网络安全

下午聚会之后回家的路上，Lisa要求听“Peter Pan“的故事…… 故事很曲折，我们听到铁钩海盗也希望小女孩Wendy作他们的妈妈，实在忍不住笑了起来。当然，乐极生悲，到了下午某个时间，我的另一个网站就再次无法访问了。 晚上在家里处理这事，检查letscrypt的数字签名，正好朋友发来信息，让我帮忙看看他在公众号“遥望终点”上的”传道书19“是否被封，我也就请他帮忙看看我的网站问题。结果他给出了一个我完全没有注意的盲点：80端口还能继续访问——虽然这没有什么用处。 也就是说，我的网站只是443端口的https被封闭，http协议使用的80端口仍然健在。当然，这没什么用。因为我所以的流量都自动重定向到https。这年头谁会用明文的http协议呢？如果一个网站是默认http的，我的浏览器都会自动报警说不安全，甚至在大量https链接中偷偷藏一个http链接，我的浏览器也会停止服务，并报告说”混合链接“警告。 好在我的网站是静态html为主，所以去掉https的链接，改为http还能继续检查几天，不过看起来访问速度在现代浏览器的挑剔嫌弃之下，比蜗牛也快不了多少。 折腾了半天，实在无法忍受，只能使用终极大招cloudflare了——虽然违背了我的单一静态网站的设计初衷。 这倒是简单，修改dns指向cloudflare的dns服务器，选择cloudflare代理即可。 而现在，我就用一个free plan的cloudflare来解决了，据说速度提高了28%。 不过，仍然劝大家尽快采用RSS订阅各种网站（包括但不限于eddyemma.com，kuawentrans.com）为好。没什么理由，以后的人类只会分为两种：已经使用RSS订阅者和将要使用RSS订阅者。 本来想写点别的，但总有各种意外发生呀，解决一个问题又出现一个问题。先放下一切睡觉了。对了，如果第一次打开网页报告超时，那时因为cloudflare没有做好第一次访问的缓存。再来一下就行了。 版权所有：Eddy Zhang 博客：https://eddyemma.com 出品人：跨文翻译（kuawentrans.com），以职场作为宣教平台。 这个博客是由普通读者支持的。若您或您的教会愿意支持跨文翻译的事工，请使用 https://paypal.me/eddyemma 或以下二维码。

昨天忙着翻译和预备讲道，也因为MMC的报名被外星人劫持，没什么心情掺和到热闹的“世界读书日”活动中。唯一在微信朋友圈鼓励大家读书的是这样一段话：算了，世界读书日，还是给大家一个读书的理由：你读书，书不会读你。 配图当然是“我家电视机正在监视所有联网设备”（ https://www.v2ex.com/t/772523），而且不仅是你家的设备，还扫描周边的设备和wifi热点。 读书就没这么夸张，你不做笔记，书也不会扫描你。（朋友留言说，电子书除外。） 今年的违规删帖名额怕是早就满了，看来要推动宣教不是一件容易的事情，敏感词太多。 我需要把博客作为主力站点吗？也许有一天微信就永封了吧。至少，eddyemma.com是一个不会被封锁的独立博客，最多不过需要vpn，内容不会丢失。MMC的报名，请移步“https://blog.eddyemma.com/posts/2021-04-24-mmc工作坊报名/”吧。 我不打算为了所谓的过审而自我阉割，能写的东西已经不多，实在发不出来就算了，也没什么大不了的。 留言一则及其回应： A：看你这么严肃的文章，中间总穿插两个不相关的广告……我感觉不大好，会有影响。。你怎么看 B：我从来不“怎么看”自己写的东西 A：好吧我看到广告的时候思路会被拉开一下。其他还好，有时候广告推荐一些不大好的小说的时候就会有些试探了。你可以看看 B：你是对的。广告分心，以后去掉吧。谢谢 A：感谢主 微信这么个平台，算了，真有严肃到看见广告也会分心的内容，大概也就是被封的命运吧。以后中间不插广告了。 作为一个坚决否认自己是“主内公号”的平台，不过随意发表自己的想法而已。要是这也做不到，多少有些了无趣味。 但内容安全还是需要的。使徒保罗就不小心遗失了写给哥林多教会的一封信的原稿，我相信是被罗马的内容检查官毁掉了。古人不备份，只是将文字刻在石碑上就算永存了。上周去碑林看到地震毁掉的数十万字经刻，不由得一声长叹。 我的内容是这样备份的： 所有内容复制到独立租用的eddyemma.com服务器，并将wordpress的数据库备份到另一台独立服务器上。 采用updraftPlus插件，每天备份wordpress数据库和配置到google drive​上。保留10天的增量备份。 如果没事，将文章转到微信上留一份，以人民群众喜闻乐见的方式方便没有vpn的朋友​。（最近懒惰，也有直接上微信的，​罪过罪过！）​ 从前一度，所有文章还有传到steemit区块链，以及ipfs系统，保证永不会被消失掉。后来steemit被中资收购了，于是就没落了。看来还是需要自己的独立博客比较稳定。 MMC接下来多多使用邮件，请大家一定注册安全邮箱，比如protonmail。 顺便说一下邮箱的安全使用方式： zero inbox: 保持零未读邮件。去掉所有不看的订阅。如果需要安全，最好保持收件箱和垃圾箱全空。 no reply。每次都新写一封邮件，不要用回复功能（或者小心地删除对之前通信的引用）。这样如果对方邮箱被黑（或者密码被拿走），也不会看到你们之前的对话。 最好附加PGP签名和公钥，或者大家都用同一个安全邮箱，比如protonmail，这样就自动相互加密了。 