使用 Github 账号登录 黑客派 之后, Github 自动 follow https://github.com/88250 并 star https://github.com/b3log/symphony
azh7138m 2019-02-14 10:45:41 +08:00 53965 次点击这是一个创建于 2429 天前的主题,其中的信息可能已经有所发展或是发生改变。
描述
每天早上我会会看我的账号活动记录,发现昨天 自动 follow 了 https://github.com/88250 并 star 了 https://github.com/b3log/symphony
昨天我为了体验一下 面向未来 的 下一代 的 MD 编辑器,使用 Github 登陆了黑客派,只是我与黑客派 唯一 的交集。
问题
为什么在自动登录后自动 follow 和 star ?
注意
我重新翻阅了 黑客派 的注册流程,发现没有用户协议,也并未提到会 帮助 用户 folow 和 star。
我眼瞎,第一次没有看到 黑客派有权限写入用户数据 ,任何一个注重隐私的人都不应该使用黑客派。
This application will be able to read and write all user data. This includes the following:
Private email addresses
Private profile information
Followers
我不清楚 这个 email addresses 代表什么,有 write 权限的时候可以帮助用户增加邮箱的吗?我并未开发过 Github App,有人可以解答一下吗?
@88250 方便解答一下疑问吗?
第 2 条附言 2019-02-14 14:51:04 +08:00
重申一下我反感的原因。
黑客派 申请的权限过多了,多到可以直接修改你的项目了,让我害怕。这可比npm/PyPI投毒刺激多啦。
第 3 条附言 2019-02-15 21:24:49 +08:00
作者已道歉 传送门
我的看法
我为一些人感到委屈。 一个是秋风(Github著名妹子账号,骗follow),另一个是之前某个React买了500star的老哥(也可能不是买的)。
这些人只是骗得了关注,就被喷的那么惨,可这次是骗得了我的账号(绝大部分控制权),我觉得性质恶劣很多。
下面是作者回复 节选
这件事情我向大家道歉。当个小偷、强盗的滋味很难受,惩罚也是严厉的。我觉得人这一生最大的价值就是获得其他人的信任,而我却因为自己作死而逐渐散失大家对我的信任。
一些卑鄙、自私、钻空子、诱惑人性的想法要坚决克制,更不能去尝试实施。我不能成为一个“知错认错,屡教不改”的人。
可我已经是受害者了,我想让Github给每个受到影响的用户发送邮件告知,但是并未收到回复,那么,作为当事人能不能发送一个邮件告知受影响的Github用户呢?发送邮件通知,告知他们在不知情的情况下follow了当事人和star了一个项目。
第 4 条附言 2019-02-15 23:36:06 +08:00
君子坦荡荡,小人长戚戚。没有别的意思,那我就做一次小人吧。
作者看上去并不会 真的 道歉。
我们回看 1000 天之前的事件,我想问问“黑客派 hacpai”,你们真的这么无节操吗?操!操!操!!! ,我在登陆黑客派之后也收到了这样的邀请邮件,作者存在这种行为应该有两到三年了。
同时建议回看一下当时的言论。
帖子链接以及备份
无法备份的帖子
我觉得有人说的很对
这年头,知名度就是钱。。
第 5 条附言 2019-02-15 23:49:38 +08:00
无法备份的帖子似乎备份成功了
啊,我感觉附言次数不够用。
Q:我是不是对当事人太苛刻了?
A:我们看 黑客派简介,里面有 行为准则
身为参与者不能接受的行为包括但不限于: 使用与性有关的言语或是图像,以及不受欢迎的性骚扰 捣乱 / 煽动 / 造谣的行为或进行侮辱 / 贬损的评论,人身攻击及政治攻击 公开或私下的骚扰 未经许可地发布他人的个人资料,例如住址或是电子地址 其他可以被合理地认定为不恰当或者违反职业操守的行为 作者:88250 链接:https://hacpai.com/article/1440573175609 来源:黑客派 协议:CC BY-SA 4.0 https://creativecommons.org/licenses/by-sa/4.0/ 我 认为这个行为 是 违反职业操守的行为 ,你们呢?
