V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
azh7138m
V2EX  ›  互联网

使用 Github 账号登录 黑客派 之后, Github 自动 follow https://github.com/88250 并 star https://github.com/b3log/symphony

  azh7138m · 2019-02-14 10:45:41 +08:00 · 49761 次点击
这是一个创建于 2103 天前的主题,其中的信息可能已经有所发展或是发生改变。

描述

每天早上我会会看我的账号活动记录,发现昨天 自动 follow 了 https://github.com/88250 并 star 了 https://github.com/b3log/symphony

昨天我为了体验一下 面向未来下一代 的 MD 编辑器,使用 Github 登陆了黑客派,只是我与黑客派 唯一 的交集。

问题

为什么在自动登录后自动 follow 和 star ?

注意

我重新翻阅了 黑客派 的注册流程,发现没有用户协议,也并未提到会 帮助 用户 folow 和 star。

我眼瞎,第一次没有看到 黑客派有权限写入用户数据 ,任何一个注重隐私的人都不应该使用黑客派。

This application will be able to read and write all user data. This includes the following:

Private email addresses

Private profile information

Followers

我不清楚 这个 email addresses 代表什么,有 write 权限的时候可以帮助用户增加邮箱的吗?我并未开发过 Github App,有人可以解答一下吗?

@88250 方便解答一下疑问吗?

第 1 条附言  ·  2019-02-14 13:39:30 +08:00

为啥发在v2

  • 人多
  • 相对不可修改

方便吃瓜

第 2 条附言  ·  2019-02-14 14:51:04 +08:00

重申一下我反感的原因。

黑客派 申请的权限过多了,多到可以直接修改你的项目了,让我害怕。这可比npm/PyPI投毒刺激多啦。

第 3 条附言  ·  2019-02-15 21:24:49 +08:00

作者已道歉 传送门

我的看法

我为一些人感到委屈。 一个是秋风(Github著名妹子账号,骗follow),另一个是之前某个React买了500star的老哥(也可能不是买的)。

秋风事件回顾

这些人只是骗得了关注,就被喷的那么惨,可这次是骗得了我的账号(绝大部分控制权),我觉得性质恶劣很多。

下面是作者回复 节选

这件事情我向大家道歉。当个小偷、强盗的滋味很难受,惩罚也是严厉的。我觉得人这一生最大的价值就是获得其他人的信任,而我却因为自己作死而逐渐散失大家对我的信任。

一些卑鄙、自私、钻空子、诱惑人性的想法要坚决克制,更不能去尝试实施。我不能成为一个“知错认错,屡教不改”的人。

可我已经是受害者了,我想让Github给每个受到影响的用户发送邮件告知,但是并未收到回复,那么,作为当事人能不能发送一个邮件告知受影响的Github用户呢?发送邮件通知,告知他们在不知情的情况下follow了当事人和star了一个项目。

第 4 条附言  ·  2019-02-15 23:36:06 +08:00

君子坦荡荡,小人长戚戚。没有别的意思,那我就做一次小人吧。

作者看上去并不会 真的 道歉。

我们回看 1000 天之前的事件,我想问问“黑客派 hacpai”,你们真的这么无节操吗?操!操!操!!! ,我在登陆黑客派之后也收到了这样的邀请邮件,作者存在这种行为应该有两到三年了。

同时建议回看一下当时的言论。


帖子链接以及备份

无法备份的帖子

我是图


我觉得有人说的很对

这年头,知名度就是钱。。

第 5 条附言  ·  2019-02-15 23:49:38 +08:00

无法备份的帖子似乎备份成功了


啊,我感觉附言次数不够用。

Q:我是不是对当事人太苛刻了?