以后所有文章首发Eddyemma.com，微信还是作为小号比较好玩。 安全是一种习惯。我不相信不付出代价的安全，就像耶稣不相信人的财宝在一个地方，而那人的心却在另一个地方。 这些文章是对个人网络安全的简单介绍： 简明网络安全（1）｜导言 简明网络安全（2）｜操作系统与软件 简明网络安全（3）｜浏览器安全 简明网络安全（4）｜Signal的前世今生 简明网络安全（5）｜电子邮件才是安全的王道 简明网络安全（6）｜使用虚拟专用网的11个理由以及其他 简明网络安全（7）｜手把手教你阅读TOS 简明网络安全（8）｜输入法是最大的漏洞 简明网络安全（9）｜云存储？——全在需求分析上 简明网络安全（10）｜人人都需要密码箱和密码管理策略 简明网络安全（11）｜全在操作习惯 简明网络安全（12）｜一站式解决方案之乌托邦 如果您注重自己的安全，请和您的同伴一起构架安全社区吧。 版权所有：Eddy Zhang 博客：https://eddyemma.com 出品人：跨文翻译（kuawentrans.com），以职场作为宣教平台。 这个博客是由普通读者支持的。若您或您的教会愿意支持跨文翻译的事工，请使用 https://paypal.me/eddyemma 或以下二维码。

诗篇 17:14 耶和华啊，求你用手救我脱离世人，脱离那只在今生有福份的世人！你把你的财宝充满他们的肚腹；他们因有儿女就心满意足，将其余的财物留给他们的婴孩。 马太福音 6:21 因为你的财宝在那里，你的心也在那里。 安全是一种习惯。我不相信不付出代价的安全，就像耶稣不相信人的财宝在一个地方，而那人的心却在另一个地方。 这些文章是对个人网络安全的简单介绍： 简明网络安全（1）｜导言 简明网络安全（2）｜操作系统与软件 简明网络安全（3）｜浏览器安全 简明网络安全（4）｜Signal的前世今生 简明网络安全（5）｜电子邮件才是安全的王道 简明网络安全（6）｜使用虚拟专用网的11个理由以及其他 简明网络安全（7）｜手把手教你阅读TOS 简明网络安全（8）｜输入法是最大的漏洞 简明网络安全（9）｜云存储？——全在需求分析上 简明网络安全（10）｜人人都需要密码箱和密码管理策略 实际上，这些内容只是讨论了最基本的安全策略、习惯和工具集合。随着安全要求的提升，还有很多高级话题可以讨论，不过安全始终是一个群体的安全。没有通讯就没有安全的暴露。所以，若不能教育与你通讯的伙伴采取更为安全的策略，单边安全策略不太有效。 但是，即使是这些简单的策略和工具，也可能让你的大多数通讯伙伴觉得不安，甚至会找出各种理由来说服你或指责你，让你不要采用这么**“复杂”**的策略和工具。这是可以理解的事情，需要忍耐，需要long-suffering，慢慢来吧。 即使在疫情封锁最严重的时期，我也从未参加过任何大规模在线的zoom会议，拒绝了好几次要求带领祷告或发言的机会——很简单，我不太信任zoom会议里诸多不了解、没有见过面、没有打过交道、仅仅在网络上偶遇的人，也不能信任他们的安全策略。 安全的问题永远是维持自己比较高的标准（就像你要维持自己的圣洁，而不是总要求其他基督徒圣洁，或者听道是为了自己的应用，不是为了去告诉朋友该如何应用）；不要俯就低安全标准的伙伴，而是尽量想办法提升他们的安全性，以便更好的协作。 我从来不在微信公众号上使用“JH”，“JG”，“JDT”，“MS”之类的符号来逃避审查。如果不能正常地写作，就放弃写作好了。这类符号并不增加安全性，只是增加了阅读的困难性，显出一个人心里的担忧和虚弱。只有1984里的大洋国才会每年出一本新话字典（不是新华字典），删除掉若干词汇，以便减少语言的表达能力——从这个意义上讲，“JH”这类去掉韵母的首字母缩写，去掉了太多的可能性，使得语言的表达能力大幅度降低了。纯粹从语言哲学的意义上，我也反对有些所谓“圣经辅导”所提倡的“完全用圣经的术语来描述人的精神状态”之类的论调（参见：词汇量的反动派）。 要提升网络安全性，需要改变习惯——习惯往往是某些大型数字资本主义希望你建立的，比如最近朋友圈里炒得火热的“阿里云盘公测——速度即正义”。 速度完全可能是一种压迫，而不是正义（不然，保罗就不会说“没有义人，一个也没有了”）；同时，这号称“永久免费，永不限速”的云盘，不过两年（按照Ali在股市上承受的压力，也许1年）就会改变TOS，开始收费。到那时，花费心思将从前透明给百度的数据再透明一遍给阿里，真的很有趣吗。当然，在初期，阿里多半愿意用一点提速来换取广大网民宝贵的数据控制权和隐私权。 要提升网络安全性，也需要投入资源，不要将自己陷在免费服务的陷阱里。使用免费服务，你的数据和你的隐私就成为别人的商品了，免费和安全是天然冲突的观念。当然，大部分人会理所当然地花钱买手机，但却不会花钱租用服务器，构建自己的云存储或邮件系统，或者接受付费安全咨询。这就像我们不断讨论的“盗版书”问题一样，需要慢慢改变习惯。 网络安全也需要学习，需要不断跟踪最新的实践和技术。终身学习是很难的，我们慢慢就老了。 再强调一遍，不付出代价的安全不是安全——要不就是你付出代价，要不就是神的儿子在十字架上付出代价。 God B-less！ 版权所有：Eddy Zhang 博客：https://eddyemma.com 出品人：跨文翻译（kuawentrans.com），以职场作为宣教平台。 这个博客是由普通读者支持的。若您或您的教会愿意支持跨文翻译的事工，请使用 https://paypal.me/eddyemma 或以下二维码。

