关于 nas 系统的信息收集

59 天前
 Tiking
跟国内某知名的 nas 产品的产品经理聊了一下。

问题:大环境下,开发 nas 系统,是否会被某些部门,要求内置收集用户存储的文件信息,给系统留门子,方便帽子远程调阅文件。

回答:很大方的承认,会的。不光他们会,某辉啥的也都会存在,甚至开源系统也无法避免,想隐私除非不联网。可以去看下隐私声明,国外也不能避免被政府审查。

引出的问题:最近火的免费飞牛 NAS ,是不是更不可信了。开源的 TrueNAS 等,也不可信么?
4297 次点击
所在节点    NAS
56 条回复
xinghen57
57 天前
@unklity #31 “假设开源软件公开仓库的源代码经过审查”,xz 后门是个例外。它不是通过源码审核发现的。
后面的思路很赞。
xinghen57
57 天前
@dhuzbb #16 “极空间系统层面做了功能,可以限制外网登录和访问,只在局域网内部使用”,这不是真正的局域网使用。
你在一个不可信的 nas 系统上使用他的功能,这是掩耳盗铃。
unklity
57 天前
@lxh1983
是《移动互联网应用程序信息服务管理规定》要求的。
但按理说 NAS 厂商应该给不使用手机应用的用户免除手机号绑定的选择。
unklity
57 天前
只不过很多规定最后都会扩大解释。就如同塞尔达会被归类到网络游戏当中一样。
所有用户都用手机号注册的话对厂商来说可以满足监管需求,又省事,还能多收集到用户身份信息。
unklity
57 天前
@xinghen57 请假设其能够 “完美” 执行安全审查。
unklity
57 天前
在不可信的 NAS 系统上即便断网使用,也仍然存在风险。

设想你使用诸如 NextCloud 的软件运行在不可信的系统上,然后你开启了 NextCloud 的服务端加密功能。
由于密钥会出现在内存中,系统完全可能将其导出,并伺机传输到远程主机上,或是以备第三者物理接触时使用。

如何保护隐私很大程度上取决你有多么 Paranoid
xinghen57
57 天前
@unklity #46 确实。理论上只断网还不行,还要只进不出才理论完美。

安全审查和反审查就像矛和盾,目前看是不存在一方完全胜过另一方的情况。更何况更多案例中,最薄弱的环节反而是人。
lxh1983
57 天前
@unklity 和这个规定不冲突啊。极空间因为自身利益,不给用户使用第三方域名接入,它是内容分发的唯一选择,所以你使用它的联网服务需要实名,和群晖威联通的一样。但是群晖威联通给用户选择第三方域名接入的权利了,你使用第三方域名接入服务时,你的行为跟他们没有关系了,所以极空间之流的吃相难看。如果你非要说极空间的做法才是符合法律要求的话,那各电脑厂商也得要求你必须先实名注册才能使用电脑才行
dhuzbb
56 天前
@xinghen57 #42 一群人非得在这里杠,除了首次注册必须得联网使用手机号注册外。如果你不使用需要联网的应用(比如同步其他云盘等等)其他时候使用都不需要联网使用。啥意思呢?就是你把光猫拔了,NAS 还是能正常的离线使用的。你光猫都断了,怎么偷你的文件?
xinghen57
56 天前
@dhuzbb #49 仅从理论角度,只要你连接的第三方设备能联网,数据是可以摆渡出去的。
当然,在实践中,你说的局域网使用,我个人是倾向认为风险可忽略(注,可忽略不等于没风险)。

我觉得从理论角度界定风险边界,然后根据实际应用场景和自身风险偏好和能力去做决策时比较好的。因此,讨论应该加上限定条件,比如理论角度、实践中、不考虑数据摆渡风险等情况。
Tirtreen
56 天前
只要联网就没有绝对安全,但东西是死的人是活的,你在国内用外国系统在国外用国内的系统不就完了么
marcong95
55 天前
@Tiking #14 目测 GHvyuR7N 兄台也只是想吐槽你各种某并没有可信性。并不是为了指向该品牌或个人。你可以在把品牌或者个人信息完全隐去之后把可以在用户购买的 NAS 设备上复现的证据放出来,而不是某品牌的某产品经理说了什么东西。

虽然我并不怀疑各种 NAS 有各种后门。但是各种某某某的一句话确实只是徒增恐慌而已。
reputati0n
54 天前
“甚至开源系统也无法避免”
一句话让我对你整个帖子真实性存疑
gloeaerris
54 天前
不联网就能避开审查的想法有点天真和搞笑,棱镜门还是打不醒一群小白,你能避开审查的唯一方法就是不用电子产品
he1293024908
50 天前
当然必须有后门啊,群晖隐私政策我去年看的时候,一样写了可以因为公共安全等原因,不经你允许访问你设备文件。没后门才奇怪,苹果不给 fbi 解锁罪犯手机,但其他科技公司敢不?更别说厂商为了方便远程调试等原因留下的后门了,而且别说系统了,芯片留后门的事情都不新鲜了吧,intel cpu 后门几年前就被黑客利用过了
shuianqingfeng
36 天前
9 月份更新了条款 有人懂吗?
服务数据收集披露如下
https://www.synology.cn/zh-cn/company/legal/Services_Data_Collection_Disclosure

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1073012

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX