对于国内团队协作和企业信息服务（例如钉钉）的安全性迷思

老罗说过阿里是靠数据立足的，钉钉的数据阿里就不分析？不利用了？

所谓的众创空间和各种软件 app ，真的都很不安全，最近新想到，包括一些财务软件。我公司财务软件至少是断网或内网使用的，不连接外网。

那你用微信， QQ 做企业 IM ，就放心了？

1 、作恶成本高？大公司不差钱也不差技术啊。
2 、相信大公司的产品是安全的？不是完全信任，而是愿意承担相信的风险。

兄弟姐妹们，还是应该多体谅一下初创公司的人啊，当你还很弱小的时候，凡事做最坏打算是有必要的。

不敢用国内的公有云服务， slack 又被墙，自己搭建一套 mattermost https://github.com/mattermost/platform 放在 EC2 东京不就得了

@hanru 兄说的对，安全的本质是个信任问题，也就是说，在你能承担的风险之内是安全的，否则是不安全的。

另外，支付宝的事不完全是技术问题，网友 @gravity0 认为,“几天前微信钱包提现收费，不过是希望大家多用它支付，而不是抢完红包提现走人，被对手大肆炒作。如今支付宝的拍照录音风波可以视作是反击。舆论战的好玩之处就在于总有花钱和不花钱的雇佣兵自愿投入搬弄是非的战斗。”

华为的大佬们在公开的大会上说，政府、军工以及其他更多其他你懂的单位（华为的大客户）怎么可能用钉钉？他们都是自己写，甚至是用汇编写，服务器当然都是用自己的了。

在线协作有很多选择，在便利性和安全之间做一个权衡即可，楼主的质疑是合乎逻辑的。至于安全， V2EX 上的朋友会相信合规等保之类的说法？白皮书嘛，呵呵。

@leeyiw 解释那么多，就算是自证清白，但是怎么解释这个：

https://www.v2ex.com/t/258407

严重同意 @fowse
业内人士知道：这个数据阿里是会利用的，如果你不在乎就用钉钉吧。如果在乎，自己搭建服务器就是了。说阿里不用数据那是阿里自己的宣传稿，对大众说的而已，非要让业内人士也去相信阿里的宣传稿也是过了。

@leeyiw 你给我证明一下你妈是你妈？
对于安全性问题，服务商有义务针对来自任何相关方的任何形式的技术质疑进行自证。
另外『如何证明我是我』是很常见的安全问题好吧~~~

买 Lync ， sametime ，自己搭建。。貌似就是成本有些高。
但是好多政府机关单位全都是 QQ 。

使用 Google 大法， Gmail ， Drive ， Hangout

@leeyiw
哈哈哈哈，第一次见到这么用心洗地的人才，毕业几年了？

对于一个以大数据之名行搜集隐私之实的公司，想要它不染指你的数据那是不可能的，除非不使用它的服务。
实际上阿里的触手已经深入大多数人生活的方方面面，搜集了大量的衣食住行医疗健康地理位置等方方面面的数据，它知道你是谁，经济情况如何，身体是否健康，性别婚姻状况怎样，上下班路线，平时生活习惯，老家所在地，甚至是你的声音容貌，你的人际关系等等，如果这些数据被用于不正当的用途，其后果不堪设想。

最后决定了，对于公司内部的任务管理系统使用 Teambition 。这真不是给他们打广告，当你用了一个月时间评估了 Trello 和 Teambition 还有一堆国内的 Tower ，纷云，瀑布后，你就能明白 TB 在易用性，功能，可阅读性及关键的对初创企业需要的理解超越了我对他可能利用我数据的恐惧。再说这玩意泄露的公司信息也还在可控制的反而。譬如，开会只是开会，而不会说开会的内容是什么。而涉及公司众多即时机密的 saas 部分，最后还是选了国外的 slack ，这个无论界面美观度，功能，对使用者的理解不是国内公司靠抄就能抄出来的。本来打算也用 TB 团队的简*的，一是怕任务+内部聊天都用同一公司的，如果遇上有心人真的是一锅端，二是他们的简*3.0 ios 版本我昨天用了下， 10 分钟内闪退了 10+次，作为企业软件+已经 3.0 版居然这样还敢上线我也是醉了，之后去了解了一下这个简*是他们公司另外一个团队做的， so …

本贴没有要黑任何人任何公司的意思，说白了，你要用，就得接受一些损失，毕竟他们很多功能是免费给你用，天下哪有真正免费的午餐。就是要把风险控制在一定范围内。我原来只是想拿出来这里探讨希望这里一堆牛逼的兄弟能给我一些靠谱的建议。

其实，大家在现实生活中，经常面临这样的情况，那就是： 有些人你一定会戴着面具跟他交流，说的可能根本不是你心里想的话，因为那个人跟你的生活，跟你的朋友圈有交集，你怕他会把你跟他说的转头跟你认识的人说。而还有些人，你跟他不熟，反而你能对他无话不说，因为这个人不认识你的朋友，你知道就算他知道一些秘密，对你的人生也没有影响。 所以，正常情况下，只要有些基本逻辑思维的成年人，都不会对在自己生活圈里，基本上认识我所有朋友的人还推心置腹的。怎么到了网上，一个公司认识了你整个关系网交际网（支付宝社交需要获得通信录），然后它也知道你的消费习惯，行为习惯，私生活和工作的地点，你却一点都不害怕，一点都没想过有朝一日或许会成为大患吗？只能说，你的智商真的太 low 了

某安全工程师陷入了「我们自己闷头工作的时候安全问题努力了很多，所以你们竟然不了解不信任我的」常见问题，上来就把楼主的怀疑当成是摸黑，并「为了安全工作你知道我有多努力吗？」这样……
没有人在意且事先充分了解你们付出了多少努力、做了多少安全措施，重点是用户在使用的时候有没有「感知」到这种安全，或者可以「忽略」掉其中的不安全。不是采用了 A 技术、 B 技术、 C 技术，产品就很安全了……这点我早就想吐槽阿里的公关了（虽然该员工的发言一看就不是营销传播公关相关部门的）。
况且楼主要说他开脑洞，我觉得阿里员工回复前都并没有啊……

利益相关：完全路人，只是来吐槽一下某员工上来就是「我们已经很努力了你们竟然不理解我」的发言而已……

@gzelvis 恭喜你，终于想明白要把你的数据给美帝 TB 了！所以此帖 over ～撒花。
不过你得小心海外黑客不少且不受法律监管，搞不好 Teambition 撑不下去数据拖库，你的数据将暴露给全世界人民。
这是你的自由：）

@leeyiw 做安全工程师要有一种乐观的心态。做得好，别人不一定会赞你，因为这是你应该做的。做得不好，别人一定会骂你，为什么你没有覆盖到。

看透了就会懂，有时间不如多陪女朋友老婆孩子逛街聊天玩儿，闲暇时间多谈谈风花雪月，少谈工作。

有安全需求的话自己建 server 吧-。-

@leeyiw 为啥钉钉的开发者要用阿里云的帐号 而阿里云的帐号又不和淘宝帐号连通，然后进去后又通过阿里云的帐号自己建个淘宝、支付宝帐号。。。你们的账号系统是有多乱。