按：1. 一个简明教程，或者介绍我自己网络安全实践的短文，写到第10篇，大概真的该停下来了。我已经迫不及待要想讨论以弗所书1:4-5中的“爱”的翻译问题了。明天就结束这个系列。以后可以使用“Kuawen, LLC”的名义提供网络安全咨询服务，$250一个小时，只聊天不动手。 下面是我2018年写的相同系列之一：“密码管理”。除了lastpass的部分，现在应该还没有过时，但内容略有增加： 很多人的账号被黑，密码币被盗，都是因为密码管理的问题。 一般来说，有三种情况： 1. 有人为了方便记忆，采用很简单的密码。这些密码早已经在黑客的字典库中，轻易就被破解了。比如，“0000”，“12345678”，“19800101”…… 2. 有人把一个复杂的密码写在纸上，但是过一阵就忘记了。于是重新修改成为简单的密码。然后……同第1步一样，密码被破解了。 3. 有的人的密码很复杂，但是为了方便记忆，所有网站都是用同一个密码。但是有的网站被黑客攻破，所以密码丢失。于是，对于个人来说，他/她的所有网站都被破解了。 近来，关于密码的设定标准，已经有了新的修改。过去我们认为一个完全随机的长密码是最好的，但是这样的密码无法记忆，所以很难让每个人在每个账户上使用安全密码。有句玩笑说，经过20年的训练，我们已经成功地让每个人都采用人类难以记忆、而计算机很容易猜出的密码！ 现在的标准认为，攻击密码的主要方式是计算机暴力破解，所以密码是否随机无关紧要，只要足够长就可以抵御攻击。所以，建议大家使用pass phrase，也就是一句长长的句子来作为密码，好记又安全。 现代专家建议四种设置密码的方式： Bruce Schneier’s Method：把一个句子转变为一个密码。比如，根据唐诗“明月松间照，清泉石上流”，将你的密码设为“mysjzqqssl”，但若加上其他方法会更好一些。 The Electrum Method：用随机的单词组成密码。比如，我曾经用“duck can not fly”作为密码，我能记住，但是别人很难猜到，熵值也足够高，让计算机也很难猜。这种方法近年来有失效的趋势，因为黑客也开始采用以单词为单位的暴力攻击了。 The PAO Method：讲故事，要有一个人物，一个动作，和一个对象（person-action-object）。所以，找一幅图片，然后根据图片编一个故事，作为你的密码。记住那幅图片即可。 肌肉记忆法：设定一个随机密码，不要用大脑记忆，而是在键盘上反复输入n遍，直到你的肌肉记住密码为止。如果群众需要，我可以开发一个训练程序，设定一个时限和正确率，帮助大家训练。 但是最重要的原则是，每个网站的密码一定要不同（！！），所以无论采用怎样的方式，都会带来很大的记忆负担。 比如，我有521个网站设定了密码和用户名以及注册邮箱、电话等信息。另外还有72条安全笔记，比如我的公钥和私钥，家里的路由器配置参数，wifi密码之类。事实上，无论如何，我都不可能把所有密码记住。 所以，我们需要密码管理器。 我不推荐商业产品，只是介绍我现在使用的密码管理器：lastpass。lastpass有免费版的，但我总是使用付费版，一个月2美元，等于我在超市结帐的时候顺手拿了一盒口香糖。（从前我使用lastpass，而且是付费版。但**lastpass上个月改变了用户协议——**还是一样，没有永久免费的服务，没有物美价廉的服务，只有认真付出代价的服务。所以，即使痛苦，即使我的付费版仍然正常工作之中，我也花时间将密码管理器更换了）。 即使免费版，也可以帮助你保存密码、生成强密码、浏览器插件自动填写密码、手机app同步等等功能。如果不放心，也可以将所有密码导出到本地保存，lastpass就变成一个本地密码管理器。 但是，我喜欢将密码保存在云端，这样随时都可以访问所有网站，又有足够的安全性。 只要认真使用，lastpass可以大大提高我们上网的安全性。 我的密码管理器是bitwarden，网站是https://bitwarden.com/。 照例，这是免费、开源、口碑良好的软件工具。（警告：本文不是推荐工具，也和bitwarden没有任何商业关联。若照此采取行动，出现安全问题，我不承担责任。我鼓励大家自行研究和选择适合你的工具集合。） bitwarden（或者其他密码管理器）带有浏览器插件，可以帮助填写用户名和密码，也可以自动保存某个网站的用户登录信息。另外，它也可以帮助生成任意长度的随机密码，确保每个网站的登录信息都不一样。 bitwarden也有手机app，可以在pc端和手机端同步数据，协同工作。 简单说一下密码管理的原则。 你必须记住一个很长的主密码。这个密码用来打开密码管理器。主密码要长——我用了超过30位长度的主密码，确保暴力攻击破解的时间会长于我在世上与主同行的时间（参创 5:22b）。 这个密码可以考虑使用一句话，比如电影《风语者》里印第安人说的一句话。使用你不常用的语言，基督徒可以考虑使用亚兰文圣经或拉丁文圣经或七十士译本，找一句喜欢而不常见的经文（不要用诗篇23或约翰3:16），花一个小时背诵下来。我的导师Geoge Murray博士大概会推荐路加福音 17:32——据说，他结婚的时候，同学们送了他一块刻有圣经经文的牌子，上面写的就是这句话。但记住，不要使用中文，换一种语言更好。 在手机上安装一个两阶段认证的app——我现在使用的还是lastpass的authenticator，但谷歌，微软什么的也行。