你为什么不应轻信小二的人设和安全建议


  • https://be4.herokuapp.com/topic/122/你为什么不应轻信小二的人设和安全建议

    小二给普通网友的印象是一位好好先生、糊涂蛋、倒霉蛋,但这些都是他的人物设定。在匿名交流的世界,相信了他人的人设是不聪明的做法。

    这篇短文并非批评小二做的事有问题,事实上端点星、2049bbs和共建新品葱对简体中文世界的言论自由起到了很大的帮助。但是,小二对网络社区的管理和安全方面的建议存在严重问题,大家不应该相信和采用他的建议,更不应该轻信小二以上的那些人设。

    实际上,小二从来都是一个「小二例外论」者。他对他人的建议,从来都是把自己和建议的对象区别开对待,下面列举几个例子。

    小二第一原则:一切交流都应该在阳光下,反对私信、电子邮箱沟通。 这条建议从新品葱建立之后的头一个月就置顶,台面上的理由是电子邮件可能被钓鱼、可能被跟踪导致建站人员身份暴露。实际上,小二本人在新品葱之前之后都一直使用protonmail和tor,所以禁电子邮件和私信这条社区第一原则的理由从一开始就是说给外人听的。

    真正的原因大概有两点:第一是保持对社区的绝对控制,因为对于掌握了服务器的站方来说,掌握了匿名社区的沟通渠道就能彻底消灭任何反对力量;第二是切断原旧品葱团队跟新品葱的私信沟通渠道,明抢品葱这块招牌。

    这条对所有人的建议,实际上对于建站团队来说是完全例外的,他们一开始就为自己开通了私信和邮件沟通渠道。

    小二第二原则:反对时间模糊、延迟发布。 新品葱建站初期有神秘白帽子利用公开数据库分析了用户所在时区,发现新品葱的延迟发布功能并没有真正修改数据库内部的时间,因此黑客可以利用新品葱的公开数据库提取用户所处时区。小二第一个对此的回应是,一个时区覆盖那么大地理范围,泄漏了根本无所谓,不用怕。但是这件事让新品葱访问量大减,最后不得不由当时的admin也就是新品葱的真正站长修复了这个漏洞,才挽回了人气。而在小二自己的2049bbs,一直没有添加用户发言时间延迟显示的功能。时区泄漏事实上是一个很大的问题。小二自己是否对时区进行保护了呢?事实上,小二早期是通过跟品葱站长共用帐号实现活动时区模糊的,因为当时那位白帽子发现小二的活动时间覆盖了整个24时区,他在任何时区都是活跃的。所以小二明明知道时区泄漏是一个威胁,而他进行了自我保护,但却对其他人作相反的建议。

    小二第三原则: 不鼓励用户使用小号和共享帐号。 这个原则贯穿了他在新品葱和2049bbs的全部管理,但是他本人从来没有认为这条建议适合自己。首先说小二和新品葱站长在建站初期就共用小二这个帐号,但他从来都反对网站用户使用共享帐号,具体方式是通过禁止私信和公开邮箱。

    其次小二声称自己从来不使用小号,但实际上他的小号无数,有的是热心的技术高手提安全建议,有的是为网站开发新功能的编程高手,有的人乱入2049或新品葱的资源分享达人,有的是热衷转发新闻的消息灵通人士,还有更多其他类型的小号。小二指控BE4使用小号海是为了给自己营造一种很受欢迎和关注的假象,事实上他自己才是一直热衷玩这一套。

    小二第四原则:不鼓励普通用户使用Tor。 回到时区泄漏的例子,小二当时明确表示,新品葱不记录用户IP、浏览器指纹、浏览记录等信息,所以普通用户根本没有必要用Tor,他作为站长是高危人士所以勉强用Tor。且不说这本身就是光天化日下的双重标准,裸奔或使用普通代理本身就存在DNS泄漏、浏览器泄漏、网络被监听等等许多隐私威胁,同时让使用Tor的用户少了很多掩护,更何况所谓的不记录用户IP等承诺根本无从验证。

    小二第五原则:拒绝将网站个性化定制化,理由是防止同温层。 新品葱和2049bbs都是小二选择的架构,具体来说就是所有人看到同样的东西,管理员的权限在整个网站有效。这种架构既不同于传统论坛的不同人管理不同版块的模式,又不同于知乎这样的问答网站,通过用户选择关注对象和话题来实现高度的个性化内容呈现的模式。小二非常坚持这种模式,直到后期被证明是彻底失败之后,才勉强在新品葱和2049加入了屏蔽分类、屏蔽个人等功能。尽管如此,他还是继续坚持管理员权限覆盖全网站的模式,而这种模式制造了大量能力和权限不匹配的管理员,是新品葱和2049bbs一切乱象的根源。

