我们做了一款密码软件:洋葱 做了大半年,发现永远都有一个声音屹立不倒:“呵呵,国产的,你也敢用?”
所以这里想听一下大家的真实想法或者分享自己的故事,关于国产,涉及隐私信息的软件和服务
1
Dexter0 OP 为了防止有的筒子不知道,付个链接,顺带自己占个沙发: yangcong.com
|
2
Ziya 2016-08-24 11:09:36 +08:00 39
我比较好奇的是
当相关部门过来要求调取某一用户保存的全部资料的时候 会怎么做? |
3
LU35 2016-08-24 11:10:44 +08:00
楼上说出了国情.
|
4
Dexter0 OP @Ziya 那我想问,我们在用各种国内云服务,以我自己为例:国内的邮箱、云笔记、云协作、云盘…… 里面依然涉及我的许多重要信息。如果担心有关部门,为什么这类软件无人质疑。
|
10
v9ox 2016-08-24 11:17:29 +08:00 1
有些是没有办法, QQ /微信身边的人都用,百度盘下载葫芦娃,没法不用。
然而邮箱/密码/同步盘这些...自己能做选择,还是国外的更放心吧。 |
11
tobyxdd 2016-08-24 11:17:34 +08:00 1
在本地加密 服务器完全不参与不存储密钥只存储妥善加密后的数据的话就可以
|
14
Dexter0 OP @v9ox “邮箱 /密码 /同步盘这些,还是国外更放心”,那你让 163 、 QQ 邮箱、各种云盘云存储咋活…… 我之前用 Dropbox ,实在是慢(可能是翻墙用的 VPS 太辣鸡),后来改用坚果云等国内同步盘的。
|
15
lneoi 2016-08-24 11:19:59 +08:00
QQ 微信什么的,啥情况大家都知道。平常生活沟通用,而且用人多。
云笔记、云盘什么的,到处也都宣传敏感信息不要放上面。一样很多人跑去用国外的网盘放重要资料。国内备份点娱乐资料。 楼主这个专门存密码,跟云笔记、云盘存的东西重要度完全不一样,常上网的人也不会把常用的密码列成一个表放云笔记里吧。 把身家都放这儿了,这么关键的东西,担心更多点也是正常的。 |
16
cevincheung 2016-08-24 11:20:03 +08:00 7
@Dexter0
外国的月亮比较圆罢了,拿 Budgetvm 、 OutLook 、 Google 为例,起码会明确告知你:“是的,刚才我国 GOV 出具法院令要求我们提供你的资料了”。 国内呢?不仅不会告诉你,反而是你怎么问也说没有。回答只有是:“如果 xx 有 [相关部门] 的文件,我们会配合调查” 另外一个,别说 GOV 了, 国内个人资料倒卖的情况还少么?各公司私下互通(是不是官方就不知道了)的情况还少么?有公司愿意承认的么? 又要说国外了,有哪次的大规模资料泄露是官方没有给出通告的?(当然,肯定会有没给通告的,但是占比呢?) |
18
nicevar 2016-08-24 11:20:22 +08:00
国外的软件也不靠谱,比如某些 ssh 软件,很多服务器沦为小鸡都不知道吧,这群人还能利用这些机器做成 vps 供应商,真是无语
|
19
loading 2016-08-24 11:20:35 +08:00 via Android
我个人用的是来源的 keepass
|
21
dzxx36gyy 2016-08-24 11:21:20 +08:00 via Android
@Dexter0 国外也有人说啊, lastpass 不是还有很多人不放心所以选择 keepass
|
23
beimenjun 2016-08-24 11:22:17 +08:00 13
你又想问大家的想法,大家提出了想法,你又质疑似的追问,你真的想知道大家的想法吗?
