V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Xmk
V2EX  ›  macOS

私人和重要数据不要存放在笔记软件 Craft 中

  •  
  •   Xmk · 2022-12-04 13:27:41 +08:00 · 8550 次点击
    这是一个创建于 711 天前的主题,其中的信息可能已经有所发展或是发生改变。

    想不到上次发帖还在给 Craft 做推广,这次发帖就是要质疑了。

    事情的经过:

    北京时间 12 月 4 日 11:01 我收到一封邮件,提示我的 Craft 账号邮箱已被更改。我登录账号发现,用户名和邮箱确实都被莫名其妙修改了,没有任何验证(用户名被改成了 GuangXuan G ,邮箱忘记截图了)。

    我登录 Craft 的设备有三个,都在我身边,且不存在密码泄漏问题,因为它是用邮箱验证码登录的。但是邮箱被更改之前,我没有收到任何验证码之类的东西,就直接被更改了。

    然后我将邮箱修改回我之前的邮箱,发现被占用了(因为我之前尝试过用原邮箱登录 Craft ,它自动给我创建了一个新账号),然后我把邮箱修改成 Gmail ,一切顺利,顺利到不需要任何验证,只要新邮箱收一个验证码就行。

    最后,最离谱的事情发生了,我用新的 Gmail 邮箱账号登录 Craft ,提示我账号不存在,又给我创建了一个新账号,所以,我的 Craft 账号就这么莫名其妙消失了……

    想不到 2022 年的今天,还有安全措施如此之差的软件。

    邮件

    修改邮箱之后才想起来截图

    第 1 条附言  ·  2022-12-04 15:53:07 +08:00

    更新一下原因:

    找到原因了,原因是 Craft 加入了 Setapp,因为 Setapp 是拼车的(声明:不推荐),所以有人通过我的 Setapp 账号直接无验证登录了我的 Craft,并且修改了邮箱。

    安全问题在于:我的 Craft 是单独的账号单独的 Pro 订阅,跟 Setapp 没有任何关联,但即使如此,也可以无验证直接登录 Craft(包括通过 Google/Apple 等等登录,只要邮箱一样,就不需要任何两步验证)。

    而且修改账号邮箱不需要任何两步验证(密码/原邮箱验证码统统不需要),只要登录了这个账号,就可以修改它的一切内容,包括删除账号,也不需要任何的验证。

    总结:

    邮箱被修改与 Craft 无关,是个人原因。但是,Craft 的安全措施弱也是确实存在的,无验证就可以修改邮箱和删除账号,有点不太行。

    第 2 条附言  ·  2022-12-04 15:56:06 +08:00
    第二条 Append:

    账号丢失也让人不能接受。我的账号经历过 A 邮箱->被修改为 B 邮箱->我修改为 C 邮箱之后,就消失了,用 A C 邮箱均无法登录账号,都是创建一个新的账号。