 | 2 boris1993 2019-02-14 10:48:11 +08:00 via Android 怕不是可以 report abuse 了 |
 | 3 jisibencom 2019-02-14 10:56:01 +08:00 via Android 好像之前他们的 bbs 和 blog 都要用他们的账号登陆,这谁敢用? |
 | 5 KasuganoSoras 2019-02-14 11:01:47 +08:00 正如其名? |
 | 6 richard1122 2019-02-14 11:07:14 +08:00 |
 | 7 Hallujah 2019-02-14 11:08:16 +08:00 via Android 登陆授权时没有提示吗? |
 | 8 CSM 2019-02-14 11:09:42 +08:00  1 前段时间为了在百度网盘上下载个东西用了黑客派的那个下载器,也是 follow 了 88250 且 star+fork 某个仓库,只好 unstar+删掉 fork。还有那个下载器那么丑一开始居然没发现是用 Electron 写的:joy: |
 | 9 azh7138m OP 1 |
 | 10 kindjeff 2019-02-14 11:14:35 +08:00 我也发现过,还以为是正常操作 |
 | 11 millken 2019-02-14 11:20:00 +08:00 现在大部分开发者都不是很在意隐私,我刚看了下,要的权限挺多的。 可以偷偷的做很多事情了! |
 | 12 stzz 2019-02-14 11:20:15 +08:00 1 当初登陆的时候就发现了, 一堆权限,基本等于把我 public 账号给他了, 这种谁敢用啊 |
 | 13 1762628386 2019-02-14 11:20:51 +08:00 1 怪不得那么多关注。这操作很骚 |
 | 15 uiuy 2019-02-14 11:24:34 +08:00 via Android 有些无耻哦(-ω-`) |
 | 16 asd103 2019-02-14 11:25:59 +08:00 via Android 作风不正,卒 |
 | 17 zts1993 2019-02-14 11:30:40 +08:00 Personal user data 有 followers,有 write access 是可以了,scope=public_repo,user 看上去条件也满足了。。 至于 starring github https://developer.github.com/v3/activity/starring/#star-a-repository 看上去没有 scope 只要授权就可以? 但是仅限 app 开发者的 repo ? |
 | 18 CoderGeek 2019-02-14 11:31:15 +08:00 1 ... 所以经常在榜上 |
 | 19 alfchin 2019-02-14 11:31:38 +08:00 via Android 10 不然为什么叫黑客派?派来黑你的 |
 | 20 wildcat007 2019-02-14 11:32:32 +08:00 妹想到啊妹想到啊,当时是注册的账号~ |
 | 21 88250 2019-02-14 11:39:39 +08:00 给各位带来不便请见谅,稍后会在新手流程中加上一个明显的 star & follow 选项。 各位如果觉得我人品有问题,请不要关注。 |
 | 22 anofac 2019-02-14 11:41:25 +08:00 妈呀,吓得我赶紧去 remoke 掉了 |
| 23 azh7138m OP 3 @88250 我没有说我要 follow 你,与人品无关,我对这种失去账号控制权的事情极为反感。 |
 | 24 8a9a09dw12 2019-02-14 11:42:39 +08:00 13 @88250 嗯嗯 已经 block 你了 |
 | 25 m939594960 2019-02-14 11:52:09 +08:00 3 @88250 #21 |
 | 26 lincanbin 2019-02-14 11:52:12 +08:00 太恐怖了吧 |
 | 27 tiedan 2019-02-14 11:53:32 +08:00 report user ---> Report abuse ---> send request |
 | 28 find456789 2019-02-14 11:54:32 +08:00 搭车问问, 我的一个网站也开通了 github 登陆,使用的是默认设置, 会对我的用户造成困然吗, 我只想登陆就行了, 不想要用户的隐私,不想侵入用户 |
 | 29 chinvo 2019-02-14 12:02:37 +08:00 via iPhone @find456789 #28 scope 里面只放 profile 和 email 就行,不要 write 权限 |
 | 30 lizhuoli 2019-02-14 12:03:20 +08:00 via iPhone 厉害了,这操作 |
| 31 asd103 2019-02-14 12:05:40 +08:00 via Android @88250 你不加选项就 follow 和 star,明显就是人品有问题,后期再加补救也掩盖不了事实 |
 | 32 sheeta 2019-02-14 12:07:36 +08:00 via Android 吃瓜 |
 | 34 zst 2019-02-14 12:13:40 +08:00 via Android 还好当时没图方便用 github 登录 |
 | 36 icanfork 2019-02-14 12:17:55 +08:00 要火 |
 | 37 wdv2ly 2019-02-14 12:20:13 +08:00 9 哇,这作者回应可真傲娇呢 |