如果你的这种意识基本代表了贵司平均水平,那么真的抱歉了,不会用。 |
24
Dexter0 OP @loading 嗯,开源的确实不错, Keepass 我以前也用,就是同步不是特别方便(主要看个人习惯)。 我这里想对比的是,同样是云同步的密码管理,为啥俺家的洋葱就老被吐槽“国产不靠谱”
|
25
loading 2016-08-24 11:23:26 +08:00 via Android 1
其实我想回一句:
没人审查你的代码,谁知道你会不会监守自盗。 |
26
scys 2016-08-24 11:23:42 +08:00
-_- 楼主,不要自己打脸,就是说“如果有关部门要,你们就给”的言外之意,虽然这个国内不成文的规矩。
说的是密码,有重要也有不重要。 可当一个人作为密码的东西,存在可以随时被查看的情况下,而有关部门如果不要密文或者 HASH ,而要(你懂的)。 那为什么要存在那里? 你们营业范围有点窄。 --- 说个偏门:如果将 lastpass,1password 都举报墙,你们就可以做得大了: D ,不过就是有点邪恶过头。 |
27
ZRS 2016-08-24 11:23:52 +08:00
说实话,不敢...
|
28
sneezry 2016-08-24 11:24:43 +08:00 via Android 1
楼主不必郁闷,我相信大部分人质疑的是环境,而非你们的产品。那些质疑的人也不会是你们的目标用户,楼主为他们纠结干嘛呢。静心做好产品就好了,坚果云刚出来的时候不也有类似的声音嘛。
|
29
lneoi 2016-08-24 11:25:20 +08:00
国内万一 gov 真要做什么,公司根本没能力反抗,都不需要多少高级的部门。国外大家也担心,但至少看起来,没那么轻松。
|
30
panlilu 2016-08-24 11:26:23 +08:00
洋葱,不就是奶罩创业的那个项目么
|
32
cevincheung 2016-08-24 11:26:42 +08:00
@Dexter0
还有,携程被泄露的时候倒是发了一个声明,好像大概意思是这样: 我们被黑客攻击:实际上是开发人员的疏忽,留下了遍历目录漏洞,不需要具备黑客知识也能轻松获取 [可能] 造成隐私泄露:可能?什么鬼? 泄露了多少个人的多少数据?: 只字未提 网易的泄露事件: oh no~ 我们没有被攻击,没有任何资料泄露,请放心使用。 |
34
shimanooo 2016-08-24 11:27:34 +08:00
敢用但不用
|
36
TimePPT 2016-08-24 11:28:56 +08:00 6
抛开国产之争不说,其实密码管理软件有个最尴尬的问题就是:
愿意用它的用户都是对隐私安全最在乎的用户,但这部分用户实际上账户安全要远高于平均水准线。 而「最需要」密码安全的用户都是小白,小白对你这类软件的认知度几乎为零。 所以从这点看,这类面向普通用户的密码软件做不大,市面上活的好的公司一般都是做 toB 业务的。 |
37
GhostFlying 2016-08-24 11:29:03 +08:00 via Android
涉及重要隐私不用国产,的确外国的月亮比较圆
|
38
panlilu 2016-08-24 11:29:44 +08:00
说实话,只要你们的产品是加密后上传的,我就愿意用。但是非加解密上传。。不是说国内的服务,就算是国外的,我也不敢用。
|
39
27 2016-08-24 11:29:56 +08:00
不是国产不靠谱,而是国产的软件具有“可预知的风险”
至于大家为何吐槽“国产不靠谱”,是大家出于安全采用的一种方便的歧视策略 |
40
northisland 2016-08-24 11:30:38 +08:00
摸摸,做点儿对用户更有价值的东西呗
|
41
GhostFlying 2016-08-24 11:31:11 +08:00 via Android
以及密码这种级别哪怕外国的都要挑挑拣拣,看 lp 相关的帖子?
