逛 oschina 的山寨 git,发现这个项目,
https://git.oschina.net/Csharp2017 ,
少有的 C#项目,点进去看看.
然后发现了项目结构是第 x 次作业..
原来是某个老师建立的让学生交作业的项目,每一次作业都是一个文件夹.每个学生把当次作业 push 上去,文件名还要是学号和名字...
我也是醉了, 这老师觉得自己很时髦?安全意识跑哪去了.
随便搜一组学生名字和学号,就能搜到是天津大学.再搜搜学院信息也都能查到.
自己建个私有 git 很难吗?能教编程这点安全意识都没有.
 |
101
gesse Jun 2, 2017
 人家红薯都没说什么 |
 |
102
wangxiaoer Jun 2, 2017
@xxiu 我也并没有恶意,只是觉得在使用 git 和代码托管平台就应该按照常规实践来使用,如果只是所谓的文件存储、共享用网盘更方便。我觉得无奈的是没有在合适的场合选择合适的工具,一般人就算了,但作为教 CS 课程的老师,这种选择会让人觉得不专业。
|
 |
103
yeziahehe Jun 2, 2017
红薯大佬。
|
 |
104
Perry Jun 2, 2017 via iPhone  3
V 站一些人的多管闲事让我开始怀疑人生
|
 |
105
likuku Jun 2, 2017 2
看了这么多回复,看来国内信息安全现状在未来 20 年是不会有啥改善了...
|
|
106
wangxiaoer Jun 2, 2017 1
@gesse 个人觉得红薯那个声明没啥实质意义,更多是一种姿态。作为网站创始人,这种情况下总不能说让注册用户离开吧,那样的话等于让很多潜在用户如学生等望而却步,索性来个肯定的表态。
但是这种做法欠妥,作为运营者来讲,在肯定的基础上,如果能够讲明代码托管和网盘服务的区别,并且协助、引导那位老师和学生采用“正常”的代码管理流程,进一步享受 oschina 提供的服务的便利,这才是既兼顾了客户又坚持了原则。否则按照目前这种姿态,可能会造成一个小热点,吸引一波用户,可是如果一窝蜂都去当免费网盘用,正常的代码托管用户的资源势必收到挤压,网盘又比不过专业的,两边都不讨好,最终没有任何人受益,这样吸引过来的用户有价值吗? |
 |
107
zoker Jun 2, 2017 6
楼主说法本身就不严谨,就不要强迫别人想的很细致。
你知道 Git 是什么吗?什么叫 OSChina 的山寨 Git ? 准确点你想黑的话,应该说 OSChina 的山寨 Github 或 山寨 Git 托管服务。 山寨 Git 是什么意思? 你这么有安全意识,为学生信息安全着想,你就不应该再把地址贴到这里。 - From 20094657 |
 |
108
leave01 Jun 2, 2017
莫名其妙的优越感
|
 |
109
hoythan Jun 2, 2017 5
妈的 git 的主要目标不就是开源吗?作业分享大家一起看一起解决问题怎么了?V 站婊子越来越多了.
|
 |
110
quix Jun 2, 2017
建议屏蔽名字
|
 |
111
sherrybiubiubiu Jun 2, 2017
老师应该是想让同学们可以互相看看别的同学写的代码吧 有这种老师都是幸运的 我们学校都是光盘把一个班的项目打包。。。。。。
|
 |
112
wolfan Jun 2, 2017
@hoythan 针对这事,确实有个不妥,如果能把学号(或者包括姓名)改用一个代号更好,毕竟学号还是不宜如此不紧慎的,当然如果换面私有项目就没有这些问题了 。
|
 |
113
byuc Jun 2, 2017 1
用楼主的话来说,最后一句应该换成:“自己建个私有 的山寨 git 很难吗?”
求教正宗的 git 在哪里? |
 |
114
ioriwong Jun 2, 2017
赞一下老师,唾一下楼主
|
 |
115
laoyuan Jun 2, 2017
铜币技能 get
|
|
116
laoyuan Jun 2, 2017
别的学校我没研究,山东大学 sdu.edu.cn 的网站群上,奖学金、保研的,学号、身份证号、姓名院系,全都有,这是要公示的!
|
|
117
laoyuan Jun 2, 2017
这样确实不太好,我觉得信息公示至少身份证号应该打几位码
|
 |
118
run2 Jun 2, 2017 1
有些学校呢,学生的用户名是学号 初始登录密码是身份证特定几位。
然后.... 其实通过学号真的可以搜出一堆东西 |
 |
119
l00t Jun 2, 2017
@wangxiaoer 这就不是一个项目,要啥 readme? 还有你哪看到提交作业用的是 pptx 格式? 怎么我看到的大多是 PDF,少部分是 md ? git 作为一个版本控制系统,甭管传的格式是啥,必要的时候版本回退总是可以用的吧。
|
|
121
wangxiaoer Jun 2, 2017
@l00t 按照目前那个仓库里面的文件,每次一个文件夹,真没看出来用版本控制的意义在哪里(实际上作业这种东西也不存在回退不会退的问题了,作业之间都是相对孤立的),所以我觉得这种情况百度网盘加个密码是最合适的。如果用 osc 的代码托管,就文本方式正常提交代码,如果用心的话分支、tag 啥的都试一试,就当学习 git,这样子挺好的。
至于学号、姓名之类,有保密意识固然好,但这个不是我的喷点 :smile: |
|
122
l00t Jun 2, 2017
@wangxiaoer 一次作业可以多次提交啊,虽然大部分都是后面的版本有效,但也许就有人遇到发现改了后还是改之前的版本更好的情况呢。另外就算拉倒网盘一个高度来比较,这套操作方式也比网盘方便啊…… 百度网盘你是打算大家共用一个账号?谁把谁的东西改了都不知道好么。
|
 |
123
imbushuo Jun 2, 2017
我们都是 Computing Account 对应开 Private GitHub Repo 的
|
|
124
run2 Jun 2, 2017
http://gs.tju.edu.cn/xw_infor/default.htm
佐证 #118 的 有些学校呢(同一个学校),学生的用户名是学号 初始登录密码是身份证特定几位。 用户类型 登录名 密码说明 所有研究生 学号 与培养选课系统相同,初始密码为身份证号 |
 |
125
SourceMan Jun 2, 2017
虽然我也觉得不是很妥当,放公共 repo
但是 我就是要唾弃 v2 上面居高自然的不良风气 |
 |
126
yuan93 Jun 2, 2017 2
楼主没有搞清楚 git 和 github 的关系 /区别
|
 |
127
solee Jun 2, 2017 1
没有私有化确实有问题 但是山寨 git 我只能呵呵一笑了
|
 |
128
anviod Jun 2, 2017 1
既然有安全意识,楼主是否有披露原则? 贴链接公布他人信息是否妥当?这是负责任的态度?
|
 |
129
ParallelMao Jun 2, 2017
讲实话在学校的时候我也曾无比期望需要实践的课程老师能用这样的方式来管理学生的作业,但是我们学校的老师们都不愿意去学 git 更不用说还能用 git@osc。总之对这件事我觉得老师没有错,只是可能在用的方式上有一些可以改善的地方,比如可以给每个班建一个 group,然后项目设置为 group 内部可见,公网不可见之类的。希望该老师能够坚持下去。
|
 |
130
Icemic Jun 2, 2017
我校又火了 2333
|
 |
131
onlyice Jun 2, 2017
楼主是否有统计过,贴学号被人人肉的有多少比例?造成了怎样的隐私问题?带来了多少影响?有多少人在意被贴学号?
|
 |
132
Sjmr Jun 2, 2017
看回复就清楚,国人对自己的隐私被泄露已经到了习以为常麻木不仁的地步,但是题主把链接发出来的作法实在不敢恭维,这不就闹出了那个 Issue,并且让更多人知道了这些东西,如果你是当事人会开心吗?
|
 |
133
parametrix Jun 2, 2017 4
很奇怪,难道因为“反正很容易就能搜索到”,“学校信息系统本就漏洞百出”,或者“这种信息又不能把钱从你银行卡里取出来”就无所谓了?难道这种态度不是在为已经十分严峻的信息安全形势“添柴”?
