使用 Github 账号登录 黑客派 之后, Github 自动 follow https://github.com/88250 并 star https://github.com/b3log/symphony
azh7138m · 2019-02-14 10:45:41 +08:00 · 49693 次点击这是一个创建于 2094 天前的主题,其中的信息可能已经有所发展或是发生改变。
描述
每天早上我会会看我的账号活动记录,发现昨天 自动 follow 了 https://github.com/88250 并 star 了 https://github.com/b3log/symphony
昨天我为了体验一下 面向未来 的 下一代 的 MD 编辑器,使用 Github 登陆了黑客派,只是我与黑客派 唯一 的交集。
问题
为什么在自动登录后自动 follow 和 star ?
注意
我重新翻阅了 黑客派 的注册流程,发现没有用户协议,也并未提到会 帮助 用户 folow 和 star。
我眼瞎,第一次没有看到 黑客派有权限写入用户数据 ,任何一个注重隐私的人都不应该使用黑客派。
This application will be able to read and write all user data. This includes the following:
Private email addresses
Private profile information
Followers
我不清楚 这个 email addresses 代表什么,有 write 权限的时候可以帮助用户增加邮箱的吗?我并未开发过 Github App,有人可以解答一下吗?
@88250 方便解答一下疑问吗?
第 2 条附言 · 2019-02-14 14:51:04 +08:00
重申一下我反感的原因。
黑客派 申请的权限过多了,多到可以直接修改你的项目了,让我害怕。这可比npm/PyPI投毒刺激多啦。
第 3 条附言 · 2019-02-15 21:24:49 +08:00
作者已道歉 传送门
我的看法
我为一些人感到委屈。 一个是秋风(Github著名妹子账号,骗follow),另一个是之前某个React买了500star的老哥(也可能不是买的)。
这些人只是骗得了关注,就被喷的那么惨,可这次是骗得了我的账号(绝大部分控制权),我觉得性质恶劣很多。
下面是作者回复 节选
这件事情我向大家道歉。当个小偷、强盗的滋味很难受,惩罚也是严厉的。我觉得人这一生最大的价值就是获得其他人的信任,而我却因为自己作死而逐渐散失大家对我的信任。
一些卑鄙、自私、钻空子、诱惑人性的想法要坚决克制,更不能去尝试实施。我不能成为一个“知错认错,屡教不改”的人。
可我已经是受害者了,我想让Github给每个受到影响的用户发送邮件告知,但是并未收到回复,那么,作为当事人能不能发送一个邮件告知受影响的Github用户呢?发送邮件通知,告知他们在不知情的情况下follow了当事人和star了一个项目。
第 4 条附言 · 2019-02-15 23:36:06 +08:00
君子坦荡荡,小人长戚戚。没有别的意思,那我就做一次小人吧。
作者看上去并不会 真的 道歉。
我们回看 1000 天之前的事件,我想问问“黑客派 hacpai”,你们真的这么无节操吗?操!操!操!!! ,我在登陆黑客派之后也收到了这样的邀请邮件,作者存在这种行为应该有两到三年了。
同时建议回看一下当时的言论。
帖子链接以及备份
无法备份的帖子
我觉得有人说的很对
这年头,知名度就是钱。。
第 5 条附言 · 2019-02-15 23:49:38 +08:00
无法备份的帖子似乎备份成功了
啊,我感觉附言次数不够用。
Q:我是不是对当事人太苛刻了?
A:我们看 黑客派简介,里面有 行为准则
身为参与者不能接受的行为包括但不限于:
使用与性有关的言语或是图像,以及不受欢迎的性骚扰
捣乱 / 煽动 / 造谣的行为或进行侮辱 / 贬损的评论,人身攻击及政治攻击
公开或私下的骚扰
未经许可地发布他人的个人资料,例如住址或是电子地址
其他可以被合理地认定为不恰当或者违反职业操守的行为
作者:88250
链接:https://hacpai.com/article/1440573175609
来源:黑客派
协议:CC BY-SA 4.0 https://creativecommons.org/licenses/by-sa/4.0/
我 认为这个行为 是 违反职业操守的行为 ,你们呢?
 |
2
boris1993 2019-02-14 10:48:11 +08:00 via Android
怕不是可以 report abuse 了
|
 |
3
jisibencom 2019-02-14 10:56:01 +08:00 via Android
好像之前他们的 bbs 和 blog 都要用他们的账号登陆,这谁敢用?
|
 |
5
KasuganoSoras 2019-02-14 11:01:47 +08:00
正如其名?
|
 |
6
richard1122 2019-02-14 11:07:14 +08:00
|
 |
7
Hallujah 2019-02-14 11:08:16 +08:00 via Android
登陆授权时没有提示吗?