    这个有点离奇了。希望官方能找回来我的账号,然后把它修改为独立的邮箱…找不回来的话就弃用了
    49 条回复    2023-12-28 09:22:28 +08:00
    sunshower
        1
    sunshower  
       2022-12-04 13:45:34 +08:00 via Android
    笔记软件太多了 要么老牌要么离线 其它我都不考虑
    b1ghawk
        2
    b1ghawk  
       2022-12-04 13:55:48 +08:00 via Android
    @sunshower 有啥推荐的嘛?
    eagrex
        3
    eagrex  
       2022-12-04 14:14:56 +08:00
    我有一个不常用的邮箱也收到了这个邮件,但是我不记得自己用那个邮箱注册过 Craft ,尝试登陆的时候可以登陆但是被创建了一个新账户...
    wu67
        4
    wu67  
       2022-12-04 14:17:42 +08:00   ❤️ 2
    我选择在自己电脑创建个文件写写 md 和 txt, 要不就创个 git 项目用, 各种笔记云根本不靠谱
    wu67
        5
    wu67  
       2022-12-04 14:18:36 +08:00   ❤️ 1
    还有一些云笔记, 分享禁止复制, 那我上云有个卵用, 还不如买个 u 盘备份
    LuciusChen
        6
    LuciusChen  
       2022-12-04 14:28:13 +08:00   ❤️ 1
    推荐 emacs 中的 org-roam 配合 agenda ,解决笔记和 GTD 的问题,移动端用 beorg 同步就可以在手机上做 GTD 。
    logyxiao
        7
    logyxiao  
       2022-12-04 14:30:34 +08:00
    op 有准备换什么软件么...这么不安全的话..我也得换了
    Ga2en
        8
    Ga2en  
       2022-12-04 14:33:09 +08:00
    备忘录不好用吗
    poison123
        9
    poison123  
       2022-12-04 14:34:15 +08:00 via iPhone
    官方怎么说
    Justfakemoz
        10
    Justfakemoz  
       2022-12-04 14:53:34 +08:00
    安利个支持私有化部署的 memos: https://github.com/usememos/memos
    closedevice
        11
    closedevice  
       2022-12-04 14:57:44 +08:00
    求问官方怎么回复,同现在重度使用中
    subframe75361
        12
    subframe75361  
       2022-12-04 15:20:02 +08:00
    obsidian / logseq
    SenLief
        13
    SenLief  
       2022-12-04 15:27:33 +08:00
    craft 不是可以离线的吗
    LagunAPaTa
        14
    LagunAPaTa  
       2022-12-04 15:35:14 +08:00
    自己搭 nextcloud 配合 word 的路过
    Xmk
        15
    Xmk  
    OP
       2022-12-04 15:42:17 +08:00
    @poison123 发了两封邮件,还没收到回复
    Xmk
        16
    Xmk  
    OP
       2022-12-04 15:42:58 +08:00
    @SenLief 是的,还好它可以离线,现在我 Mac 端的账号消失了,把 iPhone 断网导出了数据,先把数据保留下来了
    Xmk
        17
    Xmk  
    OP
       2022-12-04 15:44:35 +08:00
    @closedevice 我也在等官方回复,我之前的账号还是 Pro ,现在 Pro 账号也消失了🫠好歹数据通过 iPhone 断网导出了
    Xmk
        18
    Xmk  
    OP
       2022-12-04 15:45:55 +08:00
    @logyxiao 我准备都迁移到 Obsidian ,但不得不说 Craft 确实 ui 漂亮很多,Apple 生态下用起来也挺方便的……
    loading
        19
    loading  
       2022-12-04 15:58:46 +08:00
    这就是我一直不敢拼车的主要原因
    sunshower
        20
    sunshower  
       2022-12-04 16:02:35 +08:00 via Android
    @b1ghawk 没有,都用的不爽
    coolair
        21
    coolair  
       2022-12-04 16:04:45 +08:00
    目前用 Obsidian + MEGA ,很舒服。
    Nitroethane
        22
    Nitroethane  
       2022-12-04 16:19:58 +08:00
    「原因是 Craft 加入了 Setapp ,因为 Setapp 是拼车的(声明:不推荐),所以有人通过我的 Setapp 账号直接无验证登录了我的 Craft ,并且修改了邮箱」
    没看懂这个,为什么别人能通过你的 setapp 账号无验证登陆你的 craft ? craft 在加入 setapp 后通过 setapp 登录的时候也需要 setapp 账号的密码呀?难道你拼的 setapp 不是每人一个单独的账号么?
    Phishion
        23
    Phishion  
       2022-12-04 16:22:14 +08:00
    苹果的家庭组要不是强制组织者人替所有家庭成员承担费用,估计也是被拼的乱七八糟。
    你这个要是个人类型的账户拼的车,我觉得也还好,变相反拼车了属于是,有可能就*故意这么设计*的。
    你这个要是多用户的 Team 类型,我觉得不可原谅,简直是 BUG 。

    享受优惠就要承担风险,重要的东西还是不要拼了吧,谁知道跟你一辆车的是什么牛鬼蛇神
    yibie
        24
    yibie  
       2022-12-04 16:22:23 +08:00
    emacs + 坚果云 舒适
    swulling
        25
    swulling  
       2022-12-04 16:23:26 +08:00 via iPhone
    你要这么想,要是别人不改邮箱而是持续窥探你的隐私笔记……

    为啥会有共享笔记的想法?
    shuxhan
        26
    shuxhan  
       2022-12-04 16:27:08 +08:00
    本地优先,云端同步也要走自己的机器,最大程度避免使用平台软件
    Xmk
        27
    Xmk  
    OP
       2022-12-04 16:28:06 +08:00
    @Phishion 是这样的,但是我 Craft 本来就是单独订阅的,没有跟 Setapp 关联,只是邮箱相同而已,但是却可以通过 Setapp 直接登入同邮箱的 Craft ,不需要密码。

    现在感觉离谱的是 Craft 不需要二步验证就能直接改邮箱和删除账号。
    Xmk
        28
    Xmk  
    OP
       2022-12-04 16:30:32 +08:00
    @Nitroethane 对的,Setapp 现在没有家庭版了,找了一段时间没找到老家庭版的车,所以就个人账号拼的。我没想到 Craft 可以通过 Setapp 无验证直接登入,而且 Craft 更是单独订阅的,和 Setapp 也没有关联。

    主要是 Setapp 大多软件都是本地的,都没什么问题,想不到 Craft 是这么个策略。确实拼车有风险,等到期准备自己开了。
    Xmk
        29
    Xmk  
    OP
       2022-12-04 16:32:23 +08:00
    @swulling 并不是共享笔记,而是 Craft 的邮箱和 Setapp 的邮箱是同样的,就可以免验证直接登入 Craft 了,哪怕之前 Craft 并没有关联 Setapp 也可以。

    之前 Setapp 里我使用的 APP 都是本地验证+iCloud 同步的,所以都没出过任何问题,但这次 Craft 的策略有些不一样。
    swulling
        30
    swulling  
       2022-12-04 16:35:53 +08:00 via iPhone
    那以后应该用一个小号邮箱去拼 setapp
    @Xmk
    Phishion
        31
    Phishion  
       2022-12-04 16:39:58 +08:00
    @Xmk 你这种是属于,它后加进来 APP 之后原有账号被“污染”了,如果是正常使用,当然是好事,属于突然帮你省了一笔订阅费,它还好心帮你关联了账号。