 | 38 cpdyj0 2019-02-14 12:24:49 +08:00 估计得上热议。。。这已经是滥用权限了吧。。。 |
| 39 cpdyj0 2019-02-14 12:26:15 +08:00 还以为是黑客派 CSRF 了 Github,还琢么 Github 能有这么弱?敢情还能有这种权限。。。 |
 | 40 coolzjy 2019-02-14 12:28:20 +08:00 最好的方法就是不要使用关联账号登陆,真是后患无穷。 |
| 41 azh7138m OP @cpdyj0 read 和 write 是分开的,我当时没看清楚,是我的问题。 但我认为黑客派存在诱导行为,不妥。 |
| 42 boris1993 2019-02-14 12:30:48 +08:00 via Android 2 @88250 是觉得你人品有问题,没有关注,已经 block,甚至还想送你一套 report abuse |
 | 43 hotdogwc 2019-02-14 12:33:03 +08:00 1 大家怕是忘了以前那博客系统里嵌入挖矿脚本的事情,这种人最好上热议让所有程序员 block 并拒绝使用其所有产品。 |
 | 44 PP 2019-02-14 12:33:26 +08:00 via iPad 33 看了回复发现有断层,检查后发现此人早被我 block 了。好奇之下翻了翻,好象是在此人发布挂了挖矿作品的帖子里 t/421952 发生的,我 block 他的原因不是挂挖矿,而是他的辩解,将自己的行为轻飘飘的说成是尝试。古语,不告而取是为贼。 |
 | 45 jjplay 2019-02-14 12:34:38 +08:00 欢迎来到黑客派 我们正在构建一个活跃的小众社区,大家在这里相互信任,以平等 自由 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。 |
 | 48 loading 2019-02-14 12:45:08 +08:00 via Android 小伙伴们,快把 start 降下来。 pipe 我是自己 start 的,但是这太没节操了。 |
 | 49 mmdsun 2019-02-14 12:45:11 +08:00 via Android 太恐怖了。授权的时要谨慎 |
| 50 loading 2019-02-14 13:02:09 +08:00 via Android https://github.com/settings/applications 停用授权并 report |
 | 52 kylinking 2019-02-14 13:09:42 +08:00 1 看了一下果然中招了... 看不到 @88250 原来早已屏蔽了,现在想来当初屏蔽肯定是有原因的,这下算是彻底失去用户了 |
 | 53 isCyan 2019-02-14 13:13:59 +08:00 via Android 这样的话,没得说了,再见 |
 | 55 iyangyuan 2019-02-14 13:20:26 +08:00 不愧是黑客呀~长见识了 |
 | 56 binjoo 2019-02-14 13:21:43 +08:00 人品可能没问题,但是态度问题大了。 |
 | 58 Kilerd 2019-02-14 13:23:25 +08:00 1 这个人早就有问题了啊,大家那么快就忘记他在软件里面嵌挖矿的是了吗?(这届屁民很好骗 |
59 run2 2019-02-14 13:24:55 +08:00 平等 自由 奔放? 只有奔放貌似达到了。。。 block +1 (原来 v2 上早 block 这位神仙了,这次是 g 上-。-) |
 | 60 fnh 2019-02-14 13:27:08 +08:00 1 还以为谁呢,就是挖矿那只东西,早臭名远扬了? |
 | 61 recall704 2019-02-14 13:29:37 +08:00 额,还有这种操作? |
 | 62 yeepZhang 2019-02-14 13:43:18 +08:00 怪不得长时间一直在 github trending 上。。。我奇怪了好久=-= |
 | 63 Aixtuz 2019-02-14 13:50:01 +08:00 见谅,汉语词汇。拼音:jiàn liàng 释义:请对方原谅自己。 “请”是它很重要的内涵态度。 |
 | 64 hilbertz 2019-02-14 13:51:01 +08:00 这不是摆明了说,你的账号和密码都被他们截获了吗,钓鱼网站也没这么 low 的 |
 | 65 sdijeenx 2019-02-14 13:57:32 +08:00 因为网站叫黑客派了网站里肯定各种坑,不然对不起黑客这个名字 233 sublime 装插件也能当 MD 编辑器用啊,JB 全家桶自带 MD 编辑器,为什么要把时间浪费在折腾工具上() |
 | 66 32 2019-02-14 13:58:23 +08:00 账号背后可是个团伙,因为明显有人在搅混水 |
 | 67 xFrye 2019-02-14 13:58:43 +08:00 https://88250.b3log.org/articles/2019/01/07/1546796187762.html 结合这篇文章,我觉得并不是「不小心」的操作 |
 | 68 justff 2019-02-14 14:02:12 +08:00 果然 黑客派 中国开发者思路总是清奇 |
 | 70 november 2019-02-14 14:04:56 +08:00 这两个事件显示,这人就是明显人品有问题啊。 |
 | 71 yamedie 2019-02-14 14:04:59 +08:00 |
| 72 sdijeenx 2019-02-14 14:10:25 +08:00 看了下黑客派这个网站里的用户,感觉这个网站是为“一些能力不行的程序员为了保住自己的工作,愿意用自己的隐私换取自己不会的知识 or 技能”的用户服务的,他们肯定能忍受挖矿和窃取用户密码等行为() |