|
 |
8
CSM 2019-02-14 11:09:42 +08:00  1
前段时间为了在百度网盘上下载个东西用了黑客派的那个下载器,也是 follow 了 88250 且 star+fork 某个仓库,只好 unstar+删掉 fork。还有那个下载器那么丑一开始居然没发现是用 Electron 写的:joy:
|
 |
9
azh7138m OP 1
|
 |
10
kindjeff 2019-02-14 11:14:35 +08:00
我也发现过,还以为是正常操作
|
 |
11
millken 2019-02-14 11:20:00 +08:00
现在大部分开发者都不是很在意隐私,我刚看了下,要的权限挺多的。
可以偷偷的做很多事情了! |
 |
12
stzz 2019-02-14 11:20:15 +08:00 1
当初登陆的时候就发现了,
一堆权限,基本等于把我 public 账号给他了, 这种谁敢用啊 |
 |
13
1762628386 2019-02-14 11:20:51 +08:00 1
怪不得那么多关注。这操作很骚
|
 |
15
xihefeng 2019-02-14 11:24:34 +08:00 via Android
有些无耻哦(´-ω-`)
|
 |
16
tumbzzc 2019-02-14 11:25:59 +08:00 via Android
作风不正,卒
|
 |
17
zts1993 2019-02-14 11:30:40 +08:00
Personal user data 有 followers,有 write access 是可以了,scope=public_repo,user 看上去条件也满足了。。
至于 starring github https://developer.github.com/v3/activity/starring/#star-a-repository 看上去没有 scope 只要授权就可以? 但是仅限 app 开发者的 repo ? |
 |
18
CoderGeek 2019-02-14 11:31:15 +08:00 1
... 所以经常在榜上
|
 |
19
alfchin 2019-02-14 11:31:38 +08:00 via Android 10
不然为什么叫黑客派?派来黑你的
|
 |
20
wildcat007 2019-02-14 11:32:32 +08:00
妹想到啊妹想到啊,当时是注册的账号~
|
 |
21
88250 2019-02-14 11:39:39 +08:00
给各位带来不便请见谅,稍后会在新手流程中加上一个明显的 star & follow 选项。
各位如果觉得我人品有问题,请不要关注。 |
 |
22
anofac 2019-02-14 11:41:25 +08:00
妈呀,吓得我赶紧去 remoke 掉了
|
|
23
azh7138m OP 3
@88250 我没有说我要 follow 你,与人品无关,我对这种失去账号控制权的事情极为反感。
|
 |
24
8a9a09dw12 2019-02-14 11:42:39 +08:00 13
@88250 嗯嗯 已经 block 你了
|
 |
25
m939594960 2019-02-14 11:52:09 +08:00 3
@88250 #21 🤮
|
 |
26
lincanbin 2019-02-14 11:52:12 +08:00
太恐怖了吧
|
 |
27
tiedan 2019-02-14 11:53:32 +08:00
report user ---> Report abuse ---> send request
|
 |
28
find456789 2019-02-14 11:54:32 +08:00
搭车问问,
我的一个网站也开通了 github 登陆,使用的是默认设置, 会对我的用户造成困然吗, 我只想登陆就行了, 不想要用户的隐私,不想侵入用户 |
 |
29
chinvo 2019-02-14 12:02:37 +08:00 via iPhone
@find456789 #28 scope 里面只放 profile 和 email 就行,不要 write 权限
|
 |
30
lizhuoli 2019-02-14 12:03:20 +08:00 via iPhone
厉害了,这操作
|
|
31
tumbzzc 2019-02-14 12:05:40 +08:00 via Android
@88250 你不加选项就 follow 和 star,明显就是人品有问题,后期再加补救也掩盖不了事实
|
 |
32
sheeta 2019-02-14 12:07:36 +08:00 via Android
吃瓜
|
 |
34
zst 2019-02-14 12:13:40 +08:00 via Android
还好当时没图方便用 github 登录
|
 |
36
belin520 2019-02-14 12:17:55 +08:00
要火
|
 |
37
wdv2ly 2019-02-14 12:20:13 +08:00 9
哇,这作者回应可真傲娇呢
|
 |
38
cpdyj0 2019-02-14 12:24:49 +08:00
估计得上热议。。。这已经是滥用权限了吧。。。
|
|
39
cpdyj0 2019-02-14 12:26:15 +08:00
还以为是黑客派 CSRF 了 Github,还琢么 Github 能有这么弱?敢情还能有这种权限。。。
|
 |
40
coolzjy 2019-02-14 12:28:20 +08:00
最好的方法就是不要使用关联账号登陆,真是后患无穷。
|
|
41
azh7138m OP @cpdyj0 read 和 write 是分开的,我当时没看清楚,是我的问题。
但我认为黑客派存在诱导行为,不妥。 |
|
42
boris1993 2019-02-14 12:30:48 +08:00 via Android 2