在美国的时候，我们可以自己diy一个硬件authenticator来用，但现在我使用google titan作为物理凭证。 使用两阶段认证（不要用手机短信作为认证凭证，因为通讯服务商很容易拦截短信上的验证码。使用authenticator或fido2的凭证保护密码管理器。 将所有密码都集中管理在密码管理器中（我使用bitwarden），所有生成密码的地方，都使用密码管理器来自动生成随机密码，绝不要记忆任何多余的密码——只有这样才能保证每个网站的密码都不一样。 定期改变常用重要网站的密码，比如常用邮箱，聊天工具，银行网站等。 简明的部分就差不多了，其他的不说也吧。明天总结一下，就结束了。TOS一章应该是计划之外。 版权所有：Eddy Zhang 博客：https://eddyemma.com 出品人：跨文翻译（kuawentrans.com），以职场作为宣教平台。 这个博客是由普通读者支持的。若您或您的教会愿意支持跨文翻译的事工，请使用 https://paypal.me/eddyemma 或以下二维码。

1. 我现在唯一能做的IT工作是“公司吉祥物”。 2. 至于计算机安全的问题，我无法提供咨询意见。所有的内容都是按照我的经验随意介绍，若有人参考本系列文章而采取行动，出现安全问题概不负责。 3. 我一贯的做法，都是按照伟大的数学家Von·诺伊曼博士的助手，伟大的数学家陈省生博士的同事，Paul Halmos博士写在“I Want to Be a Mathemetician”一书中的经验：如果你不想免费审稿，也没有时间免费审稿，就为审稿工作开一个天价，比如150美元一篇，于是就不再有杂志频繁请你审稿了。我一度就是这样做的：计算机咨询是我的工作之一，每小时收费2,000元——大体上和圣经辅导或者法律咨询差不多就可以了。杀毒、重装操作系统或换内存条，或者拆键盘，一次收费5,000元——足够你买一个新PC。所以，我从来没有帮任何人拆过键盘。这样的事情，蓝翔就可以搞定，不需要出动吉祥物。 Google, Dropbox, Microsoft, Amazon, EverNote, box。 在这些服务提供无限空间时，我都先后付费给他们，将我的所有数据（主要是孩子们的照片）保存在上面。随着他们一个一个开始提价并提供有限（比如60美元1T的空间）的空间，我就一个一个地放弃，迁移，终于认识到，免费或无限空间，对于任何公司来说都只是暂时吸引用户的幌子而已。至少，硬盘总是需要查电的，也需要用钱买，没有公司会为了用户不断地烧钱。 对了，Yahoo！的那个图片存储服务我也用过。 我没有用过的云存储，包括Baidu，115，腾讯等国内的服务。 对了，我几乎从来不用任何国内的存储服务或软件。 从几年前开始，并不是为了节约钱，我开始使用nextcloud自建服务器。这样做并不便宜，但也不比主流的服务更贵。 按照我的软件使用原则（简明网络安全（2）｜操作系统与软件），我几乎只使用评价正面的开源软件。NextCloud也不例外——开源，也相对安全可靠。 我找了一个可靠的服务器提供商，租用了一台独立存储服务器，将我的nextcloud云端存储设在其上。因为空间有富裕，所以我将eddyemma.com的邮件服务器也顺便设在其上，后来无事又建了一个celibre-lib，将所有的电子书都存在服务器上，免得出现《华氏451》这种事故。 关于云存储，实在没什么好说的。一个不二的法则，就是安全和加密的备份与数据同步。 我最不想看到的事情只有两、三件： 有一天，百度网盘突然通知我说，“你的某个文件里有敏感词，我们已经帮你清除了文件。” 于是，一个承诺为你数据保密的云存储服务商不仅读取了你的数据，而且还帮助你做了删除的决策。 有一天，amazon（或者微软office365或者you name it）告诉我，从下个月开始，本来无限空间的云存储要变更为1T的存储要收5美元/月（或者99.99美元/年），而我已经在上面存储了1.1T的照片和视频，一时不知道怎么安置，连下载到本地都需要2天时间。 有一天，有人敲门，拿走了我的手机和计算机硬盘。 我的云存储方案就是按照这三种情况来设计的：独立服务器保存云端数据；自建NextCloud作为网盘；本地采用一块移动硬盘加密，一个大容量存储设备加密。nextcloud数据每天自动备份到另一台独立服务器。 再强调一下安全的原则。安全不是免费的。安全的主要因素在人，在一贯地执行某些简单的安全规范。为了数据的安全，需要付出代价——经费预算和改变操作习惯。这些事情，没有人会为了你操心，只能自己操心。 对于我自己来说，现在的方案已经是针对我的具体需求的最省钱方案了：一台服务器作为云盘、邮件服务器和在线图书馆，一台服务器做独立博客网站和备份服务器，分别部署在不同的国家，采用不同的网络服务和主机服务；在家里也采用两块加密的硬盘来保存本地数据，随时上传手机图片并删除手机上的图片。 这不是“凡尔赛”的炫耀，而是为了安全、加密、冗余备份与可访问性的设计的方案。每个人的具体需要不一样，所以实施方案也不一样。有人会用群晖的NAS，然后用DDNS来穿透内网。这样做对于数据的可访问性和集中性来说自然更好一些，但我还是有云端存储的需求，希望数据在一个物理上的异国他乡，不会因为单点硬盘故障而全部丢失不见。 顺便再说一下，任何配置方案都需要花钱。采用免费的方案，你的数据就成为了服务商的产品。第二，应该将网络安全的投入计算到手机费、宽带费、上网费之中，这些钱都是值得投入的，对于我来说是生活必需品。第三，我只是介绍我自己的方案，是为了满足我的需求而迭代多年的现实配置。我已经不再是所谓IT业内人士，无法提供免费（或者收费）的方案咨询，也没有时间回答太过于具体的问题。 明天讨论密码管理问题。然后就总结一下，结束这个系列——今天已经有名字上写着“……#Linux中国”的朋友来拜访我的公众号，这就让我有点太过于显得班门弄斧了，赶紧结束讨论，回到神学翻译这样的舒适区为妙。 版权所有：Eddy Zhang 博客：https://eddyemma.com 出品人：跨文翻译（kuawentrans.com），以职场作为宣教平台。 这个博客是由普通读者支持的。若您或您的教会愿意支持跨文翻译的事工，请使用 https://paypal.me/eddyemma 或以下二维码。

