海棠文學(xué)網(wǎng)在管理上的安全隱患

    海棠文學(xué)網(wǎng)在管理上的安全隱患

    拋開(kāi)偷稅漏稅、洗錢(qián)、臺獨等來(lái)源不明的信息，海棠文學(xué)網(wǎng)在應對這次事件時(shí)，“事前天真，亡羊補牢又太晚”（來(lái)自長(cháng)毛象網(wǎng)友）。尤其是6月底開(kāi)站后繼續讓作者解鎖更新提現，瞎了我眼（不好意思忍不住帶上個(gè)人情緒）。海棠在本次事件中應該承擔什么責任？

    資金流水的風(fēng)險

    只要你的稿費是通過(guò)國內渠道收到的，不管是支付寶微信銀行卡，就有風(fēng)險！國內流水對于監管來(lái)說(shuō)是透明的，有大額來(lái)歷不明的流水就會(huì )有被查的風(fēng)險。加上國內的實(shí)名制，流水一擼到底，警方有你的地址、通過(guò)運營(yíng)商監測你的訪(fǎng)問(wèn)記錄都是很簡(jiǎn)單的事情。

    因此不要管經(jīng)銷(xiāo)商是不是參與洗錢(qián)，他就算沒(méi)洗錢(qián)，海棠通過(guò)經(jīng)銷(xiāo)商用支付寶微信充值，還用支付寶微信給作者打錢(qián)，出事被查只是早晚的問(wèn)題。Po18據說(shuō)打錢(qián)更正規，正規沒(méi)用，只要是通過(guò)寫(xiě)高h賺錢(qián)并且有國內流水，都有風(fēng)險。因此Po18讀者未雨綢繆提醒大額作者提前銷(xiāo)號也是有道理的。

    海棠的責任在于沒(méi)有任何風(fēng)險意識。有長(cháng)佩實(shí)體書(shū)出事在前，海棠居然還繼續找大陸經(jīng)銷(xiāo)商負責充值提現，還用支付寶微信給作者發(fā)稿費，沒(méi)弄任何跨國轉賬第三方支付，為什么要這樣做，這是個(gè)謎。

    網(wǎng)站安全漏洞

    海棠的網(wǎng)站有嚴重安全漏洞，對作者讀者都非常不負責。其中之一體現在密碼管理上。海棠的密碼是用明文或者可逆加密保存，管理員能直接看見(jiàn)密碼，或者通過(guò)技術(shù)方法（對稱(chēng)式加解密）獲得用戶(hù)密碼。當然管理員沒(méi)理由用你的賬號做什么事，但一旦有黑客入侵掌握了數據庫，所有人密碼外泄。如果你大部分網(wǎng)站甚至支付寶賬號都有同一個(gè)密碼，就會(huì )十分危險。

    我怎么發(fā)現他們保存密碼的方式如此落后？一般網(wǎng)站使用密碼散列算法保存，數據庫被黑也不會(huì )泄露密碼。對于普通用戶(hù)找回密碼的方式一般是網(wǎng)站向你的郵箱發(fā)送修改密碼的網(wǎng)頁(yè)，你通過(guò)網(wǎng)頁(yè)設置新密碼。我向海棠申請找回密碼，海棠直接把舊密碼用郵件發(fā)回給我！我點(diǎn)開(kāi)郵件的那一刻就被閃瞎了眼，并立刻修改其他有一樣密碼的賬戶(hù)，乖乖給密碼管理軟件交錢(qián)，每個(gè)賬戶(hù)都設置巨長(cháng)的密碼。偷懶要不得！

    可見(jiàn)海棠網(wǎng)站其他方面的安全性也要打個(gè)疑問(wèn)的。為何網(wǎng)站運營(yíng)那么久沒(méi)出現安全事故，也是個(gè)謎。難道是因為黑客看不上？

    人工審核

    海棠的充值系統人工審核也就算了，大陸作者出事后，許多作者申請銷(xiāo)號，銷(xiāo)號流程也是人工審核……

    一邊是作者心急如焚不停發(fā)郵件要求立刻銷(xiāo)號，一邊是只有兩個(gè)編輯處理上百個(gè)郵件，是打工人也崩潰。不是不想盡快處理，但人力的效率就是有上限。我們得問(wèn)，為什么就不能將流程自動(dòng)化？

