关于 › 如何使用盒中安全手册?

如何使用盒中安全手册?

盒中安全手册保存于Gitlab.com,且完全免费开源。

盒中安全手册的更新和维护得益于Front Line Defenders数字安全团队的不懈努力以及各界的帮助与支持。所有的更新和修订都是由Front Line Defenders数字安全编辑所主持的。

盒中安全手册的所有内容都是严格按照以下标准制定。

我们如何制定与发展手册中推荐的策略

盒中安全手册涵盖了许多数字安全的策略。通过浏览本网站的内容,你可以找到各类推荐信息,如:创建和管理强密码的方法;保护个人账号、通信、设备、网络连接,以及个人敏感信息的方法等。

所有这些策略都着重强调了对数字财产的保护,但同时,这些策略也是以全面的眼光来发展的:我们的目标是帮助你保护数字安全,但我们也知道,安全问题涉及到方方面面的考量,如法律和社会心理层面的因素,以及物理安全所能达到的水平。如需了解更多有关整体安全观的内容,我们推荐阅读整体式安全防御手册中的整体安全观章节。

《盒中安全手册》旨在帮助全球范围内的人权捍卫者,因为他们的工作使其面临风险。一般来说,我们认为该资源不仅适用于人权捍卫者,还适用于所有面临数字攻击风险的群体,例如活动家、记者以及其他民间社会成员,此外,女性和LGBTQIA+群体也包括在内,尤其是那些面临基于性别的在线暴力风险的人群。

我们的安全观的中心在于帮助我们的目标受众获得必要的知识,使大家能够判断自身面临的风险、厘清自身的需求。我们力图尽最大努力减少手册中的各项措施可能为人权工作者及其家人和社群,以及其他读者带来的负面影响或伤害。我们也认识到,想要提供真正有效的安全建议,关键在于怀着同理心倾听人权工作者和其他面临网络暴力风险的人群、切实理解他们的处境。所以,盒中安全手册中的策略都是以为读者赋能为着眼点,完全按照目标受众群体的真实需求和目标制定,这也体现了Front Line Defenders的愿景、使命,以及核心价值

我们如何挑选所推荐的工具和服务

软件的开发十分复杂,涉及到自身安全和隐私保护等部分时,各种软件并不是以一种均等的方式设计和开发出来的。根据使用者所在地区的法律法规和潜在威胁的不同,不同的工具和服务使用起来效果也大相径庭。

我们在盒中安全手册里所推荐的工具和服务,会考虑到一系列因素。每一个因素都很重要。因为不同地区对技术有不同的法律要求,也面临着不同的威胁。对所有因素统一划分出重要等级是不切实际的。

下面列出的是我们认为推荐工具和服务时最需要问的问题。如果你需要判断手册未涉及到的其他工具的相关安全性,你也可以使用按照这个标准来进行评估。

该工具或服务的开发运维人员值得信任吗?

  • 该工具或服务的所有者都有谁?其开发历史又如何?它是出自于社会活动者还是私人公司?这些所有者身份公开吗?公众是否了解他们的背景?
  • 该工具或服务的使命是什么?开发者的商业模式是什么样的?
  • 该工具或服务的安全性受到过挑战吗?例如,其是否有过数据泄露事件?是否有向任何政府和国家机关提供过用户数据?其所有者和开发者是如何应对这些挑战的?他们公开过这些问题吗?又或是他们曾试图掩盖问题?

该工具是否对数据进行加密?使用何种加密技术?

  • 该工具是否使用端对端加密技术对使用者和联络人之间的交流进行加密(此举能够防止工具或服务的提供者获得用户的个人数据)?
  • 在无法使用端对端加密的情况下,我们优先考虑可以进行“对服务端加密”的工具,这种加密手段在使用者的设备和服务提供者的基础设施之间进行数据加密。我们不得不反复强调,在此种情况下用户的个人数据在服务器上是未加密的,用户只能依赖于服务管理者的安全和隐私意识,因为这些人都有可能接触到服务器上存储的数据信息。
  • 默认的设定保护使用者的隐私和安全吗?
  • 如果无法使用端对端加密,该工具的技术允许使用者自己搭建服务器设施进行托管、自己掌控数据的访问权吗?

