买资料,只做本地用户手机记录呢?

    这就是国外和国内的不同。

    隐私(大数据),才是最能卖钱的东西啊,洋人不知道不知道,而是不敢...

    别他妈跟我说信仰,人家那是怕法律
    gzelvis
        29
    gzelvis  
    OP
       2016-02-28 00:49:46 +08:00
    @leeyiw 没有直接的利益链
    gzelvis
        30
    gzelvis  
    OP
       2016-02-28 00:54:50 +08:00
    某些小网站,就因为论坛里有时候审核不严被人发了几个露点的照片,直接关照没得上诉,同期,中 XX 网站都被央视新闻点名批评涉黄了,人家服务器一秒钟都没被拔过网线。这就是现实... 说多了都是泪,这贴就这样吧。本帖没有针对任何公司的意思,只是因为也是 IT 从业者,看着移动互联网越来越“方便人群”,突然有这样悲观的隐私想法,怕有一天,正是我们自己这种贪图便捷的做法,把自己送上了隐私的囚牢
    leeyiw
        31
    leeyiw  
       2016-02-28 00:57:49 +08:00
    @gzelvis 很大胆的想象。
    guoyijun163
        32
    guoyijun163  
       2016-02-28 01:00:01 +08:00
    觉得阿里整个集团的思路就很奇葩……别人质疑一下,那有足够信心回应一下就得了(不是有白皮书么),非要说别人这样做如何如何不对,如何如何阴暗……支付宝事件如此……这里也是如此
    guoyijun163
        33
    guoyijun163  
       2016-02-28 01:05:41 +08:00
    @leeyiw 另外从我指出阿里云业务中的证书问题,至今已经好多天~然而阿里安全的人折腾了半天才分清楚流量窃听和流量劫持的区别……而且至今(已大约一星期)没有修复,不知道有什么足够的信心让我信服阿里安全……?(答应暂时不传播就不细说了)
    guoyijun163
        34
    guoyijun163  
       2016-02-28 01:09:27 +08:00
    @leeyiw 再补一点……还有在我不愿意提供电话联系方式进行沟通的时候,强行从我围脖上用关键字,硬是在阿里云的帐号数据库里搜到“可能”对应我的阿里云帐号然后直接提供电话给其他部门来联系我了……(还动用社会关系 联系工作单位的朋友……)
    Strikeactor
        35
    Strikeactor  
       2016-02-28 01:11:44 +08:00   ❤️ 1
    @leeyiw 你跟他举的全是论据,他跟你谈的都是假设,还有啥讨论的意思
    gzelvis
        36
    gzelvis  
    OP
       2016-02-28 01:15:02 +08:00
    @Strikeactor 我说兄弟啊,论据是要有证据作为基础的。就好比现在上面很多 不回答的东西, 你拿出证据给我们看,我们就信服了,而不是光说嘴炮。我不是指楼上那位阿里的兄弟啊,说实话他也就打工的,大数据是另外一个部门
    gzelvis
        37
    gzelvis  
    OP
       2016-02-28 01:17:57 +08:00
    @Strikeactor 怀疑即合理,要么拿出让人绝对不可能怀疑的理据(证据),这其实才是我想要的答案,就是国内这些公司都非常尊重法律,在这种用户隐私问题的大是大非上绝对对得起天地良心和绝对不僭越一丝法律。他们只要能拍个胸口给点证据我看,说实话我愿意使用。毕竟我们国内用户选择也不多
    guoyijun163
        38
    guoyijun163  
       2016-02-28 01:22:55 +08:00
    @gzelvis 其实这个我倒不太同意,有个例子就是一把刀放在了你家,你如何证明你没用他杀过人?其实你也只能以你的声誉,以及你目前没有被发现杀过人来认为你的确没杀过人。

