常見的迷思

Q: 開源軟體本質上安全嗎？

源代碼是否可公開取得以及軟件本身的授權條件並不會影響其安全性。 開源軟件可能比商有軟件更安全，但這點並非絕對保證。 評估軟體時，應該根據個別情況來評估每個工具的聲譽和安全性。

Q: 將信任轉移到另一個提供商可以增加隱私嗎？

在討論 VPN 等解決方案時，我們經常談到「轉移信任」 （將您對 ISP 的信任轉移到 VPN 提供商）。 雖然這可以特別保護瀏覽數據免受 ISP 影響，但挑選的 VPN 提供商仍然可以訪問您的瀏覽數據：資料並非得到完全保護。

Q: 以隱私為中心的解決方案本質上可信賴嗎?

僅專注於單一工具或提供商的隱私政策和營銷可能會讓您忽視其弱點。 當您正在尋找更私密的解決方案時，您應該確定潛在的問題是什麼，並找到該問題的技術解決方案。 例如，您可能希望避免 Google 雲端硬碟，這會讓 Google 存取您的所有資料。 這種情況下潛在的問題是缺乏E2EE ，因此應確保切換的提供商有真地落實 E2EE ，或者使用雲端服務商提供的 E2EE 工具（如Cryptomator ）。 轉換到“以隱私為中心”的提供商（其不用 E2EE ）不能解決您的問題：它只是將信任從 Google 轉移到該供應商。

Q: 我的威脅模型需要多複雜？

我們經常看到人們描述過於複雜的隱私威脅模型。 通常，這些解決方案包括許多不同的電子郵件帳戶或具有許多移動部件和條件的複雜設置等問題。 答案通常是“做 X 的最佳方式是什麼？” 為自己找到“最佳”解決方案並不一定意味著您正在尋找具有數十種條件的絕對解決方案-這些解決方案通常很難實際使用。 正如先前所討論的，安全性通常是以方便為代價。

「開源軟體永遠是安全的」或「商業軟體更安全」¶

這些迷思源於許多偏見，原始碼是否開放以及軟體的許可並不會以任何方式影響其安全性。 ==開源軟件可能比商業軟件更安全，但絕對不能保證這一點。==評估軟體時，您應該根據每個工具的聲譽和安全性進行評估。

開源軟體能夠由第三方人員進行審計，比起同類商用軟體，前者對待潛在漏洞更為透明。它還允許您查看代碼並禁用您發現的任何可疑功能。然而，除非您真的這樣做了，否則不能保證程式碼曾經被評估過，特別是小型軟體專案。 The open development process has also sometimes been exploited to introduce new vulnerabilities known as Supply Chain Attacks, which are discussed further in our Common Threats page.¹

另一方面，專有軟件不太透明，但這並不意味著它不安全。主要的商用軟件專案會由內部和第三方機構進行審計，獨立的安全研究人員仍然可以通過逆向工程等技術發現漏洞。

避免決策上的偏見，這點在評估所使用軟體的隱私與安全標準上至關重要。

「信任的轉移可以增加隱私」¶

在討論 VPN 等解決方案時，我們經常談到「轉移信任」（將您對 ISP 的信任轉移到 VPN 提供商）。雖然這可以保護您的瀏覽資料免受特定 ISP 的侵害，但您選擇的 VPN 提供商仍然可以訪問您的瀏覽數據：您的資料並非完全受到各方的保護。這意味著：

把信任轉付給挑選的服務供應商時，您必須謹慎行事。
您應該利用其它技巧，如 E2EE 來完全保護您的資料。僅因個別供應商的信任與否，並不能確保資料的安全。

「以隱私為中心的解決方案本質上是值得信賴的」¶

僅專注於單一工具或提供商的隱私政策和營銷可能會讓您忽視其弱點。當您正在尋找更私密的解決方案時，您應該確定潛在的問題是什麼，並找到該問題的技術解決方案。例如，您可能希望避免 Google 雲端硬碟，這會讓 Google 存取您的所有資料。這種情況的問題是缺乏 E2EE ，因此您應該確保您轉換的供應商真正實現了E2EE ，或者使用可在任何雲提供商安裝 E2EE 的工具（如 Cryptomator）。轉換到“以隱私為中心”的提供商（其不用 E2EE ）不能解決您的問題：它只是將信任從 Google 轉移到該供應商。