@88250 是觉得你人品有问题,没有关注,已经 block,甚至还想送你一套 report abuse
|
 |
43
hotdogwc 2019-02-14 12:33:03 +08:00 1
大家怕是忘了以前那博客系统里嵌入挖矿脚本的事情,这种人最好上热议让所有程序员 block 并拒绝使用其所有产品。
|
 |
44
PP 2019-02-14 12:33:26 +08:00 via iPad 33
看了回复发现有断层,检查后发现此人早被我 block 了。好奇之下翻了翻,好象是在此人发布挂了挖矿作品的帖子里 t/421952 发生的,我 block 他的原因不是挂挖矿,而是他的辩解,将自己的行为轻飘飘的说成是尝试。古语,不告而取是为贼。
|
 |
45
jjplay 2019-02-14 12:34:38 +08:00
欢迎来到黑客派
我们正在构建一个活跃的小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。 |
 |
48
loading 2019-02-14 12:45:08 +08:00 via Android
小伙伴们,快把 start 降下来。
pipe 我是自己 start 的,但是这太没节操了。 |
 |
49
mmdsun 2019-02-14 12:45:11 +08:00 via Android
太恐怖了。授权的时要谨慎
|
|
50
loading 2019-02-14 13:02:09 +08:00 via Android
https://github.com/settings/applications
停用授权并 report |
|
51
loading 2019-02-14 13:06:34 +08:00 via Android
|
 |
52
kylinking 2019-02-14 13:09:42 +08:00 1
看了一下果然中招了...
看不到 @88250 原来早已屏蔽了,现在想来当初屏蔽肯定是有原因的,这下算是彻底失去用户了 |
 |
53
isCyan 2019-02-14 13:13:59 +08:00 via Android
这样的话,没得说了,再见
|
 |
55
iyangyuan 2019-02-14 13:20:26 +08:00
不愧是黑客呀~长见识了
|
 |
56
binjoo 2019-02-14 13:21:43 +08:00
人品可能没问题,但是态度问题大了。
|
 |
58
Kilerd 2019-02-14 13:23:25 +08:00 1
这个人早就有问题了啊,大家那么快就忘记他在软件里面嵌挖矿的是了吗?(这届屁民很好骗
|
 |
59
sobigfish 2019-02-14 13:24:55 +08:00
平等 • 自由 • 奔放? 只有奔放貌似达到了。。。
block +1 (原来 v2 上早 block 这位神仙了,这次是 g 上-。-) |
 |
60
fnh 2019-02-14 13:27:08 +08:00 1
还以为谁呢,就是挖矿那只东西,早臭名远扬了?
|
 |
61
recall704 2019-02-14 13:29:37 +08:00
额,还有这种操作?
|
 |
62
yeepZhang 2019-02-14 13:43:18 +08:00
怪不得长时间一直在 github trending 上。。。我奇怪了好久=-=
|
 |
63
Aixtuz 2019-02-14 13:50:01 +08:00
见谅,汉语词汇。拼音:jiàn liàng 释义:请对方原谅自己。
“请”是它很重要的内涵态度。 |
 |
64
hilbertz 2019-02-14 13:51:01 +08:00
这不是摆明了说,你的账号和密码都被他们截获了吗,钓鱼网站也没这么 low 的
|
 |
65
sdijeenx 2019-02-14 13:57:32 +08:00
因为网站叫黑客派了网站里肯定各种坑,不然对不起黑客这个名字 233
sublime 装插件也能当 MD 编辑器用啊,JB 全家桶自带 MD 编辑器,为什么要把时间浪费在折腾工具上╮(╯▽╰)╭ |
 |
66
32 2019-02-14 13:58:23 +08:00
账号背后可能是个团伙,因为明显有人在搅混水
|
 |
67
xFrye 2019-02-14 13:58:43 +08:00
https://88250.b3log.org/articles/2019/01/07/1546796187762.html 结合这篇文章,我觉得并不是「不小心」的操作
|
 |
68
justff 2019-02-14 14:02:12 +08:00
果然 黑客派
中国开发者思路总是清奇 |
 |
70
november 2019-02-14 14:04:56 +08:00
这两个事件显示,这人就是明显人品有问题啊。
|
 |
71
yamedie 2019-02-14 14:04:59 +08:00
|
|
72
sdijeenx 2019-02-14 14:10:25 +08:00
看了下黑客派这个网站里的用户,感觉这个网站是为“一些能力不行的程序员为了保住自己的工作,愿意用自己的隐私换取自己不会的知识 or 技能”的用户服务的,他们肯定能忍受挖矿和窃取用户密码等行为╮(╯▽╰)╭
|
 |
73
yuikns 2019-02-14 14:12:39 +08:00
@hilbertz 这个貌似就是滥用权限。
正常登录 app 都应该只请求 Access user email addresses (read-only) 这一个权限。OAuth 不扫一眼这个实在不太应该。 |
 |
74
123s 2019-02-14 14:16:22 +08:00
厉害了。
|
 |
75
shunia 2019-02-14 14:17:43 +08:00 1
已经给这个`b3log` report abuse 了.
