V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ThinkStu
V2EX  ›  问与答

沉浸式翻译强制收集所有用户的 token 令牌,这合理吗?

  ThinkStu · 32 天前 · 12557 次点击
这是一个创建于 32 天前的主题,其中的信息可能已经有所发展或是发生改变。
起因是无意中看到「沉浸式翻译」中有这么一个云服务同步功能,但是并没有提供开关选项:


然后抓包发现,沉浸式翻译强制会收集所有用户大模型服务和翻译服务的 token ,同步至他们的服务器,我的所有 token 都被收集了。
具体 api 网址为: https://api2.immersivetranslate.com/v1/user/settings




个人理解,虽然沉浸式翻译提供了许多免费功能,但本质上是一款商业软件。用户的 token 作为一项很隐私的数据,未经允许就会全部上传至自己的服务器,存在滥用以及被盗用的风险。这合理吗?
第 1 条附言  ·  32 天前
见楼下评论:

62 楼
---

收集用户的 token 令牌並不合理,理应提供开关选项,同步时先由用户定义访问金钥,在客戶端加密后才上传。
许多 token 令牌並不只是具备翻译作用,还具备帳戶控制、账单检阅、翻译记录等隠私。
假如 OPENAI 的 token 泄漏,最大的危机並不是账单问题,而是透过 API 查看历史记录中包含的公司、代码信息。


65 楼
----
阿里云的 Key 都直接收集也是够猛,如果是主账号的密钥,能直接白嫖你阿里云买各种服务器等产品
第 2 条附言  ·  31 天前
⭐️关于「沉浸式翻译」作者的回复,大家可以参见 87 楼
109 条回复    2024-05-28 14:39:23 +08:00
1  2  
angry41
    1
angry41  
   32 天前   ❤️ 1
不合理,未通知未授权就同步就是不合理不合法的
thinkm
    2
thinkm  
   32 天前   ❤️ 2
是我就加个密再上传,抓包也不知道收集的是什么
choah
    3
choah  
   32 天前
我没有这个同步的界面,是不是因为我没登录的问题?
fusi
    4
fusi  
   32 天前
不登陆就不会有这个选项
虽然想要同步肯定要把你的 token 上传到云端,但是确实应该提供一个开关
EJW
    5
EJW  
   32 天前
我没登录,就没有这个选项
0o0O0o0O0o
    6
0o0O0o0O0o  
   32 天前   ❤️ 7
NeverBB
    7
NeverBB  
   32 天前 via Android
这是要一鱼多吃嘛
drymonfidelia
    8
drymonfidelia  
   32 天前 via iPhone   ❤️ 1
这扩展推广手段也有够流氓的,我关注的好几个日本画师无关推特下都有他们广告
SingeeKing
    9
SingeeKing  
   32 天前
同步不是付费用户的功能吗,免费用户也能用?
crocoBaby
    10
crocoBaby  
   32 天前
换一个翻译,不要让他一家独大,垄断就乱来
ThinkStu
    11
ThinkStu  
OP
   32 天前
@SingeeKing #9 目前来看,只要登录了就会同步
drymonfidelia
    12
drymonfidelia  
   32 天前 via iPhone   ❤️ 3
@drymonfidelia 这扩展推广手段也有够流氓的,我关注的好几个日本画师无关推特下都有他们广告。推特 Latest 搜 immersive translate 全是他们的 SPAM 账号,复制粘贴一样的文案回复在推特底下,只要推特出现关键词 translate/translation 就有可能被他们回复 SPAM ,即使内容完全无关。我刚举报 ban 掉一个,又换一个。
gechang
    13
gechang  
   32 天前
我没有登录账号,我也没有填 token ,用自带的翻译,能用就行懒得配置
HUZHUANGZHUANG
    14
HUZHUANGZHUANG  
   32 天前
很简单,去淘宝买个 DEEPL 的免费 KEY,作为翻译主力不就可以了嘛
864766428
    15
864766428  
   32 天前 via iPhone   ❤️ 1
之前爆出收集隐私信息和国内某企业有合作的时候就弃用了,现在用 kiss translate
body007
    16
body007  
   32 天前   ❤️ 1
可以了解下 沉浸式翻译 的开源历史,反正我是看到这个 /t/969318 后不用的。我现在只用 chrome 自带的右键翻译,没有双语显示确实麻烦,不过我也懒得折腾了。
ThinkStu
    17
ThinkStu  
OP
   32 天前   ❤️ 6
@HUZHUANGZHUANG #14 老哥,问题是他们会收集所有的用户 token ,而不是我应不应该去淘宝买免费的 DEEPL KEY
drymonfidelia
    18
drymonfidelia  
   32 天前 via iPhone   ❤️ 6
建议大家都去 report abuse 到他下架,未经同意收集 token 肯定是违反 ToS 的
x86
    19
x86  
   32 天前
如果 key 不能同步,那还叫啥同步
zhaotianxionkm
    20
zhaotianxionkm  
   32 天前
@x86 首先应该通知和授权,第二可以加盐,但是它连盐都没加。
ThinkStu
    21
ThinkStu  
OP
   32 天前   ❤️ 1
@x86 #19 我理解是,如果用户同意,那么可以收集。如果用户不同意,你不应该在毫不知情的情况下将用户的所有 token 上传至服务器
drymonfidelia
    22
drymonfidelia  
   32 天前 via iPhone
@x86 不是说不能同步,关键是“未经同意”
cat9life
    23
cat9life  
   32 天前
@0o0O0o0O0o #6 好评
jspatrick
    24
jspatrick  
   32 天前
同步一样有很多方案的,类似的通过 gist 或者 webdav 也能完成同步,还不会涉及隐私问题
xmumiffy
    25
xmumiffy  
   32 天前 via Android
@zhaotianxionkm 加盐是什么鬼
HUZHUANGZHUANG
    26
HUZHUANGZHUANG  
   32 天前   ❤️ 1
@ThinkStu #17 我想表达的是:
1 、DEEPL 免费容量 KEY 在淘宝上很便宜( 10 元左右),每月 50 万字符的免费额度,基本够用,即便 key 被盗用,可以让你的损失没有那么大。
2 、OPAI KEY 我也在用,先进的模型调用一次我觉得还是比较贵的。所以 DEEPL 免费容量 KEY 作为替换,无论成本还是损失上都可以接受。
3 、他们这个插件的这些操作是你可以控制的吗?不能控制的事情,纠结起来也没有意义,只能改变自己来降低风险。
4 、你说了“目前来看,只要登录了就会同步” ,所以放弃登陆,然后删除之前的 OPEN AI KEY.基本就避免可 key 被盗用问题对吧?
5 、DEEPL 是做专注于翻译的,说是世界上最准的翻译工具。翻译功底上定比 OPEN AI 翻译来好一些。因为术业有专攻嘛
zhaotianxionkm
    27
zhaotianxionkm  
   32 天前 via iPhone
@xmumiffy 考虑错了,密码应该加盐,秘钥不用。
body007
    28
body007  
   32 天前   ❤️ 2
@xmumiffy 它这个功能是多端同步,那么可以在客户端加密传到服务器,用户指定加密密码,这样服务端无法解密,这才是让用户可信的操作。
justsomac
    29
justsomac  
   32 天前   ❤️ 1
@HUZHUANGZHUANG #26 你回复的都对,但对 OP 来说是牛头不对马嘴
BeijingBaby
    30
BeijingBaby  
   32 天前
pcdn 模式?
HUZHUANGZHUANG
    31
HUZHUANGZHUANG  
   32 天前   ❤️ 1
@justsomac #29 嗯,我更想表达的是:你控制不了的事情,讨论起来也没有意义。只能改变自己。
EyebrowsWhite
    32
EyebrowsWhite  
   32 天前
作为一个商业产品来说,真的太粗糙了
iold
    33
iold  
   32 天前
已经切换到 cici ,翻译,总结,搜索
yangzzzzzz
    34
yangzzzzzz  
   32 天前
mac 一直用 bob
raptor
    35
raptor  
   32 天前
这软件出的问题真不是一般的多啊……隔三叉五就看到曝料这个问题那个问题,而且也不止是在 V 站看到,反正我是不敢用。
lambdaq
    36
lambdaq  
   32 天前
不是哥们,这功能的作用是「在不同设备之间同步配置」,你的 token 还要不要同步呢?
Fooooo0
    37
Fooooo0  
   32 天前
@lambdaq 隐私信息要不要同步,要先询问,经过用户同意。而且隐私信息同步没做任何安全防护。
Creamliu
    38
Creamliu  
   32 天前
@0o0O0o0O0o #6 两周前看推上有人推荐就转这个了,这个还开源。
lambdaq
    39
lambdaq  
   32 天前
@Fooooo0 默认同步当然是不对的。无论是不是隐私,同步都应该是 opt-in 。
iyiluo
    40
iyiluo  
   32 天前
不通知用户,这在欧盟那边犯法了吧?现在网站使用 cookie 都要弹个窗,使用秘钥肯定也要先通知
czfy
    41
czfy  
   32 天前   ❤️ 31
你说的事情大概率是真的,这么做也很大概率是不合理的