A:我们看 黑客派简介,里面有 行为准则

身为参与者不能接受的行为包括但不限于:

使用与性有关的言语或是图像,以及不受欢迎的性骚扰
捣乱 / 煽动 / 造谣的行为或进行侮辱 / 贬损的评论,人身攻击及政治攻击
公开或私下的骚扰
未经许可地发布他人的个人资料,例如住址或是电子地址
其他可以被合理地认定为不恰当或者违反职业操守的行为

作者:88250
链接:https://hacpai.com/article/1440573175609
来源:黑客派
协议:CC BY-SA 4.0 https://creativecommons.org/licenses/by-sa/4.0/

认为这个行为 是 违反职业操守的行为 ,你们呢?

234 条回复    2023-07-17 16:13:38 +08:00
1  2  3  
azh7138m
    1
azh7138m  
OP
   2019-02-14 10:47:19 +08:00
@88250 方便解答一下疑问吗?
boris1993
    2
boris1993  
   2019-02-14 10:48:11 +08:00 via Android
怕不是可以 report abuse 了
jisibencom
    3
jisibencom  
   2019-02-14 10:56:01 +08:00 via Android
好像之前他们的 bbs 和 blog 都要用他们的账号登陆,这谁敢用?
azh7138m
    4
azh7138m  
OP
   2019-02-14 10:59:52 +08:00   ❤️ 4
@boris1993 已经 report。显然是 revoke&report 走完再发帖的啊。
KasuganoSoras
    5
KasuganoSoras  
   2019-02-14 11:01:47 +08:00
正如其名?
richard1122
    6
richard1122  
   2019-02-14 11:07:14 +08:00
Hallujah
    7
Hallujah  
   2019-02-14 11:08:16 +08:00 via Android
登陆授权时没有提示吗?
CSM
    8
CSM  
   2019-02-14 11:09:42 +08:00   ❤️ 1
前段时间为了在百度网盘上下载个东西用了黑客派的那个下载器,也是 follow 了 88250 且 star+fork 某个仓库,只好 unstar+删掉 fork。还有那个下载器那么丑一开始居然没发现是用 Electron 写的:joy:
azh7138m
    9
azh7138m  
OP
   2019-02-14 11:10:29 +08:00   ❤️ 1
@richard1122
那就是可以 帮助 用户增加邮箱了?


@Hallujah
眼瞎了,以为一个 OAuth 登录的论坛不会申请 `write` 权限的。
以为作为开发者是有底线的,妹想到啊妹想到啊。
kindjeff
    10
kindjeff  
   2019-02-14 11:14:35 +08:00
我也发现过,还以为是正常操作
millken
    11
millken  
   2019-02-14 11:20:00 +08:00
现在大部分开发者都不是很在意隐私,我刚看了下,要的权限挺多的。

可以偷偷的做很多事情了!
stzz
    12
stzz  
   2019-02-14 11:20:15 +08:00   ❤️ 1
当初登陆的时候就发现了,
一堆权限,基本等于把我 public 账号给他了,
这种谁敢用啊
1762628386
    13
1762628386  
   2019-02-14 11:20:51 +08:00   ❤️ 1
怪不得那么多关注。这操作很骚
azh7138m
    14
azh7138m  
OP
   2019-02-14 11:22:09 +08:00
@stzz 可以读 private 信息的,这个权限也要了
xihefeng
    15
xihefeng  
   2019-02-14 11:24:34 +08:00 via Android
有些无耻哦(´-ω-`)
tumbzzc
    16
tumbzzc  
   2019-02-14 11:25:59 +08:00 via Android
作风不正,卒
zts1993
    17
zts1993  
   2019-02-14 11:30:40 +08:00
Personal user data 有 followers,有 write access 是可以了,scope=public_repo,user 看上去条件也满足了。。

至于 starring github https://developer.github.com/v3/activity/starring/#star-a-repository 看上去没有 scope 只要授权就可以? 但是仅限 app 开发者的 repo ?
CoderGeek
    18
CoderGeek  
   2019-02-14 11:31:15 +08:00   ❤️ 1
... 所以经常在榜上
alfchin
    19
alfchin  
   2019-02-14 11:31:38 +08:00 via Android   ❤️ 10
不然为什么叫黑客派?派来黑你的
wildcat007
    20
wildcat007  
   2019-02-14 11:32:32 +08:00
妹想到啊妹想到啊,当时是注册的账号~
88250
    21
88250  
   2019-02-14 11:39:39 +08:00
给各位带来不便请见谅,稍后会在新手流程中加上一个明显的 star & follow 选项。

