mimiphp

来看看中文网站鼻祖：最早域名 lili.cc 现在的域名 http://www.yini.org/

哈哈，我也被楼主杠了。这就是个杠精没办法

@Kirkcong 你的历史贴也很经常啊，你发过：主观臆断、先入为主是真的累

为什么你会总结出别人就是主观臆想，你就是真理？本来整个沟通从楼主回复 2 楼，我就在给他解释，虽然有很多端对端加密的软件，但运营时是没办法完全做到的。我没有否定端对端技术的技术可行性。而且人家楼主举例的 signal ，telegram ，whatsapp 不比你 matrix+element 例子多吗？任何一个稍微正常阅读的人，都知道我说的是运营现状，你自己理解不了怪我了？

@Kirkcong 我是在尝试深入讨论一下为什么不要在意这个端对端加密，但你强调的是端对端加密是绝对安全的。我们才是互相跑题最严重的好吧。楼主一开始问的是 4 位数派生的密码到底是做什么用的.其他楼层实际上已经回复楼主了。4 位数派生的一般是二步验证的安全码而已。。

但我本来想深入讨论一下的。遇到你我也很意外，你从技术角度强调端对端加密安全，这本身没有问题。

我强调的是大型体量的至少我们熟悉的几个聊天软件，都做不到真正的端对端加密。这不是技术问题，这是运营问题。

当然你回复多次解释技术角度来讲端对端加密安全，我很认同的。如果你是开发者，或者搭建者直接宣传你的聊天软件最安全就行了。完全没有问题

补充一下支持我的观点：WhatsApp 并非主动向政府提供用户数据，但在收到适当的法律程序或具有合理理由认为可能涉及严重人身伤害时，会应政府要求披露信息。WhatsApp 不会主动存储或保留未送达消息，并且其端到端加密确保只有收发双方才能读取对话内容。
以下是 WhatsApp 处理政府数据请求的更多细节：
法律程序和政府请求
WhatsApp 会搜寻并披露经过特别指定且能够合理检索到的信息，这些信息是根据适当的法律程序提出的。
WhatsApp 会对所有政府请求进行逐一审查，并确保符合法律和政策要求，只在必要时提供最少量的必要信息。
端到端加密
WhatsApp 的个人消息、通话和动态均采用端到端加密，确保消息在传输过程中受到保护，只有收发双方能够解密和查看内容，WhatsApp 自身和第三方也无法读取。
紧急情况下的披露
在紧急情况下，如果执法部门提供书面证明并有合理理由相信存在涉及严重人身伤亡的迫切风险，WhatsApp 可能会根据请求披露有助于避免威胁的信息。
数据保留政策
WhatsApp 不会为了执法目的保留数据，除非在收到有效的保留请求之前用户已从其服务中删除相关内容。
未送达的消息会在 30 天后从 WhatsApp 服务器中删除。


Telegram 的政策表明，它不会定期向政府提供数据，但可能会在收到的法律请求后，在极少数情况下提供与严重犯罪（如抢劫）相关的信息。Telegram 调节用户隐私是其废水处理任务。
Telegram 在处理政府数据请求方面的平台
保护用户隐私：:Telegram 解决任务
法律请求的条件：:在极端情况下，如果收到包含绑架等严重犯罪的有效法律请求，Telegram 可能会提供相关数据。
定期不提供数据：:Telegram 不会定期向任何政府机构提供用户数据。
需要考虑的因素
强制要求：
尽管 Telegram 有保护隐私的政策，但如果面临某些国家需要达到的法律要求，它可能会遵守当地的法律并提供数据。
法律和监管环境：
Telegram 系统进行监控。
国家安全与恐慌：
Telegram 的加密和匿名技术已成为某些国家政府的关注对象，尤其是在涉及敏感内容或政治活动时，政府可能会加强监控。

