V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
thinkm
V2EX  ›  程序员

在 windows 存照片是不是非常不安全?

  •  1
     
  •   thinkm · 2023-05-21 19:56:26 +08:00 · 6182 次点击
    这是一个创建于 552 天前的主题,其中的信息可能已经有所发展或是发生改变。

    下了一个 icloud windows 版,把手机里面的照片同步到 PC 上面了,想到安全问题,然后随便写了个程序,发现可以直接对这些照片进行读取或者删除,这是不是意味着从网上下载的其他应用程序,也能直接读取全部照片?

    48 条回复    2023-05-24 02:25:25 +08:00
    ch2
        1
    ch2  
       2023-05-21 20:01:29 +08:00   ❤️ 11
    说到安全,把照片存到 icloud 这个行为本身就不够安全
    thinkm
        2
    thinkm  
    OP
       2023-05-21 20:05:33 +08:00
    @ch2 为什么,苹果会泄露吗
    NoOneNoBody
        3
    NoOneNoBody  
       2023-05-21 20:18:05 +08:00
    @thinkm #2
    你不知道 icloud celeb nude photo leak ?那么大的新闻
    当然,快十年前的事了
    ixiumu
        4
    ixiumu  
       2023-05-21 20:19:50 +08:00
    是,并且不同于手机,无法关闭这项"权限"
    智能手机出现之前就一直都是这样啊,
    国内大厂的软件都会扫全盘
    苹果谷歌也会把云相册里的"违规"照片给 FBI
    要看你的什么照片,你要防范谁
    thinkm
        5
    thinkm  
    OP
       2023-05-21 20:22:57 +08:00
    @ixiumu 麻了
    thinkm
        6
    thinkm  
    OP
       2023-05-21 20:24:52 +08:00
    @ixiumu 其实大厂我还觉得没啥,就担心某个 个人开发者,开发了一个“小工具”,这个工具背着扫你照片
    ixiumu
        7
    ixiumu  
       2023-05-21 20:30:07 +08:00
    @thinkm 这个没什么好担心的 对他们来说 浪费带宽 浪费存储 没有价值, 他们对你的 ssh key 和浏览器 cookie 更感兴趣
    MrKrabs
        8
    MrKrabs  
       2023-05-21 20:37:16 +08:00
    先担心一下你电脑上的翻墙软件吧
    thinkm
        9
    thinkm  
    OP
       2023-05-21 20:39:52 +08:00
    @ixiumu 是啊 ssh key 这个怎么保护啊?
    CatCode
        10
    CatCode  
       2023-05-21 20:39:58 +08:00
    @thinkm 你说到点子上了,但是:
    照片文件挺大的,不太可能直接上传;顶多跑个模型啥的提取点儿特征,然后上传;但照片多了,资源占用还是会很明显的。
    所以,可以扫点儿别的嘛:同一个局域网里设备的 MAC 地址;本机上未加密的 SSH Key 和 SSH Host Key ;浏览器的 Cookies ;科学上网的配置文件;微信 QQ 已登录账号的 id……最好再把这些数据关联起来,做个大数据模型……
    kkwa56188
        11
    kkwa56188  
       2023-05-21 20:43:12 +08:00
    名声不好的国软, 一律 沙盒 或者 虚拟机专机专用.
    thinkm
        12
    thinkm  
    OP
       2023-05-21 20:43:29 +08:00
    @CatCode 我擦,那怎么办?
    garywill
        13
    garywill  
       2023-05-21 20:44:30 +08:00
    担心就用 sandboxie 之类的来运行小开发者的程序吧(虽然我没用过)
    xtreme1
        14
    xtreme1  
       2023-05-21 20:47:47 +08:00
    涉密不上网上网不涉密, 遵守这一点就行了
    urnoob
        15
    urnoob  
       2023-05-21 20:50:28 +08:00 via Android   ❤️ 2
    安卓不安全,国产安卓不安全,win 不安全,Linux 又不安全。壮哉我大苹果🍎
    sloknyyz
        16
    sloknyyz  
       2023-05-21 21:16:00 +08:00
    pc 是这样的,随便一个程序就能全盘扫描。
    weijancc
        17
    weijancc  
       2023-05-21 21:26:23 +08:00
    你这就标题党, 明明说的是在 windows 上随便使用第三方软件是不是不安全
    paradoxs
        18
    paradoxs  
       2023-05-21 21:31:05 +08:00
    @NoOneNoBody 当时也不是 icloud 直接泄露的啊。
    是 icloud 因为穷举次数的限制不够严格,被绕过。

