我们需要什么样的数据安全和隐私保护?

在和用户交流的过程中,  发现大家对于数据隐私都比较关注.  更有趣的是,  越是对技术不感冒的用户,  越是关心数据会不会被别人偷窥.  当然, 也有国情的因素在里面.

说心里话,  就我个人而言,  特希望用户的数据在离开电脑的时候就进行高强度加密,  之后, 除了用户自己谁都不能解密.  这样所有隐私都能得以保护, 分享非法内容的可能性也几乎不存在. 只是用户一旦忘了密码,  事情就糟糕了;而且, 分享也很难进行.  应了那句老话,  “安全和便利”总是很难同时兼顾.

坚果铺子希望给用户提供个人使用的云存储空间,  而不仅仅用做共享.  因此, 隐私性也是我们经常思考的问题. 我们也在试图寻找安全和便利之间的平衡点. 这里的一些想法,  用于抛砖引玉, 想听听更多的建议.

安全是一个特别困难的问题, 因为:

  1. 必须进行严格的端到端的控制, 任何一个环节出了问题,  安全就无从谈起
  2. 懂得加密算法, 知道几个安全哈希函数,  未必就能设计出安全的协议和产品. 比如很多磁盘加密的产品,  都容易被反向工程破解
  3. 阳光是最好的消毒剂,  封闭算法和实现并不是最好的保证安全的手段, 尤其是经验和能力比较缺乏的时候.  将产品中核心算法进行公开, 或许是保证安全的最佳途径
  4. 数据的保护和隐私控制, 更难的是在程序和制度的管理.  人不是机器,  总是更容易犯下可以重现的错误

提到这里, 发现国内大部分的互联网服务,  不管是社交网络,  聊天, 或者云存储服务商,  似乎大多没有意识到端到端加密的意义.  更多的仅是在登录的时候, 只对用户名和密码进行保护.

殊不知, 用一个类似Firesheep这样的firefox插件,  任何人都可以在开放的WIFI网络中轻松劫持他人的账号,  访问他人数据, 甚至修改他人的密码.   中间过程的简单,  几乎不用进行任何培训.

越来越多用手机上网的我们, 是不是应该感到害怕?

或许, 我们应该站出来, 告诉国内的互联网服务商,  先保护我们在WIFI网络中的数据不会别他人窥探, 再来谈其他的数据保护问题吧.  配置一下服务器即可, 也不用花太多钱, 何乐而不为?

坚果铺子全部使用Https协议完成用户和服务器端之间的通信,  也是基于这个考虑. 虽然,  以我们有限的资源,  这会加大服务器的性能开销和影响页面的载入时间,  但是,  我们愿意以自己的努力, 唤醒大佬们的重视.