越是常用的软件，越容易引起安全漏洞，同时，要让用户改变使用习惯也越发困难。 在中文用户的软件中，输入法是最大的安全漏洞（没有之一）。 输入法是权限很高的软件，比一般的聊天软件权限更高，细节就不说了。而基本上所有的输入法都是强制联网，据说关了也不行，将所有可执行文件删除了也不行（因为输入法是系统服务，并不在应用层执行）。 同时，输入法又是用户重度依赖的工具，而且很难改换使用习惯。 几年前，著名的McAfee公司分析了某些输入法，发现这些输入法用Http明文传输用户输入的数据： （https://www.landiannews.com/archives/14132.html）。 也就是说，你在键盘上的每个输入，包括你的删除和修改，你的通讯录和自造词，都会被系统权限相当高的输入法捕获，并（明文）上传云同步。这个事情的安全隐患有多大，可以说，只要你在使用云同步的输入法，就基本上等于网络裸奔了。别的什么电子邮件、浏览器安全，根本就不是事儿了。（当然，您还是应当注意其他方面的安全）。 不相信的朋友可以参考这篇文章：https://zone.abluex.com/archives/105.html 最后一段我引用一下： 本文通过对Windows10中文输入法用户词库的文件存储协议格式进行分析，明确了用户词库文件中存储词条信息的初始文件偏移位置，以及单个词条信息存储占用的总长度和对应词条字数、输入频率、实际词条内容的具体存储结构。利用本文的提取方法可有效提取用户在使用安装了Win8、Win10操作系统的台式或平板电脑之后留存下的中文输入痕迹。 侦查人员在对电子设备的电子数据分析过程中，有效提取操作系统内自带输入法的用户词库信息，可得到系统用户的输入痕迹信息，便于掌握计算机用户的行为特征，拓展案件侦查线索的渠道。 作者 | 重庆警察学院 周凯https://zone.abluex.com/archives/105.html 我的输入法基本策略是： 1. 绝对不装任何国产输入法，特别是不用云同步的输入法和支持语音识别的输入法（千万不要使用语音输入）。微软自带的输入法也不用。 2. 如果可以，优先选用开源的rime输入法，实在不行，也可以换成谷歌输入法。 3. 将词库放在veracrypt加密盘上，关机就自动加密。 4. 绝对不使用输入法提供的云同步。 我知道许多人重度依赖自己的输入法，所以只是说说而已，很难下决心做到。 再想想，凡是免费的，就是最昂贵的。免费的输入法可能需要用世界上最昂贵的隐私来交换。 我有个做神学翻译的朋友，听了我的意见，换了输入法。过了一周就告诉我，抱歉，翻译速度大幅度下降，受不了了，是否可以换回从前的输入法？ 当然，我能说什么呢。毕竟，中国人愿意牺牲一点隐私来换取方便——这话是谁说的？ 坚不可摧的艾城是这样破了的： 艾城和伯特利城没有一人不使用云同步的输入法，撇了敞开的城门，去追赶输入速度…… 我做过几次工作坊，提醒大家注意输入法。但这事涉及用户心理学，所以几乎没有任何效果。想想从前我的朋友蒋震老师，可是自己设计和编码输入法的，那时候我们可真自由安全，无忧无虑——他的输入法就叫做“雨辰”输入法，将名字“震”分开了输入。但现在，劝一个人使用开源输入法也有点难度了。一年14万计算机毕业生，不知道学了些什么。 明天休息。周一结束这个系列。写到这里有些意兴阑珊了。如果有人读了这篇文章，成功地下定决心改变输入法，请给我发邮件。RIME的下载地址是： https://rime.im/download/ 版权所有：Eddy Zhang 博客：https://eddyemma.com 出品人：跨文翻译（kuawentrans.com），以职场作为宣教平台。 这个博客是由普通读者支持的。若您或您的教会愿意支持跨文翻译的事工，请使用 https://paypal.me/eddyemma 或以下二维码。

流氓不可怕，就怕流氓有文化。——袍哥张 2019年的篇文章，《虚拟服务提供商——安全、选择和各种考虑》，里面也提到signal的往事。现在已经人是物非。 另一篇提到vps的文章，听起来很福音的样子：《在各种坏消息和假消息充斥的时代传讲好消息》。 自从signal被封，有些大型的signal聊天群算是彻底失联。所以，大家都在寻找替代性的安全聊天工具。这个中间有些常识性的问题，比如怎样理解TOS的问题。虽然和技术关系不大，但和安全的关系还是有一些。 举个简单的例子，说明如何从一个软件的网站公开信息，比如TOS上，判断一个聊天软件是否安全。 有朋友询问“Sugram 畅聊版”是否安全。就以这个我从未听说过的软件为例，说明我的判断过程。 看看这个软件的介绍： Sugram 畅聊版是一款为用户提供安全即时通讯服务的工具。 1. 畅聊：提供文本、语音、图片、视频、名片和位置等聊天方式。 2. 安全加密：五层端到端加密、全方位算法保障与安全防范。 3. 保护隐私：云端不保存通讯记录，服务器全球部署保证接入的速度和安全，同时提供阅后即焚和截屏提醒等保护用户隐私。 4. 简洁体验：专注即时通信，提供稳定的核心基础功能。 看起来是一个安全的加密聊天软件。关于这个介绍里的问题，待会儿再说。 2. 试着打开公司的网站。我使用brave浏览器（见简明网络安全（3）｜浏览器安全），直接报告我说，这家公司的网站没有使用https认证：https://www.sugramapp.com/ 因为我安装了httpsonly插件，Brave和firefox都直接拒绝让我打开sugramapp.com的网站，而是报告说不安全链接。 如果不是为了举例，到这里就结束了——一家开发加密聊天软件的公司，居然不使用https？这算是低级失误吧。 3. 用不那么苛求安全的edge浏览器打开公司网站。网站显示，开发商名叫“ 武汉珺苍琴网络科技有限公司”，有备案号，留了一个google邮箱。所以，应该是一家武汉的公司，但没有自己的公司邮箱。 4. 检查网站上的TOS——term of service，或者说服务条款。这是一个很重要的工作，你得看看一个加密聊天服务，到底如何承诺保护你的数据。 这家公司只提供了英文版的TOS，但也没关系，拉出来看看。下面的内容超长，所以我在每个大标题上提示一句，读者若不愿意细看，就看提示就好了。 Information Collection and Use 信息收集和使用（这是要看的重点） We collect several different types of information for various purposes to provide and improve our Service to you. Types of Data Collected （信息收集） Personal Data （个人信息：这个软件要收集个体识别信息，比如电子邮件，电话号码，并用cookies来跟踪用户的使用情况，甚至可能收集其他方面的使用情况。总之，在这个说明上，并未说明这些数据的具体内容。） While using our Service, we may ask you to provide us with certain personally identifiable information that can be used to contact or identify you (“Personal Data”)....

“When information is cheap, attention becomes expensive.” 信息廉价时，注意力却变得越发昂贵。 ― James Gleick, The Information: A History, a Theory, a Flood google是世界上最大的软件服务提供商之一，其丰富而先进的软件服务是许多网站的基础。国外的许多网站常常嵌入了若干看起来人畜无害的google服务，比如地图，js前端库，流量分析服务，甚至字体渲染，大部分时候都没有什么问题。但这种情况却导致，即使ciu.edu这样的网站，在访问的时候也会出现服务劣化的问题，因为其中有一部分依赖于google的服务是无法访问的。 可以说，功夫网对中国互联网最大的损害，就在于屏蔽了这些优秀的软件服务，导致流氓软件横行。同时，给许多人造成一个错觉，能够访问外网，就意味着安全。 再次说明，我们讨论的是安全问题，不是能否访问油管的问题。可访问性和安全性是两个虽然有关系但却截然不同的概念，一个人能秒开1024p的油管，并不表示他在安全地使用计算机。 从这个意义上讲，vpn是最重要的软件工具之一，可以说每个人都必备。 亚太地区大约有30%的用户（35%）的年轻用户常规性地使用vpn，即使欧盟和北美，也有将近20%的用户使用vpn。具体的分析可以参见下面的网页： Unlocking geoblocked entertainment content 解锁ip限制的娱乐内容 Accessing networks and sites restricted by government 访问被封的网站 Safety when using public and shared WiFi networks 使用公共或共享wifi是的安全考量 Surfing sites frowned upon at work 上班时间上网闲逛 Accessing blocked sites at school 访问学校禁止的网站 Using torrents, such as The Pirate Bay 下载盗版电影 Hiding online behavior from the government, ISP, or employer 隐藏在线行为 Safe communication among journalists and sources 敏感信息的安全通讯 Engaging in subversive political activity 反抗 Reaching local sites while traveling internationally 国际旅行需要 在国内还要加上一个：保证大部分合法网站的基本服务 在这十个理由之中，只有前两个和最后一个算是可访问性的需要，其他都是隐私和安全需要。...

