2023-02-28 15:22:46 -05:00
|
|
|
|
---
|
|
|
|
|
|
title: "常見的迷思"
|
|
|
|
|
|
icon: 'material/robot-confused'
|
2023-04-04 22:38:20 -04:00
|
|
|
|
description: 隱私並不是一個直覺的話題,它容易遭行銷話術與其它虛假訊息的綁架。
|
|
|
|
|
|
schema:
|
|
|
|
|
|
-
|
|
|
|
|
|
"@context": https://schema.org
|
|
|
|
|
|
"@type": FAQPage
|
|
|
|
|
|
mainEntity:
|
|
|
|
|
|
-
|
|
|
|
|
|
"@type": Question
|
|
|
|
|
|
name: 開源軟件本質上安全嗎?
|
|
|
|
|
|
acceptedAnswer:
|
|
|
|
|
|
"@type": Answer
|
|
|
|
|
|
text: |
|
|
|
|
|
|
源代碼是否可公開取得以及軟件本身的授權條件並不會影響其安全性。 開源軟件可能比商有軟件更安全,但這點並非絕對保證。 評估軟體時,應該根據個別情況來評估每個工具的聲譽和安全性。
|
|
|
|
|
|
-
|
|
|
|
|
|
"@type": Question
|
|
|
|
|
|
name: 將信任轉移到另一個提供商可以增加隱私嗎?
|
|
|
|
|
|
acceptedAnswer:
|
|
|
|
|
|
"@type": Answer
|
|
|
|
|
|
text: |
|
|
|
|
|
|
在討論 VPN 等解決方案時,我們經常談到「轉移信任」 (將您對 ISP 的信任轉移到 VPN 提供商)。 雖然這可以特別保護瀏覽數據免受 ISP 影響,但挑選的 VPN 提供商仍然可以訪問您的瀏覽數據:資料並非得到完全保護。
|
|
|
|
|
|
-
|
|
|
|
|
|
"@type": Question
|
|
|
|
|
|
name: 以隱私為中心的解決方案本質上可信賴嗎?
|
|
|
|
|
|
acceptedAnswer:
|
|
|
|
|
|
"@type": Answer
|
|
|
|
|
|
text: |
|
|
|
|
|
|
僅專注於單一工具或提供商的隱私政策和營銷可能會讓您忽視其弱點。 當您正在尋找更私密的解決方案時,您應該確定潛在的問題是什麼,並找到該問題的技術解決方案。 例如,您可能希望避免 Google 雲端硬碟,這會讓 Google 存取您的所有資料。 這種情況下潛在的問題是缺乏E2EE ,因此應確保切換的提供商有真地落實 E2EE ,或者使用雲端服務商提供的 E2EE 工具(如Cryptomator )。 轉換到“以隱私為中心”的提供商(其不用 E2EE )不能解決您的問題:它只是將信任從 Google 轉移到該供應商。
|
|
|
|
|
|
-
|
|
|
|
|
|
"@type": Question
|
|
|
|
|
|
name: 我的威脅模型需要多複雜?
|
|
|
|
|
|
acceptedAnswer:
|
|
|
|
|
|
"@type": Answer
|
|
|
|
|
|
text: |
|
|
|
|
|
|
我們經常看到人們描述過於複雜的隱私威脅模型。 通常,這些解決方案包括許多不同的電子郵件帳戶或具有許多移動部件和條件的複雜設置等問題。 答案通常是“做 X 的最佳方式是什麼?”