各位如果觉得我人品有问题,请不要关注。
anofac
    22
anofac  
   2019-02-14 11:41:25 +08:00
妈呀,吓得我赶紧去 remoke 掉了
azh7138m
    23
azh7138m  
OP
   2019-02-14 11:41:54 +08:00 via Android   ❤️ 3
@88250 我没有说我要 follow 你,与人品无关,我对这种失去账号控制权的事情极为反感。
8a9a09dw12
    24
8a9a09dw12  
   2019-02-14 11:42:39 +08:00   ❤️ 13
@88250 嗯嗯 已经 block 你了
m939594960
    25
m939594960  
   2019-02-14 11:52:09 +08:00   ❤️ 3
@88250 #21 🤮
lincanbin
    26
lincanbin  
   2019-02-14 11:52:12 +08:00
太恐怖了吧
tiedan
    27
tiedan  
   2019-02-14 11:53:32 +08:00
report user ---> Report abuse ---> send request
find456789
    28
find456789  
   2019-02-14 11:54:32 +08:00
搭车问问,

我的一个网站也开通了 github 登陆,使用的是默认设置,

会对我的用户造成困然吗,

我只想登陆就行了,

不想要用户的隐私,不想侵入用户
chinvo
    29
chinvo  
   2019-02-14 12:02:37 +08:00 via iPhone
@find456789 #28 scope 里面只放 profile 和 email 就行,不要 write 权限
lizhuoli
    30
lizhuoli  
   2019-02-14 12:03:20 +08:00 via iPhone
厉害了,这操作
tumbzzc
    31
tumbzzc  
   2019-02-14 12:05:40 +08:00 via Android
@88250 你不加选项就 follow 和 star,明显就是人品有问题,后期再加补救也掩盖不了事实
sheeta
    32
sheeta  
   2019-02-14 12:07:36 +08:00 via Android
吃瓜
daweii
    33
daweii  
   2019-02-14 12:08:39 +08:00 via iPhone   ❤️ 6
@88250 不明示的情况下利用用户权限自动 follow。强奸用户还有理了?
zst
    34
zst  
   2019-02-14 12:13:40 +08:00 via Android
还好当时没图方便用 github 登录
tumbzzc
    35
tumbzzc  
   2019-02-14 12:13:51 +08:00 via Android   ❤️ 3
@daweii 哈哈,关键还一副“原来你不愿意被强奸,那我尊重你”的态度
belin520
    36
belin520  
   2019-02-14 12:17:55 +08:00
要火
wdv2ly
    37
wdv2ly  
   2019-02-14 12:20:13 +08:00   ❤️ 9
哇,这作者回应可真傲娇呢
cpdyj0
    38
cpdyj0  
   2019-02-14 12:24:49 +08:00
估计得上热议。。。这已经是滥用权限了吧。。。
cpdyj0
    39
cpdyj0  
   2019-02-14 12:26:15 +08:00
还以为是黑客派 CSRF 了 Github,还琢么 Github 能有这么弱?敢情还能有这种权限。。。
coolzjy
    40
coolzjy  
   2019-02-14 12:28:20 +08:00
最好的方法就是不要使用关联账号登陆,真是后患无穷。
azh7138m
    41
azh7138m  
OP
   2019-02-14 12:29:58 +08:00 via Android
@cpdyj0 read 和 write 是分开的,我当时没看清楚,是我的问题。
但我认为黑客派存在诱导行为,不妥。
boris1993
    42
boris1993  
   2019-02-14 12:30:48 +08:00 via Android   ❤️ 2
@88250 是觉得你人品有问题,没有关注,已经 block,甚至还想送你一套 report abuse
hotdogwc
    43
hotdogwc  
   2019-02-14 12:33:03 +08:00   ❤️ 1
大家怕是忘了以前那博客系统里嵌入挖矿脚本的事情,这种人最好上热议让所有程序员 block 并拒绝使用其所有产品。
PP
    44
PP  
   2019-02-14 12:33:26 +08:00 via iPad   ❤️ 33
看了回复发现有断层,检查后发现此人早被我 block 了。好奇之下翻了翻,好象是在此人发布挂了挖矿作品的帖子里 t/421952 发生的,我 block 他的原因不是挂挖矿,而是他的辩解,将自己的行为轻飘飘的说成是尝试。古语,不告而取是为贼。
jjplay
    45
jjplay  
   2019-02-14 12:34:38 +08:00
欢迎来到黑客派

