为何 Joplin 的作者们都这么固执

2021-05-17 11:20:54 +08:00
 raysonlu

最近为知会员提示即将到期,基于为知对 markdown 编辑器的落后以及使用一年中遇到不少问题(有反馈),想换个笔记。留意到了 joplin 感觉很不错,特别是多端使用,有本地化端到端加密功能,编辑器初步使用起来也没发现什么 bug 。可是它没有对笔记加锁的功能。

插个题外话,这个加锁功能,在现有的知名云笔记中其实也很少见,唯一见到有的是有道和为知,有道的实现方式是请求服务器密码校验,为知应该是通过证书密码校验并定期更新和同步证书,这两种实现方式各有利弊,且两款笔记的其他基础功能在深入使用后发觉也不尽人意,印象是全锁,这种与“单个笔记加锁”完全是两个需求场景。

抱着希望的心情想向 joplin 提交一下这个建议,毕竟好歹也是个开源项目。然后发现,这个需求在 2 年前就已经被提出! https://github.com/laurent22/joplin/issues/289 现在对新功能的建议提交都转到这个地方讨论了 https://discourse.joplinapp.org/t/is-it-possible-to-password-lock-the-application-upon-opening/122/13

看完后我哭笑不得,貌似作者们一直不愿意添加这个功能,他认为:

我感觉作者们对这个需求一直理解错误,或者不愿意去理解。对单个笔记加锁,是不少特殊使用场景都需要用到的功能,而且不少用户都说明了这样的场景,但他们就是不干,有点类似程序员有时候无脑反驳产品经理的需求那样。

18319 次点击
所在节点    程序员
131 条回复
3dwelcome
2021-05-17 12:39:06 +08:00
@zhzy0077 文章提到了软件自己实现加密是 poor job,那么 BIOS 开机密码也同样是 poor job,把主板电池拔了,就删除密码了。
很多时候,一个软件功能里,“有”和“没有”对用户来说,是有非常大区别的。实现的好与不好,反而区别没那么明显。
sillydaddy
2021-05-17 12:40:21 +08:00
楼主,了解一下 VeraCrypt 吧——针对性的密码保护,只需要输入 1 个 password 。也是 Joplin 官方回复里提到的方案。

理念不同而已,
用户:意思就是我只要一个简单的 password,就能阻拦大部分普通用户偷看,哪怕本地数据库是明文状态。
开发方:你数据库都明文了,表面上加一个锁有啥意义呢?不如换其他更靠谱的方法,我们不做这样的累赘功能。

FAQ 里的原文:
Q:
Could there be a password to restrict access to Joplin?(可以给 Joplin 加一个密码准入功能吗?)

A:
The end to end encryption that Joplin implements is to protect the data during transmission and on the cloud service so that only you can access it.
On the local device it is assumed that the data is safe due to the OS built-in security features. If additional security is needed it's always possible to put the notes on an encrypted Truecrypt drive for instance.
(Joplin 使用了端对端的加密,它可以保证数据传输过程的安全,并且传到云端的数据是加密的,只有你才能解密。
而本地机器上笔记数据的安全性,只能依赖于操作系统提供的安全防护措施。如果需要额外的保护,你总是可以使用像 TrueCrypt(也就是 VeraCrypt)这样的软件,把笔记放到它们制作的虚拟磁盘里)
lingo
2021-05-17 12:43:46 +08:00
标题相当不合适。。
raysonlu
2021-05-17 12:44:38 +08:00
@3dwelcome 难道见到一个能理解的
raysonlu
2021-05-17 12:50:06 +08:00
@nightwitch
@sillydaddy
加密和加锁,其实是不冲突的,也不相干,可同时存在的。joplin 现在就是支持加密且能同步。或者理解为,要看加密笔记,就要先解密,但可以在执行解密前加一个用户自己的密码锁,解开了再解密。本地数据库根本不用明文存密码,#31 有说
zhzy0077
2021-05-17 12:51:36 +08:00
@3dwelcome 这其实是一个滑坡谬误,都是 poor job 没错,但是 BIOS 的密码是没有第二种选择时候的唯一方式。回到这个问题上来,实际上有很多现成的,经过考验的加密手段的,包括 PGP,包括帖子里提到的 VeraCrypt,在这个情况下我觉得 Joplin 或者 GnuCash 的确是不该做这个功能。
zhzy0077
2021-05-17 12:53:50 +08:00
@raysonlu 如果你只是定义为“防君子而不是防小人”的话,你就在笔记标题打一个(秘密勿看), 然后开头多打几个空行在不滚动的情况下看不到内容。就足以防君子了。
归根到底其实是这个防君子怎么定义的问题。
sillydaddy
2021-05-17 12:55:29 +08:00
@raysonlu #45
其实我发现自己没太明白你的需求,是给所有的笔记加一个密码锁,还是可以针对单个笔记加密码锁?

