字体
关灯

海棠文学网在管理上的安全隐患

上一章
目录
存书签
下一章
海棠文学网在管理上的安全隐患 抛开偷税漏税、洗钱、台独等来源不明的信息,海棠文学网在应对这次事件时,“事前天真,亡羊补牢又太晚”(来自长毛象网友)。尤其是6月底开站后继续让作者解锁更新提现,瞎了我眼(不好意思忍不住带上个人情绪)。海棠在本次事件中应该承担什么责任? 资金流水的风险 只要你的稿费是通过国内渠道收到的,不管是支付宝微信银行卡,就有风险!国内流水对于监管来说是透明的,有大额来历不明的流水就会有被查的风险。加上国内的实名制,流水一撸到底,警方有你的地址、通过运营商监测你的访问记录都是很简单的事情。 因此不要管经销商是不是参与洗钱,他就算没洗钱,海棠通过经销商用支付宝微信充值,还用支付宝微信给作者打钱,出事被查只是早晚的问题。Po18据说打钱更正规,正规没用,只要是通过写高h赚钱并且有国内流水,都有风险。因此Po18读者未雨绸缪提醒大额作者提前销号也是有道理的。 海棠的责任在于没有任何风险意识。有长佩实体书出事在前,海棠居然还继续找大陆经销商负责充值提现,还用支付宝微信给作者发稿费,没弄任何跨国转账第三方支付,为什么要这样做,这是个谜。 网站安全漏洞 海棠的网站有严重安全漏洞,对作者读者都非常不负责。其中之一体现在密码管理上。海棠的密码是用明文或者可逆加密保存,管理员能直接看见密码,或者通过技术方法(对称式加解密)获得用户密码。当然管理员没理由用你的账号做什么事,但一旦有黑客入侵掌握了数据库,所有人密码外泄。如果你大部分网站甚至支付宝账号都有同一个密码,就会十分危险。 我怎么发现他们保存密码的方式如此落后?一般网站使用密码散列算法保存,数据库被黑也不会泄露密码。对于普通用户找回密码的方式一般是网站向你的邮箱发送修改密码的网页,你通过网页设置新密码。我向海棠申请找回密码,海棠直接把旧密码用邮件发回给我!我点开邮件的那一刻就被闪瞎了眼,并立刻修改其他有一样密码的账户,乖乖给密码管理软件钱,每个账户都设置巨长的密码。偷懒要不得! 可见海棠网站其他方面的安全也要打个疑问的。为何网站运营那么久没出现安全事故,也是个谜。难道是因为黑客看不上? 人工审核 海棠的充值系统人工审核也就算了,大陆作者出事后,许多作者申请销号,销号流程也是人工审核…… 一边是作者心急如焚不停发邮件要求立刻销号,一边是只有两个编辑处理上百个邮件,是打工人也崩溃。不是不想尽快处理,但人力的效率就是有上限。我们得问,为什么就不能将流程自动化? 其次,海棠网站和作者的利益有冲突。海棠虽然大部分用户在大陆,也会有台湾用户以及海外华人。作者删文销号,这部分读者尤其是付费读者肯定会不高兴,他们是有权告海棠违反消费者权益的,因此海棠编辑在销号时扭扭捏捏,使得大陆作者处于被动状态。 网站管理落后+网站和作者权益有冲突,不出事则已,一出事就会让作者处于被动。作者有什么方法从一开始就掌握主动权?请听下回分解。 警方查人的行动推测 海棠作者被大规模带走后引起耽美社区的恐慌。大家为了保证作者们的安全奔走相告,并出现了“想查都会查到你”“接下来爱发电、云盘、推特、废文都会被查”的言论。那么我们从技术上分析,真是想查就能查到你吗?有哪些是容易查到、哪些是不容易追踪到的? 海棠事件有个明显的爆雷点:流水 经销商给作者发稿费是高度中心化的,并且稿费走的是微信支付宝的途径。前面我们讲到,只要是通过国内途径的流水,想查一定能查得到。警方获得微信支付宝流水,你的地址、手机号、身份证都能获得。 很多人把责任推到经销商身上,认为经销商如果不爆雷,也不会暴露那么多作者。经销商确实要承担一定责任,但不是说没这件事作者就安全了。大额流水容易引起监管的注意,尤其是你的收入途径不正规,加上支付宝会抽查流水,作者怎样都是解释不清的。 去年男频黄文h站被查,也有一批作者被抓,取保候审出来,有些人还在等判。根据我在NGA社区上收集到的信息,h站事件的模式是:作者在pixiv上发几万字的预览,然后引流到Hiccears即h站。H站是日本的一家类似爱发电的平台,在国内有代理,可以通过支付宝支付。H站作者被抓也是因为有支付宝流水。 某NGA用户发帖指出:“……另外没有进去可能是因为他走的是红P,没办法证明他盈利。”(红P应该指的是美国的创作者赞赏平台Patreon,爱发电的模仿对象) 另外,男频那边也有通过QQ群收钱的,也被抓了。 由此可见,【只要通过h文盈利,走国内流水,和国内身份对应起来,就是高风险。】 基于以上原则,我们就可以推测剩下的网站那些是高风险、哪些是低风险: 爱发电:所有网站中风险最高。爱发电服务器在国内,有备案,走国内流水。一旦出事,抄家直抄服务器,后台数据都可获得。海棠小流水作者尚可用销号降低风险,爱发电就没有这个选择了。建议在爱发电用高h盈利的作者尽早采取措施。风平浪静后也不要再在爱发电卖高h文,高风险一直在。 Po18:   台湾网站,服务器在境外,除非黑客入侵倒不用担心后台数据。但是在Po盈利的作者走国内提现渠道的,风险较高,建议尽早采取措施。 废文:服务器在境外,管理员在境外,不盈利(不盈利的话警方不能收到退赃,彻查的概率较小),用户注册不实名,风险较小。但是,【如果你的废文账号和微博/微信等国内平台对应上,相当于实名,同时有人举报你,警方一定会办案,此时风险增高。】建议做好身份隔离。 AO3:境外网站,不盈利,用户注册不实名,同废文。如果你的AO3账号和微博/微信等国内平台对应上,且有人举报,风险增高。建议做好身份隔离。
上一章
目录
存书签
下一章