    你存到 icloud 绝对比你存在地球上 99%以上的地方要安全。
    paradoxs
        19
    paradoxs  
       2023-05-21 21:31:40 +08:00
    最傻的就是在家里用 nas 的, 被入侵了也不知道。 万一机器被偷了,呵呵。
    Yzh361
        20
    Yzh361  
       2023-05-21 21:44:11 +08:00 via Android
    安全是相对的,没有绝对安全…
    win 程序都可以扫全盘… 不信任的程序最好用沙盒…
    iCloud 上被泄密出来的小电影我都下载到过…
    国产安卓最不爱全,配合衙门监控百姓…
    flynaj
        21
    flynaj  
       2023-05-21 21:47:21 +08:00 via Android
    以前 QQ 空闲的时候会扫描硬盘,现在都是装虚拟机里面
    placeholder
        22
    placeholder  
       2023-05-21 21:51:53 +08:00
    你要实在害怕,就整一个完全离网的机器和照片视频的拍摄设备,传照片只用移动硬盘来回倒数据,不通过网络。

    不过话说回来,如果你的电脑里不存一些有风险的照片和视频,担心这个没什么用,纯纯的给自己精神压力。

    或者写一个照片视频的文件保险箱,之后开源出去,让大家给你找找 bug 和漏洞,以求在短时间内完善安全防护机制。
    NoOneNoBody
        23
    NoOneNoBody  
       2023-05-21 21:58:08 +08:00
    @paradoxs #18
    我觉得干坏事和干蠢事都是安全责任,您的意思是干蠢事不算?
    那网易、阿里、腾讯、360 摄像头、lastpass …… 还有那个十亿报案资料的谁,好像都没什么责任
    mmdsun
        24
    mmdsun  
       2023-05-21 22:49:01 +08:00   ❤️ 1
    hellomynameis
        25
    hellomynameis  
       2023-05-21 22:49:19 +08:00
    Windows 没有完善的沙盒机制,Sandboxie 的日常使用非常必要,否则基本等于裸奔。(这个评论没有考虑国外和大陆软件哪个更可信之问题,相信你自有分辨)

    对于有逃逸沙盒风险或者在沙盒里不好好工作的软件,可能需要用 VMWare Workstation ,随虚拟机启动每次用完就关闭 Guest OS

    关于另外两个主流桌面系统:Mac 确实隔离机制比较完善,不过应用沙盒是开发商可选的,不在 app store 发布的软件可以选择不用沙盒,这样就有权限直接往各个默认目录写文件、扫描后台所有进程等(但麦克风、摄像头、定位服务、全盘文件访问这些还是要单独授权,比 Windows 安全) 当然,蒂姆库克可以用后门访问你的所有数据。

    Linux 的安全需要折腾沙箱和内核加固,当然很多发在 flathub 的应用也是自动授权对 /home 目录的读写权限,隐私安全性还是不完善
    hellomynameis
        26
    hellomynameis  
       2023-05-21 22:51:52 +08:00
    @mmdsun WD 文件夹访问控制 前提需要应用以普通用户权限启动,对必须 UAC->提权至管理员 才能使用的流氓软件没有效果
    mmdsun
        27
    mmdsun  
       2023-05-21 23:10:15 +08:00
    @hellomynameis

    之前测试过,不知道现在还有没有变化:
    对文件进行删除、修改,即使管理员身份运行的流氓软件也能防护。
    如果是读取会有提示,但是程序可以读到你的文件。
    ShadowPower
        28
    ShadowPower  
       2023-05-22 00:28:57 +08:00
    点进来之前想的是:是不是容易丢数据
    点进来之后发现不是。

    其实 NTFS 文件系统本身可以做到只允许一个应用程序读写文件,但是要多用户。还有 NTFS 加密可以用。
    而且 Windows 实际上没有类似于 Unix root 那样的用户,SYSTEM 用户也不等价于 root 。
    然后 Windows 支持在当前用户下以另一个用户启动应用……