如果是前者,VeraCrypt 可以实现你说的,使用很简单。如果是后者的话,确实只能 Joplin 自己能做了。
encro
2021-05-17 13:00:33 +08:00
Joplin 加这个可不容易:

Joplin 没有自己的同步服务器,采用通常是第三方 webdav 之类;
密码保存在哪里?
这个密码需要同步吗?
no1xsyzy
2021-05-17 13:12:36 +08:00
@3dwelcome @raysonlu
送两位一句话

自恃能言的傻子,正因为有了浅薄的听众随声哗笑,才会得意扬扬。(莎士比亚《爱的徒劳》)

——

人们有「视觉器官」、「听觉器官」,但大部分人是没有「安全态器官」[1][2]的,唯有的「安全感器官」[1]是非常容易被糊弄的。
人们常常陷入一种「虚构的安全感」,警惕非虚构妄想: https://inqb.ga/hanasu/delusion-of-reality
[1]: 采用「器官」的宽泛定义,不一定是生理器官,也可能是心理器官,甚至知识也是一种器官。
[2]: 当然,「安全态器官」不可能存在(因为安全的状态是一种需要维持的状态),我是指「威胁感知器官」,这里只是为了文学上的对仗。

——

A 岛几乎每个月都有几起「秘密被其他人意外发现」的事情。倒不是别人有意去揭发你的秘密,而是别人误打误撞地发现 了你的秘密。这种事因为「只有被发现方会特别重视」且「被发现方不愿意分享」且「发现方通常也避免冒犯别人从而不去传播」等性质,受幸存者误差的影响而鲜有耳闻,但 A 岛却是个可以相对放松地分享这事儿的地方。
(比如,某人的飞机杯被家里人打扫卫生时翻出来了…… 还洗干净了……)
A 岛才多少人?就这么多事儿。我觉得想要每个软件各自做一遍安全验证还希望都做得对,都把安全看太随意了。
3dwelcome
2021-05-17 13:23:36 +08:00
@no1xsyzy "我觉得想要每个软件各自做一遍安全验证还希望都做得对,都把安全看太随意了。"
安全是分等级的,正常人也不可能把几十万比特币加密随便存普通软件里。

楼主标题可能不好听,但作为笔记软件的加密需求,同样也是客观存在的。

设计这种 markdown 纯文本加密,和我前几天讨论加密贴一样,可以做到无唯一解,也就没办法暴力破解。普通密码 hash 一下,AES 加密后存本地,安全性绝对达标了。
labulaka521
2021-05-17 13:24:44 +08:00
白嫖还理直气壮让别人给你开发功能?
beibeijia
2021-05-17 13:33:36 +08:00
哈哈,我也有这个需求,当时找了一堆替代品,就这各方面符合我的需求,可惜就是数据库不加密,本地明文存储,打开笔记也没认证,作者论调也是相当滑稽,但你没办法,开发者会强调使用习惯安全责任云云,小朋友会强调这是免费滴你爱用用不用滚,所以还是得自己找其它替代品,话说我当时也想发帖喷下开发者来着,可惜没勇气,佩服老铁,哈哈。
yunyuyuan
2021-05-17 13:34:12 +08:00
作者不愿实现我的需求 = 为何作者们都这么固执
raysonlu
2021-05-17 13:35:35 +08:00
@sillydaddy 确实是后者,VeraCrypt 只是个加密工具,不是加锁。加密的话,joplin 原本就支持加密了。
ulosggs
2021-05-17 13:38:02 +08:00
fork
wipbssldo
2021-05-17 13:39:50 +08:00
白嫖还理直气壮提需求~
raysonlu
2021-05-17 13:41:11 +08:00
@beibeijia 或者可以试试 icloud 的便签,不过在 PC 端就只能是 web 打开了
harwck
2021-05-17 13:49:39 +08:00
不用 xx 笔记之类的,但看完作者的回复确实感觉没问题很合理,哈哈
laydown
2021-05-17 13:50:29 +08:00
作者没这个需求吧,谁整天来摸你电脑,打开你的电脑里的某一款软件来看你写的内容呢,你说加锁一点用都没有吧,其实是有的,但微不足道。

电脑创建访客账户吧,因为除了这款软件,你电脑里的其它软件里保不齐也有不想被人知道的内容,锁不完的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/777378

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX