flickr 帳號被盜而刪圖之省思

就在前幾天前看到了一篇文章,慘絕人寰之Flickr圖被自動刪除事件,其實剛看到文章時就很想發表這篇文章,不過一直苦苦無法下手,因為深怕一個偏差,就又要造就一堆口水,不過我還是就我管理系統及使用者的身份來看待這件事,沒有誰對誰錯,我盡量以我的中間心態來發文。而苦主的 Flickr 在 http://www.flickr.com/photos/kingkiang/2173683481/
文章的內容大家可以自已上去上面的連結觀看,至於我只針對作者針對二件事來思考。

1. Flickr不會幫你備份,你得自己備份(話說回來,如果不幫忙備份,我幹嘛付錢用pro,就是覺得自己備份不保險才付錢啊)
2. Flickr對自己的安全機制極有信心,有信心到連刪除帳號頁面CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)這類圖形驗證都不放,所以帳號被刪都是使用者白目,亂點假頁面或是把自己的密碼給別人,所以損失都是使用者白目,Flickr不會有錯。

1. Flickr 說明過,付費是取得無限空間、流量,也可以傳原始圖檔上去,服務條款裡並沒有包含”備份”的服務,也受限於法令,無法為 user 備份任何資料,不過就真的沒有備份了嗎 ??
一、只要是管理過比較大的系統的人都知道,其實都有備份,只是是採用差異備份或是快照的方式至另一個儲存設備,為何            Flicker 不幫您復原,因為這涉受到的層面太多,從事情的考證、身份認證、個人隱私、檔案復原的授權…etc ,而備份            主要的目的是用來做災難復原的 full restore。
二、誰來做 ? 線上客服是無法觸及後端的備份資料庫,就連線上的也幾乎無法接觸,如果後派給後端的工程師,此例一開,            是不是造成全世界大量的 request 來要求復原 ?
三、有看過 Flicer 的書的人都知道,後端的儲存設備有多麼的複雜,如果常因為某個 user 去做 restore ,那…. 備份的策略                將會更加的沉重,因為要每天 full backup,不然您刪除的資料,也會被同步刪除掉後端的資料。
四、相對的,如果 Flickr 額外提供備份的服務,例如,刪除的資料會保留 30天,30天後會自動刪除(如同 GMail 的垃圾筒)
這樣子或許還有一些 swap 的空間,不過,這好像又會扯到其他問題。
2. Flickr 對自已安全機制有信心,不過作者提到的圖形驗證,網路上有某個網站,我就不方便說了,上面提及,市面上的圖形驗證破解率快接近於 100% (不包含人眼無法輕易識別及問答式)。
一、如同您的車鎖匙被偷去,我想沒人會回頭來要求車商說對自已車鎖很有信心,有信心到連基本的防盜警報器都不裝吧 ?
二、如果您的帳號密碼都能在這樣子輕易的情況之下被盜,就算有再多層次的防護,一樣都是一下子就被刪光資料,為何 ?               因為木馬or病毒會自動繞過圖形驗證及自動幫您確認刪除。
三、我個人覺得沒有安全的系統,更沒有安全的人,針對這個事件,我只能說我對 Yahoo 的帳號被盜事件感到無力,光一個            即時通就病毒一堆,更別提最近流行的病毒信,附件掃毒有跟沒有一樣,一堆人的拍賣帳號也被盜,拍賣裡一堆釣魚網            頁也不清,假一元起標更是釣魚大宗,所以只能怪  Yahoo 的登入機制有問題。
結論是,個人覺得作者急過頭沒有好好的思考,人常因為自已損失後在盡力爭取權利時都往往忘了抽身看整個問題事件在哪,包含我也是,當我有了損失時,也會只以自我為中心的求助,這件事件來說,沒有誰對誰錯,只是立場不一樣,加上第三者(病毒or 木馬)的加工加持後才造成的狀況,這是二方面都需要去背負的責任,沒有安全的系統考核,人再小心也沒有用,反之亦然,當人都不安全了,系統怎能防止人的過失呢 ?

About the Author

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料