|
42
scys 2016-08-24 11:33:30 +08:00
国内很安全。
就是隐私部分和国外法律不通,而国外法律定制比我们早了 N 年罢了。 |
43
mrjoel 2016-08-24 11:34:03 +08:00
相信技术,不相信人。
|
44
gdtv 2016-08-24 11:34:56 +08:00
国内的邮箱、云笔记、云协作、云盘…… 你说的这些我都没用。
我用: 邮箱: gmail 云笔记: evernote 国际版 +google docs 云协作:不需要协作 云盘: dropbox/onedriver/amazon S3 |
46
herozhang 2016-08-24 11:36:37 +08:00 1
|
47
lovedebug 2016-08-24 11:37:19 +08:00
如果能给客户提供自己的加密工具最好
即给每个客户签证书,每个客户的私钥自己保管 |
48
kingcos 2016-08-24 11:40:15 +08:00
敢用,如果体验好的话可以推荐给父母用,毕竟是中文的。
不过对于大部分这里的人,密码软件这东西就跟云笔记一样吧,如果选定一家,基本上不会有太大变动,光导入来导入去就多麻烦? 而且这些密码软件基本是都要靠口碑,从每次 1Password 的更新文来看,感觉是个很靠谱的团队,而且我选择密码库加密后是存在 iCloud Drive 的。另外据说 1Password 有赏金给攻破其密码库的,当然这个好像是听说的,不确定。 其实我身边的人没几个用这种密码管理软件的,基本靠记忆,或者就是通用密码,所以你们其实有很大市场吧。 |
50
moregun 2016-08-24 11:41:33 +08:00 via iPhone
ZF 要不要信息到是其次,重要的是如何证明能抵抗得住其他人的攻击,让用户放心让你保存。
还有如果出现泄漏,怎么处理。 |
51
guests 2016-08-24 11:42:19 +08:00
不敢用
不是不相信楼主的技术和节操 而是不相信监管者的节操和底线 |
53
hpeng 2016-08-24 11:44:09 +08:00 via iPhone
密码不用在线的, keepass 加任何一个同步工具就行了
|
54
ethanlu 2016-08-24 11:44:27 +08:00 1
我是用上了,支持一个。反正被国安罚写过保证书的,要模板的可以问我拿
|
55
clino 2016-08-24 11:45:46 +08:00
@Dexter0 国外也会有,但是国内查自己的可能性更大,服务商给出密码的可能性也更大,而国外查自己的可能性小,国外服务商给出密码的可能性也更小
|
56
gamecreating 2016-08-24 11:46:14 +08:00
不用
|
57
RqPS6rhmP3Nyn3Tm 2016-08-24 11:51:32 +08:00 via iPhone
如果是客户端加密,不保存在软件商提供的服务器,敢用
|
59
mozutaba 2016-08-24 11:56:26 +08:00 via Android
很早以前看奶罩的下来用过,根本摸不清楚这个软件的逻辑。
还有就是,“您的密码强度以击败国内 34%的用户,是否自动修改?” |
60
cevincheung 2016-08-24 11:57:24 +08:00
@ethanlu 什么情况?
|
61
Turtur 2016-08-24 11:59:46 +08:00
说实话,并不敢用
|
62
zaishanfeng 2016-08-24 11:59:51 +08:00 via Android
我敢用😄
|
63
mcone 2016-08-24 12:00:21 +08:00 2
@Dexter0
> 正如 2 楼所言,如果有关部门真的要来调用你的资料,对于他们来说,一个小小的加密压缩等同于没有加密。 别的不说,我随手弄个 rar 外加 32 位密码,你帮我解压一下试试看呗? 另外很抱歉,我本来不熟悉贵司的软件的,但是从你的发言来看,我觉得贵司软件不靠谱,更何况是一个管理我密码的这个敏感的软件………… |
64
tabris17 2016-08-24 12:00:31 +08:00
不敢用!
