前文:#224 - 使用 chromium 浏览器的 host-rules 命令行(目前)免翻墙上 pkuanvil.com 以及部分 SNI 阻断的网站
搞了一个简单的启动脚本,只需要浏览器和规则文件就可以使用,不需要代理等上网方式,可以在中国大陆直连一小部分网站(包括 github,reddit,web.archive.org,wikipedia.org,torproject.org 等等,至少目前能上)
这个方法使用的网站不多,需要网站本身不严格校验SNI,而且一般网站的不同子域名不一定部署在同一个CDN上。而且即使能直连,IP地址本身能否连上如何也是问题。不过对于能连上的那些就很有用了,对环境要求很低,只需要一个基于 Chromium 的浏览器
telegram 有很多问题,不能控制服务端+是群聊不是BBS+注册需要手机号+……,等等。披露的话 telegram 记录倒是很良好。
不过有一段我不赞同:
邮箱系统最终还是由学校信息中心管理,想必大家也都明白我的意思吧,我就不多说了。所以,其实都不需要考虑什么内鬼了,技术上的安全性目前都没有做到
首先目前没有发现有高校在大规模的伪造用户的邮件。而且即使高校这样做,也不可能对所有域名都这么做。比如说如果北大计算中心批量发送注册邮件(目前的“通过发送邮件注册”的默认方法),这很容易被发现,我们可以要求用户用收到的,计算中心不能伪造的邮件来验证,即现有的 DKIM 注册方法。批量注册除了坐实自己在篡改用户邮件以外没什么用,站务不仅会删除所有这些伪造注册请求得到的账户,而且还会公开指责该高校的行为。
另外我没有看懂这位游客说的“我就不多说了”和“技术上的安全性目前都没有做到”。有青年研究中心的内鬼倒是没法避免,但是这只能代表一部分用户。而且以青研官僚主义的作风也就管管树洞,管一个类BBS平台发言都是公开的,你一翻它的发言,很容易看出它很可能是青研的。
如左上角所示
来源:https://challenge-to-win.fandom.com/wiki/Challenge_2_Win_Official_Idles (许可协议 CC BY-SA (3.0) (Unported))
感谢,说的很好。
我认为自由是非常重要的,缺少自由的环境缺少的绝对不只是自由。但是现在用户似乎不普遍感受不到这一点(或者说不能自然而然地感受到这一点)。
小红书、朋友圈、qq空间,微博、微信等等都是墙内平台,本身就是重大缺陷。当然它们的优势也是很明显的。
不过尽管如此,我觉得这一段话说的很好,我一直以来都不太这么想:
能提供自由的平台并不少,这样的特色并不新颖也并不吸引用户。……实际上已经把自己定位成了这条赛道上的一个竞品,试问有什么理由能够让用户选择这样的一个平台呢?
https://web.pkuhollow.com/##101346
很抱歉,今天身体状况欠佳,在#101288拖了半天才勉强更完。
上一个洞,主要描述了各类操作系统级的加密以及用开源软件实现加密(注:商品宣传中常见有“硬件加密”,但它有没有后门一般更难以验证);以及一些可用的防火墙——它们都比较易于使用(需要细说吗?),移动端的网络权限控制甚至直接在系统设置中即可完成。
总而言之,保护您的重要文件,有助于减少直接数据取证等可能造成的危害。
(以下是大杂烩内容)
加密DNS在许多桌面浏览器都是可选的设置(见早些时候的本系列树洞),请您自行选择合适的服务提供商,专门的软件或系统级加密DNS配置等等暂且不再叙述。另外,Tor Browser的DNS查询被Tor直接代理。
DuckDuckGo是一个不错的部分开源(核心是专有的)搜索引擎,也有洋葱站点。他们宣称:“我们的隐私协议很简单:不收集、不传播你的任何个人信息。”
如前所述,保护隐私的即时聊天、翻译服务等在https://www.privacytools.io都有陈列。是否开源、支持的操作系统情况以及广告情况等都会有所标注,可以作为选择时的参考。
如果PC支持BitLocker,和其他几家的系统级加密不同,它的密钥一般并非由用户密码派生,且由TPM管理;因此,您计算机的TPM器件至少不应在中国公司生产。
现代的智能设备拥有安全启动链,正确配置它有助于防止内核后门被恶意植入。Apple设备默认情况下具有安全启动。没有恶意的Android设备在安全启动链出现问题时,将在开机第一时间诚实地显示风险警告(如亲自解锁了bootloader,则可忽略)。Windows用户在
Windows安全中心->设备安全性
查看,如未启用,请在计算机的BIOS中按照设备厂商的文档指导开启。
Linux用户在Terminal中输入
mokutil --sb-state
得到结果,热门的Linux发行版一般支持安全启动。
如有意见和建议,欢迎尽快提出。写作不易,洞主已有弃坑想法,拟于近期停止批量更新。
本系列文章为洞主写作,在保留来源的前提下允许复制转载。
[洞主] 祝愿一个每个人的手机不再是电屏、计算机真正为多数人服务和学习的未来!