@Kirkcong 我查了一下，Element 我理解成 vue 的开发框架了，原来是一个 andorid 聊天客户端，这是我的失误，对不起。但 matrix 也是有漏洞的最新的漏洞爆发于 2025 年 8 月。但如果你用 matrix+element ，符合我上面提到的自己开发或自己搭建才能保护自己的加密聊天。但一开始我们是在讨论体量巨大的现有聊天软件的运营情况下，是没办法继续走端对端加密的，当然我没有任何证据确认这一点

@Kirkcong 是的，我们存在严重的认知差异，没有必要讨论下去。目前还在正常的讨论阶段，但看你的回复情绪，已经到人身攻击的步骤了。我强调的是目前市面上没有绝对安全的端对端加密聊天，要么是规模小，要么是自己开发。主要讨论的运营规则上就不可能允许出现端对端。

技术上我偏向于后端，看你的技术架构偏向于前端，我没办法去跟你讨论技术。但你可以自己搜索一下问一下 AI 。前端都没必要谈加密了。

@Kirkcong 我再解释得直白点，就以 whatsapp 官方来说，我是官方开发人员，你强调 3 人群，开开心心的讨论违法信息，就连我这个官方人员都看不到。。。为了交差，方便美国政府监管，我就弄一个代码逻辑，俗称官方后门。你们 3 人群，我就悄悄加入进来一个角色，但不在客户端显示，永远都只会显示你们 3 人。你就说做不做得到吧。

所以你真的特别在意安全，一定不让任何外部人员监管，只能自己开发。

这也是为什么中国军方要自己开发系统，或者某些金融机构断开公网运行的原因了。。。你信 windows 操作系统没有官方后门的话那没得说。

@Kirkcong 我回答得不够严谨，但你解释得更不严谨了。你说到防止传输过程中被第三方攻击。。那 https 就是做这个事情的。只是大型体谅的 im 软件，都是基于 tcp 协议自研的传输协议罢了，其中的加密方式同样是握手阶段非对称传输加密证书，然后算法获取真正的对称加密证书，然后互相传输加密信息，然后互相解密对方信息。。

而我前面回复内容的重点不是传输过程中，而是拥有解密权限的角色。并且已经说到了，每个政府都希望打击违法犯罪，不论出于什么目的，除非你开的公司是在地球之外，否则你肯定就在一个国家成立公司。我已经说了大多数美国公司都标榜自己是民主自由，重视个人隐私。但那只是针对其他国家的政府。如果你在美国被美国政府要求提供数据，你是没有任何反抗余地的。当然你如果愿意相信某些新闻提到的，就是这么傲骨，就是不配合政府，用户隐私第一，而个人安危第二，那也没得说。


但我们是从业者，最起码解除的行业行为规则要比外行人多的多。
你比如，不谈这个 IM 端对端加密，就只谈一个数据库个人敏感信息保护。。。除了黑客非法拿到数据库脱裤以外不说，你认为你买的服务器，机房人员就真的没有办法拿到你的数据库和源代码吗？

比如早期其实很多数据库密码储存都是明文的。。。如果要对用户负责，最起码也要加密，比如 php 的，password_hash ，这样才能保证只有用户自己知道密码。用户只能忘记密码时重新设置新密码，而没有找回旧密码的功能。但早期并不是这样的。

而且直到现在，https 和任何加密都只是解决了第三方拦截篡改，比如以前电信官方行为任何 http 网页打开都会弹出广告。。但实际上机房工作人员，和任何第三方路由部署机构，都有可能得到你的数据，这只能依靠从业者的职业道德规范。。比如还是有很多从业者采用 FTP 协议传输。。。虽然可以配置证书，但默认情况下就是明文传输的。

还有比如为什么没有人买国人的 VPS ，而是看国际资历购买大型机构的设备。。最起码的就是人家有行业规范，有职业道德有惩罚措施等等。

所以回到这个端对端加密问题面前，在外部不可抗拒的原因之下，你如果是大型体量的官方，到底是继续保持用户隐私第一，还是放弃部分国家地区用户，还是悄悄妥协，提供数据，以方便政府监管，这些都是合情合理的。

哪有什么真正绝对的安全呢？