我们正在构建一个活跃的小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
tumbzzc
    46
tumbzzc  
   2019-02-14 12:36:16 +08:00 via Android
@PP 哇塞,真是人品有问题啊
loading
    47
loading  
   2019-02-14 12:43:32 +08:00 via Android
@88250 这么没节操啊!
loading
    48
loading  
   2019-02-14 12:45:08 +08:00 via Android
小伙伴们,快把 start 降下来。
pipe 我是自己 start 的,但是这太没节操了。
mmdsun
    49
mmdsun  
   2019-02-14 12:45:11 +08:00 via Android
太恐怖了。授权的时要谨慎
loading
    50
loading  
   2019-02-14 13:02:09 +08:00 via Android
loading
    51
loading  
   2019-02-14 13:06:34 +08:00 via Android
https://www.v2ex.com/t/421952
我当时真的瞎了←_←
十几楼就说到挖矿了。


@PP
kylinking
    52
kylinking  
   2019-02-14 13:09:42 +08:00   ❤️ 1
看了一下果然中招了...
看不到 @88250 原来早已屏蔽了,现在想来当初屏蔽肯定是有原因的,这下算是彻底失去用户了
isCyan
    53
isCyan  
   2019-02-14 13:13:59 +08:00 via Android
这样的话,没得说了,再见
est
    54
est  
   2019-02-14 13:19:14 +08:00
@loading 感觉 for profit 的项目应该从 github 移除,或者单独列出来。。。
iyangyuan
    55
iyangyuan  
   2019-02-14 13:20:26 +08:00
不愧是黑客呀~长见识了
binjoo
    56
binjoo  
   2019-02-14 13:21:43 +08:00
人品可能没问题,但是态度问题大了。
yuandfish
    57
yuandfish  
   2019-02-14 13:22:43 +08:00
之前登录黑客派就有发现自动 follow+star,作者 @88250 动态还在我 github 首页霸占了很久
Kilerd
    58
Kilerd  
   2019-02-14 13:23:25 +08:00   ❤️ 1
这个人早就有问题了啊,大家那么快就忘记他在软件里面嵌挖矿的是了吗?(这届屁民很好骗
sobigfish
    59
sobigfish  
   2019-02-14 13:24:55 +08:00
平等 • 自由 • 奔放? 只有奔放貌似达到了。。。
block +1 (原来 v2 上早 block 这位神仙了,这次是 g 上-。-)
fnh
    60
fnh  
   2019-02-14 13:27:08 +08:00   ❤️ 1
还以为谁呢,就是挖矿那只东西,早臭名远扬了?
recall704
    61
recall704  
   2019-02-14 13:29:37 +08:00
额,还有这种操作?
yeepZhang
    62
yeepZhang  
   2019-02-14 13:43:18 +08:00
怪不得长时间一直在 github trending 上。。。我奇怪了好久=-=
Aixtuz
    63
Aixtuz  
   2019-02-14 13:50:01 +08:00
见谅,汉语词汇。拼音:jiàn liàng 释义:请对方原谅自己。
“请”是它很重要的内涵态度。
hilbertz
    64
hilbertz  
   2019-02-14 13:51:01 +08:00
这不是摆明了说,你的账号和密码都被他们截获了吗,钓鱼网站也没这么 low 的
sdijeenx
    65
sdijeenx  
   2019-02-14 13:57:32 +08:00
因为网站叫黑客派了网站里肯定各种坑,不然对不起黑客这个名字 233
sublime 装插件也能当 MD 编辑器用啊,JB 全家桶自带 MD 编辑器,为什么要把时间浪费在折腾工具上╮(╯▽╰)╭
32
    66
32  
   2019-02-14 13:58:23 +08:00
账号背后可能是个团伙,因为明显有人在搅混水
xFrye
    67
xFrye  
   2019-02-14 13:58:43 +08:00
https://88250.b3log.org/articles/2019/01/07/1546796187762.html 结合这篇文章,我觉得并不是「不小心」的操作
justff
    68
justff  
   2019-02-14 14:02:12 +08:00
果然 黑客派
中国开发者思路总是清奇
tumbzzc
    69
tumbzzc  
   2019-02-14 14:04:40 +08:00   ❤️ 1
@justff 动不动就中国、中国。第一、一个搅屎棍代表不了中国;第二、难道你不是中国人?精神优越法?
november
    70
november  
   2019-02-14 14:04:56 +08:00
这两个事件显示,这人就是明显人品有问题啊。
yamedie
    71
yamedie  
   2019-02-14 14:04:59 +08:00
@xFrye