因为游客发言的下限太低了。导火索是有bot往#435这个帖子里面刷假药广告
如果注册用户发类似帖子会视情节轻重补刷屏tag,给警告或禁言等等,但是游客的话这些都没有意义,因为bot它不会理解站务说的任何话,就是直接删帖
对游客默认信任是不行的,因为站务也不是AI,能24小时在线绝对不会误伤正常发言,站务不在的时候出什么事都有可能,而注册用户大量灌水发垃圾贴的概率就低很多
https://iyouport.substack.com/p/telegram-c2e
我们一直都不推荐 Telegram 作为敏感通信工具,它的唯一优点只有频道。但也因此,它汇聚了全球消息来源,尤其是对于突发事件来说,于是吸引了极大的人气。
我们此前介绍了 Telegram 用户被去匿名化的方法,见《从 Telegram 揭露您的身份信息可能吗? — — 有中国朋友提起了这个问题。答案是:可能》;本文将首先简单梳理 Telegram 的隐私安全问题,如果您必需使用它,至少应该注意这些事。
1、电话号码和其他与Telegram账户相关的数据都会被定期收集和储存,这对SIM卡实名的国家用户来说相当不方便(所有强制手机号码注册或验证的应用和服务都不值得推荐)。此外,当您的联系人之一加入该应用时,您就会收到通知(其他所有在Telegram上并且联系人中有新加入者的人也都会收到通知)。
2、标准的 Telegram 聊天并不是端对端加密的,要使用加密您必需手动选择。telegram 群组也不加密,甚至可以通过搜索引擎找到。
3、Telegram 只对传输中的数据进行加密(在服务器和终端用户之间),但它不对静态数据进行加密 — — 已经发送的信息未加密地存储在Telegram的云服务器上,理论上Telegram的员工可以随意访问所有这些信息,或者在数据泄露的情况下被无意中作为纯文本发布。这也是此前那位俄罗斯姑娘被抓住的可能原因之一。
4、如上,Telegram 上的群组和频道也是如此,无论它们是公开还是非公开的。在那里分享的任何东西,包括文件、多媒体等,都没有真正的隐私。
5、在对内容进行加密时,Telegram使用的是 MTProto,这是它自己的加密协议,也就是说没有其他人使用。虽然到目前为止还没有任何令人担忧的报道(MTProto毕竟是开源的),但这有可能成为问题,因为众所周知,专有的/晦涩的协议中的安全缺陷比被广泛使用的协议更难被发现。
如果您不得不使用 Telegram 并且担心自己的人身安全和隐私人权,唯一方法是为一对一的交流启用端对端加密。群聊就算了吧,真的不推荐。
请注意,端对端加密的聊天只能在移动设备中进行,不支持桌面版。
您可以在这里选择更安全的通信工具。
建议所有中国用户务必做到以下这些措施中至少90%;敏感用户建议做到100%。Telegram多年来都是中国当局的重点盯防目标之一,您可能也知道这件事。
1、位置隐私 —— 确保 “附近的人” 功能被关闭(进入 “联系人” > “查找附近的人”)。这项功能应该是默认关闭的,除非您出于某种原因将其打开了,不要打开。不要用它来找朋友!在抗议现场的人们建议使用 Briar 或 Berty 等。在这里看到更多。(最理想的状况应该是您在自己的团队中提前部署这些设施;最差的情况是在抗议现场紧急组织并部署这些设施,以绕开镇压者的渗透。)
2、电话号码隐私 —— 进入Telegram设置 > 隐私和安全 > 电话号码。在那里,关于谁可以看到您的电话号码 > 选择 Nobody。不论您注册用的号码是否实名,都建议选择隐藏。