    换到这个事情上来说就是,如果你是阿里,要拿出怎样的证据才能证明自己真的不会去看或利用那些信息?
    leeyiw
        39
    leeyiw  
       2016-02-28 01:23:43 +08:00
    @gzelvis 我觉得这种问题应该是谁主张谁举证吧?哪有为了自证清白而举证的?那我说你妈不是你妈,你给我证明一下你妈是你妈?(没有冒犯的意思,就是觉得应该是怀疑的一方举证)
    leeyiw
        40
    leeyiw  
       2016-02-28 01:24:42 +08:00
    @guoyijun163 你说的事情我不太了解,我相信阿里的安全同学对这两个概念都是很清楚的,也许联系你的是客服吧。我个人也不太任何你说的这种联系你的做法。
    guoyijun163
        41
    guoyijun163  
       2016-02-28 01:29:29 +08:00
    @leeyiw 安全的同学和我说是客服专业性不足,然而后来换的安全的同学也是给我绕了好大一个圈子,最后我强行打个比喻才搞明白~(话说钉钉还用着 SHA1 的证书)
    gzelvis
        42
    gzelvis  
    OP
       2016-02-28 01:32:40 +08:00
    @leeyiw V2 最让我喜欢的一点就是这里大家都是就事论事。事实上,你要去举证阿里这种规模的公司是否有存在利用用户隐私数据获取利益是非常非常难得,除非由某些部门出门专门成立调查小组入驻。否则就个人的话,算了,我说的那个网站被关的例子就是这个的。作为弱者,只能选择不用,或者用了就必须接受“可能被强奸”的可能性,欢迎来到现实世界
    leeyiw
        43
    leeyiw  
       2016-02-28 01:38:20 +08:00
    @guoyijun163 请问你说的证书问题是官网还是 APP ?
    leeyiw
        44
    leeyiw  
       2016-02-28 01:39:36 +08:00
    @gzelvis 嗯,我觉得归根结底,都是信任问题。另外,你说的调查小组,最近这边有 ISO 认证和公安部的信息安全等级保护评估,都在进行中 :-)
    Strikeactor
        45
    Strikeactor  
       2016-02-28 01:39:52 +08:00
    @gzelvis 很抱歉,看完你的回复并不想跟你鬼扯。

    @leeyiw 的论据,比如无法对如此海量的数据进行分析,以及这么做的成本与收益不成比,从技术层面讲都是有理有据令人信服的。相对的,怀疑也是需要根据的,而你的怀疑通篇只能看到你幻想出的情节。

    按照怀疑即合理的逻辑,我没有任何根据的怀疑楼主是阿里的竞争对手花钱买通的水军,请楼主自证
    guoyijun163
        46
    guoyijun163  
       2016-02-28 01:41:39 +08:00
    @leeyiw 钉钉网页版, SHA1 的证书。 再之前那个证书问题我打算再等一星期看看有没有修复……还不修复就再传播一次……
    lixmin
        47
    lixmin  
       2016-02-28 01:55:09 +08:00   ❤️ 1
    @gzelvis @leeyiw 看你俩的聊天,感觉双方都挺有意思的。不过双方辩论确实不再一个水平线上。
    g 兄弟确实可以怀疑,可以将信将疑地使用,如果哪天钉钉让你失望了,你可以大胆放弃。你可以防着他,敏感的内容不再钉钉上谈(当然我知道你应该也行不过某信对吧-_-,建议那种生死攸关的内容,口头聊)。现在钉钉还是免费的,他没赚你的钱。客观看你举的例子还是有些欠妥当,从逻辑上看这几方面真构不成类比的关系,哈哈哈。
    l 兄弟你对你们公司太有信心,你也不用强求别人和你想的完全一样,求同存异。你们双方是信息不对等的层面,可能你知道一些公司内部信息,然后让你很相信他。

    信任的建立是很难的,每个人有“相信”的自由,也有“不相信”的自由。
    gzelvis
        48
    gzelvis  
    OP
       2016-02-28 01:59:30 +08:00
    @Strikeactor 首先,我没有公开对你提供服务,对公众提供服务,你也没需要向我这里索要或者购买任何服务,所以,你可以怀疑我,但我无需向你举证任何东西。但阿里设计制造了商品,向社会公开给用户使用,也有售卖的行为,并且产品标榜安全性,他们绝对有必要对客户就该产品“有多安全”进行充分说明和举证。就好比你造了一辆车,你说它跑的很快,用户问你跑的多快,你就只一个劲再说,总之很快,我能信服吗?中国在售的东西都有国家质检标准的兄弟,传统商品上市前需要报批有关部门并且根据国家标准测量后你真达到那个数值并且不低于国家标准才可以列印在广告上并上市销售的。但现在互联网产品发展那么快,有多少家的产品( app ),是经过有关部门审核达到宣传或者国家标准后才上市销售的呢?