您選擇的供應商的隱私政策和商業實踐非常重要，但應視為隱私技術保證的次要條件：當無須信任供應商時，您不必將信任轉移到另一個供應商。

「愈複雜愈好」¶

我們經常看到人們描述過於複雜的隱私威脅模型。通常，這些解決方案包括許多不同的電子郵件帳戶或具有許多移動部件和條件的複雜設置等問題。答案通常是“做 * X *的最佳方式是什麼？”

為自己找到“最佳”解決方案並不一定意味著您正在尋找具有數十種條件的絕對解決方案-這些解決方案通常很難實際使用。正如先前所討論的，安全性通常是以方便為代價。下面，我們提供一些訣竅：

== 行動需要達到特定的目的：== 想想如何用最少的行動做到想做的事。
移除人類的失敗點：人總會失敗、疲倦、忘記事情。要保持安全性，請避免依賴大腦記憶的手動條件和流程。
使用您要想的適當保護等級。我們經常看到所謂的執法或傳票證明解決方案的建議。這些通常需要專業知識，通常不是人們想要的。建立一個複雜的匿名威脅模型是沒有意義的，如果您的行為容易地被一個簡單的監督去匿名化。

那麼，這看起來會怎麼樣？

最清晰的威胁模型之一是，部分人，知道你是谁 ，而另一部分人不知道。有些必須提出您的法定姓名的情況，但也有其他情況不需要提供全名。

已知身份 - 已知身份是用于必須告之姓名的事務。有许多法律文件和合同都需要合法身份。這可能包括開設銀行帳戶、簽署財產租賃、獲得護照、進口物品時的海關申報，或其他與政府打交道的方式。這些東西通常會需要憑證，如信用卡，信用評級檢查，帳戶號碼，以及實際地址等。

不建議使用 VPN 或Tor来做這些事情，因為你的身份已经通過其他方式被知道了。

溫馨提示

在網上購物時，使用包裹儲物櫃有助於保護您實際地址的私密性。
未知身份 -未知身份可能是您经常使用的稳定化名。它已不算匿名了，因為不會變動。如果是線上社群的一員，可能希望保留其他人知道的身份。這個化名不是匿名的，因為如果監控時間夠長，有關所有者的詳細信息已可揭露更多，例如其寫作方式、他感興趣主題等等。

因此，可能想利用 VPN 來隱藏您的 IP 位址。金融交易更難掩蓋。可以考虑使用匿名的加密貨幣，如 Monero。採用山寨幣轉移也可能有助於偽裝您的貨幣來源。通常交易所需要完成KYC（了解你的客户），然後你才能將法定貨幣兑换成其它種類的加密貨幣。本地聚會也可能是解決方案；然而，這通常更為昂貴，有時還需要 KYC。
匿名身分 - 即便經驗豐富，匿名身分也很難長期維持。它們應該是定期輪換的短期和短暫的身份。

使用 Tor 可以幫助解決這個問題。但要注意的是，透過非同步通訊可以實現更大的匿名性：即時通訊很容易受到打字模式分析的影響（即多於一段文本，透過論壇、電子郵件等分發）

2024 年 3 月發生著名的供應鏈攻擊，當時惡意維護者在流行的壓縮庫 xz 中添加了一個混淆後門。後門 (CVE-2024-3094) 企圖讓未知方遠端存取大多數 Linux 伺服器通過SSH，但它在廣泛部署之前就被發現了。 ↩

您正在查看 Privacy Guides 的英文版本，由我們在 Crowdin 上出色的團隊翻譯。如有您發現錯誤，或在此頁面上看到任何未翻譯的部分，請考慮提供幫助！ 訪問 Crowdin

You're viewing the 英文 copy of Privacy Guides, translated by our fantastic language team on Crowdin. If you notice an error, or see any untranslated sections on this page, please consider helping out!