t**********g
发帖数: 3388 | 1 【 以下文字转载自 Military 讨论区 】
发信人: mialee2013 (mia), 信区: Military
标 题: PRISM的细节: 用户信息分享系统
发信站: BBS 未名空间站 (Fri Jun 14 11:35:35 2013, 美东)
当美国政府官员们向硅谷的大型互联网公司索取用户数据来进行秘密监听任务时,大多
数公司不太乐意,但最终多少还是会“多少合作一点”。Google、微软、雅虎、
Facebook、AOL、苹果选择了“多少合作一点”,他们为此开发了一套技术手段,在合
法的政府请求的前提下,更安全、快速地提交美国地区以外的用户数据。
为了更快地向政府提交用户信息,Google 和 Facebook 甚至建立了一套用户信息分享
系统
Google 和 Facebook 曾经讨论过的一个方案是,设置一个独立的安全入口,并在公司
的服务器上类似建立一个长期的分类信息数据库。当政府有需要时就可以要求检索信息。
所有的科技公司都异口同声地自称,没有向美国政府提供“直接”接入服务器或是留置
数据中心的后门。但他们却设立了一个私密信箱,并把密钥交给了美国政府。Facebook
甚至专门建立了一套系统,用来索取和分享用户信息。
但报道引述知情人称,这些科技公司的律师在审查过根据《外国情报监听法》(FISA)
发起的用户数据索取请求后,相关的资料就会通过以上方式自动或者批量寄送给美国政
府。美国政府并不能直接接入科技公司的服务器,但通过这种方式,政府可以更加有效
率地索取用户信息。
虽然 Google、微软、Twitter 等互联网公司一直以来都会定期披露政府的信息索取请
求,亦即透明度报告,但是他们所披露的报告中并不包含 FISA 的信息索取请求,因为
他们是不被准许了解 PRISM 的存在的。
公关稿的说法目前看来是真实的,但事实并不止于此
到目前为止,涉及此事的美国科技公司大都作出了回应,他们称自己没有让美国政府直
接接入服务器,也从来没有听说过 PRISM。这些精心设计过的公关稿上的说法目前看来
是真实的,然而他们却也隐藏了部分事实。
在此次事件中,Twitter拒绝了为政府更容易地获取用户信息。同样的,Google、微软
、Facebook、苹果等大型互联网公司本也可以选择拒绝的,然而他们却没有。
包括微软、雅虎、Google、Facebook、苹果等在内的众多美国大型科技公司都加入了
PRISM 项目,帮助美国政府对用户实行监听,但是有一家公司例外,那就是 Twitter。
美国国家安全局曾经接触过 Twitter 要求他们加入这个监听项目,但是 Twitter 拒绝
了。
Twitter 的不合作已经有一定的历史了,每当政府要求他们提交用户数据时,他们往往
会选择反抗
Twitter 的首席律师 Alex Macgillivray 称 Twitter 是一个允许用户自由表达且保持
完全中立的言论平台,他说 Twitter 通常不理会政府的提交数据的要求。尽管如此,
Twitter 仍然会处理 69% 的政府信息请求,但这个数字已经大大低于处理率为 88% 的
Google 了。
Twitter 和 Google 都会向用户公开政府信息请求,但是 Twitter 对用户的数据可以
说是寸土必争,就算可能会赢不了,也常常与政府闹上法庭。曾经 Twitter 因为拒绝
透露维基解密(WikiLeaks)的用户帐号而上了秘密法庭,并最终赢得了胜利。
为什么 Twitter 没有向美国政府提供用户数据?
与 Google、Facebook、雅虎、Skype 和其他科技公司相比,Twitter 并不能提供太多
的数据。Twitter 的帐号大多是公开的,他们也不收集用户的住址、信用卡等信息。因
此,政府对它并不那么感兴趣。Twitter 在 2012 年收到了 1858 起政府数据请求,
Google 收到了 21389 起。
The Verge 认为另一个 Twitter 没有加入 PRISM 项目的原因是他们没有能力建立政府
想要的用户数据分享系统。时至今日,Twitter 仍然时不时会遭遇服务器故障,他们还
无法很好地提供旧推文的搜索功能,私信功能也非常落后。他们可以以此为借口躲开
PRISM。
随着 IPO 的临近,Twitter 还能守住用户的隐私多久?
随着 Twitter 货币化的压力加大,他们必须要收集更多的数据,才能为广告商提供精
准度更高的匹配广告。但数据收集得越多,就会越招惹政府的注意,那么到时候,政府
就不会再像现在这样”因为 Twitter 的用户数据太少而对其不感兴趣“了。
随着 IPO 的临近,Twitter 会面临越来越大的盈利压力。他们能不能守住自己保护用
户隐私的承诺,那时才能真正见分晓。 |
t**********g
发帖数: 3388 | |
c*****t
发帖数: 817 | 3 That is merely because twitter has no private data to disclose.