按：1. 直播玩了两天就挂了。朝飞说是因为单位时间内关键词说得太多。神学翻译，自然是充斥着神学词汇。唉，随他去吧。 2. 所以，接下来我要认真工作了。至于计算机安全的问题，我无法提供咨询意见。所有的内容都是按照我的经验随意介绍，若有人因此而出现安全问题，参见前面第1段。 电子邮件是最重要的沟通工具。正式的商业沟通，一般都会采用电子邮件。这个业务太过于重要，所以很难完全将所有电子邮件端口，比如465或993端口，关闭掉。 在手机上，我使用最简单的MS outlook客户端来收发所有邮件——除了两个专用的app，分别用来单独处理翻译业务和加密通讯邮件。无论这些邮件服务本身的网站是否能打开，都不会影响outlook通过IMAP/SMTP+TLS收发邮件。因为世界上所有的邮件服务器自己连成一个邮局网络，相互之间都在中转和暂存邮件，所以没有什么障碍，总是能顺利受到各种邮件的——只要支持采用465或993端口收发邮件即可。 我常用的电子邮件有9个，其中7个邮箱使用outlook在手机上收发邮件。但在pc端，我只使用web客户端，而不要下载邮件到本地。 我是gmail最早的用户之一。当gmail还需要邀请码，处于内测阶段时，我就开始使用gmail了。6个字母的gmail账号，现在是很少看到的。当然，如果腾讯不是那么流氓，我的QQ账号应该也是6位数的…… 我曾经重度依赖gmail服务，甚至大家去北京谷歌献花之后，仍然在使用gmail。但近年来，我已经基本上放弃gmail邮件服务了，因为我不再信任数字集权的资本家。使用email服务的原则很简单：免费的服务是最昂贵的，因为服务免费，意味着你的隐私和数据就是服务提供商销售的商品或投放广告的场域。 事实上，gmail会读取用户的邮件，以便有针对性的投放广告，所以在隐私和数据安全上并没有什么保障。而且保不准什么时候谷歌就将信息泄露给美帝了，从这个意义上讲，gmail并没有什么好处。 我用了大约一年的时间，才将各种电子邮件分流到不同的服务上：翻译业务采用kuawentrans.com，加密邮件采用protonmail，私人邮件采用自建服务器上的eddyemma.com，学校的邮件采用ciu.edu，等等。 这也是一个需要付出代价的过程，因为每一次收到邮件，都要回复朋友，请按照业务类型，以后使用别的邮箱来通讯。好在gmail有自动回复功能，所以即使在我放弃gmail之后很久，大家仍然能找到我的新邮件地址。 我不使用任何服务器在国内的邮件服务，包括新浪、163、QQ等一切类似邮箱；也不常使用大公司的邮箱，比如谷歌gmail，苹果icloud，或者雅虎yahoo！，以及hotmail。特别是hotmail和icloud，因为他们的服务器也在国内，比如在云上贵州或云上杭州。 最安全的几种邮件服务，需要服务器在欧洲，受到欧盟隐私保护法的保护。美国的邮件服务也不安全，有关部门常常可以根据法律提出取证申请。可以随意搜索一下“secure email”，大概会找到几种真正安全的邮件服务，但若不付钱（免费的安全服务，本身就自相矛盾——免费怎么会安全，安全怎么会免费。或者说，Freedom is always not free……），这些邮箱提供的空间很小，比如protonmail就只有500M，或者tutanota提供1G的免费空间，功能也会有些限制。但若付费，价格通常会在几美元一个月，一般不会超过一杯星巴克超大杯的价格。 但与更高的安全性相比，空间小实在不是什么大问题。163这样的邮箱让用户养成一个不好的习惯，什么邮件（包括垃圾邮件）都保存着，一辈子不删除。这样不太好，邮件应当定期清理，把已经过时的邮件删掉，不再联系的联络人删掉，需要下载备份的附件就转移到自己的加密硬盘上（通常一辈子也用不着）——读一下《简朴生活真谛》这本书，你会有新的感悟。 对我来说，500M的邮件空间绰绰有余。但我是protonmail最早的注册用户之一，所以我的免费空间是1G。但也只用了几十兆而已，大部分邮件都是阅后即焚，不然用这样的安全邮箱简直是暴殄（音‘舔’）天物。 总结起来，邮件服务的选择： 大公司的免费服务都不太安全，无论古今中外什么公司，概无例外。 如果用户较多，可以采用自建邮件服务器或付费的企业版protonmail之类。 慢慢改变邮件使用习惯，保护好自己的隐私。 推荐几个免费功能尚可的安全邮箱：protonmail, tutanota，或者采用signal协议的criptext。如果考虑付费服务，hushmail或者countermail也可以考虑，但付费的邮件服务价格都不低，有时候我觉得自己建一个服务器还便宜一点，但需要专业知识才行，所以网络管理员的费用会比较高，安全性上大概也不如专业邮件服务那么先进。 有些网站，比如protonmail，可能无法直接打开。如果要注册protonmail，可以先在手机上下载protonmail的app，然后直接通过app注册。至少今天测试起来还行。criptext也能这样注册。tutanota在我的重庆电信wifi上似乎打不开服务器，无法通过手机app注册。 最安全的大规模通讯方式，无疑是邮件列表。只要将用户加入列表，就可以简单地群发信息，比起要求打卡确认的聊天室来说，是更可靠而便捷的通讯方式。在加密聊天软件不太可靠的情况下，转为使用安全的电子邮件列表，也许是一种好的替代方案。当然，这也需要付出代价，调整使用习惯，并培训用户。 如果每个人都使用protonmail等安全邮箱，彼此之间甚至可以采用端对端加密邮件。即使是继续使用gmail，也可以通过flowcrypt来加密，以防止谷歌读取邮件的内容。 对了，顺便说一下，打算报名参加我的“释经工作坊”的朋友们，作为一种培训，请注册criptext的邮箱，给我发邮件：[email protected]，这个邮件服务就是电子邮件版的signal，协议和加密方式都一样，而且信息完全端对端传输，不会在中间服务器上保存。注册方式很简单，在手机或pc上下载criptext的客户端，注册一个账号即可。只有统一使用一个邮件服务，才能最大程度地利用邮件加密功能。如果没有其他用处，就算是我们的释经讲道工作坊专用邮件服务吧。 对于没有了signal的朋友来说，这样的改变未必不是一件好事。 版权所有：Eddy Zhang 博客：https://eddyemma.com 出品人：跨文翻译（kuawentrans.com），以职场作为宣教平台。 这个博客是由普通读者支持的。若您或您的教会愿意支持跨文翻译的事工，请使用 https://paypal.me/eddyemma 或以下二维码。