很多东西本就不是只有两种极端,从“该信息会跟着我进坟墓”到“这本就是应该公开获取的信息”中间有很多选择吧,每一次选择稍微用心一点,选择更安全的做法,都会增加整体信息安全的强度,让恶意者付出更高的成本。 这件事情里,学校只要选择使用私有库就能避免问题,成本很小,想不出不做的道理。如果说“反正学校其他网站 /BBS 上就能找到这些信息,我多做也没用”,我觉得这是态度问题。 |
|
135
run2 Jun 2, 2017
里面有位太自以为是了,以为我在喷他...
你哪位?值得我喷么? 可以看看 ls 对你这种态度的说法,都是在讨论态度和思维方式而已,谁管你是谁 |
 |
136
sumonian Jun 2, 2017
楼主真是蛋疼的想法
个人觉得挺好 |
 |
137
coolypf Jun 2, 2017
打开链接发现里面已经喷起来了……
|
 |
138
VectorHuang Jun 2, 2017
哇..现在的老师都会用 git 了。
|
 |
140
yangzj1992 Jun 2, 2017
我觉得这真的是纯粹小题大做,上纲上线了...
|
|
141
parametrix Jun 2, 2017 1
我这里再举个例子补充一下我个人的看法:比如从银行把钱取出来就立即放进钱包里这个习惯。
假定一个银行每天接待 1000 名客户,每天取出 100w 现金(这都是例子,具体数字我并不清楚),大家取完钱后都小心的收进钱包,那么一个蹲点的盗贼怎么看呢?他在抢一位客户的成本下,收益预期是 100w/1000=1000 元,假定他被抓的概率是 5 成,会没收所得,并在监狱里关 10 年,而不偷窃的话社会低保一个月给他 500 元,500*12*10=60000 元,所以他采取行动的预期净收益是 1000*0.5-60000*0.5=-29500。 但假定大家没有这个习惯,而是取出来的钱就随便拿在手上,那盗贼只要盯一个取了 10w 的人,就能预期正收益。 虽然把钱放进钱包里这个习惯不能完全避免被偷,不能避免小偷知道谁去了钱,甚至不能完全避免小偷知道你取了多少钱,但他要获取相同的资讯代价就大了很多。这样一个小习惯,在整体上为大家带来的很大的安全收益。 |
 |
142
Qcui Jun 2, 2017 2
什么样的用户养什么样的厂商,国内互联网厂商为啥对隐私肆无忌惮,就是因为这么多人根本就不在乎自己的隐私
|
 |
143
shierji Jun 2, 2017 via Android
我觉得这个事儿好的地方比坏的地方多一些
|
 |
144
chenyu0532 Jun 2, 2017
好不容易来了一个不是 XXX 语言怎么样? java 是不是快死了? php 是最好的语言么? 之类的开喷帖子。。。wahahahha
|
|
145
chenyu0532 Jun 2, 2017
认真的说学生的那点破信息,学号 姓名 之类的没啥价值,去办手机号的时候你的信息已经泄露了。这点小破信息没人在意。以后买车 买房 后再说个人隐私问题吧
|
 |
147
hijkzzz Jun 2, 2017
难道要用垃圾 FTP 服务器打包 word 文件提交抄来的代码?
|
 |
149
mozutaba Jun 2, 2017 via Android
研究生时就是这么干的。github 上加入老师的组织,然后 push 自己的代码,好处是没有抄袭问题,坏处是学号邮箱被知道了。
|
 |
150
maintainer Jun 2, 2017
LZ 既然这么有安全意识,不应该先告诉那位老师有信息安全问题,然后等得到准确回复后再公开这个项目的链接吗?