有没有哪位大神给个中英双语的 issue 模板,我要学贴吧操作,去把这鸟人的 github 炸一遍. 这是这么长时间以来在 V2EX 见过的最无耻的做派. |
 |
76
FakeLeung 2019-02-14 14:19:00 +08:00 2
>挖矿并不是什么见不得人的事情,我全部的开源产品都挖了挖矿脚本,并且在 README 里面写明了。各人有个人的想法,你不支持不要紧,你觉得我做的是错的也罢,大家该干嘛干嘛吧
 卧槽。看来我要留意一下我的博客了(用的 solo )。而且,我貌似并没有在 README 中有看到有挖矿的提醒。 |
 |
77
Jzer0n 2019-02-14 14:19:44 +08:00
又爆信任危机了吗?是利益驱动了这样的行为么?
继续吃瓜。 |
 |
78
designer 2019-02-14 14:27:20 +08:00 via iPhone
以前觉得黑客派挺不错,现在看来站长人品真不行。
内置挖矿,又偷偷操纵用户权限。 不是来黑你,黑客派站长你之前是做灰产的吧。 |
|
79
yuikns 2019-02-14 14:40:38 +08:00 1
@shunia 不要在 issue 里面写。这不合用户规范。
可以 report abuse,链接这个 https://github.com/contact/report-abuse?report=88250+%28user%29 英文有语法错误也没问题,直接写举报信就行。 --------------------- 顺便借楼问下。如果我请求 “ Read org and team membership ”,这个大家会感觉是隐私么? |
 |
80
momocraft 2019-02-14 14:40:53 +08:00
发现我没有授权过(但邮箱注册过,可能当时发现这个权限了)
太可怕了,谢谢提醒.. |
 |
81
Greenm 2019-02-14 14:41:36 +08:00
 已经 report abuse, 本来还想把之前挖矿的内容也写进去一起增加可信度的,没想到作者没扛住压力已经去掉来挖矿程序。https://github.com/b3log/pipe/commit/0782cc33c02f1778adc15c1937d5e5c1fa897052 |
|
82
momocraft 2019-02-14 14:43:11 +08:00
如果你当前的 github 用户授权过 应该可以在 https://github.com/settings/connections/applications/780c8c4b2c05f30370ec 看到 (这个链接是用 oauth 页面的 app id 自己造的,我没有授权过无法测试)
|
|
83
hilbertz 2019-02-14 14:48:17 +08:00 1
这种人不应该 block,应该不断地鞭尸,否则他就会继续骗新人
|
 |
84
affyun 2019-02-14 15:01:00 +08:00 via Android
竟有如此厚颜无耻之徒
|
 |
85
Trumeet 2019-02-14 15:07:34 +08:00 via Android
中招了
|
|
86
Trumeet 2019-02-14 15:09:21 +08:00 via Android
啊 没 Authorize 那个 App 啊,雾。。
|
 |
87
JayHawel 2019-02-14 15:14:01 +08:00 via Android
项目名字我记住了,开发者账号 v2 账号我也拉黑了,我就想问一句,v2 的帖子置顶怎么做到的?
|
 |
88
vB4h3r2AS7wOYkY0 2019-02-14 15:21:17 +08:00
@JayHawel 充值支持后开启额外功能里的
|
 |
90
Nostalgiaaaa 2019-02-14 15:29:56 +08:00
被人发现了还理直气壮的,感觉挺龌龊,让人恶心🤢。
|
|
92
lincanbin 2019-02-14 15:33:18 +08:00
写了个单 report abuse 了,希望 github 官方能妥善处理此事。
|
|
93
yamedie 2019-02-14 15:37:57 +08:00
@JayHawel 视站长大佬的心情而定(如果充过值也可以自己用铜币置顶), 昨天我的求名帖也被指定了, 获得了 300 多个不靠谱答案
|
 |
94
cydian 2019-02-14 15:39:39 +08:00 via Android
希望各位提交 report abuse 人多力量大。
|
 |
95
askfermi 2019-02-14 15:46:19 +08:00 via Android
开年大瓜
|
 |
96
realpg 2019-02-14 15:56:36 +08:00
大家一起 report abuse 吧……
|
|
97
realpg 2019-02-14 15:57:05 +08:00 1
大家一起 report abuse 吧……
这个用户就是人品负分的典型 |
 |
100
jiangnanyanyu 2019-02-14 16:06:31 +08:00 via Android
凉了凉了
|
Select Language