    二,照你说的,如此海量的数据分析 收益产出比不成比例。那那些过时的 data 那么占空间,占着硬盘服务器等等都是钱啊。阿里赶紧删了吧。“大数据”一词原来在你心中就这么点份量,要是换你做马云(所以你成不了马云),早就把大数据分析团队给裁了,所以你说话也只能是鬼扯的水平了。

    够了,你我都打住吧。人类社会的发展只是不断的重复再重复,那些人性曾犯过的错误只会一再重现。我根本不用跟你争论什么,现在支付,个人信用等等因为移动互联网甚至加上 GPS 数据全被记录,进那几家巨头分析库中,不用几年,个人隐私安全必将成为央视 315 最热门的话题。

    人无远虑必有近忧,但有些人的确只是过一天算一天的,我见惯不怪
    gzelvis
        49
    gzelvis  
    OP
       2016-02-28 02:00:28 +08:00
    @lixmin 原来你不知道钉钉是部分免费部分收费的,呦...
    lixmin
        50
    lixmin  
       2016-02-28 02:13:56 +08:00
    @gzelvis 菜鸟围观两位大神,你俩讲的都有道理。
    gzelvis 是也是开发岗吗?
    charlie21
        51
    charlie21  
       2016-02-28 02:20:58 +08:00
    别 BB ,放码过来拿 10 万现金吧 - 就一个未完成的故事而已 - 知乎专栏
    http://zhuanlan.zhihu.com/justnow/20595834

    如何看待阿里巴巴安全专家云舒针对支付宝隐私门「赏金 10 万」? - 云舒的回答 - 知乎
    https://www.zhihu.com/question/40712137/answer/87894647

    let time tell if you dare
    lixmin
        52
    lixmin  
       2016-02-28 02:27:25 +08:00
    @charlie21 才赏金 10 万,太少了。还是以个人名义-_-。
    云舒是谁?能要 1000 万吗?我要美金。
    gzelvis
        53
    gzelvis  
    OP
       2016-02-28 03:22:39 +08:00
    其实有些话我一直没说,因为说了怕是得罪阿里上班那位兄弟,希望他能体谅,我只是对事不对人。对于在一家 设计出来了 [蚂蚁信用] , [蚂蚁借贷] , [支付宝] [淘宝商家贷] 金融产品的超级互联网巨鲸,你居然还发出 “哪么多零碎庞大的数据无用,分析来得不偿失,大数据我们公司其实没那么看重的语调”,实属不应该啊。

    很简单,作为一个阿里员工,你问问自己,你知道 [蚂蚁信用] 这个积分的组成元素是什么?各自占多少比例?我打赌你肯定不知道.. 如果你想想是什么原因你不知道,公司里什么人才知道这种机密... 你应该能明白很多,你说的很多论据就失去了信仰。更何况,阿里公司到现在还能在与腾讯的竞争中屹立不倒,凭借的就是支付宝及长久积累下来的个人信用及消费数据营造的绝对竞争门槛,这也是阿里现在及将来赖以生存最大的本钱,对于任何一家公司(或者个人),都会不惜一切代价在这方面维持自己的绝对优势来保证生存(就是自然界的物进天择),到底怎么维持?用什么方法来维持?怎么才能提高?如何让这些信用数据更准确?还要我给大家把肠子画出来吗?
    jsonline
        54
    jsonline  
       2016-02-28 03:34:11 +08:00 via Android
    这么说电信最腻害
    gzelvis
        55
    gzelvis  
    OP
       2016-02-28 03:45:50 +08:00
    @jsonline 他们没有用户消费记录消费习惯 和 GPS 数据
    gzelvis
        56
    gzelvis  
    OP
       2016-02-28 03:48:35 +08:00
    何况一个姓 国 ,一个姓 私。 后面那个不努力的话,竞争失败了就是死,所以... 为了生存需要付出的代价是完全不一样的
    evense
        57
    evense  
       2016-02-28 08:10:26 +08:00 via Android
    @gzelvis 严重同意。我向来不惮以最坏的恶意揣测中国的企业,但是从移动互联网开始,互联网企业的节操似乎已经完全没有了。
    publicAdmin
        58
    publicAdmin  
       2016-02-28 08:48:50 +08:00
    我个人认为是这是个伪命题。。。

    大天朝的局域网中你谈安全?

    再者,你都互联网了,你谈安全?