但我还是很难不怀疑你的动机 https://v2ex.com/t/1032428
Y25tIGxpdmlk
    42
Y25tIGxpdmlk  
   32 天前
同步配置不同步这些 key ,那还同步个鸡儿啊?

只能说没有明显提示你,做的不到位。
但是要说他强制收集你的 key ,我认为还是没必要被害妄想症。
虽然这个插件我觉得不咋好用,我平时都是禁用状态。我更喜欢用“划词翻译”

话说为啥我的设置里只有一个同步到 google ,没有同步到作者服务器的功能。
Y25tIGxpdmlk
    43
Y25tIGxpdmlk  
   32 天前
@czfy #41 哈哈哈哈,那就说得通了
JeffersonHuang
    44
JeffersonHuang  
   32 天前   ❤️ 1
Y25tIGxpdmlk
    45
Y25tIGxpdmlk  
   32 天前
@czfy #41
这商战过于真实,连图标都神似。

我发现我进入也安装过了,在我本地扩展里躺着,禁用状态
ThinkStu
    46
ThinkStu  
OP
   32 天前   ❤️ 7
@czfy #41 老哥,我是写了这款插件,不过我开源了。正是因为我写这款插件,我才能发现沉浸式阅读他做的一些不合理的地方。没有商战
@Y25tIGxpdmlk #45
Y25tIGxpdmlk
    47
Y25tIGxpdmlk  
   32 天前   ❤️ 1
@ThinkStu #46 哎,瓜田李下的典故要懂。
有些事可以质疑,但是要避嫌。
ludwiz
    48
ludwiz  
   32 天前   ❤️ 1
@HUZHUANGZHUANG #31
1. 翻译功底 openai 不比 deepl 差吧,甚至是降维打击;
2. “你”控制不了,不代表大家不能讨论,不代表大多数用户无不能抵制商业产品的错误行为
SayHelloHi
    49
SayHelloHi  
   32 天前
KISS Translator +1
busuzhike
    50
busuzhike  
   32 天前
@czfy 非常戏剧化
Yukineko
    51
Yukineko  
   32 天前   ❤️ 1
@HUZHUANGZHUANG #31 通过楼主的帖子,大多数用户选择抵制沉浸式翻译选用其他产品,以促使他们进行改进。这算不算也是一种控制呢?
ThinkStu
    52
ThinkStu  
OP
   32 天前
@busuzhike #50 你可以理解为,正是因为我写了一款开源插件,我才能发现“沉浸式翻译”的不合理之处。
GoldenDictOCR
    53
GoldenDictOCR  
   32 天前
相互促进,协助成长
ajinwu
    54
ajinwu  
   32 天前
有没有可能是你启动了云端同步的功能
![fc5c7d735ff34e31919dea2cb03ffd17.png]( https://i.mjj.rip/2024/05/21/fc5c7d735ff34e31919dea2cb03ffd17.png)
ThinkStu
    55
ThinkStu  
OP
   32 天前   ❤️ 1
@ajinwu #54 并没有关闭的开关。
ajinwu
    56
ajinwu  
   32 天前
而且这个我是登录了的
@ThinkStu

https://i.mjj.rip/2024/05/21/fc5c7d735ff34e31919dea2cb03ffd17.png
ztmzzz
    57
ztmzzz  
   32 天前
这些 key 不都是你自己填在沉浸式翻译的设置里的么,同步配置没毛病啊。顶多是没告知未端到端加密。
HUZHUANGZHUANG
    58
HUZHUANGZHUANG  
   32 天前
@Yukineko #51 我问你几个问题:
1 、你知道这个插件有多少用户吗?
2 、你知道使用 OPEN AI 进行翻译的有多少用户吗?这些用户中像楼主这样在意这问题的又有多少用户吗?
我想表达的是:讨论这个问题,不能撇开用户基数和比例来谈。不清楚数据的情况下,你怎么能说“大多数用户选择抵制沉浸式翻译选用其他产品,以促使他们进行改进”?人家直接放弃楼主这类用户,他们又能怎么样?不能怎么样

你可以去官网看看用户协议里的:“Changes to These Terms and Conditions”,楼主觉得有问题,那人家改一下用户协议嘛。

3 、这插件官网提供了多种渠道:邮件、微信、QQ 、公众号、github 来反馈问题,他为什么不先去反馈一下,看看啥情况,然后再来发帖?多半是他没去做。

4 、“您可以随时通过联系我们 [email protected] 来请求删除您的数据。您应该明白,一旦删除您的账户,您将失去访问或使用沉浸式翻译全部或部分的权利。” 他为啥不发邮件进行数据删除?

另外:大多数登录功能,基本就是为了存储和同步数据做的准备。如果他们这个功能,仅仅是获取一个用户帐号。在另一台电脑上登录后,还要重新手动配置一下。会不会又有人发帖:说这个插件的登录功能是个鸡肋,每次都要重新配置?


所以,楼主一开始直接通过上面的反馈渠道,问清楚这个问题,觉得不满意,那就直接通过邮件要求删除数据,这事就完了,这个帖子其实没啥意义。
0o0O0o0O0o
    59
0o0O0o0O0o  
   32 天前
@HUZHUANGZHUANG #58

> 他为什么不先去反馈一下,看看啥情况,然后再来发帖?
> 他为啥不发邮件进行数据删除?

这又不是公开了就可能被第三方利用的安全漏洞,我觉得他并没有通过官方给出的反馈渠道来联系的必要。

> 觉得不满意,那就直接通过邮件要求删除数据,这事就完了,这个帖子其实没啥意义

另外这个插件在被收购、闭源、商业化之前有 fork 和开源经历,在本站也有过争议 /t/961178 ,它的用户里可能还有认为它是开源而信任它使用它的(我不想在这里辩论这种信任是否合理,但很多人对开源软件的信任就是存在)。OP 在这个相对来说更着眼技术也更在意隐私的社区提出来有什么不合适的?为什么删除了就完了,就不能是对一个有相当用户量的产品对于隐私的不重视的批评吗?你强调了三次没意义,但在我看来这么多条回复里还是有不少人觉得有意义的。
ThinkStu
    60
ThinkStu  
OP
   32 天前   ❤️ 4
@HUZHUANGZHUANG #58
1 、老哥,你争论的问题方向已经变了。我的核心是指沉浸式翻译收集用户的 token ,没有经过用户同意、也没有提供关闭的选项,而且在做法上存在一定的安全风险。
2 、我可以在任何地方反馈,包括 V2EX ,因为这是一个技术论坛。为什么你不先私下问问我是什么情况,再回复呢?
wsyzzz
    61
wsyzzz  
   32 天前
感谢,已经换成楼上推荐的 kiss-t 了,顺便贴一个自定义样式供参考,字体可以换成自己喜欢的

```
font-family: "LXGW WenKai GB Screen R", Robot, SimSun, sans-serif;
font-size: 16px;
line-height: 1.6;
letter-spacing: 1px;
rgb(124, 204, 156);
color: rgb(0,0, 0);

/*下划线*/
text-decoration-line: underline;
text-decoration-style: dotted;
text-decoration-color: #ff374f;
text-decoration-thickness: 2px;
text-underline-offset: 0.3em;
-webkit-text-decoration-line: underline;
-webkit-text-decoration-style: dotted;
-webkit-text-decoration-color: #ff374f;
-webkit-text-decoration-thickness: 2px;
-webkit-text-underline-offset: 0.3em;
```
22092
    62
22092  
   32 天前   ❤️ 1
收集用户的 token 令牌並不合理,理应提供开关选项,同步时先由用户定义访问金钥,在客戶端加密后才上传。
许多 token 令牌並不只是具备翻译作用,还具备帳戶控制、账单检阅、翻译记录等隠私。
假如 OPENAI 的 token 泄漏,最大的危机並不是账单问题,而是透过 API 查看历史记录中包含的公司、代码信息。
chanChristin
    63
chanChristin  
   32 天前
@HUZHUANGZHUANG #54
官方做法不合理那用户就一句话都不能讲自己去找解决方案?
z1829909
    64
z1829909  
   32 天前
本地起一个 http 代理到大模型的 endpoint, 然后翻译软件中的密钥配置为 127.0.0.1 + 代理服务自定义的密钥
yuzo555
    65
yuzo555  
   32 天前
阿里云的 Key 都直接收集也是够猛,如果是主账号的密钥,能直接白嫖你阿里云买各种服务器等产品
22092
    66
22092  
   32 天前   ❤️ 1
> 觉得不满意,那就直接通过邮件要求删除数据,这事就完了,这个帖子其实没啥意义

要求删除数据並不是完全删除,也不会是立即刪除,基於法律在刪除后仍需保留一段時間。其次,已备份的数据並不会再修正,所以仍会。你的数据公开了就不要想著收回来,要求删除数据只是掩耳盗铃
z1829909
    67
z1829909  
   32 天前
@HUZHUANGZHUANG "讨论问题不能撇开用户基数来谈" 和 "这个帖子其实没啥意义" 这俩好像矛盾哦, 你统计过这个帖子有多少人看, 对多少人有帮助吗, 我就很在意这个问题, 不光是密钥, 翻译的敏感数据也是个问题.
或者用你的话来说, 你觉得这个帖子没意义, 为啥不 ban 了楼主, 或者关掉, 而是选择了写一段这么长的话来表达自己观点,而不是去改变自己, 这有"意义"吗
SkywalkerJi
    68
SkywalkerJi  
   32 天前   ❤️ 1
这个感觉铁定违反 chrome 商店协议了吧。
看了下背后的商业公司也是国内的。这一堆人拿着翻译 twitter 和 reddit ,搜集到的内容很可能就同步给国安了。
odifjg9384hg
    69
odifjg9384hg  
   32 天前   ❤️ 1
具有中国特色的商业软件
meeop
    70
meeop  
   32 天前
天下乌鸦一般黑,这些云服务有一个算一个都会收集用户信息的,数据就是未来互联网公司最重要的资产,怎么可能不收集

你能做的只是找一个保护用户隐私比较好的服务
Mjhhh
    71
Mjhhh  
   32 天前
我改用 划词翻译 了
Dk2014
    72
Dk2014  
   32 天前
@0o0O0o0O0o #6 看着挺好,就是图标有点丑😂
我之前用的是划词翻译
https://hcfy.app/docs/guides/summary/
yelc668
    73
yelc668  
   32 天前
不知道呢,我用的白嫖的
ahjsrhj
    74
ahjsrhj  
   32 天前
@HUZHUANGZHUANG #31 讨论起来为什么没有意义?
v23xowen
    75
v23xowen  
   32 天前
kiss Translator 启动
zbowen66
    76
zbowen66  
   32 天前
@EJW #5 +1
zbowen66
    77
zbowen66  
   32 天前
@zbowen66 #76 而且我的 Key 是在本机 nginx 里加上的,软件里面就不填或瞎填 key ,地址指向 nginx

proxy_set_header Authorization "Bearer xxx"
hafuhafu
    78
hafuhafu  
   32 天前
感谢告知,不用沉浸式翻译了。
INTOX8O
    79
INTOX8O  
   32 天前   ❤️ 1
在用 monica 的对照翻译感觉挺不错的,永久的 3.5
potatouu
    80
potatouu  
   32 天前 via iPhone
kiss translator 启动+1
HUZHUANGZHUANG
    81
HUZHUANGZHUANG  
   32 天前
@ahjsrhj #74 因为楼主担心的风险(key 存在滥用以及被盗用的风险),我前面已经给出解决方案,也就是有方法来避免的。

如何讨论起来有意义:发帖前找官方对线,如果官方回答不满意,然后再来这里讨论。如果官方回答让他满意,他也可以发出来问问大伙他们操作有没有问题。截止到目前回复你,我没看到他贴出和官方交流的结果。

每个人都是自己的第一责任人,我们不应该寄希望于外界的改变来满足自己的要求,在外界没改变之前可以改变自己来降低自己的风险。
lzd123
    82
lzd123  
   32 天前 via iPhone   ❤️ 1
@HUZHUANGZHUANG 我觉得楼主反应出这个事价值很大,因为确实存在这件事不合理且很重要,同时我平时没有注意到,那么我就会注意数据安全这块问题!不能说不反馈就讨论就没有意义!
HUZHUANGZHUANG
    83
HUZHUANGZHUANG  
   32 天前
@ThinkStu #60 第一、我承认你说的这类风险存在,但在前面的回复中,你担心的风险是可以通过个人操作避免的。
第二、你确实可以在任何地方反馈这个问题,包括 V2EX 。但是在这类非官方渠道反馈并不有助于快速解决你的问题。
第三、你可以把你官方渠道的反馈结果贴出来给大家看看,这样才能让大家看清楚他们的态度,大家更在意的是官方怎么解释你提出的问题嘛。
haha1903
    84
haha1903  
   32 天前
第一反应是 access token ,看完才知道是 api key 。。。。。。

感受上是你自己的选择,如果在勾选的时候,给更明确的提示,我觉得也没什么问题。
jiezaichan
    85
jiezaichan  
   32 天前   ❤️ 1
@HUZHUANGZHUANG #81 讨论上传 token 、你非来一个其他话题来搅混水干嘛呢 哥
stardust21
    86
stardust21  
   32 天前   ❤️ 4
@czfy 论迹不论心
theowenyoung
    87
theowenyoung  
   32 天前   ❤️ 11
大家好,我是沉浸式翻译的作者。

很抱歉由于软件的问题给大家带来困扰,我们调查了楼主提到的问题,发现这里叠加了 2 个界面显示的 Bug ,但插件本身的云同步逻辑并没有 Bug ,插件并不会自动同步普通注册用户的任何设置(包括 Token ),以下是详细说明:

1. [多设备云同步] 是沉浸式翻译 Pro 会员的一个 Feature ,Pro 会员可以在设置界面启用或者关闭该功能,对于普通注册用户,沉浸式翻译并不会同步这些用户的任何设置,也不应有权限使用此功能。但这里针对普通注册的用户,有一个界面显示的 Bug ,他们本应看到 [您需要成为 Pro 会员才能启用云同步功能] 的提示,但当前版本没有显示该提示。并且,普通注册用户主动点击 [同步] 按钮时,界面上并未弹窗阻塞该流程。

2. 我们又排查代码逻辑发现,沉浸式翻译在刚推出登录功能( 2023.8.13-2023.8.19 )那一周注册的普通用户,也拥有 [多设备云同步] 的会员权益,这是因为当时在调整会员权益时,为了不影响老用户的权益,做的兼容处理。

总结就是,如果您是普通注册用户,或者您从未登录过沉浸式翻译,那么您的设置没有,也永远不会被自动同步到沉浸式翻译的服务器中。



因此,我们主要的修复策略是将该功能限定为 [仅 Pro 会员] 可用。在下一版本中,我们将进行以下优化:

1. 当普通注册用户主动点击同步时,插件将弹窗告知用户 [仅 Pro 会员才能使用此功能] (将在下个版本 1.5.6 生效)。
2. 新增 [是否要同步自定义 Token] 的独立选项,Pro 会员可自助设置是否要同步自定义 Token.(将在下个版本 1.5.6 生效)
3. 为了避免逻辑混乱,上述 2 中提及的少数早期注册用户,将视为普通注册用户,不再享有特殊权益。
4. 对于不应拥有此权益的少数用户(如主动点击过 [同步] 按钮的普通注册用户),我们已在服务端主动清空了这些用户的插件设置数据,立即生效。