是否公开了源代码以便公开检查?

  • 换句话说,该工具是开源的吗?
  • 该工具或服务有没有接受过软件开发团队或服务提供商以外的安全专家的独立审核?
  • 最近的一次审核是什么时候?
  • 审核是否囊括了该工具或服务的各个方面?是整体审核还是部分审核?如果是一项服务,该服务的服务器等基础设施是否也经过了审核,还是只有用户直接接触的应用部分进行了审核?
  • 这些负责审核的独立专家对该工具或服务的评价如何?

这项技术成熟吗?

  • 这项技术应用多久了?经受住时间的考验了吗?
  • 这个工具是否有一个人数众多并且仍在活跃维护它的开发者社群?
  • 它有多少活跃用户?

它的服务器地点在哪儿?

  • 由于越来越多的服务采用了云技术,这个问题可能难以找到答案,但是,值得信赖的开发者和提供商都会将这些信息公开在他们的网站上,或者通过有信用的媒介发布。
  • 而且,即使我们能够回答这个问题,也不意味着降低了问题的复杂程度,因为就算服务器等基础设施设立在保护人权工作者和公民社会成员的国家和地区,在这些国家和地区以外的人们也得不到同样的保护。
  • 这个问题的目的在于,我们需要知道服务器所在的国家是否要求服务提供商满足本国或他国的政府和当局访问数据的请求,是否是法制国家,是否对人权和消费者提供任何保障。一言以蔽之,这个问题换一种说法就是:非民主国家的当局是否可以合法地利用服务器所在位置来扣押数据、获取信息,或关闭这些服务?

该工具或服务要求使用者提供哪些个人信息?所有者和运维人员可以访问哪些信息?

  • 该工具或服务要求使用者提供其电话号码、邮箱地址、昵称、或其他个人可识别信息吗?
  • 它要求你需要下载安装有可能跟踪使用者数据的专用app或程序吗?
  • 它的隐私政策是如何声明的?它是否保护用户的隐私,并遵守相关隐私法律,例如欧盟的通用数据保护条例?
  • 它的服务器上存储了哪些信息?它的公司的服务协议和条款允许工具所有者获取你的个人信息吗?其中有告知你这些信息的用途吗?
  • 这个app或程序需要获得你设备的什么权限(如联络簿、地理位置信息、麦克风、摄像头等等)?你可以撤销这些权限吗?如果你撤销了一些权限,这个app或程序是否会无法正常工作?

它需要花多少钱?价格在你可接受的范围内吗?

  • 当需要使用一种服务或工具时,我们会考虑它的价格。价格是否在可负担的范围内?它的开发商或运营商采用怎样的商业模式?
  • 除预付款以外,我们还要考虑服务托管的成本、潜在的订阅费、学习使用及管理该工具或服务的成本、可能的IT技术支持成本,以及是否需要购买额外的设备等等。
  • 如果该工具或服务是免费使用的,我们要问自己,为什么如此。如果它不收费,那么是谁来提供经济支持的?它能够免费,是因为该项目是志愿者无偿运营的,还是因为它获得了来自政府或公司的基金?亦或是,它背后的公司实际上是通过将用户数据卖给第三方来盈利的呢?

该工具或服务可以在多种系统和设备上运行吗?

  • 用户能否跨电脑和移动设备使用该工具或服务?它是否只支持商用操作系统,如macOS、iOS,或Linux?如果它不支持所有操作系统,那么用户能否找到可信赖的替代系统和设备来使用该工具或服务?

它是否用户友好?高危人群可以使用它吗?

  • 它是否令人费解或难以安全使用?或者,它的开发者或提供商尽力提高了它的实用性?
  • 人权工作者或其他高危人群是否长久以来都在使用该工具或服务?还是他们在考虑弃用?
  • 用户界面是否直观易于上手?又或者,该工具或服务的使用指南和说明文档简单易懂?

该工具和服务支持多语言吗?

  • 该工具或服务是否已经本地化?支持几种语言?
  • 它的本地化是否仍然在更新?
  • 本地化的品质如何?
  • 使用指南和文档是否也有用户需要的语言来帮助用户理解如何安全地使用它?