-
将来是否考虑付费用户有互联网分享功能
2023-07-14 09:49思源还是那个思源,网络分享发布事实上就是一个单独的服务而已。有插件自己实现了,这个服务当然也可以作为第一方的付费服务提供,与思源本身并不违背。这和 ob 一样的道理
-
想在思源上开发一个 xmind 预览功能的插件,大家有什么思路?
2023-06-01 17:26下载 WebAPP 插件,打开插件 dock 种的 xmind,然后从本地加载文件,就能预览了。
前提是你能上网
-
关于数据同步提供内置密钥的讨论
2023-05-15 13:24你的数据上传到服务器的时候已经加密了,理论上从服务器那根本获取不到明文内容,除非你自己的密钥见光了。
我能够想象的实际方案实现,无论那种情况,密钥会被作为一种“可还原”的数据存储在云端,要么明文,要么加密存储解密使用,其达不到常见的“hash(密码 + 盐)"的那种密码存储方式,就存在危险性,对用户对思源都不利,也就是说你的密钥是在云端“见光”的,算法上无法保证其安全性。或者如果有哪个技术方案可以满足云端不存储你的密钥的方法,也可以跟大家分享一下。
跟 wolai,flowus 或者 notion 不同,思源没有云端,所有数据都在自己的手里。用户用云端产品和本地软件的感受是不一样的。默认上用户的感受就是没有人能够获取你的数据,这是思源非常重要的特性和与其他类似产品的本质区别。
-
关于数据同步提供内置密钥的讨论
2023-05-12 18:06我是不相信所谓的“内置密钥”的安全性,而不是否定两种方案的问题。
如果加这个功能,思源不可能再做一种底层同步方式,肯定还是内在原理不变的,密钥必然还是直接存的而不会实现不可逆的加密校验。一般用户管理系统都不会直接存用户密码而是通过算法二次验证两个值相同,确保密码本身并不会被系统“记住”。
-
关于数据同步提供内置密钥的讨论
2023-05-12 10:11加上安全模式和免责声明吧。另外移除 window.siyuan 里面的密钥相关信息,避免泄露密钥出去。S3 的 secret 可不仅仅是能访问某个 bucket 用,用面很大的。
-
关于数据同步提供内置密钥的讨论
2023-05-12 09:44网络安全课程里第一堂课讲的内容:“安全性最重要的不是算法,而是密钥的管理”。啥算法再高级,只要你密钥泄露出去了,基本就是玩完。密钥不做保护,太白搭。甚至可以被内部利用。
本地客户端,密钥直接就在全局变量里,window.siyuan.config.repo.key。所有插件都可以直接访问的到,S3 配置,window.siyuan.config.sync.s3。拿到这两样,一个思源用 S3 存储的客户的数据就已经可以被插件读走了。假设我做个好用的插件,直接编译压缩混淆,代码审核起来也费劲,完全是有可能的。
-
关于数据同步提供内置密钥的讨论
2023-05-11 20:36提供一下云端存储密钥如何确保在被脱库的情况下仍能确保密钥不被泄露的方案吧。能达到一般系统的数据库和代码暴露的情况下仍然获取不到密码的方式就可以了。
-
关于数据同步提供内置密钥的讨论
2023-05-11 18:38内置方案有悖思源隐私性的特点,主打的安全性将被破坏。托管客户的密钥也将置官方于不利境地,相当于是沦落为跟 Notion、FlowUs、Wolai 同流了。客户无法相信审查是不是就是下一步。
思源作为一家非常注重云端数据隐私性的笔记厂商,建议借鉴 1Password 在密钥管理方面的经验。在生成密钥时生成“急救包”,告诫用户做好保存。
-
(想法不够成熟,评论区有更好的想法)希望限制 云端数据快照 每日下载次数,比如为 10 次或其他,不建议少于 5 次
2023-04-25 14:00拉倒吧,想浪费流量还用得着这么麻烦。你这么做真有人找不回来快照一天找 10 次就不让用了???
安全防控疏大于堵,做好流量监控,告警管理,封堵该封堵的客户,哪怕是误封都比全打死强
-
云端,按需同步,家庭存储一些不成熟的想法
2023-04-25 10:27建议能够将视频、图片等多媒体资源能够关联到外部资源即可,而不是整个 assets 都迁移出去,这个改动量太大了。引用外部资源并不意味着思源的隐私性被破坏,更不能咬着全离线不放,咱们现在图片也是支持本地和线上两种的。
比如只要打通 NAS 的视频资源可以通过 URL 的方式读取到,视频块再支持 URL 读取加载适配,链路走通就可以了。这块会有不少的工作量,比如怎么适配百度网盘、阿里网盘等等,静态资源是最好的,直接浏览器原生支持,但是需要魔改的代码就需要一些工作量开发了,可以自行开发或者等社区。重点还是开放出也给接口。当然上述这些内容甚至可以用挂件来实现 😂 。
只用思源背后的七牛云存这些内容本身也不是很合适,发挥出不同存储方案链接方案的多样性就挺好的了。思源本身技术是 Web 技术,我们可以多多考虑 Web 技术的多样性。
-
能否提供一种仅手动触发但方向自动的同步方式?
2023-04-23 15:14那倒没事,对于我这种需求的,本身就知道这种问题了。所以我的需求仅仅是相比完全手动,不用我自己决定同步方向,因为有可能线上和本地的就是同时有增有减的,不能以任何一端为准的。
-
能否提供一种仅手动触发但方向自动的同步方式?
2023-04-23 15:11其实就是把启动和关闭时自动同步这个挪出来个开关就行了。同步涉及到三个逻辑:
- 启动/关闭思源笔记时自动进行一次同步
- 无变动时进行自动同步
- 同步机制使用自动判断还是用户自行判断
能分开就更自由一些了。
-
使用 docker 部署的思源笔记网页如何添加备案号
2023-04-23 14:21手动修改容器里面的/opt/siyuan/stage/auth.html,在 html 里面加上你想添加的文本即可。
前提是你会用 docker 和编写 html,以及你还申请到了备案号才行。
-
云端,按需同步,家庭存储一些不成熟的想法
2023-04-23 09:58七牛云 kodo 并不贵,对于我这种 2GB 不到的用户,除了初次全量同步花一块多,每个月增量同步也没几毛钱都。相比官方会员便宜的相当多了