3、在线状态隐私 —— 转到 Telegram 设置 > 隐私和安全 > “最后出现&在线“,在这里选择 Nobody。这可以让您对其他用户显示为永久离线。(这点很重要,加密货币爱好者可能更了解这一安全措施?如果您尚未了解并且感兴趣,我们可以在未来更详细解释。总之,这里先选Nobody。)
4、头像照片隐私 —— 进入Telegram设置 > 隐私和安全 > 头像照片。在那里,选择 “我的联系人”(很遗憾这个地方您无法选择对所有人隐藏,所以,请特别注意不要随便添加联系人!确保只添加您认识的人!在这里看到伪装您的熟人这种手段如何成为对您去匿名化的攻击形式)。
5、通话隐私 —— 进入Telegram设置 > 隐私和安全 > 通话。在那里,选择 Nobody。
6、消息隐私 —— 进入Telegram设置 > 隐私和安全 > 转发的消息。在那里,选择 Nobody (注意,在下面您可以添加个别例外。尽可能不添加比较好)。
7、群组添加隐私 —— 进入Telegram设置 > 隐私和安全 > 群组和频道。从那里,选择 “我的联系人”。这将防止随机用户将您加入群组和频道。
8、双因素身份验证 —— 进入Telegram设置 > 隐私和安全 > 开启2FA。
9、额外的安全 — — 对于那些有额外安全意识和/或需求的人来说,以下两个额外的功能可以利用:
a) 禁用数据和存储设置中的后台下载选项 Background Download —— 这将阻止应用程序自动下载媒体文件,让您可以更好地控制您想下载什么文件以及从谁那里下载。
b) 启用链接预览设置 —— 进入Telegram设置 > 隐私和安全 Privacy and Security > 数据设置 Data Settings > 链接预览 Link Previews。这将允许您在点击链接之前进行预览,以便减少钓鱼攻击的可能性 — — 建议拒绝所有缩短链接!在查看到原链接之前不要直接点击!查看原链接的方法在这里。
昨天我们提醒了 接下来更可能出现的局势 — — 不仅有“秋后”,还包括信息战,统治者将使用大量歪曲的信息污染抗议战略,分化抗议者、恐吓支持者,旨在扑灭那些已经燃起的火焰。
这种情况下后勤人员需要发挥作用:搜集信息、验证信息,即 开源情报。准确说是社交媒体情报。我们发布过非常多开源情报工具集(有一整个系列)但现在您可以不容易找到最想要的工具。于是以下内容我们将总结一些针对 Telegram进行搜索的基本工具。
强调,建议参与这项工作的朋友为 Telegram 安装一个桌面应用程序,这里是下载页面的官方链接,这样可以简化搜索,并允许您绕开移动应用环境的限制对URL进行操作。
聊天记录导出功能也只限于Telegram的桌面版。可以通过在桌面应用程序上打开感兴趣的聊天,并点击右上角的三点图标来找到它。您可以选择您的聊天记录导出偏好 — — 以及选择下载文件的大小限制(目前最大为4GB)。
Commentgram — 谷歌为Telegram频道中的评论定制的搜索引擎。
Lyzem — 被宣传为 “专门为Telegram和Telegraph平台创建的独立搜索引擎”。是搜索关键词、频道和公开组的可靠工具。包含一个允许用户对帖子进行索引的综合服务 — @IndexPost_bot。
Telegago — 专为Telegram的谷歌定制搜索引擎。
Telemetrio — 按评级、人气、国家等排序的Telegram频道的巨大列表。
TGStat — 包含大量的可搜索目录和特定国家的频道指标。
Tlgrm EU — 按类别分组的各种频道列表。这个网站维护着一个频道目录,如果您有自己喜欢的频道,可以通过填写一个小表格后将您的最爱加入该目录。
还有其他 Telegram CSE,很多开源情报爱好者都在开发自己的小工具,搜索结果可能有所不同,取决于它们索引的来源,也取决于这些来源的更新程度。比如这里是一个可靠的 Telegram CSE 的例子(作者不详)。
关于信息验证方法,见我们的列表-5中 “开始调查”板块。
就是这样!希望所有抗议行动的参与者和支持者都能顺利平安。
这两天来IYP回答了非常多的提问,很多中国朋友提出了重要的和值得深入研究的话题,令人兴奋。预告:接下来的时间里,我们将对这些问题进行仔细整理,并逐一发布我们的详细分析,最终汇总它们。因为这是一个非常好的机会可以提升各位有志之士在各方面的能力。此刻的工作要点,保护安全!保存实力! 晚些时候见。
️
用户增长理论之一:
用户增长,主要做几件事情:拉新、促活、内容激励。
- 拉新,指获得新用户,关注指标通常为DNU(daily new user)。
- 促活,指促进已注册用户活跃度,关注指标通常为DAU(daily active user)。
- 内容激励,指激励用户发布内容,间接增长DAU和DNU。
为了拉新促活,往往需要布置一些触点用来触达用户,比如弹窗、挂件、推送等。
这个没说阶段,但是我理解是推广初期的理论,主要针对外部吸引的新用户,用户粘性很低、流失率很高,加入网站时间也很短
用户增长理论之二:
除此之外,也有观点认为,用户增长=动力-阻力。
- 动力,指用户使用产品的动机,比如产品的内容对他有很大吸引力等。
- 阻力,指阻碍用户注册的因素,比如用户注册的流程繁琐等。
这个相对第一个理论阶段略微靠后一些,针对至少是听说过并且甚至可能访问过很多次的用户。
注意阻力不完全是客观条件(比如 需要付费/需要某地区的IP/需要某种身份/用户协议约束)造成的,也包含网站自身信息结构设计问题,对信息结构设计而言,动力和阻力是网站设计一体两面
资讯类的群聊的运营:
在运营C++学科辅导群时,……这样同学进群的时候就有东西可以看。……等到期末考试前,……所以这群名气出去了有很多同学愿意加群来听和问问题。
在运营选课交流群时,……这个PDF就对同学很有吸引力,我们把它放在群里。……禁止非选课事项的讨论、禁止询问明文通知的内容。……按时发布教务处关于选课的通知,提醒及时选课。……定期清理不改群昵称和长期没说话的同学。……整理出了400多条课程点评。
比较常规,(省略的部分其实不说也能猜到作者写什么)但是一条条都能清晰记录下来并且做到其实是不容易的
资讯类带互动的社区:
在运营选课社区时,最大的成功点就是之前整理的400条点评。我们在上线运营之前,就导入了这400多条问卷点评作为冷启动素材。这样用户访问的时候就能看到内容,而不会因为没有内容而流失。
在降低门槛方面,我也考虑了很多。比如,服务器一定要在境内,这样不会有网络问题。不能使用GitHub,因为要额外注册。接入jAccount实现一键登录访问。
在推广方面,在选课社区上线前,选课交流群已经发展到了2个2000人规模的群。我们在群里直接推广了社区链接。后来由于积累的点评很多,对新生很有价值,其他组织也会在其公众号上主动推广链接。
在促活方面,主要关注的是点评的数量和质量。选课社区引入了积分机制,根据点评数量和赞计算积分,而积分和交大传承合作,可以兑换传承的积分,从而在传承下载文档。
差异点在于不只是少数几个管理员中心式的输出,有用户的输入,不过也要重视冷启动。促活这方面我持保留意见,这个积分的其实奖励除非是已经熟知的硬通货(可能确实是?滚雪球效应体现了),否则用处不大。(北大的民间选课评价网需要认真学习这一段!)
高校 BBS 论坛的运营:
在运营水源社区时,主要抓的触达和促活。……逐步增加了blabla链接,看上去效果其实一般……不过今年有机会在交我办app的新生模块那加了个入口,效果非常明显,预估有70%的22级新生都注册了水源。
另外是抓热点事件,这种机遇比较难得。……我们趁着用户量增加的同时,及时调整了分类,主动编撰导入优质的信息资料(比如分流、转专业、保研等),增加了用户粘性。……开辟了防控信息专楼,收集整理了每日最新进展,很多用户也以非官方身份发布了各种信息。
一开始即便我们有jAccount登录,也要去验证邮箱获取验证码。……后来直接拿掉了这个流程,jAccount登录之后就直接进主页,实现一键登录。这一点在封校流量突增的时候表现非常好,没有拖后腿。
在促活方面,一开始首页按照传统论坛定为“分类”,但是我个人会喜欢以时间线排序不区分分类。后来有一次在用户建议下把全站用户的首页都改成了“最新”,日活立竿见影提高了5倍。
这个和我想的差不太多(预期之中),高校官方网站这些本身设计就不好,用户流量是很低的,谈不上引流作用。偏实用性质的效果会非常好,至少对新流量的引入是立竿见影的。
注册流程需要更加清晰简化。这一点 pkuanvil 做的不好,pkuanvil 虽然需要抵抗审查把流程设计的更复杂了,但是还是有改进空间。另外用户更喜欢被动收邮件而不是发邮件,这一点有技术约束成分(我不想强依赖一个 SMTP 服务器)。但是和 DKIM 注册相比还算好,绝大部分用户都没有错误, DKIM 注册的流程又难懂又不好操作,什么邮件能过也没说清楚。
促活方面没说怎么“内容激励”,只说了改变网站的设计,这一点我没感到惊讶,因为先前树洞的超高流量已经证明这一点。北大有大量用户(DAU 至少 5000 以上,近两年收归可能还要更高,大概能上万)都能接受“一天超过 5000 个新树洞,而且我还能一直往拼命翻到前一天”的模式。这在很多传统 BBS 看来是不可思议的,传统 BBS 一上来就分类,但是人是具有复杂的多面性的,其实更倾向于一条集中时间线的模式,在单主线基础上再细化分类
大陆用户最多的几个互联网app,常见做法是对海外手机号限制注册或者要求实名验证,实际上就是没有真正意义上的海外版,都是面向中国用户
豆瓣以前海外手机号注册不需要实名验证,2022年4月开始增加了:https://www.uscardforum.com/t/topic/82392
tiktok是单独做了和抖音不互通的海外版本
小红书现在最特殊,虽然有变态的举报和审查,但是还没有实行海外ip单独分区或者要求中国大陆实名注册。不知道未来怎么发展
如题,本来搜“未名树洞 怎么了”只是想看看贵 pkuanvil 的搜索权重,结果发现另外一个树洞停办的帖子
https://ucaskernel.com/d/715
这篇文章没从内容角度分析(论坛有什么内容倾向,有那些经久不衰的核心话题,有哪些话题能激励用户引发讨论),比较遗憾。这个可能就只能在继续研究了。不过作者很明显非常熟悉高校社区的运营方法(作者举的例子里面,常规手段都到位了,没有缺少重要环节),然后也能发现论坛用户能翻X倍的关键节点。
后面锐评也不太想说,这个和 pkuanvil 的定位历史也有关系,在置顶帖里面也说的很清楚了。因为用户基础和站长的坚持,有些观念就很难讨论了,比如
正经的校园论坛,就应该和学校合作,放弃反审查的不合作思维(墙内审查不能接受,被查水表风险+发言束手束脚+主流叙事形成排他效应+……)
水源的指导老师梁女士曾说,要开屏即见正能量(这一点北大树洞有大量用户支持,但是我认为 BBS 不是脱离现实的真空区;不过作者后面补充的部分说的很好,要开屏就能留住用户,能够让用户有继续探索的欲望,特别是激发用户的参与。)
从触达上考虑,柠檬本身就在微信端内,只要有二维码就很好触达,也可以充分利用朋友圈转发(依赖非常封闭的平台特别是墙内平台)
“高校 BBS 论坛的运营”这一部分有些确实学不了,比如突发事件就不行:
9月的七彩花坊事件,直接带来了用户量翻倍。