|
|
|
|
|
|
為自己找到“最佳”解決方案並不一定意味著您正在尋找具有數十種條件的絕對解決方案-這些解決方案通常很難實際使用。 正如先前所討論的,安全性通常是以方便為代價。
|
2023-02-28 15:22:46 -05:00
|
|
|
|
---
|
|
|
|
|
|
|
|
|
|
|
|
## 「開源軟體永遠是安全的」或「商業軟體更安全」
|
|
|
|
|
|
|
2023-04-04 22:38:20 -04:00
|
|
|
|
這些迷思源於許多偏見,原始碼是否開放以及軟體的許可並不會以任何方式影響其安全性。 ==開源軟件 *可能* 比商業軟件更安全,但絕對不能保證這一點。==評估軟體時,您應該根據每個工具的聲譽和安全性進行評估。
|
2023-02-28 15:22:46 -05:00
|
|
|
|
|
2023-04-04 22:38:20 -04:00
|
|
|
|
開源軟體*能夠*由第三方人員進行審計,比起同類商用軟體,前者對待潛在漏洞更為透明。 它還允許您查看代碼並禁用您發現的任何可疑功能。 然而,*除非您真的這樣做了*,否則不能保證程式碼曾經被評估過,特別是小型軟體專案。 開放的發展過程有時會遭利用,甚至在大型專案中被引入新的漏洞。
|
2023-02-28 15:22:46 -05:00
|
|
|
|
|
2023-04-04 22:38:20 -04:00
|
|
|
|
另一方面,專有軟件不太透明,但這並不意味著它不安全。 主要的商用軟件專案會由內部和第三方機構進行審計,獨立的安全研究人員仍然可以通過逆向工程等技術發現漏洞。
|
2023-02-28 15:22:46 -05:00
|
|
|
|
|
2023-04-04 22:38:20 -04:00
|
|
|
|
避免決策上的偏見,這點在評估所使用軟體的隱私與安全標準上至關重要。
|
2023-02-28 15:22:46 -05:00
|
|
|
|
|
|
|
|
|
|
## 「信任的轉移可以增加隱私」
|
|
|
|
|
|
|
2023-04-04 22:38:20 -04:00
|
|
|
|
在討論 VPN 等解決方案時,我們經常談到「轉移信任」 (將您對 ISP 的信任轉移到 VPN 提供商)。 雖然這可以保護您的瀏覽資料免受 *特定* ISP 的侵害,但您選擇的 VPN 提供商仍然可以訪問您的瀏覽數據:您的資料並非完全受到各方的保護。 這意味著:
|
2023-02-28 15:22:46 -05:00
|
|
|
|
|
2023-04-04 22:38:20 -04:00
|
|
|
|
1. 把信任轉付給挑選的服務供應商時,您必須謹慎行事。
|
|
|
|
|
|
2. 您應該利用其它技巧,如 E2EE 來完全保護您的資料。 僅因個別供應商的信任與否,並不能確保資料的安全。
|
2023-02-28 15:22:46 -05:00
|
|
|
|
|
2023-04-04 22:38:20 -04:00
|
|
|
|
## 「以隱私為中心的解決方案本質上是值得信賴的」
|
2023-02-28 15:22:46 -05:00
|
|
|
|
|
2023-04-04 22:38:20 -04:00
|
|
|
|
僅專注於單一工具或提供商的隱私政策和營銷可能會讓您忽視其弱點。 當您正在尋找更私密的解決方案時,您應該確定潛在的問題是什麼,並找到該問題的技術解決方案。 例如,您可能希望避免 Google 雲端硬碟,這會讓 Google 存取您的所有資料。 這種情況的問題是缺乏 E2EE ,因此您應該確保您轉換的供應商真正實現了E2EE ,或者使用可在任何雲提供商安裝 E2EE 的工具(如 [Cryptomator](../encryption.md#cryptomator-cloud))。 轉換到“以隱私為中心”的提供商(其不用 E2EE )不能解決您的問題:它只是將信任從 Google 轉移到該供應商。
|
2023-02-28 15:22:46 -05:00
|
|
|
|
|
2023-04-04 22:38:20 -04:00
|
|
|
|
您選擇的供應商的隱私政策和商業實踐非常重要,但應視為隱私技術保證的次要條件:當無須信任供應商時,您不必將信任轉移到另一個供應商。
|
2023-02-28 15:22:46 -05:00
|
|
|
|
|
|
|
|
|
|
## 「愈複雜愈好」
|
|
|
|
|
|
|
2023-04-04 22:38:20 -04:00
|
|
|
|
我們經常看到人們描述過於複雜的隱私威脅模型。 通常,這些解決方案包括許多不同的電子郵件帳戶或具有許多移動部件和條件的複雜設置等問題。 答案通常是“做 * X *的最佳方式是什麼?”