按：计算机安全是个高技术活儿。就像欧阳老师说的那样，“无他唯手熟尔”。我从1998年之后就几乎不再写代码，只是做些空谈或项目管理、团队整合、客户忽悠、竞争对手震慑之类的工作，从技术细节上早已落后于时代。 有些朋友留言问我技术问题，比如windows 7升级到win10之后是否安全，或者推荐一款杀毒软件。我已经说过我不用任何杀毒软件，只依靠微软缺省的defender。杀毒软件带给人虚假的安全感，远不如坚持不访问各种稀奇古怪的网站，不下载安装各种一无所知的破解软件，不好奇地点击来历不明的邮件上诱人的链接为好。（参见简明网络安全（2）｜操作系统与软件）。 另外，我没有时间代替大家去研究一个具体的技术问题。这些文章只是介绍我所理解和遵循的原则，并介绍我自己使用的一些软件和配置。如果大家觉得我的回答没有什么实质帮助，大概你是真的“问道于盲”了。 今天早晨，Signal被封锁了。圈内一片混乱，很多人失联。先讨论基本原则：任何用户基数超过某条未知红线的境外社交服务，均会“自动”失效。这事跟别的因素关系不大。 大概是无法挽救了——一个通讯软件，失去用户之后，将会不可避免地衰落下去。 多年之前，signal刚刚出现不久，国内的某些用户甚至连名字都不愿意分享，仿佛只要公开说出这六个字母，就会惹动天听——YHWH就是这样出来的，不过这一次是S。 我对此有些不以为然。大家好不容易有一个可以安全使用的工具，却似乎像是专门保留给那些教会或宣教机构的高层使用（至少要经过按立或接受差派的人才够资格使用），岂不是又需要一次宗教改革了…… 而且，安全是一个集体项目，如果你身边的人都在用微信传播最高指示，那位使用S发布最高指示的人大概是第一个被揪出来斗争的。 所以，我们不断地说服大家使用signal，甚至在注册“释经讲道工作坊”这种人畜无害的事情上，都要大家先注册signal。隐私权或者扩展的计算机信息安全，属于基本人权吧。 既然，经过几年的努力，用户渐渐多了起来。大家的使用习惯上也慢慢有所改变，潜在的无法计算的安全益处，已经让很多教会受益。 我觉得今后一段时间内已经很难再出现这样一个得到如此大规模用户共识的加密通讯软件了。 没办法。如果你随时有vpn挂着，就用telegram吧。vpn总是会有的，唯一的问题在于，一个人愿意付出多大代价。 但signal失效的问题，并不仅仅是在金钱上的代价，而是大大提高了系统和软件的使用难度，于是许多技术上不那么有把握的人就很快失去坚持下去的信心了，转而使用不太安全的方式来通讯。 从这个意义上讲，培养使用signal的习惯，与迫使大部分人无法使用signal，几乎可以说是现代文明之下的属灵争战。 很多人会这样想象：我心中光风霁月，坦坦荡荡，没有一丝恶意。所以，我不需要保密与信息安全，谁要看去就让他看吧。毕竟，要提高安全级别，一方面不知所措，心中惶惑，一方面还要改变使用习惯，甚至付出一点经济上的代价。有的时候传道人微薄的收入，实在是支撑不起这样的负担。 这样的情况我当然同情。但隐私之于自己，看你怎么看待了。我是不会因为自己心中光风霁月，坦坦荡荡，就在互联网的大街上裸奔的。至于采用不安全的通讯方式，或许影响到与我通讯的朋友的安全，我更加耿耿于怀。 解决的方式也很简单。采用安全的电子邮件通讯，几乎是无法被破解和封锁的。除了没有及时通讯的时效，其他没毛病。 但及时通讯实际上是一个很耗费时间的事情。我的使用习惯是，一旦需要5轮以上的对话才能解决的问题，我都会立刻拨通语音通话，尽快将需要沟通的事情说完。而在信息的保持和沟通明晰上，邮件群甚至可能比signal群更有效，更不容易引起轻浮无益的争吵。 关于signal的发散性思维，还可以说两点。 第二，海外诸君，应当俯就国内朋友的通讯手段——在安全性上，二者所冒的风险是不对等的。最简单安全的方法，当然也是通过邮件通讯。如果是一对一的沟通，可以考虑使用共享一个邮件账号的草稿箱来交换信息，因为数据在草稿箱里没有实际发送出去，所以，这种方式是最安全的。在一个安全的邮箱服务上，通过在一封共同修改的草稿上留言，可以充分交流信息，又不至于让数据暴露在网络上，不失为一种安全的替代方案。当然，前提是采用真正安全的邮箱，而不是163，QQ之类的邮箱，或者gmail这类可以读取邮件内容，定向投送广告的数字极权资本家的邮件服务。 关于邮件的问题，特别是采用IMAP+TLS协议的邮件客户端，可以无需vpn就访问和交换诸如gmail等邮件的问题，将放在明天再详细讨论。正是因为IMAP的这个特征，使得电子邮件才是最可靠、稳定、安全、易用、难以阻断的通讯方式。 版权所有：Eddy Zhang 博客：https://eddyemma.com 出品人：跨文翻译（kuawentrans.com），以职场作为宣教平台。 这个博客是由普通读者支持的。若您或您的教会愿意支持跨文翻译的事工，请使用 https://paypal.me/eddyemma 或以下二维码。