    但是这种极端情况,就出现了这种有🐶手欠改你东西删你数据的人,但是也有可能是,那个人也用了 Craft ,然后你们的数据出现了冲突,跟你一个车的以为是数据同步出错了,然后就删了你的账号。

    总之大伙儿引以为戒,希望 OP 的笔记数据没有丢。
    Xmk
        32
    Xmk  
    OP
       2022-12-04 16:46:37 +08:00
    @Phishion 希望它好心之前可以询问一下用户 hh…总之还是觉得它应该把密码和二步验证加上去,改邮箱和删账号都属于账号的高危操作,现在的情况是只要登录了就啥都能干。是另一个用户通过 Setapp 登录了 Craft ,然后改了我的邮箱,估计他也没搞清楚这个账号机制。

    数据还好,通过离线导出了一份,现在看看之前的 Pro 账号能不能找回来…
    neochen13
        33
    neochen13  
       2022-12-04 22:28:43 +08:00
    所以还是不要拼车,这种事故屡见不鲜,动不动就出事
    jakes
        34
    jakes  
       2022-12-04 22:52:16 +08:00 via iPhone
    还是推荐用 obsidian
    Makarich
        35
    Makarich  
       2022-12-05 06:49:45 +08:00
    只用备忘录,其他都不如备忘录方便。
    Baoni
        36
    Baoni  
       2022-12-05 10:56:09 +08:00
    也就是说,楼主的笔记被别人占有了?楼主也有 setapp 为什么不能重复那个人的操作,再登上去改回来呢?太惨了
    Nielsen
        37
    Nielsen  
       2022-12-05 11:21:17 +08:00
    特地去看了下,Craft 提供了一个“Sign in with Setapp”的选项……这样看其实就没什么问题了。

    之前 Setapp 没有这个功能……所有 op 遇到的这种,算是个人帐号拼车的附带伤害吧。
    coolcoffee
        38
    coolcoffee  
       2022-12-05 11:31:53 +08:00
    我也觉得 craft 这种云笔记风险很高,难保不会哪天出现数据泄露事件,所以一年订阅到期后就准备迁移了。

    不能指望笔记应用厂商有能力和经历去把安全问题考虑好
    limbo0
        39
    limbo0  
       2022-12-05 11:32:23 +08:00
    @b1ghawk #2 obsidian
    Joeith
        40
    Joeith  
       2022-12-05 11:47:13 +08:00
    现在迁移到 Obsidian ,除了几个痛点(云端操作难搞 + 只能编辑 md+云上分享+不支持块状格式),其他的很满意。这个不出意外,几乎是可以用很久的笔记软件了。
    Xmk
        41
    Xmk  
    OP
       2022-12-05 15:59:26 +08:00
    @Baoni 改回来了,然后账号消失了,十分的可以说是离奇了。。。

    「我的账号经历过 A 邮箱->被修改为 B 邮箱->我修改为 C 邮箱之后,就消失了,用 A C 邮箱均无法登录账号,都是创建一个新的账号。」

    这真的让我对 Craft 感觉一点都不放心。。
    Xmk
        42
    Xmk  
    OP
       2022-12-05 16:01:12 +08:00
    @Nielsen 正常的或者说大多数 app 的 Sign in with xxx 逻辑应该是首次关联登录要求绑定现有账号,并且验证现有账号的密码之后做关联吧。而且不经过任何验证直接能修改邮箱的 app 也很少见的……
    lovestudykid
        43
    lovestudykid  
       2022-12-06 08:10:41 +08:00
    我之前就说过,不要用共享账户的方式共享 setapp 订阅,有很大的安全隐患,比如任何人都可以登陆上 setapp ,把邮箱改掉,把其他人踢掉。
    flyingheart
        44
    flyingheart  
       2022-12-07 21:14:52 +08:00
    推荐使用 GitNote ,完全开源,支持任何支持 Git 的云服务作为存储工具
    我用的是 dev.azure.com ,完全免费,支持私有 repo ,下载速度极快
    Xmk
        45
    Xmk  
    OP
       2022-12-08 01:37:17 +08:00
    @flyingheart 看起来好像不错,mark 一下
    chengYT
        46
    chengYT  
       2022-12-08 21:44:42 +08:00
    去年 craft 得年度 app 奖的时候我也订阅了一年,用了一段时间发现还是不如 notion ,就放弃了,不过 UI 是真的漂亮。
    Xmk
        47
    Xmk  
    OP
       2022-12-10 18:37:22 +08:00
    @poison123 @closedevice 更新一下,截至目前,发给官方的三封邮件都没收到任何回复,放弃了。。。
    poison123
        48
    poison123  
       2022-12-10 20:57:49 +08:00
    @Xmk 试试发 twitter@他们解决可能比邮件效率高
    evan9527
        49
    evan9527  
       323 天前
    你的 setapp 拼车是不是把主账号的位置也拼出去了?家庭组成员的话是不会发生这种事情的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5795 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 03:26 · PVG 11:26 · LAX 19:26 · JFK 22:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.