|
2023-02-28 15:22:46 -05:00
|
|
|
|
|
2023-04-04 22:38:20 -04:00
|
|
|
|
為自己找到“最佳”解決方案並不一定意味著您正在尋找具有數十種條件的絕對解決方案-這些解決方案通常很難實際使用。 正如先前所討論的,安全性通常是以方便為代價。 下面,我們提供一些訣竅:
|
2023-02-28 15:22:46 -05:00
|
|
|
|
|
2023-04-04 22:38:20 -04:00
|
|
|
|
1. == 行動需要達到特定的目的:== 想想如何用最少的行動做到想做的事。
|
|
|
|
|
|
2. ==移除人類的失敗點:== 人總會失敗、疲倦、忘記事情。 要保持安全性,請避免依賴大腦記憶的手動條件和流程。
|
|
|
|
|
|
3. = =使用您要想的適當保護等級。== 我們經常看到所謂的執法或傳票證明解決方案的建議。 這些通常需要專業知識,通常不是人們想要的。 建立一個複雜的匿名威脅模型是沒有意義的,如果您的行為容易地被一個簡單的監督去匿名化。
|
2023-02-28 15:22:46 -05:00
|
|
|
|
|
2023-04-04 22:38:20 -04:00
|
|
|
|
那麼,這看起來會怎麼樣?
|
2023-02-28 15:22:46 -05:00
|
|
|
|
|
2023-04-04 22:38:20 -04:00
|
|
|
|
最清晰的威胁模型之一是,部分人*,知道你是谁* ,而另一部分人不知道。 有些必須提出您的法定姓名的情況,但也有其他情況不需要提供全名。
|
2023-02-28 15:22:46 -05:00
|
|
|
|
|
2023-04-04 22:38:20 -04:00
|
|
|
|
1. **已知身份** - 已知身份是用于必須告之姓名的事務。 有許多法律文件和合同需要合法身份。 這可能包括開設銀行帳戶、簽署財產租賃、獲得護照、進口物品時的海關申報,或其他與政府打交道的方式。 這些東西通常會需要憑證,如信用卡,信用評級檢查,帳戶號碼,以及實際地址等。
|
2023-02-28 15:22:46 -05:00
|
|
|
|
|
|
|
|
|
|
我們不建議您使用 VPN 或 Tor 來處理這些事情,因為您的身份已經通過其他方式被對方知道。
|
|
|
|
|
|
|
2023-04-04 22:38:20 -04:00
|
|
|
|
!!! 訣竅
|
2023-02-28 15:22:46 -05:00
|
|
|
|
|
2023-04-04 22:38:20 -04:00
|
|
|
|
在網上購物時,使用[包裹儲物櫃] (https://zh.wikipedia.org/wiki/Parcel_locker)有助於保護您實際地址的私密性。
|
2023-02-28 15:22:46 -05:00
|
|
|
|
|
2023-04-04 22:38:20 -04:00
|
|
|
|
2. **未知身份** - 未知身份可能是您經常使用的穩定假名。 它已不算匿名了,因為不會變動。 如果您是線上社群的一員,您可能希望保留其他人知道的角色。 這個假名不是匿名的,因為如果監控時間足夠長,關於所有者的詳細信息可以透露更多信息,例如他們的寫作方式,他們對感興趣主題的一般知識等。
|
2023-02-28 15:22:46 -05:00
|
|
|
|
|
2023-04-04 22:38:20 -04:00
|
|
|
|
您可能希望使用 VPN 來隱藏您的 IP 地址。 金融交易更難掩蓋:您可以考慮使用匿名加密貨幣,例如 [Monero](https://www.getmonero.org/)。 採用山寨幣轉移也可能有助於偽裝您的貨幣來源。 通常情況下,交易所需要完成 KYC (了解您的客戶) ,然後才能將法定貨幣兌換為任何類型的加密貨幣。 線下操作也可能是一個解決方案;然而,這些往往更昂貴,有時也需要 KYC。
|
2023-02-28 15:22:46 -05:00
|
|
|
|
|
|
|
|
|
|
3. **匿名身份** - 即使有經驗的專家,也很難長時間保持一個帳號的匿名性。 它們應該是短期和短暫的身份,定期輪流。
|
|
|
|
|
|
|
|
|
|
|
|
使用 Tor 可以幫助我們做到這一點。 同樣值得注意的是,通過異步溝通可以實現更大的匿名性:實時溝通容易受到打字模式分析的影響(即不止一段文字,在論壇上分發,通過電子郵件等)。
|
|
|
|
|
|
|
2023-04-04 22:38:20 -04:00
|
|
|
|
[^1]: 一個值得注意的例子是 [發生在2021年,明尼蘇達大學的研究人員在 Linux 內核開發項目中引入了三個漏洞](https://cse.umn.edu/cs/linux-incident).
|