|
65
mahone3297 2016-08-24 12:00:55 +08:00
我想, lz ,别管这帮程序员。
只要你的体验做的好,安全做的好,大部分用户应该是愿意用的吧 |
66
chocotan 2016-08-24 12:02:00 +08:00
拒绝提供数据可能是会被开罚单的吧
最近不是有法院要去医院查什么东西 互相扯皮的 |
67
SharkIng 2016-08-24 12:04:46 +08:00
楼下很多都没说,楼上说的那个其实是大多数人担心的重点,比如 LZ 举例的各种笔记,云服务什么的,那些的确有一些我们的私人资料,但是不是全部,而且重点是,密码程序一般来说是保存你所有的密码的,一旦泄露或者因为有关部门调去,后果不堪设想,基本上楼主说的任何服务(国内的邮箱、云笔记、云协作、云盘…… )都可以轻而易举的得到了,甚至还有很多国外的(安全)服务。所以密码这东西肯定会需要选择更安全可靠的。
|
68
dongoo 2016-08-24 12:08:40 +08:00 via Android
密码加密保存的话,那就没什么好担心的, zf 拿去,就相当于黑客脱裤了
|
69
imn1 2016-08-24 12:09:59 +08:00 8
做生意要注意定位目标客户群,在这推广是定位错误
1.这边的人知道国外是三拳分立,获取个人隐私需要法院,而有关部门不能直接命令法院,而且还有一点是即使获取也只能针对独特个体,也不会是获取一个“集体” 2.网络连通困难这个,在这边是不能作为论据使用的,这边的人从来都不是讨论通不通,而是讨论怎样更快 3.国内的邮箱、云笔记、云协作、云盘……等等,这边的人同样是不相信的,所以也不存在歧视或差异化的问题,用它们来对比也是选错论据了 我(们)不是说贵司产品有什么问题,或者诚信有什么问题,因为都没用过,不能评价 只是说贵司应该善用资源,准确面向合适的客户群,而不要浪费时间、精神和推广费用在这里了 |
70
alexyangjie 2016-08-24 12:12:33 +08:00
没错,国外的月亮比国内圆。国内的云里面从来不放重要东西,丢了就丢了。
|
71
shanks 2016-08-24 12:13:29 +08:00
keepass 系列,导出同步
|
72
wy315700 2016-08-24 12:14:48 +08:00
其实不是不信任的,其实是这个问题
在已经有一堆优秀的产品的情况下,为什么要用你们的产品。 |
73
scnace 2016-08-24 12:14:50 +08:00 via Android
私钥不都是写在纸上随身携带的吗?(逃
|
74
laoyur 2016-08-24 12:18:36 +08:00
哈哈,这算是在 v2 的推广失败案例吗?
|
75
ixinshang 2016-08-24 12:18:58 +08:00 via Android
首先变态,支持国产,其次,和大家差不多,大环境下!
最近一个服务器有人来调资料,不说了! 目前来说,希望越来越好 |
76
gefranks 2016-08-24 12:23:55 +08:00
不敢用.密码这些东西还是放在脑子里吧
|
77
Orz 2016-08-24 12:24:34 +08:00
不
|
78
v9ox 2016-08-24 12:24:45 +08:00 via iPhone
@Dexter0
问题在于内容不一样啊。 QQ 微信是聊天内容,百度盘褆小电影, wiz 是学习笔记,然而密码是密码,聊天内容和学习笔记可以被人知道,但是密码要是被人知道了... 更何况网易 /天涯 /12306 之前爆出过那么多次的密码... 邮箱我用 gmail ,还有个网易邮箱收垃圾注册信息。同步盘用的 dropbox ,现在的密码也是保存在 iCloud 的 note 里。 |
79
des 2016-08-24 12:25:37 +08:00
第一,感觉国外的月亮是比较圆。
第二,国情,政府调查(也不是反动,存粹反感,你想想你自己的私密东西还有人能看到),比如用户信息买卖(也不是歪果仁就没有,只是国际诈骗之类的成本要高一些) 第三,密码之类的东西比较敏感,所以我用 keepass ( keep ass ??) 说个不该说的,国家要求你提供可查询的接口你打算咋办(就像 csdn ) |
80
wevsty 2016-08-24 12:30:04 +08:00 1
几个问题
1.洋葱没有 PC 客户端,目前我的密码都是 keepass 保存,使用密码多半也在 PC 上,少了 PC 上的复制粘贴根本没办法用 2.洋葱储存的密码没有安全性保证。 对比一下 keepass 或者 lastpass keepass 是本地储存密码,数据库采用 AES256 反复迭代加密,没有主密码和本地文件就没办法获得用户密码,并且 keepass 是开源程序接受公众监督。 lastpass 虽然是闭源的在线储存管理,但是至少他们宣称所有密码也是靠本地用户输入的密钥进行加密后上传的, lastpass 公司无法直接获得用户密码。 洋葱在这方面没有任何保障,程序闭源,相信也不是本地加密后上传数据库,服务器端应该是可以查看到用户密码的。有人需要就会把密码统统交出去的密码管理服务谁敢用? 对于楼主的言论:如果有关部门真的要来调用你的资料,对于他们来说,一个小小的加密压缩等同于没有加密 我只能表示说出这种话是没有加密常识的。 洋葱要想真正获得用户信任,必须开源源代码,保障用户数据无法被任何第三方查看。另外还得允许用户自己保存备份数据库,不然哪天洋葱突然倒了密码全部丢失,那就欲哭无泪了。 |
81
woshinidie 2016-08-24 12:30:16 +08:00
猫腻国我死也不信,怎么啦?