    小二第六原则:自己可以撒谎保护身份,但别人撒谎保护身份则是可耻的巨魔。 在小二未曾自爆是2049站长之前,小二在新品葱私信告诉我他从来没有小站(newjrs.xyz)的帐号,也从来没有访问过小站,只看过irl这个subreddit。事实上,当时的2049站长却曾公开声称自己加入了小站的Telegram群。直到后来他自爆是小二之后,这个谎言才被揭穿。除了这个之外,新品葱的小二还声称为了安全他从不用Telegram、Twitter等社交媒体云云,实际上作为2049站长,这些早就被他用得溜溜的了。这些作为再次证明小二的安全建议是不可信的。

    小二第七原则:你们都应该无私,否则就是可耻,但我自己可以自私。 第一个实例是新品葱的水区,水区这个东西是小二在2049bbs先发明的,作为2049站长他还开心的发帖庆祝一翻自己的这个发明。作为2049老用户,我看到水区的成功后便要求新品葱也建水区。而新品葱的小二则千百个不愿意,找了各种理由来跟我论证水区没有任何屁用,要真的为社区好不如自己多创作一些内容。小二自爆是2049站长后,再回头看这段对话,你就知道小二内心当时觉得自己发明的水区结果为新品葱做了嫁衣,内心千万头草泥马跑过。

    第二个例子,小二自爆是2049站长之后,邀请了一堆人入驻2049。这其中有九头鸟,也有BE4,后来小二干了什么事呢?他私下和新品葱达成了和平协议,代价就是将九头鸟和BE4边缘化,并且将这两个抹黑。驱逐九头鸟的方式是小二让另外一个electron8964当管理员专门羞辱修理九头鸟,而事实上,electron8964有很大概率就是小二本人或与其共用帐号。而对付BE4因为是正在进行时,现在暂且不表。

    第三个例子,就是利用BE4曾在揭露小站的网页内放置了流量统计脚本而大肆攻击BE4是试图获取他人身份的网警。这个问题更是双标得无底线了。流量统计脚本只是为了获取点击率等信息,根本无法获取用户的完整IP,更何况那是一个不用登录没有cookies的纯静态页面,根本无法知道点击的是谁。相比之下,开论坛的小二和新品葱站长能直接看到所有访问者的完整IP地址,而且这些访问者还会在论坛注册、发言表达自己的政治观点和个人信息。而小二将使用流量统计脚本污蔑为试图获取身份的黑客行为,这就好比卖军火贩毒的跑去指责街上卖菜的赚了太高的差价要拖出来枪毙一样。

    以上总总,让大家看清小二这个所谓「金字招牌」背后的这个人,其本质不过是一个充满了功利心、嫉妒心、并且从来都觉得自己跟他人不一样的自我例外论者。

    最后,我要重申的是,本文并非否定小二对言论自由的贡献,更不是要让大家在匿名社区暴露自己的真实信息。相反,BE4一向公开宣称为掩饰和保护自己的身份而撒谎、制造虚假信息是值得提倡的行为,这也是编程随想给出的建议。

    但是,我认为小二为了掩盖自己身份而向公众作出这些对大家而言非常危险,且自己根本不认可的虚假建议,完全已经过界了,尤其是对于他这种获取了大量公众信任的人设而言,这种错误建议给整个社区的安全带来严重隐患。

    小二给出的几乎每一条安全建议都是适得其反的,这些建议完全是出于自私的动机,为了他自己的影响力、便于自己管理和分析用户、便于让他人无偿贡献内容而给出的,对用户本身而言是危险的建议。这些建议他自己从来没有遵守过,也没有相信过。

    --

    • 利益相关:小二因为对流量统计的技术、用途和潜在威胁的错误理解,对本人造成名誉伤害,并且在本人撰文数篇并找「编程随想」公开确认以指出小二的错误后,他仍然拒绝为对本人造成的名誉损害进行公开补救。
    • 关于时区模糊,NodeBE4的代码我是一行都没法改,所以大概只能这样了。但在我能力所及的BE4新闻站上,延迟发布和时区模糊功能已经加上了。
    • 本文只是将被神化的小二人格还原为正常人罢了,嫉妒心、功利心、自我例外论等等各种毛病是所有人的通病。问题不在于一个人有这些毛病,问题在于你相信一个人没有这些毛病,以及试图告诉别人某人没有这些毛病的努力。
    • 小二已于4月19日被捕,看来他自己的安全措施可能也是有问题的。(4月26日更新)
  • @匿名者

    呵呵,還一行代碼都沒法改