22年3月,由于疫情封校,直接增加了5-10倍的日活量。在这期间,开辟了防控信息专楼,收集整理了每日最新进展,很多用户也以非官方身份发布了各种信息
另外整理资料也是辅助作用,效果并不佳。互联网并不缺少资料,更缺少交流。
资讯类的群聊的运营:
在运营C++学科辅导群时,……这样同学进群的时候就有东西可以看。……等到期末考试前,……所以这群名气出去了有很多同学愿意加群来听和问问题。
在运营选课交流群时,……这个PDF就对同学很有吸引力,我们把它放在群里。……禁止非选课事项的讨论、禁止询问明文通知的内容。……按时发布教务处关于选课的通知,提醒及时选课。……定期清理不改群昵称和长期没说话的同学。……整理出了400多条课程点评。
比较常规,(省略的部分其实不说也能猜到作者写什么)但是一条条都能清晰记录下来并且做到其实是不容易的
资讯类带互动的社区:
在运营选课社区时,最大的成功点就是之前整理的400条点评。我们在上线运营之前,就导入了这400多条问卷点评作为冷启动素材。这样用户访问的时候就能看到内容,而不会因为没有内容而流失。
在降低门槛方面,我也考虑了很多。比如,服务器一定要在境内,这样不会有网络问题。不能使用GitHub,因为要额外注册。接入jAccount实现一键登录访问。
在推广方面,在选课社区上线前,选课交流群已经发展到了2个2000人规模的群。我们在群里直接推广了社区链接。后来由于积累的点评很多,对新生很有价值,其他组织也会在其公众号上主动推广链接。
在促活方面,主要关注的是点评的数量和质量。选课社区引入了积分机制,根据点评数量和赞计算积分,而积分和交大传承合作,可以兑换传承的积分,从而在传承下载文档。
差异点在于不只是少数几个管理员中心式的输出,有用户的输入,不过也要重视冷启动。促活这方面我持保留意见,这个积分的其实奖励除非是已经熟知的硬通货(可能确实是?滚雪球效应体现了),否则用处不大。(北大的民间选课评价网需要认真学习这一段!)
高校 BBS 论坛的运营:
在运营水源社区时,主要抓的触达和促活。……逐步增加了blabla链接,看上去效果其实一般……不过今年有机会在交我办app的新生模块那加了个入口,效果非常明显,预估有70%的22级新生都注册了水源。
另外是抓热点事件,这种机遇比较难得。……我们趁着用户量增加的同时,及时调整了分类,主动编撰导入优质的信息资料(比如分流、转专业、保研等),增加了用户粘性。……开辟了防控信息专楼,收集整理了每日最新进展,很多用户也以非官方身份发布了各种信息。
一开始即便我们有jAccount登录,也要去验证邮箱获取验证码。……后来直接拿掉了这个流程,jAccount登录之后就直接进主页,实现一键登录。这一点在封校流量突增的时候表现非常好,没有拖后腿。
在促活方面,一开始首页按照传统论坛定为“分类”,但是我个人会喜欢以时间线排序不区分分类。后来有一次在用户建议下把全站用户的首页都改成了“最新”,日活立竿见影提高了5倍。
这个和我想的差不太多(预期之中),高校官方网站这些本身设计就不好,用户流量是很低的,谈不上引流作用。偏实用性质的效果会非常好,至少对新流量的引入是立竿见影的。
注册流程需要更加清晰简化。这一点 pkuanvil 做的不好,pkuanvil 虽然需要抵抗审查把流程设计的更复杂了,但是还是有改进空间。另外用户更喜欢被动收邮件而不是发邮件,这一点有技术约束成分(我不想强依赖一个 SMTP 服务器)。但是和 DKIM 注册相比还算好,绝大部分用户都没有错误, DKIM 注册的流程又难懂又不好操作,什么邮件能过也没说清楚。
促活方面没说怎么“内容激励”,只说了改变网站的设计,这一点我没感到惊讶,因为先前树洞的超高流量已经证明这一点。北大有大量用户(DAU 至少 5000 以上,近两年收归可能还要更高,大概能上万)都能接受“一天超过 5000 个新树洞,而且我还能一直往拼命翻到前一天”的模式。这在很多传统 BBS 看来是不可思议的,传统 BBS 一上来就分类,但是人是具有复杂的多面性的,其实更倾向于一条集中时间线的模式,在单主线基础上再细化分类