有的黑客找到 BUG 后都会先通知厂商修复它,等修复后才曝光呢。 |
 |
151
jayin Jun 2, 2017 via iPhone
震惊!
|
 |
152
m31271n Jun 2, 2017
别人用什么,关你鸟事。瞎操心。
|
 |
153
casparchen Jun 2, 2017
@Sweden 我们连身高体重身份证号都是
|
 |
154
SharkIng Jun 3, 2017 via iPhone
让我想起了上次那个 git 交作业 被队友坑了那个帖子
|
 |
157
xvx Jun 3, 2017 via iPhone 1
看了这么多回复,竟然连 V 站这么多人都这样的想法,看来国内隐私安全之现状,死光这一代再死光下一代,都不会变得有好转的了。
|
 |
158
azoon Jun 3, 2017
闲的蛋疼
|
 |
159
Clarencep Jun 3, 2017
顶 LZ 一个。使用 git 完全可以自己搭个服务器。若是嫌 gitlab 太复杂,完全可以使用 gogs 这只拆箱即用的。
反正我是不会把敏感信息都放公开的 git 库上的。 幸好没有遇到这样的老师 :) |
 |
160
Miy4mori Jun 3, 2017 via iPhone
这 tm 也能怼,还有人吐槽为什么不用 markdown 代替 pptx ?说不出话。v 站现在的群众真是越来越厉害了……
|
 |
161
lp10 Jun 3, 2017
嗯,不应该把已经公开了的信息再发送一遍……
你这跟别人提交了漏洞先报警的有啥区别? 乌云就是被你们这种人搞死的 :D |
 |
165
wujunchuan2008 Jun 3, 2017
我觉得这点信息没啥价值吧,比起手机号码啥的,学号姓名真不算什么
而且至少从教育层面出发,在学生中推广 Git 也挺好的 |
|
166
parametrix Jun 3, 2017
看到很多朋友觉得像姓名学号之类的信息没什么价值或者不算隐私,那么按照这种观点,快捷支付绑定银行卡验证的五要素哪些算是有价值?哪些算是隐私?或者学号没有价值,按这个道理身份证号有没有?
现实也应证了这种心态,现在五要素里真正起作用的恐怕就只剩下短信验证码了,要不会出现验证码泄露,银行卡就被绑定盗刷这么滑稽的事情? 就事论事,我个人对于在学生中推广 Git 也很赞同,而且像姓名这种在一定范围内公开的信息,现实中也难以保护的尽善尽美,所以我没有想苛责当事人这件事情没做好,只是针对业者托大的态度。 现在“信息安全”,“保护隐私"在衡量产品的时候权重实在太低,很多网络产品不上 https,一说起来就是会增加服务器负荷,可见用户信息安全在他们心目中连这点成本都不值。那邮件、即时通讯还加什么密?用户密码为什么要加盐 HASH ?手机系统为什么要升级? APP 的权限当然是全要啦,万一以后要用呢?总而言之,我这里取的用户信息没什么价值就是了。 还有,已经泄露的信息那是没办法了,但总不能就这样自暴自弃,还是要努力一下的,未来日子还长呢。。。 |
|
167
Miy4mori Jun 3, 2017 via iPhone
@Trim21 醒醒,pptx 是基于 XML 的,况且二进制怎么就不能上 git 了? LFS 研究出来干什么的? git 没学会教条主义倒是学的不差,在下佩服。
|
|
169
Miy4mori Jun 4, 2017 via iPhone
@Bryan0Z 这倒没注意,退一步就算是二进制传 git 也没什么吐槽的,更何况人家用的好好的 ppt 要被吐槽用 git 就要用 markdown。一脸问号,什么时候 markdown 还能取代 ppt,真是吐的没水平。
|
|
171
gesse Jun 4, 2017 via iPhone
莫名其妙的优越感
|
 |
173
Trim21 Jun 5, 2017 via iPhone
|
 |
174
milly Jun 6, 2017
码云支持免费设置成私密项目,估计老师还比较懒
|
Select Language