多年以前,我也是一个到处跪求 Star 的少年;
多年以后,我发现 Star 在一定程度上还可以变现;
最终,我成为了那个我曾经嗤之以鼻的人。
sdijeenx
    72
sdijeenx  
   2019-02-14 14:10:25 +08:00
看了下黑客派这个网站里的用户,感觉这个网站是为“一些能力不行的程序员为了保住自己的工作,愿意用自己的隐私换取自己不会的知识 or 技能”的用户服务的,他们肯定能忍受挖矿和窃取用户密码等行为╮(╯▽╰)╭
yuikns
    73
yuikns  
   2019-02-14 14:12:39 +08:00
@hilbertz 这个貌似就是滥用权限。

正常登录 app 都应该只请求 Access user email addresses (read-only) 这一个权限。OAuth 不扫一眼这个实在不太应该。
123s
    74
123s  
   2019-02-14 14:16:22 +08:00
厉害了。
shunia
    75
shunia  
   2019-02-14 14:17:43 +08:00   ❤️ 1
已经给这个`b3log` report abuse 了.
有没有哪位大神给个中英双语的 issue 模板,我要学贴吧操作,去把这鸟人的 github 炸一遍.

这是这么长时间以来在 V2EX 见过的最无耻的做派.
FakeLeung
    76
FakeLeung  
   2019-02-14 14:19:00 +08:00   ❤️ 2
>挖矿并不是什么见不得人的事情,我全部的开源产品都挖了挖矿脚本,并且在 README 里面写明了。各人有个人的想法,你不支持不要紧,你觉得我做的是错的也罢,大家该干嘛干嘛吧



卧槽。看来我要留意一下我的博客了(用的 solo )。而且,我貌似并没有在 README 中有看到有挖矿的提醒。
Jzer0n
    77
Jzer0n  
   2019-02-14 14:19:44 +08:00
又爆信任危机了吗?是利益驱动了这样的行为么?

继续吃瓜。
designer
    78
designer  
   2019-02-14 14:27:20 +08:00 via iPhone
以前觉得黑客派挺不错,现在看来站长人品真不行。
内置挖矿,又偷偷操纵用户权限。
不是来黑你,黑客派站长你之前是做灰产的吧。
yuikns
    79
yuikns  
   2019-02-14 14:40:38 +08:00   ❤️ 1
@shunia 不要在 issue 里面写。这不合用户规范。

可以 report abuse,链接这个

https://github.com/contact/report-abuse?report=88250+%28user%29

英文有语法错误也没问题,直接写举报信就行。


---------------------

顺便借楼问下。如果我请求 “ Read org and team membership ”,这个大家会感觉是隐私么?
momocraft
    80
momocraft  
   2019-02-14 14:40:53 +08:00
发现我没有授权过(但邮箱注册过,可能当时发现这个权限了)
太可怕了,谢谢提醒..
Greenm
    81
Greenm  
   2019-02-14 14:41:36 +08:00


