V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Xmk
V2EX  ›  macOS

私人和重要数据不要存放在笔记软件 Craft 中

  •  
  •   Xmk · 63 天前 · 4739 次点击
    这是一个创建于 63 天前的主题,其中的信息可能已经有所发展或是发生改变。

    想不到上次发帖还在给 Craft 做推广,这次发帖就是要质疑了。

    事情的经过:

    北京时间 12 月 4 日 11:01 我收到一封邮件,提示我的 Craft 账号邮箱已被更改。我登录账号发现,用户名和邮箱确实都被莫名其妙修改了,没有任何验证(用户名被改成了 GuangXuan G ,邮箱忘记截图了)。

    我登录 Craft 的设备有三个,都在我身边,且不存在密码泄漏问题,因为它是用邮箱验证码登录的。但是邮箱被更改之前,我没有收到任何验证码之类的东西,就直接被更改了。

    然后我将邮箱修改回我之前的邮箱,发现被占用了(因为我之前尝试过用原邮箱登录 Craft ,它自动给我创建了一个新账号),然后我把邮箱修改成 Gmail ,一切顺利,顺利到不需要任何验证,只要新邮箱收一个验证码就行。

    最后,最离谱的事情发生了,我用新的 Gmail 邮箱账号登录 Craft ,提示我账号不存在,又给我创建了一个新账号,所以,我的 Craft 账号就这么莫名其妙消失了……

    想不到 2022 年的今天,还有安全措施如此之差的软件。

    邮件

    修改邮箱之后才想起来截图

    第 1 条附言  ·  63 天前

    更新一下原因:

    找到原因了,原因是 Craft 加入了 Setapp,因为 Setapp 是拼车的(声明:不推荐),所以有人通过我的 Setapp 账号直接无验证登录了我的 Craft,并且修改了邮箱。

    安全问题在于:我的 Craft 是单独的账号单独的 Pro 订阅,跟 Setapp 没有任何关联,但即使如此,也可以无验证直接登录 Craft(包括通过 Google/Apple 等等登录,只要邮箱一样,就不需要任何两步验证)。

    而且修改账号邮箱不需要任何两步验证(密码/原邮箱验证码统统不需要),只要登录了这个账号,就可以修改它的一切内容,包括删除账号,也不需要任何的验证。

    总结:

    邮箱被修改与 Craft 无关,是个人原因。但是,Craft 的安全措施弱也是确实存在的,无验证就可以修改邮箱和删除账号,有点不太行。

    第 2 条附言  ·  63 天前
    第二条 Append:

    账号丢失也让人不能接受。我的账号经历过 A 邮箱->被修改为 B 邮箱->我修改为 C 邮箱之后,就消失了,用 A C 邮箱均无法登录账号,都是创建一个新的账号。

    这个有点离奇了。希望官方能找回来我的账号,然后把它修改为独立的邮箱…找不回来的话就弃用了
    48 条回复    2022-12-10 20:57:49 +08:00
    sunshower
        1
    sunshower  
       63 天前 via Android
    笔记软件太多了 要么老牌要么离线 其它我都不考虑
    b1ghawk
        2
    b1ghawk  
       63 天前 via Android
    @sunshower 有啥推荐的嘛?
    eagrex
        3
    eagrex  
       63 天前
    我有一个不常用的邮箱也收到了这个邮件,但是我不记得自己用那个邮箱注册过 Craft ,尝试登陆的时候可以登陆但是被创建了一个新账户...
    wu67
        4
    wu67  
       63 天前   ❤️ 2
    我选择在自己电脑创建个文件写写 md 和 txt, 要不就创个 git 项目用, 各种笔记云根本不靠谱
    wu67
        5
    wu67  
       63 天前   ❤️ 1
    还有一些云笔记, 分享禁止复制, 那我上云有个卵用, 还不如买个 u 盘备份
    LuciusChen
        6
    LuciusChen  
       63 天前   ❤️ 1
    推荐 emacs 中的 org-roam 配合 agenda ,解决笔记和 GTD 的问题,移动端用 beorg 同步就可以在手机上做 GTD 。
    logyxiao
        7
    logyxiao  
       63 天前
    op 有准备换什么软件么...这么不安全的话..我也得换了
    Ga2en
        8
    Ga2en  
       63 天前
    备忘录不好用吗
    poison123
        9
    poison123  
       63 天前 via iPhone
    官方怎么说
    Justfakemoz
        10
    Justfakemoz  
       63 天前
    安利个支持私有化部署的 memos: https://github.com/usememos/memos
    closedevice
        11
    closedevice  
       63 天前
    求问官方怎么回复,同现在重度使用中
    subframe75361
        12
    subframe75361  
       63 天前
    obsidian / logseq
    SenLief
        13
    SenLief  
       63 天前
    craft 不是可以离线的吗
    LagunAPaTa
        14
    LagunAPaTa  
       63 天前
    自己搭 nextcloud 配合 word 的路过
    Xmk
        15
    Xmk  
    OP
       63 天前
    @poison123 发了两封邮件,还没收到回复
    Xmk
        16
    Xmk  
    OP
       63 天前
    @SenLief 是的,还好它可以离线,现在我 Mac 端的账号消失了,把 iPhone 断网导出了数据,先把数据保留下来了
    Xmk
        17
    Xmk  
    OP
       63 天前
    @closedevice 我也在等官方回复,我之前的账号还是 Pro ,现在 Pro 账号也消失了🫠好歹数据通过 iPhone 断网导出了
    Xmk
        18
    Xmk  
    OP
       63 天前
    @logyxiao 我准备都迁移到 Obsidian ,但不得不说 Craft 确实 ui 漂亮很多,Apple 生态下用起来也挺方便的……
    loading
        19
    loading  
       63 天前
    这就是我一直不敢拼车的主要原因
    sunshower
        20
    sunshower  
       63 天前 via Android
    @b1ghawk 没有,都用的不爽
    coolair
        21
    coolair  
       63 天前
    目前用 Obsidian + MEGA ,很舒服。
    Nitroethane
        22
    Nitroethane  
       63 天前
    「原因是 Craft 加入了 Setapp ,因为 Setapp 是拼车的(声明:不推荐),所以有人通过我的 Setapp 账号直接无验证登录了我的 Craft ,并且修改了邮箱」
    没看懂这个,为什么别人能通过你的 setapp 账号无验证登陆你的 craft ? craft 在加入 setapp 后通过 setapp 登录的时候也需要 setapp 账号的密码呀?难道你拼的 setapp 不是每人一个单独的账号么?
    Phishion
        23
    Phishion  
       63 天前
    苹果的家庭组要不是强制组织者人替所有家庭成员承担费用,估计也是被拼的乱七八糟。
    你这个要是个人类型的账户拼的车,我觉得也还好,变相反拼车了属于是,有可能就*故意这么设计*的。
    你这个要是多用户的 Team 类型,我觉得不可原谅,简直是 BUG 。

    享受优惠就要承担风险,重要的东西还是不要拼了吧,谁知道跟你一辆车的是什么牛鬼蛇神
    yibie
        24
    yibie  
       63 天前
    emacs + 坚果云 舒适
    swulling
        25
    swulling  
       63 天前 via iPhone
    你要这么想,要是别人不改邮箱而是持续窥探你的隐私笔记……

    为啥会有共享笔记的想法?
    shuxhan
        26
    shuxhan  
       63 天前
    本地优先,云端同步也要走自己的机器,最大程度避免使用平台软件
    Xmk
        27
    Xmk  
    OP
       63 天前
    @Phishion 是这样的,但是我 Craft 本来就是单独订阅的,没有跟 Setapp 关联,只是邮箱相同而已,但是却可以通过 Setapp 直接登入同邮箱的 Craft ,不需要密码。

    现在感觉离谱的是 Craft 不需要二步验证就能直接改邮箱和删除账号。
    Xmk
        28
    Xmk  
    OP
       63 天前
    @Nitroethane 对的,Setapp 现在没有家庭版了,找了一段时间没找到老家庭版的车,所以就个人账号拼的。我没想到 Craft 可以通过 Setapp 无验证直接登入,而且 Craft 更是单独订阅的,和 Setapp 也没有关联。

    主要是 Setapp 大多软件都是本地的,都没什么问题,想不到 Craft 是这么个策略。确实拼车有风险,等到期准备自己开了。
    Xmk
        29
    Xmk  
    OP
       63 天前
    @swulling 并不是共享笔记,而是 Craft 的邮箱和 Setapp 的邮箱是同样的,就可以免验证直接登入 Craft 了,哪怕之前 Craft 并没有关联 Setapp 也可以。

    之前 Setapp 里我使用的 APP 都是本地验证+iCloud 同步的,所以都没出过任何问题,但这次 Craft 的策略有些不一样。
    swulling
        30
    swulling  
       63 天前 via iPhone
    那以后应该用一个小号邮箱去拼 setapp
    @Xmk
    Phishion
        31
    Phishion  
       63 天前
    @Xmk 你这种是属于,它后加进来 APP 之后原有账号被“污染”了,如果是正常使用,当然是好事,属于突然帮你省了一笔订阅费,它还好心帮你关联了账号。

    但是这种极端情况,就出现了这种有🐶手欠改你东西删你数据的人,但是也有可能是,那个人也用了 Craft ,然后你们的数据出现了冲突,跟你一个车的以为是数据同步出错了,然后就删了你的账号。

    总之大伙儿引以为戒,希望 OP 的笔记数据没有丢。
    Xmk
        32
    Xmk  
    OP
       63 天前
    @Phishion 希望它好心之前可以询问一下用户 hh…总之还是觉得它应该把密码和二步验证加上去,改邮箱和删账号都属于账号的高危操作,现在的情况是只要登录了就啥都能干。是另一个用户通过 Setapp 登录了 Craft ,然后改了我的邮箱,估计他也没搞清楚这个账号机制。

    数据还好,通过离线导出了一份,现在看看之前的 Pro 账号能不能找回来…
    neochen13
        33
    neochen13  
       63 天前
    所以还是不要拼车,这种事故屡见不鲜,动不动就出事
    jakes
        34
    jakes  
       62 天前 via iPhone
    还是推荐用 obsidian
    Makarich
        35
    Makarich  
       62 天前
    只用备忘录,其他都不如备忘录方便。
    Baoni
        36
    Baoni  
       62 天前
    也就是说,楼主的笔记被别人占有了?楼主也有 setapp 为什么不能重复那个人的操作,再登上去改回来呢?太惨了
    Nielsen
        37
    Nielsen  
       62 天前
    特地去看了下,Craft 提供了一个“Sign in with Setapp”的选项……这样看其实就没什么问题了。

    之前 Setapp 没有这个功能……所有 op 遇到的这种,算是个人帐号拼车的附带伤害吧。
    coolcoffee
        38
    coolcoffee  
       62 天前
    我也觉得 craft 这种云笔记风险很高,难保不会哪天出现数据泄露事件,所以一年订阅到期后就准备迁移了。

    不能指望笔记应用厂商有能力和经历去把安全问题考虑好
    limbo0
        39
    limbo0  
       62 天前
    @b1ghawk #2 obsidian
    Joeith
        40
    Joeith  
       62 天前
    现在迁移到 Obsidian ,除了几个痛点(云端操作难搞 + 只能编辑 md+云上分享+不支持块状格式),其他的很满意。这个不出意外,几乎是可以用很久的笔记软件了。
    Xmk
        41
    Xmk  
    OP
       62 天前
    @Baoni 改回来了,然后账号消失了,十分的可以说是离奇了。。。

    「我的账号经历过 A 邮箱->被修改为 B 邮箱->我修改为 C 邮箱之后,就消失了,用 A C 邮箱均无法登录账号,都是创建一个新的账号。」

    这真的让我对 Craft 感觉一点都不放心。。
    Xmk
        42
    Xmk  
    OP
       62 天前
    @Nielsen 正常的或者说大多数 app 的 Sign in with xxx 逻辑应该是首次关联登录要求绑定现有账号,并且验证现有账号的密码之后做关联吧。而且不经过任何验证直接能修改邮箱的 app 也很少见的……
    lovestudykid
        43
    lovestudykid  
       61 天前
    我之前就说过,不要用共享账户的方式共享 setapp 订阅,有很大的安全隐患,比如任何人都可以登陆上 setapp ,把邮箱改掉,把其他人踢掉。
    flyingheart
        44
    flyingheart  
       60 天前
    推荐使用 GitNote ,完全开源,支持任何支持 Git 的云服务作为存储工具
    我用的是 dev.azure.com ,完全免费,支持私有 repo ,下载速度极快
    Xmk
        45
    Xmk  
    OP
       59 天前
    @flyingheart 看起来好像不错,mark 一下
    chengYT
        46
    chengYT  
       59 天前
    去年 craft 得年度 app 奖的时候我也订阅了一年,用了一段时间发现还是不如 notion ,就放弃了,不过 UI 是真的漂亮。
    Xmk
        47
    Xmk  
    OP
       57 天前
    @poison123 @closedevice 更新一下,截至目前,发给官方的三封邮件都没收到任何回复,放弃了。。。
    poison123
        48
    poison123  
       57 天前
    @Xmk 试试发 [email protected]他们解决可能比邮件效率高
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   实用小工具   ·   1674 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 44ms · UTC 14:42 · PVG 22:42 · LAX 06:42 · JFK 09:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.