下面是待提审的设置页面截图:



希望上述说明可以解除您的疑惑。沉浸式翻译目前还是一个非常小的团队,因此不可避免的会存在一些 Bug ,但是我可以保证这些 Bug 并不是有意的,并且我们依然在不断的改进沉浸式翻译插件的性能和功能,希望您能理解。

最后,真的很抱歉由于软件问题给大家带来的困扰。

如果您是注册用户,并且想完全删除您的数据,您可直接联系客服邮箱 [email protected] 提出删除请求即可。
Ashkin
    88
Ashkin  
   32 天前
果然全球工单系统
ThinkStu
    89
ThinkStu  
OP
   31 天前
@theowenyoung #87 感谢作者回复。希望可以为老用户提供关闭功能,或者将此开关功能向所有人开放,让大家做决定。
theowenyoung
    90
theowenyoung  
   31 天前
@ThinkStu

您可以看下上面的第 4 点,对于不拥有此权益的老用户,服务端已清空了这些用户的插件设置数据,后续也不会再有任何地方能绕过限制主动同步。

而拥有此权益的会员用户,一直都有开关可以决定~ 下个版本额外再加一个敏感信息的单独开关。
jianchang512
    91
jianchang512  
   31 天前   ❤️ 2
58 楼的意思如下:为什么不报官,却直接造反。

----

非安全漏洞,可能认为是设计缺陷或者无意为之,发到社区讨论讨论有什么值得指责的

再说发 v2 比直接发官方解决效率更高

----

https://imgur.com/1jWZs17

https://imgur.com/pADgPrB
ThinkStu
    92
ThinkStu  
OP
   31 天前   ❤️ 1
@theowenyoung #90 抱歉,太长了刚才看到。不过,如果我伤害了用户,我不会对用户说:“好吧,现在如你所愿,我即将制裁你们”。我本人并不希望将一些数据上传至其他地方,但是其他用户的权益也不应该因此受到影响。
JustSong
    93
JustSong  
   31 天前
稍微跑个题,One API 支持对令牌设置 IP 限制,即使泄露了也无妨,同时 One API 目前也支持 DeepL 的模型: https://github.com/songquanpeng/one-api
ThinkStu
    94
ThinkStu  
OP
   31 天前   ❤️ 1
@JustSong #93 我有一款开源插件已支持 one-api👍🏻
whileFalse
    95
whileFalse  
   31 天前 via Android
@zhaotianxionkm 你先了解下加盐是干什么用的
theowenyoung
    96
theowenyoung  
   31 天前
@ThinkStu

不知道是不是我在 #87 没表达清楚,您提到的问题,的确是我们界面上的一个 Bug ,对此的修复并不是制裁用户呀。
icaolei
    97
icaolei  
   31 天前
@body007 #16 可以考虑下 @fishjar 开发的开源插件 KissTranslator https://github.com/fishjar/kiss-translator
WizardLeo
    98
WizardLeo  
   31 天前
@theowenyoung 我觉得 op 指的应该是那小部分早期用户本来能享受到 pro 的待遇,现在却因为 op 指出了这个问题而失去了权益
my3157
    99
my3157  
   31 天前 via Android
我用的还是很早很早之前的完全免费的 Bob ,完全没有升级的欲望
theowenyoung
    100
theowenyoung  
   31 天前
@WizardLeo 谢谢。 说实话,我们自己已经忘记了这个特殊逻辑存在。保留类似的特殊逻辑对我们的维护要求会比较高,更容易让我们在实现各种特性的时候考虑不周导致类似的误解。

另外就是,我们还提供了通过 Google Drive 进行同步的方式,所有用户都可以用 Google Drive 来同步设置。
1  2  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2488 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 31ms · UTC 13:35 · PVG 21:35 · LAX 06:35 · JFK 09:35
Developed with CodeLauncher
♥ Do have faith in what you're doing.