已经 report abuse, 本来还想把之前挖矿的内容也写进去一起增加可信度的,没想到作者没扛住压力已经去掉来挖矿程序。https://github.com/b3log/pipe/commit/0782cc33c02f1778adc15c1937d5e5c1fa897052
momocraft
    82
momocraft  
   2019-02-14 14:43:11 +08:00
如果你当前的 github 用户授权过 应该可以在 https://github.com/settings/connections/applications/780c8c4b2c05f30370ec 看到 (这个链接是用 oauth 页面的 app id 自己造的,我没有授权过无法测试)
hilbertz
    83
hilbertz  
   2019-02-14 14:48:17 +08:00   ❤️ 1
这种人不应该 block,应该不断地鞭尸,否则他就会继续骗新人
affyun
    84
affyun  
   2019-02-14 15:01:00 +08:00 via Android
竟有如此厚颜无耻之徒
Trumeet
    85
Trumeet  
   2019-02-14 15:07:34 +08:00 via Android
中招了
Trumeet
    86
Trumeet  
   2019-02-14 15:09:21 +08:00 via Android
啊 没 Authorize 那个 App 啊,雾。。
JayHawel
    87
JayHawel  
   2019-02-14 15:14:01 +08:00 via Android
项目名字我记住了,开发者账号 v2 账号我也拉黑了,我就想问一句,v2 的帖子置顶怎么做到的?
vB4h3r2AS7wOYkY0
    88
vB4h3r2AS7wOYkY0  
   2019-02-14 15:21:17 +08:00
@JayHawel 充值支持后开启额外功能里的
yiqiao
    89
yiqiao  
   2019-02-14 15:28:47 +08:00
@Kilerd 不能这么说,有些人也是今天才知道的,比如我,今天是涨知识了。
Nostalgiaaaa
    90
Nostalgiaaaa  
   2019-02-14 15:29:56 +08:00
被人发现了还理直气壮的,感觉挺龌龊,让人恶心🤢。
azh7138m
    91
azh7138m  
OP
   2019-02-14 15:30:39 +08:00
@JayHawel G 胖的微笑.webp
充钱你就能变强 :D
lincanbin
    92
lincanbin  
   2019-02-14 15:33:18 +08:00
写了个单 report abuse 了,希望 github 官方能妥善处理此事。
yamedie
    93
yamedie  
   2019-02-14 15:37:57 +08:00
@JayHawel 视站长大佬的心情而定(如果充过值也可以自己用铜币置顶), 昨天我的求名帖也被指定了, 获得了 300 多个不靠谱答案
cydian
    94
cydian  
   2019-02-14 15:39:39 +08:00 via Android
希望各位提交 report abuse 人多力量大。
askfermi
    95
askfermi  
   2019-02-14 15:46:19 +08:00 via Android
开年大瓜
realpg
    96
realpg  
   2019-02-14 15:56:36 +08:00
大家一起 report abuse 吧……
realpg
    97
realpg  
   2019-02-14 15:57:05 +08:00   ❤️ 1
大家一起 report abuse 吧……
这个用户就是人品负分的典型
ZRS
    98
ZRS  
   2019-02-14 16:02:33 +08:00 via iPhone
@88250 这显然已经超出了人品不行的范畴 可能涉及到法律问题了
JayHawel
    99
JayHawel  
   2019-02-14 16:04:58 +08:00 via Android
@yamedie @azh7138m @MayKiller
原来是这样,谢谢大哥们的好心指点。
jiangnanyanyu
    100
jiangnanyanyu  
   2019-02-14 16:06:31 +08:00 via Android
凉了凉了
1  2  3  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2691 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 33ms · UTC 06:17 · PVG 14:17 · LAX 22:17 · JFK 01:17
Developed with CodeLauncher
♥ Do have faith in what you're doing.