    非要所谓的“安全”,也就只有断电断网断信号.....23333

    既然诸如此类的公司敢研发此类产品,我觉得他们比用户应该更担心“安全”问题

    毕竟你只需要一点点的安全事故暴光,那全军覆没,公司倒闭也只是时间问题了。

    阿 x 云去年的生产事故,到现在我想也是很多人一提起就会诟病拿来当谈资的素材吧。
    hanru
        59
    hanru  
       2016-02-28 09:42:00 +08:00 via Android
    安全问题归根到底就是信任问题。信任阿里,就用钉钉;不信任阿里,就不用它,就这么简单。:)
    hanru
        60
    hanru  
       2016-02-28 09:48:28 +08:00 via Android
    就这一帖子的命题而言,可以看出,天朝的互联网企业既是天朝互联网的受益者,同时又是天朝互联网的受害者。当然,目前的收益要远大于损失。
    yuhaaitao
        61
    yuhaaitao  
       2016-02-28 10:09:31 +08:00 via Android
    老罗说过阿里是靠数据立足的,钉钉的数据阿里就不分析?不利用了?
    chenjoey
        62
    chenjoey  
       2016-02-28 10:15:08 +08:00
    所谓的众创空间和各种软件 app ,真的都很不安全,最近新想到,包括一些财务软件。我公司财务软件至少是断网或内网使用的,不连接外网。
    shanks
        63
    shanks  
       2016-02-28 10:17:58 +08:00
    那你用微信, QQ 做企业 IM ,就放心了?
    okampfer
        64
    okampfer  
       2016-02-28 10:30:21 +08:00
    1 、作恶成本高?大公司不差钱也不差技术啊。
    2 、相信大公司的产品是安全的?不是完全信任,而是愿意承担相信的风险。

    兄弟姐妹们,还是应该多体谅一下初创公司的人啊,当你还很弱小的时候,凡事做最坏打算是有必要的。
    lins05
        65
    lins05  
       2016-02-28 10:31:38 +08:00
    不敢用国内的公有云服务, slack 又被墙,自己搭建一套 mattermost https://github.com/mattermost/platform 放在 EC2 东京不就得了
    fowse
        66
    fowse  
       2016-02-28 10:52:54 +08:00
    @hanru 兄说的对,安全的本质是个信任问题,也就是说,在你能承担的风险之内是安全的,否则是不安全的。

    另外,支付宝的事不完全是技术问题,网友 @gravity0 认为,“几天前微信钱包提现收费,不过是希望大家多用它支付,而不是抢完红包提现走人,被对手大肆炒作。如今支付宝的拍照录音风波可以视作是反击。舆论战的好玩之处就在于总有花钱和不花钱的雇佣兵自愿投入搬弄是非的战斗。”

    华为的大佬们在公开的大会上说,政府、军工以及其他更多其他你懂的单位(华为的大客户)怎么可能用钉钉?他们都是自己写,甚至是用汇编写,服务器当然都是用自己的了。

    在线协作有很多选择,在便利性和安全之间做一个权衡即可,楼主的质疑是合乎逻辑的。至于安全, V2EX 上的朋友会相信合规等保之类的说法?白皮书嘛,呵呵。
    Aether
        67
    Aether  
       2016-02-28 11:28:24 +08:00
    @leeyiw 解释那么多,就算是自证清白,但是怎么解释这个:

    https://www.v2ex.com/t/258407
    yuhaaitao
        68
    yuhaaitao  
       2016-02-28 11:49:52 +08:00
    严重同意 @fowse
    业内人士知道:这个数据阿里是会利用的,如果你不在乎就用钉钉吧。如果在乎,自己搭建服务器就是了。说阿里不用数据那是阿里自己的宣传稿,对大众说的而已,非要让业内人士也去相信阿里的宣传稿也是过了。
    schezukNewTos
        69
    schezukNewTos  
       2016-02-28 12:32:03 +08:00
    @leeyiw 你给我证明一下你妈是你妈?
    对于安全性问题,服务商有义务针对来自任何相关方的任何形式的技术质疑进行自证。
    另外『如何证明我是我』是很常见的安全问题好吧~~~
    yjxjn
        70
    yjxjn  
       2016-02-28 12:33:41 +08:00
    买 Lync , sametime ,自己搭建。。貌似就是成本有些高。
    但是好多政府机关单位全都是 QQ 。
    imstand
        71
    imstand  
       2016-02-28 12:40:41 +08:00
    使用 Google 大法, Gmail , Drive , Hangout
    leexleexlee
        72
    leexleexlee  
       2016-02-28 13:32:03 +08:00
    @leeyiw
    哈哈哈哈,第一次见到这么用心洗地的人才,毕业几年了?
    pub
        73
    pub  
       2016-02-28 13:45:09 +08:00
    对于一个以大数据之名行搜集隐私之实的公司,想要它不染指你的数据那是不可能的,除非不使用它的服务。
    实际上阿里的触手已经深入大多数人生活的方方面面,搜集了大量的衣食住行医疗健康地理位置等方方面面的数据,它知道你是谁,经济情况如何,身体是否健康,性别婚姻状况怎样,上下班路线,平时生活习惯,老家所在地,甚至是你的声音容貌,你的人际关系等等,如果这些数据被用于不正当的用途,其后果不堪设想。
    gzelvis
        74
    gzelvis  
    OP
       2016-02-28 14:29:42 +08:00 via iPhone
    最后决定了,对于公司内部的任务管理系统使用 Teambition 。这真不是给他们打广告,当你用了一个月时间评估了 Trello 和 Teambition 还有一堆国内的 Tower ,纷云,瀑布后,你就能明白 TB 在易用性,功能,可阅读性及关键的对初创企业需要的理解超越了我对他可能利用我数据的恐惧。再说这玩意泄露的公司信息也还在可控制的反而。譬如,开会只是开会,而不会说开会的内容是什么。而涉及公司众多即时机密的 saas 部分,最后还是选了国外的 slack ,这个无论界面美观度,功能,对使用者的理解不是国内公司靠抄就能抄出来的。本来打算也用 TB 团队的简*的,一是怕任务+内部聊天都用同一公司的,如果遇上有心人真的是一锅端,二是他们的简*3.0 ios 版本我昨天用了下, 10 分钟内闪退了 10+次,作为企业软件+已经 3.0 版居然这样还敢上线我也是醉了,之后去了解了一下这个简*是他们公司另外一个团队做的, so …

    本贴没有要黑任何人任何公司的意思,说白了,你要用,就得接受一些损失,毕竟他们很多功能是免费给你用,天下哪有真正免费的午餐。就是要把风险控制在一定范围内。我原来只是想拿出来这里探讨希望这里一堆牛逼的兄弟能给我一些靠谱的建议。
    gzelvis
        75
    gzelvis  
    OP
       2016-02-28 14:37:13 +08:00 via iPhone
    其实,大家在现实生活中,经常面临这样的情况,那就是: 有些人你一定会戴着面具跟他交流,说的可能根本不是你心里想的话,因为那个人跟你的生活,跟你的朋友圈有交集,你怕他会把你跟他说的转头跟你认识的人说。而还有些人,你跟他不熟,反而你能对他无话不说,因为这个人不认识你的朋友,你知道就算他知道一些秘密,对你的人生也没有影响。 所以,正常情况下,只要有些基本逻辑思维的成年人,都不会对在自己生活圈里,基本上认识我所有朋友的人还推心置腹的。怎么到了网上,一个公司认识了你整个关系网交际网(支付宝社交需要获得通信录),然后它也知道你的消费习惯,行为习惯,私生活和工作的地点,你却一点都不害怕,一点都没想过有朝一日或许会成为大患吗?只能说,你的智商真的太 low 了
    camillo
        76
    camillo  
       2016-02-28 16:17:22 +08:00
    某安全工程师陷入了「我们自己闷头工作的时候安全问题努力了很多,所以你们竟然不了解不信任我的」常见问题,上来就把楼主的怀疑当成是摸黑,并「为了安全工作你知道我有多努力吗?」这样……
    没有人在意且事先充分了解你们付出了多少努力、做了多少安全措施,重点是用户在使用的时候有没有「感知」到这种安全,或者可以「忽略」掉其中的不安全。不是采用了 A 技术、 B 技术、 C 技术,产品就很安全了……这点我早就想吐槽阿里的公关了(虽然该员工的发言一看就不是营销传播公关相关部门的)。
    况且楼主要说他开脑洞,我觉得阿里员工回复前都并没有啊……

    利益相关:完全路人,只是来吐槽一下某员工上来就是「我们已经很努力了你们竟然不理解我」的发言而已……
    lixmin
        77
    lixmin  
       2016-02-28 16:33:59 +08:00   ❤️ 1
    @gzelvis 恭喜你,终于想明白要把你的数据给美帝 TB 了!所以此帖 over ~撒花。
    不过你得小心海外黑客不少且不受法律监管,搞不好 Teambition 撑不下去数据拖库,你的数据将暴露给全世界人民。
    这是你的自由:)
    lixmin
        78
    lixmin  
       2016-02-28 16:43:36 +08:00
    @leeyiw 做安全工程师要有一种乐观的心态。做得好,别人不一定会赞你,因为这是你应该做的。做得不好,别人一定会骂你,为什么你没有覆盖到。

    看透了就会懂,有时间不如多陪女朋友老婆孩子逛街聊天玩儿,闲暇时间多谈谈风花雪月,少谈工作。
    sobigfish
        79
    sobigfish  
       2016-02-28 16:46:21 +08:00
    有安全需求的话自己建 server 吧-。-
    sobigfish
        80
    sobigfish  
       2016-02-28 16:48:45 +08:00
    @leeyiw 为啥钉钉的开发者要用阿里云的帐号 而阿里云的帐号又不和淘宝帐号连通,然后进去后又通过阿里云的帐号自己建个淘宝、支付宝帐号。。。你们的账号系统是有多乱。
    BroMa
        81
    BroMa  
       2016-02-28 17:13:11 +08:00
    国内用 Tower ,国外用 Basecamp 或其他。他们都做单一业务,相比之下利用信息的几率会更小。阿里不同,业务线太多,完全搞不懂把全部业务都放在阿里云上的人自信在哪里
    SoloCompany
        82
    SoloCompany  
       2016-02-28 17:41:08 +08:00 via iPhone   ❤️ 1
    v2 装逼指南第一条不就可以结贴了吗
    daysv
        83
    daysv  
       2016-02-28 18:02:51 +08:00
    按照这行的尿性,说实话,我一点都不看好
    wind4
        84
    wind4  
       2016-02-28 18:35:03 +08:00
    @lixmin Teambition 是一家上海的公司…… https://www.teambition.com/info/contactus
    lixmin
        85
    lixmin  
       2016-02-28 18:39:35 +08:00
    @wind4 噢...原来楼主是在发软文广告-_-
    gzelvis
        86
    gzelvis  
    OP
       2016-02-28 18:47:04 +08:00 via iPhone
    @lixmin 我为研究过后觉得真正对效益有帮助的好东西背书,我称之为分享。 v2 跟其他论坛不同就是基于这一点,这里的兄弟都很有分享精神,至于你说的软广,建议你出门转右,哪里有知乎。
    gzelvis
        87
    gzelvis  
    OP
       2016-02-28 18:53:55 +08:00 via iPhone
    @lixmin 对于一个 onmifocus 重度用户, Teambition 一出手就知道有没有了,除了隐私安全和某些个别项目还不够体贴,堪称完美。当团队应用了这种工具作为任务管理,你能明白什么叫 同手同脚。这些效率软件的目的不就是如此么。当然,如果你连《 Get Things Done 》一书都没看过那就另当别论
    dreamtrail
        88
    dreamtrail  
       2016-02-28 19:57:01 +08:00
    国内企业道德还真的很难说, 阿里隔几天就要给我发垃圾邮件, 最可恨的是退订不了, 退订页面打开奇慢+确定按钮怎么都没反应
    publicAdmin
        89
    publicAdmin  
       2016-02-28 20:15:08 +08:00
    @chenjoey 财务软件我接触过用友的销售。据说一般成规模化的企业都是 2 套并行,一套在网,一套完全隔离( usb 口都没)。在网的,审计用,隔离的才是真正的帐目
    aerostone
        90
    aerostone  
       2016-02-28 22:08:02 +08:00
    阿里太会分析了,和蚂蚁金服的人有业务交流过涉及了一些大数据分析的讨论,隐私方面还是谨慎些好。