    其次，海棠網(wǎng)站和作者的利益有沖突。海棠雖然大部分用戶(hù)在大陸，也會(huì )有臺灣用戶(hù)以及海外華人。作者刪文銷(xiāo)號，這部分讀者尤其是付費讀者肯定會(huì )不高興，他們是有權告海棠違反消費者權益的，因此海棠編輯在銷(xiāo)號時(shí)扭扭捏捏，使得大陸作者處于被動(dòng)狀態(tài)。

    網(wǎng)站管理落后 網(wǎng)站和作者權益有沖突，不出事則已，一出事就會(huì )讓作者處于被動(dòng)。作者有什么方法從一開(kāi)始就掌握主動(dòng)權？請聽(tīng)下回分解。

    警方查人的行動(dòng)推測

    海棠作者被大規模帶走后引起耽美社區的恐慌。大家為了保證作者們的安全奔走相告，并出現了“想查都會(huì )查到你”“接下來(lái)愛(ài)發(fā)電、云盤(pán)、推特、廢文都會(huì )被查”的言論。那么我們從技術(shù)上分析，真是想查就能查到你嗎？有哪些是容易查到、哪些是不容易追蹤到的？

    海棠事件有個(gè)明顯的爆雷點(diǎn)：流水

    經(jīng)銷(xiāo)商給作者發(fā)稿費是高度中心化的，并且稿費走的是微信支付寶的途徑。前面我們講到，只要是通過(guò)國內途徑的流水，想查一定能查得到。警方獲得微信支付寶流水，你的地址、手機號、身份證都能獲得。

    很多人把責任推到經(jīng)銷(xiāo)商身上，認為經(jīng)銷(xiāo)商如果不爆雷，也不會(huì )暴露那么多作者。經(jīng)銷(xiāo)商確實(shí)要承擔一定責任，但不是說(shuō)沒(méi)這件事作者就安全了。大額流水容易引起監管的注意，尤其是你的收入途徑不正規，加上支付寶會(huì )choucha流水，作者怎樣都是解釋不清的。

    去年男頻黃文h站被查，也有一批作者被抓，取保候審出來(lái)，有些人還在等判。根據我在NGA社區上收集到的信息，h站事件的模式是：作者在pixiv上發(fā)幾萬(wàn)字的預覽，然后引流到Hiccears即h站。H站是日本的一家類(lèi)似愛(ài)發(fā)電的平臺，在國內有代理，可以通過(guò)支付寶支付。H站作者被抓也是因為有支付寶流水。

    某NGA用戶(hù)發(fā)帖指出：“……另外沒(méi)有進(jìn)去可能是因為他走的是紅P，沒(méi)辦法證明他盈利?！保tP應該指的是美國的創(chuàng )作者贊賞平臺Patreon，愛(ài)發(fā)電的模仿對象）

    另外，男頻那邊也有通過(guò)QQ群收錢(qián)的，也被抓了。

    由此可見(jiàn)，【只要通過(guò)h文盈利，走國內流水，和國內身份對應起來(lái)，就是高風(fēng)險?！?/br>
    基于以上原則，我們就可以推測剩下的網(wǎng)站那些是高風(fēng)險、哪些是低風(fēng)險：

    愛(ài)發(fā)電：所有網(wǎng)站中風(fēng)險最高。愛(ài)發(fā)電服務(wù)器在國內，有備案，走國內流水。一旦出事，抄家直抄服務(wù)器，后臺數據都可獲得。海棠小流水作者尚可用銷(xiāo)號降低風(fēng)險，愛(ài)發(fā)電就沒(méi)有這個(gè)選擇了。建議在愛(ài)發(fā)電用高h盈利的作者盡早采取措施。風(fēng)平浪靜后也不要再在愛(ài)發(fā)電賣(mài)高h文，高風(fēng)險一直在。

    Po18:   臺灣網(wǎng)站，服務(wù)器在境外，除非黑客入侵倒不用擔心后臺數據。但是在Po盈利的作者走國內提現渠道的，風(fēng)險較高，建議盡早采取措施。

    廢文：服務(wù)器在境外，管理員在境外，不盈利（不盈利的話(huà)警方不能收到退贓，徹查的概率較?。?，用戶(hù)注冊不實(shí)名，風(fēng)險較小。但是，【如果你的廢文賬號和微博/微信等國內平臺對應上，相當于實(shí)名，同時(shí)有人舉報你，警方一定會(huì )辦案，此時(shí)風(fēng)險增高?！拷ㄗh做好身份隔離。

    AO3：境外網(wǎng)站，不盈利，用戶(hù)注冊不實(shí)名，同廢文。如果你的AO3賬號和微博/微信等國內平臺對應上，且有人舉報，風(fēng)險增高。建議做好身份隔離。