You tweet and people see your tweets. What else? |
f********t
发帖数: 6999 | 4 password
【在 c*****t 的大作中提到】
: That is merely because twitter has no private data to disclose.
: You tweet and people see your tweets. What else?
|
g*****g
发帖数: 34805 | 5 Twitter or Google doesn't have your password, period. They only have your
password hash, which if properly implemented, can take years to crack.
【在 f********t 的大作中提到】
: password
|
c*******f
发帖数: 378 | 6 u don't need to crack the password at all. the hash is ALL u need to get in!!
u obviously don't know much about the common authentication process...
【在 g*****g 的大作中提到】
: Twitter or Google doesn't have your password, period. They only have your
: password hash, which if properly implemented, can take years to crack.
|
s*****g
发帖数: 1055 | 7 Obviously you know much about common authentication process, so they have
root access to the backend servers, why do they need this hash at all? if
they do need this hash, how are they going to use it?
in!!
【在 c*******f 的大作中提到】
: u don't need to crack the password at all. the hash is ALL u need to get in!!
: u obviously don't know much about the common authentication process...
|
m****r
发帖数: 6639 | 8 really...
in!!
【在 c*******f 的大作中提到】
: u don't need to crack the password at all. the hash is ALL u need to get in!!
: u obviously don't know much about the common authentication process...
|
m****r
发帖数: 6639 | 9 i read somewhere that they can crack password hashes very quickily now,
using gpu's. like, in a few days for upto 8 characters.
【在 g*****g 的大作中提到】
: Twitter or Google doesn't have your password, period. They only have your
: password hash, which if properly implemented, can take years to crack.
|
g*****g
发帖数: 34805 | 10 My password is not 8 characters. More like 10-12. A few days for 8 can
quickly become a year for 10 characters. And they have to get my password
hash and the hashing algorithm in the first place.
【在 m****r 的大作中提到】
: i read somewhere that they can crack password hashes very quickily now,
: using gpu's. like, in a few days for upto 8 characters.
|
|
|
g*****g
发帖数: 34805 | 11 Yeah, right, show me how you can get in with my password hash.
in!!
【在 c*******f 的大作中提到】
: u don't need to crack the password at all. the hash is ALL u need to get in!!
: u obviously don't know much about the common authentication process...
|
m****r
发帖数: 6639 | 12 we always assume hackers know our algorithm.
I don't know how this gpu thing works, but assuming it increase linearly, we
are looking at about 100^4, which is only 1 followed by 8 zeros. how many
days is that?
【在 g*****g 的大作中提到】
: My password is not 8 characters. More like 10-12. A few days for 8 can
: quickly become a year for 10 characters. And they have to get my password
: hash and the hashing algorithm in the first place.
|
g*********e
发帖数: 14401 | 13 why don't they have the real passwd? is it only that they claim so? |
c*****t
发帖数: 817 | 14 这些公司他们存你的密码原文有什么好处?又不能赚钱。反而还更容易被政府骚扰。政
府又不给钱。 |
j****n
发帖数: 4358 | 15 Google 因为不愿意向中国政府递交客户信息,而推出中国市场,相信,
google 也 不会向美国政府递交客户信息
【在 t**********g 的大作中提到】
: twitter IPO 花街造势了
|
g*****g
发帖数: 34805 | 16 26*2 + 10 + special characters, you are looking at about 70 possibilities
for each character.
Let's assume 70^8 only takes a day to crack. 70^10 is 4900 days, or 13 years
.
we
many
【在 m****r 的大作中提到】
: we always assume hackers know our algorithm.
: I don't know how this gpu thing works, but assuming it increase linearly, we
: are looking at about 100^4, which is only 1 followed by 8 zeros. how many
: days is that?
|
b***z
发帖数: 2723 | 17 说的太对了, 建议联名捐赈一贞节牌坊。
【在 j****n 的大作中提到】
: Google 因为不愿意向中国政府递交客户信息,而推出中国市场,相信,
: google 也 不会向美国政府递交客户信息
|
T8
发帖数: 157 | 18 这个很搞笑啊,哈哈。现在地球人都知道G和美国政府啥关系
【在 j****n 的大作中提到】
: Google 因为不愿意向中国政府递交客户信息,而推出中国市场,相信,
: google 也 不会向美国政府递交客户信息
|
f********t
发帖数: 6999 | 19 你再仔细想想
possibilities
years
【在 g*****g 的大作中提到】
: 26*2 + 10 + special characters, you are looking at about 70 possibilities
: for each character.
: Let's assume 70^8 only takes a day to crack. 70^10 is 4900 days, or 13 years
: .
:
: we
: many
|
g*****g
发帖数: 34805 | 20 没啥错的,password hash能被crack是因为没加盐被查表。加盐而且密码长度够,暴力
破解是
没戏的。
【在 f********t 的大作中提到】
: 你再仔细想想
:
: possibilities
: years
|