    同时阿里的业务是挺混乱的,支付宝服务窗和支付都分了很多不同的接口。涉及到的团队貌似也不一样。
    mahone3297
        91
    mahone3297  
       2016-02-28 23:03:40 +08:00
    @lixmin >看透了就会懂,有时间不如多陪女朋友老婆孩子逛街聊天玩儿,闲暇时间多谈谈风花雪月,少谈工作。
    阿里的企业文化,工程师应该都很敬业,不敬业的,估计都已或者快离职了。。。(稍微有点调侃的意思, sorry 阿里人。。。)
    Biwood
        92
    Biwood  
       2016-02-28 23:37:36 +08:00
    不是说腾讯的 IM 都已经开始支持 OCR 审核了么,微信跟 QQ 还不是照样用
    SlipStupig
        93
    SlipStupig  
       2016-02-28 23:48:34 +08:00
    这种数据变现难度好大啊,估计还得招一堆算法 /et/ 前端后端等等一堆人来处理这些海量数据,然后要分析你的上下游还要进行商务谈判,要对面愿意花钱接手你的数据,搞得不好还有项目风险,这个数据质量还不知道怎么样,数据重来都没有售后服务这回事情,作为你的对手也要考虑值不值,你的项目可能还没这个团队的价值高 @gzelvis
    xavierskip
        94
    xavierskip  
       2016-02-28 23:54:52 +08:00
    所以需要那种自己搭建的呀!然后 VPN 接入。
    iwege
        95
    iwege  
       2016-02-29 09:36:43 +08:00
    @leeyiw 虽然我也选择了 dingtalk ,和 teambition ,不过选择之前也和楼主有同样的顾虑。
    国外一旦发生了这种事情,可以直接新闻爆料,告到破产,成本相对高。
    在国内,爆料?告 TAB ?和千万亿的公司博弈?你是开玩笑的对吧?
    leeyiw
        96
    leeyiw  
       2016-02-29 09:50:55 +08:00
    @gzelvis @lixmin 和你们聊天还不错,我觉得我只是在认真的谈事情和看法,对于 @leexleexlee @camillo 等同学觉得我在洗地或者发言中带嘲讽的,我只觉得这样的回复没什么营养,不做回复了。
    BTW ,此贴没有在讨论阿里的其他业务的用户体验 or 技术实现如何,不过能引发一番讨论,还挺好的。
    camillo
        97
    camillo  
       2016-02-29 14:56:03 +08:00 via iPhone
    @leeyiw 您开心就好 :) 只不过我的评论你能看出我在批评您洗地或嘲讽且没营养,您的理解能力可能确实有一些问题。我本是完全路人,对团队协作和职场 SNS 完全没有需求的路人而已。我自始至终没有肯定也没有否定贵公司产品的实质上的安全水平。
    另外阿里的技术人员是否可以在互联网上畅所欲言?结合您和之前拍照隐私门事件某安全专家的知乎发言,我觉得阿里公关部门也是既不到位而且也蛮难做的。
    最后送网上陌生人您一句话,您可能技术水平很好,也确实在认真为贵公司产品的安全水平做贡献,但技术永远不是全部,话术(对您个人而言)以及公共关系(对公司而言)都很重要,且自己的工作永远不会有人无条件理解。不过这话放在这个程序员社区大概要被喷吧。祝好再见。
    asdwddd
        98
    asdwddd  
       2016-02-29 22:23:22 +08:00
    @leeyiw 说得真可笑。。。
    你看看阿里做的支付宝等 app 吧!
    什么权限都要,恨不得把用户所有的资料都扒光,说这样的企业能让人信任估计也就是拿了阿里钱的托了,支付宝等远程木马 app 我都不敢在安卓手机上安装的。
    Suric
        99
    Suric  
       2016-03-01 11:50:42 +08:00
    @gzelvis 我是简聊的 iOS 工程师,首先对您使用简聊造成的困扰表示抱歉!你反应的崩溃问题,可否透露一下你的手机机型和系统版本号,还有简聊的版本号(头像-个人设置里可以查看)和具体的使用场景。我们测试的时候,可能有疏漏,希望您可以帮忙 .谢谢(也可以直接进入简聊发烧友: https://jianliao.com/page/invite/e840f0402t 直接连接我们)
    googlefans
        100
    googlefans  
       2016-03-01 22:22:33 +08:00
    根本避免不了 除非别上网 就算你有意识保护自己的隐私 也保证不了别人不泄漏你的信息 比如你的同事 朋友 家人等等 因为很多人是没有这个意识的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5554 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 42ms · UTC 09:23 · PVG 17:23 · LAX 01:23 · JFK 04:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.