 | 73 yuikns 2019-02-14 14:12:39 +08:00 @hilbertz 这个貌似就是滥用权限。 正常登录 app 都应该只请求 Access user email addresses (read-only) 这一个权限。OAuth 不扫一眼这个实在不太应该。 |
74 123s 2019-02-14 14:16:22 +08:00 厉害了。 |
 | 75 shunia 2019-02-14 14:17:43 +08:00 1 已经给这个`b3log` report abuse 了. 有没有哪位大神给个中英双语的 issue 模板,我要学贴吧操作,去把这鸟人的 github 炸一遍. 这是这么长时间以来在 V2EX 见过的最无耻的做派. |
 | 76 FakeLeung 2019-02-14 14:19:00 +08:00 2 >挖矿并不是什么见不得人的事情,我全部的开源产品都挖了挖矿脚本,并且在 README 里面写明了。各人有个人的想法,你不支持不要紧,你觉得我做的是错的也罢,大家该干嘛干嘛吧  卧槽。看来我要留意一下我的博客了(用的 solo )。而且,我貌似并没有在 README 中有看到有挖矿的提醒。 |
 | 77 Jzer0n 2019-02-14 14:19:44 +08:00 又爆信任危机了吗?是利益驱动了这样的行为么? 继续吃瓜。 |
 | 78 designer 2019-02-14 14:27:20 +08:00 via iPhone 以前觉得黑客派挺不错,现在看来站长人品真不行。 内置挖矿,又偷偷操纵用户权限。 不是来黑你,黑客派站长你之前是做灰产的吧。 |
| 79 yuikns 2019-02-14 14:40:38 +08:00 1 @shunia 不要在 issue 里面写。这不合用户规范。 可以 report abuse,链接这个 https://github.com/contact/report-abuse?report=88250+%28user%29 英文有语法错误也没问题,直接写举报信就行。 --------------------- 顺便借楼问下。如果我请求 “ Read org and team membership ”,这个大家会感觉是隐私么? |
 | 80 momocraft 2019-02-14 14:40:53 +08:00 发现我没有授权过(但邮箱注册过,可能当时发现这个权限了) 太可怕了,谢谢提醒.. |
 | 81 Greenm 2019-02-14 14:41:36 +08:00  已经 report abuse, 本来还想把之前挖矿的内容也写进去一起增加可信度的,没想到作者没扛住压力已经去掉来挖矿程序。https://github.com/b3log/pipe/commit/0782cc33c02f1778adc15c1937d5e5c1fa897052 |
| 82 momocraft 2019-02-14 14:43:11 +08:00 如果你当前的 github 用户授权过 应该可以在 https://github.com/settings/connections/applications/780c8c4b2c05f30370ec 看到 (这个链接是用 oauth 页面的 app id 自己造的,我没有授权过无法测试) |
| 83 hilbertz 2019-02-14 14:48:17 +08:00 1 这种人不应该 block,应该不断地鞭尸,否则他就会继续骗新人 |
 | 84 affyun 2019-02-14 15:01:00 +08:00 via Android 竟有如此厚颜无耻之徒 |
 | 85 Trumeet 2019-02-14 15:07:34 +08:00 via Android 中招了 |
| 86 Trumeet 2019-02-14 15:09:21 +08:00 via Android 啊 没 Authorize 那个 App 啊,雾。。 |
 | 87 JayHawel 2019-02-14 15:14:01 +08:00 via Android 项目名字我记住了,开发者账号 v2 账号我也拉黑了,我就想问一句,v2 的帖子置顶怎么做到的? |
 | 88 vB4h3r2AS7wOYkY0 2019-02-14 15:21:17 +08:00 @JayHawel 充值支持后开启额外功能里的 |
 | 90 Nostalgiaaaa 2019-02-14 15:29:56 +08:00 被人发现了还理直气壮的,感觉挺龌龊,让人恶心。 |
| 92 lincanbin 2019-02-14 15:33:18 +08:00 写了个单 report abuse 了,希望 github 官方能妥善处理此事。 |
| 93 yamedie 2019-02-14 15:37:57 +08:00 @JayHawel 视站长大佬的心情而定(如果充过值也可以自己用铜币置顶), 昨天我的求名帖也被指定了, 获得了 300 多个不靠谱答案 |
 | 94 cydian 2019-02-14 15:39:39 +08:00 via Android 希望各位提交 report abuse 人多力量大。 |
 | 95 askfermi 2019-02-14 15:46:19 +08:00 via Android 开年大瓜 |
 | 96 realpg PRO 大家一起 report abuse 吧…… |
| 97 realpg PRO 1 大家一起 report abuse 吧…… 这个用户就是人品负分的典型 |
 | 100 jiangnanyanyu 2019-02-14 16:06:31 +08:00 via Android 凉了凉了 |
Select Language