|
82
Shura 2016-08-24 12:31:28 +08:00 via Android
楼主不是来询问的,而且来批判的,用户用软件难道还要别人管?
|
83
ColinWei 2016-08-24 12:32:08 +08:00
Chrome 扫码登录,用 ios 端一扫立马崩溃,应用直接退出了,试了几次都这样。
|
84
dotpig 2016-08-24 12:32:40 +08:00 1
这也要争论。两个字:信用。有了三聚氰胺,有几个家长还敢给孩子吃国产奶粉?但是,过产奶粉都有问题吗?不见得啊。但是,信用倒了,再挣回来,比较难。这个你不要怪用户,要怪就怪国内那些不要脸的大公司。这写作为国家脸面的公司都这样,你让用户信谁?
|
85
Aliencn 2016-08-24 12:32:44 +08:00 1
我只知道洋葱是奶罩搞的,还没用过,也没见过哪个厂商接入过。
这种产品还是面向小白用户吧,没必要跟专业用户撕扯。走当初 360 农村包围城市的战略。 另外我不会用这种产品。 |
86
LU35 2016-08-24 12:34:35 +08:00 via Android
真的是反效果, seo 爆炸。
|
87
lingo233 2016-08-24 12:34:54 +08:00 via Android
必须叫人用,还不许说。党风啊,说吧背后金主是哪个部门?
|
88
DbaseIII 2016-08-24 12:35:56 +08:00
也不要说什么国外的月亮比较圆,在目前这么个天下乌鸦一般黑的年头,我觉得不管哪国的 P 民,如果数据实在要放到网上,都应该选择异国的网站,而且,还不能是软弱小国的。。。
|
89
gongqi044 2016-08-24 12:37:51 +08:00 via iPhone
楼主~我给您讲个笑话~中国是一个法制国家
|
90
dearsting 2016-08-24 12:40:27 +08:00
国外月亮就是比较圆!国内各种邮箱、购物、订票网站,甚至政府、银行部门都会严重泄露客户信息,一个密码管理软件叫人如何相信?
|
91
gamexg 2016-08-24 12:40:58 +08:00 1
|
92
canautumn 2016-08-24 12:41:59 +08:00
我现在用 1password ,他们做了 10 年做到现在这种口碑,十年后你也有希望。
|
93
wogong 2016-08-24 12:46:51 +08:00
不敢。
你来错了地方,国内的服务当然很多人用,但是 V2EX 用户使用的比例会小一些。 我用 Keepass ,敏感信息 Veracrypt 加密后放到 Dropbox 。 |
94
xjp 2016-08-24 12:47:43 +08:00
连私钥都背不下来还敢说自己是程序员 ? (手动滑稽
|
95
bojun1995 2016-08-24 12:51:19 +08:00
已安装,不过通过 Android APP 扫码登陆 chrome 插件似乎不太好用
1 )插件上的二维码太复杂 2 )我举着手机扫了一分钟似乎都没扫上。。放弃了 |
96
hoythan 2016-08-24 12:52:10 +08:00
国内小公司素质普遍不高,不说有关部门,可能自己人都管不住自己人.
|
97
bojun1995 2016-08-24 12:53:15 +08:00
又扫了一分钟。。手都酸了。。。
|
98
nilai 2016-08-24 12:53:22 +08:00
楼主可能忘记了 FBI 与 apple 大战三百回合的事了。 个人不喜,也不敢用
|
99
powtop 2016-08-24 12:54:51 +08:00
看新闻了么,女大学生学费被骗后死亡,教育 JU 信息泄露等等,~~,如果大家真的心有芥蒂,建议把软件伪装改造成外国的,上架国外商店,国人还真有可能就用了
|
100
dawn009 2016-08-24 12:54:57 +08:00 4
三个要求,都满足就敢用:
1 、客户端开源 2 、加 /解密都在客户端,服务端只存密文不存密钥 3 、密钥可以用第三方软件(比如 OpenSSL )生成 |