    不过这些东西对普通用户来说太复杂了。
    akira
        29
    akira  
       2023-05-22 00:30:33 +08:00
    是的,Windows 你从网上下载的 任何应用程序, 都能访问到 包括但不限于你的照片,视频,文档 等个人资料。
    某些恶意软件甚至可以记录你键盘输入的任何信息 ,文字,密码 等等等等。
    特别是有些下载软件平台吃相非常难看,各种捆绑全家桶。
    dcsite
        30
    dcsite  
       2023-05-22 00:32:25 +08:00
    话说,软件都到你电脑上了,还有什么好说的?相当于客人进入你家里,你也不能阻止他背后偷窥你隐私吧?
    真要是注重隐私那你要做的工作可就多了去了~
    hello2090
        31
    hello2090  
       2023-05-22 08:25:45 +08:00
    @NoOneNoBody 也就是最近一次所谓的泄露是 10 年前了?
    rojer12
        32
    rojer12  
       2023-05-22 08:31:50 +08:00
    @sloknyyz #16 win 其实也可以设置一定的访问权限
    laqow
        33
    laqow  
       2023-05-22 08:41:15 +08:00
    开源软件甚至能跨平台运行,它能安全只是因为源代码对所有人可见。windows 或者 linux 这种级别的系统安全大概是因为用户有管理员权限时几乎能看到系统的每个角落,不用别人告诉你东西安不安全,或者大部分不安全的软件总有人能很快发现。安卓想看看 apk 在自己花钱买的地盘上存了什么都有人想方法告你。
    Muniesa
        34
    Muniesa  
       2023-05-22 09:06:59 +08:00 via Android
    我一般用杀毒软件监控关键目录的读取,手动放行
    newmlp
        35
    newmlp  
       2023-05-22 09:21:49 +08:00
    linux 一样可以啊,
    txhwind
        36
    txhwind  
       2023-05-22 10:16:41 +08:00
    @hellomynameis 都给管理员权限了还能防窥吗。。只能说软件生态不好,动不动就要管理员权限。
    c2const
        37
    c2const  
       2023-05-22 10:27:18 +08:00
    0.偷隐私嘛,想要跨平台保护隐私,就自己弄个私有的图片格式,各个平台再写个私有解码软件,能浏览、支持导出到正常格式。
    1.最简单就是不动原有的照片格式,外面套一层私有格式,加密都不用,xor 混淆一下就可以了。
    2.想安全,就得非对称加密+对称加密,比如 ECC+AES 。
    kenvix
        38
    kenvix  
       2023-05-22 10:40:41 +08:00
    保密设备不要联网😅
    xctcc
        39
    xctcc  
       2023-05-22 10:42:24 +08:00
    我 13 年的照片当时被同步百度云盘上现在还放着
    deadfishS
        40
    deadfishS  
       2023-05-22 11:08:18 +08:00
    不想被扫的照片请物理离线保存
    businessch
        41
    businessch  
       2023-05-22 11:08:30 +08:00 via iPhone
    都会泄露,看你喜欢给谁泄露而已。
    w950888
        42
    w950888  
       2023-05-22 13:24:59 +08:00
    @paradoxs #18 @paradoxs #18 这样吹 icloud 不觉得尬吗🤣
    sakura6264
        43
    sakura6264  
       2023-05-22 14:36:10 +08:00
    是否安全跟你有没有安全意识关系更大一点。
    MetroWind
        44
    MetroWind  
       2023-05-23 03:35:10 +08:00
    ???
    你自己的文件,自己写了个程序可以读写可以删除⋯⋯还有比这再正常的事么⋯⋯?
    thinkm
        45
    thinkm  
    OP
       2023-05-23 08:33:32 +08:00
    @MetroWind 在手机上你自己的照片,你自己写程序能随意读写删除吗?
    mscsky
        46
    mscsky  
       2023-05-23 10:01:29 +08:00
    你们不知道云上贵州前 2 年被脱裤了?
    MetroWind
        47
    MetroWind  
       2023-05-24 02:17:19 +08:00
    @thinkm 行啊,不行的话换手机。
    MetroWind
        48
    MetroWind  
       2023-05-24 02:25:25 +08:00
    @thinkm 我又想了想,这是两个问题:

    - 用户的文件用户无法控制,这是 OS 的问题;
    - 用户的文件,用户觉得自己就应该无法控制,这是用户的问题。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1721 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 16:45 · PVG 00:45 · LAX 08:45 · JFK 11:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.