之前和 A core 聊过这个问题。整理一下发出来。
这个话说的可能比较绝对,有人说,缺少信任的社会是可悲的----而我想说的是,现今,被过度滥用的信任则是可怕的。通过各式各样的社交网站,如 Facebook、LinkedIn、开心网、豆瓣,但是我个人认为豆瓣算是一个比较另类的社交网站,因为上面的人很少使用真名),很多人之间的联系被轻易地挖掘和利用。
类似"谁认识谁"这样的信息,在过去是不太容易获得的。而有了社交网站,一切都变得如此透明。一个人的人际关系如何?作为招聘的HR,只要到这样的网站上检索一番就能够一目了然;想要让一个人身败名裂?很简单,从身边的人下手----几年前,在blog还没那么普及的时候,我就收到了一封匿名的"检举信",讲的是某低年级同学在某地所做的丑事,导致该君到处写信灭火,而事实?只是寻衅报复----互联网使得信息的传播变得比人类以往的任何时候都要更加迅速,当然,正如很多可以分成靠谱的和不靠谱的东西一样,海量的信息带来的则也包括了海量不靠谱的信息。
和很多人一样,我对于要求填写个人信息的注册表格有非常强烈的抵触情绪。我为什么要相信一个网站或公司能够确保这些信息不被未经授权的第三方得到?事实上,正如对软件所做的各种保护一样,主流安全公司所做的所谓验证,无非只是一种心理上的安慰----这家公司采用了比较严格的流程,使得你的隐私信息,例如姓名、地址、信用卡号,等等,不太容易被攻击者得到----比如说,这些信息只能一次性地写入到服务器,之后只能得到其中的后几位,而那台记录这些信息的服务器受到了更为严格的保护----但是,只要这些信息能够被任何这家公司的工作人员读取,那么,它就不可能是绝对安全的。
你相信大型邮件服务提供商,例如 Google、MSN、Yahoo、网易、新浪 能够保证邮件的安全吗?我想,海量的用户带来的巨大的关注成本以及这些公司招聘时候对入职人员的进行的考察所保证的职业操守,足以让我相信做为一个普通用户,完全可以信赖这些邮件系统;然而,如果你的通讯涉及到巨大的商业或其他利益,事实上,基本上没有有效的办法去阻止邮件在不知道的情况下发生丢失或被泄露给通讯双方所不知道的第三方。
从工作在客户端的间谍软件,到大楼的网管,再到互联网服务提供商(到互联网骨干,再到IDC等等),再到服务器所属的那家公司----如果考虑收信的一方,那么还要再多加一倍的可能入侵的环节,更重要的是----你的通讯多数时候是明文的。加密并不能解决全部问题,除非能够有有效的方法确认收件人的身份,并保证路上不出现故意的"遗失",还要保证,在你能够把文本加密之前,所用来编辑和加密的系统是可信的。
互联网时代没有隐私。永远不要说"永远不",但是我还是想说,如果不希望某些信息公之于众,那么最好的办法仍然是把它烂在肚子里,而不是放到互联网上某个让你觉得别人永远找不到的角落。类似地,也不要把能够很容易地获得的信息太当回事,这个世界上有很多不够小心的人,但这并不代表,这个世界上的人都不够小心。
哦,对了,写这篇文章是因为看到了 MD5 considered harmful today,终于有人凑出了一个CA证书。是的,加密也不一定有用了。
