阿里内网 BBS "貌似是按 HR 提的需求,研发给(每个员工的访问界面)加了一层肉眼无法识别的东西" 这个是怎么做到的?
clino · 2016-09-18 10:17:58 +08:00 · 10501 次点击这是一个创建于 2970 天前的主题,其中的信息可能已经有所发展或是发生改变。
http://media.weibo.cn/article?id=2309351000894019978004262074
```
如果开除消息落实,这名员工大抵是要有些内心崩溃的,因为他甚至没忘了动手 PS 掉水印,然而他还是被找了出来。“就在今天早上( 9 月 14 日),一前端(工程师)解析了图片。”疑似知情的阿里小二李慧向记者透露。
“貌似是按 HR 提的需求,研发给(每个员工的访问界面)加了一层肉眼无法识别的东西。”王文解释,这大概是因为升级的技术可以帮助公司根据外泄图片锁定截图者具体是谁。“违规的,开除也没办法。”
```
问题: 是怎么做到的? 怎么破坏掉这种"肉眼无法识别的东西"?
纯好奇.
```
如果开除消息落实,这名员工大抵是要有些内心崩溃的,因为他甚至没忘了动手 PS 掉水印,然而他还是被找了出来。“就在今天早上( 9 月 14 日),一前端(工程师)解析了图片。”疑似知情的阿里小二李慧向记者透露。
“貌似是按 HR 提的需求,研发给(每个员工的访问界面)加了一层肉眼无法识别的东西。”王文解释,这大概是因为升级的技术可以帮助公司根据外泄图片锁定截图者具体是谁。“违规的,开除也没办法。”
```
问题: 是怎么做到的? 怎么破坏掉这种"肉眼无法识别的东西"?
纯好奇.
 |
1
webdev 2016-09-18 10:23:47 +08:00 via iPhone
你先搞到页面再分享 啥都没 咋分析?
|
 |
2
cctvsmg 2016-09-18 10:28:03 +08:00
“按 HR 提的需求” 东厂果然厉害
|
 |
3
YvesX 2016-09-18 10:28:57 +08:00 via iPhone
搜索:数字水印
|
 |
4
hardensky 2016-09-18 10:29:54 +08:00
之前在华为就听说过 菊花应该也用了这种技术
|
 |
5
silvernoo 2016-09-18 10:34:27 +08:00 via Android
用图片中一两个像素存个 id ,反正肉眼看不出来
|
 |
7
clino OP @silvernoo 你的意思是说某个特定的像素的值是员工编号之类的? 那截图存成 256 位色图+jpg 压缩比高些是否可破?
|
|
8
YvesX 2016-09-18 10:41:57 +08:00 via iPhone
@clino 你说的就是传统的光学水印而已。
数字水印的话,比如我把你的 uid 换成二进制,以难以辨别的像素点的形式装载在背景里,虽然你自己不知道,但你的每一张截图都能用程序读出尊姓大名。 这是比较直观的形式了。好的算法不仅能做到肉眼不可见,还能抵抗压缩扭曲等各种干扰。 |
 |
9
2232588429 2016-09-18 10:43:06 +08:00  1
看这个贴: https://www.v2ex.com/t/306525 (阿里开除截图员工是怎么回事?)
|
 |
10
wd85318 2016-09-18 10:56:48 +08:00
支持阿里 HR
当年还对阿里 HR 那句“技术人员就是狗,发出一个 job 就摇着尾巴过来”那句话记忆犹新 |
|
11
clino OP @2232588429
@YvesX 好吧,那个二值化加噪点是个比较好的办法但是好像还是有方法可以加入这种水印 关键是不知道是如何加入的,如果知道就能针对处理了 当然有个方法可以大致识别,就是两个帐号的同一界面的截图 beyond compare 一下,看哪些像素不一样就大概知道了 |
 |
12
nlzy 2016-09-18 11:12:19 +08:00 via Android
那以后截图 HTML 代码就好了
|
|
13
YvesX 2016-09-18 11:14:07 +08:00 via iPhone
@clino 这就成了一场攻防战了。
但因为本质上不是技术问题,是个管理问题,所以用技术手段去突破,最终胜算是很小的。 比如把信息特征与自然语言分析结合起来,比如加入干扰信息防止对比,再比如更严格的监控措施。 思路再严谨,抵不过头顶的房檐。 |
 |
14
shiji 2016-09-18 11:14:17 +08:00 via Android
以后别截图,用装了美颜 app 的手机拍
|
 |
16
learnshare 2016-09-18 11:31:06 +08:00
存几个特殊像素就是了,肉眼反正无法判断是不是屏幕脏了
|
 |
17
zuotech 2016-09-18 11:38:37 +08:00
在纯白的背景里添加一个 rgb(224,225,225)的水印, 肉眼肯定是看不出来的
|
 |
18
vuser 2016-09-18 11:43:27 +08:00
html 2 txt
|
|
19
shiji 2016-09-18 11:44:30 +08:00 via Android
@hinate 恩,有是有,但是手机相片的像素和屏幕的像素就不是一比一对应了,还存在角度问题。 色彩的还原度也会有很大的偏差。
|
|
20
2232588429 2016-09-18 11:52:30 +08:00
最好的办法应该是文字全部手打一遍传播
|
 |
21
gimp 2016-09-18 11:52:54 +08:00 1
1 ,用一个 300W 像素的手机拍照
2 ,将图片进行小幅度旋转( 1 度) 3 ,高斯模糊 1 像素 4 ,不影响阅读文字的前提下尽可能的缩小图片尺寸,比如 80%大小 5 ,将图片旋转回来(-1 度) 6 ,扩大图片到原来百分之 90 大小 7 ,锐化处理 8 ,使用截图,将照片中所需要展示的信息截取出来 不知可破否,不过感觉好无聊... 内网的东西,如果公司有规定,就不要去违反的好 |
|
22
gimp 2016-09-18 11:57:51 +08:00
截源代码好评,反正程序员也能直接读...
|
 |
23
deeporist 2016-09-18 12:00:40 +08:00
内网的东西 用个人账号登陆访问获取 并在公司的机器上呈现出来 想做手脚不要太容易 并不是在哪一张特殊图片上打水印 而是直接把个人识别信息贴膜一样贴到"呈现“上 解决方法要么手打 或者用识字软件扫一遍 或者让谷歌娘念出来 23333 哪怕用 ps 彻底黑白化估计都不保险 或者你牛逼盗管理或马云内网账号让他背锅哈哈哈哈
|
 |
24
imn1 2016-09-18 12:01:58 +08:00
都没看到图,猜什么都没用,说不准只是很简单的像《风声》那样在边角加段 morse 码,想高级了也无法证实
|
 |
25
daben1990 2016-09-18 12:06:45 +08:00
看上面的帖子的话,可以在讨论区周围找 5 个元素,每个元素用 css 分别左右上下,各两个 px,表示 0-9 的数字,然后这样最多可以表示 99999 的工号,然后拿截图,进行像素级比对,就能知道工号了。
|
 |
26
emric 2016-09-18 12:08:10 +08:00 1
F12 去掉背景图片即可(别问我为什么知道
|
 |
27
anianj 2016-09-18 12:30:12 +08:00
在阿里,技术人员就是狗,看来是除了技术人员的其他部分的共识啊,以前阿里的产品也说过类似的话:不要把技术当人看
|
 |
28
Izual_Yang 2016-09-18 13:46:26 +08:00
就和以前网络小说防盗贴一样。
|
 |
29
xiaoice 2016-09-18 14:01:31 +08:00 via iPhone
“时任阿里巴巴集团资深副总裁的邓康明谈到按照业绩将员工分为“野狗”、“小白兔”、“猎犬”。业绩很好但价值观特别差的员工被称之为“野狗”,对这类人公司的态度非常坚决:“对团队造成的伤害极大”,要“毫不手软地杀掉他”。”
@wilddog |
|
30
xiaoice 2016-09-18 14:02:37 +08:00 via iPhone
阿里这些 等级制度。给贴贬义的动物标签真的好吗。
|
|
31
clino OP |
|
32
imn1 2016-09-18 15:06:31 +08:00
@clino
啊? raw 是字符? 那不用想 90%是背景图,剩下 10%是自创字体(针对每个 id 字体不同,这个工程就大了) 以后阿里员工读信养成习惯客户端(不少可以设置不加载图片),更甚就终端命令行阅读 |
 |
33
9hills 2016-09-18 15:10:08 +08:00
OCR 破一切数字水印。。
|
 |
34
v9ox 2016-09-18 15:12:40 +08:00 via iPhone
safari 阅读模式 能破吗
|
 |
36
mcone 2016-09-18 15:28:33 +08:00
1. 楼主可以搜下数字水印,楼上已经提到无数遍了,楼主却直接“我知道水印应该不是那个吧”带过了。如有条件,搜搜这几年的相关论文,你会惊讶这一行的发展,已经远远不是图片右下角一个 logo 那么简单了。
之前 V 站本身也有过不少次的讨论,楼主也可以搜一下,没记错的话我回复的也有至少两三个相关帖子了。 2. 没猜错的话,应该不是你发的那个图,那张图是内部信,其实就是 PR 信,巴不得你公开呢。 数字水印图很可能是手机截屏的内网通报的那张吧(带着香锅什么花名的那个) |
 |
37
jasonyang9 2016-09-18 15:49:51 +08:00
@zuotech 如果是类似这样的手段,那么对截图 PS 一下,用曲线合并高光区,即可解之
|
 |
38
lausius 2016-09-18 16:06:48 +08:00
那截 HTML 好了。
|
 |
39
SNOOPY963 2016-09-18 16:44:53 +08:00
说阅读模式和截 HTML 的……那跟直接复制文字有什么区别。。
|
|
40
SNOOPY963 2016-09-18 16:50:57 +08:00
人家截图就是为了增加一个可信度而已。如果处理过的话,同样也可以是假的处理伪造称真的。。
顺便说手打文字的,如果辨识根据语义做替换呢?也是就说,每个人看到的文字其实是不一样的,在不影响语义的前提下系统根据过往经验辨识了无关理解的词作了替换。虽然现在市面上尚没有这样的系统但是这个完全是可行的。 所以一旦要追踪其实并不是难事,若要人不知除非己莫为是真理。 我们所为匿名做的一切混淆工作只是在我们的观测度上,一旦有人的观测度水平高于我们,我们就是赤身裸体的。 忘了霍大是怎么找到抄袭的营销号的? |
 |
43
CYKun 2016-09-18 17:30:29 +08:00 via Android
请认真阅读 9 楼的帖子,或自行搜索“数字水印和信息隐藏”。现在的技术已经能做到,从用摄像机偷拍的枪版电影视频片段(画质很差,长度只有几分钟)中还原出隐藏的信息。
|
 |
44
jeeve 2016-09-18 17:49:01 +08:00
参见钉钉就是了,钉钉公司群消息,背景水印是个人名+手机尾号
|
 |
46
laoyuan 2016-09-18 18:05:08 +08:00
破解后可否用于栽赃?比如栽赃到某个 HR 头上
|
 |
47
wangxiaoer 2016-09-18 18:14:43 +08:00
有点纳闷,是不是生成的背景图里面有玄机?这样的话, F12 ,直接把这个背景或者元素删掉还有没有?删掉之后在截图有问题吗?
|
 |
48
binux 2016-09-18 18:27:37 +08:00 via Android
图片基础的数字水印都没法解决一个问题
页面是 HTML 的啊,加个背景加个像素,渲染出来可能看不出,但是源码里太明显了 能抢几盒月饼的,这都看不出来? |
|
50
binux 2016-09-18 18:41:39 +08:00
@rannnn
1. 可以不截带图像的部分啊 2. div 必须带边框,而且边框完整才有意义,在可视范围内,这样的边框非常少 3. 这一切都是在 css 中控制的,找一个人 diff 一下就知道了,一劳永逸 |
|
51
wangxiaoer 2016-09-18 19:12:44 +08:00
|
|
52
binux 2016-09-18 19:15:06 +08:00
@wangxiaoer 截个楼,要那么多按钮干嘛。。元素越少,越容易定位。
再不济,找两个人,把页面资源全下载下来,资源做 diff ,离线渲染,完。 |
 |
53
rannnn 2016-09-18 19:55:29 +08:00
@binux 对啊,所以为了防止加这种“水印”,截图就会尽量小范围,范围越小可信性越低啊。比如你只截一段 text 的话谁相信你的截图?另外,我可以不用 css 啊,直接一个楼的文字就是一整张图片,我里面随便 pick 几个字偏移 1 个 pixel 。这种情况下为了防止页面被做小动作,你得再找一个同事把页面弄出来 diff ,呵呵那不就有另一个人知道是你泄的密了么。。。
|
|
54
binux 2016-09-18 19:58:21 +08:00
@rannnn 「我里面随便 pick 几个字偏移 1 个 pixel 」光这一条就知道你并不了解 HTML/CSS 。对于人肉眼来说这很不明显,但是对于 HTML 、 CSS 就非常明显了。
谁没事在一大段文字里面还插样式啊。 |
|
55
wangxiaoer 2016-09-18 20:01:38 +08:00
哈哈,说起 diff ,觉得用 headless 浏览器用两个账号分别渲染、截图,然后对比,可能是终极办法了
|
 |
58
seeker 2016-09-18 21:01:58 +08:00
如果知道了规则岂不是可以用来坑人了?把 ID 换成马云的不知道有什么效果。
|
 |
59
Quaintjade 2016-09-18 21:22:04 +08:00 via Android
@binux
@wangxiaoer 说到 diff ,还可以一个细节按部门差异化,另一个细节按工号余数差异化,再一个细节按其他什么差异化。 这样就算找身边同事 diff 一下也只能找出部分差异。把这些差异掩掉后,虽然追踪者只能定位到部门,但范围已经很小了,结合点其他线索很容易定位到人。 |
 |
60
nyanyh 2016-09-18 22:07:40 +08:00
r#20 @2232588429 手打一遍的话,如果有程序自动修改原始文字内容,让每个员工看到的都有些差异呢?
|
 |
61
toor00 2016-09-18 22:25:12 +08:00
手机拍了然后换不同背景光下 用另一部手机再拍
或者 拍的时候手动模式 自己调白平衡 理论上这样处理完之后原图的信息都会发生变化但不影响人眼识别,不知道是否可破? |
|
63
2232588429 2016-09-18 22:39:56 +08:00 via iPhone
@nyanyh 那就整理出大概意思,不必逐字逐句
|
 |
65
mingyun 2016-09-18 22:58:05 +08:00
这很阿里
|
 |
66
KaoN 2016-09-18 23:10:03 +08:00
截图,回家拿 ocr 识别。。家里发。。总行吧。。。
|
 |
67
flynaj 2016-09-18 23:47:16 +08:00
应该是他用的截图软件打的水印,内部肯定是这样的.这个就有无数个方法了.普通员工那个会提防这个,其实 QQ 的截图也应该有这个功能,分析一下去先!
|
 |
68
haocity 2016-09-19 08:36:53 +08:00
改灰度 然后自己再手动上色
|
 |
69
inet6 2016-09-19 12:44:08 +08:00 via iPad
朝鲜的红星操作系统就可以,阿里侵权了吧,三胖的导弹可不是闹着玩的。来源:为了实现这一目的,朝鲜在红星 OS 中引入了一种“水印”技术,可以对电脑或者 U 盘中的媒体文件进行标注操作。这也就意味着该系统能够对所有的媒体文件进行跟踪监控。
|
Select Language