想不到上次发帖还在给 Craft 做推广,这次发帖就是要质疑了。
事情的经过:
北京时间 12 月 4 日 11:01 我收到一封邮件,提示我的 Craft 账号邮箱已被更改。我登录账号发现,用户名和邮箱确实都被莫名其妙修改了,没有任何验证(用户名被改成了 GuangXuan G ,邮箱忘记截图了)。
我登录 Craft 的设备有三个,都在我身边,且不存在密码泄漏问题,因为它是用邮箱验证码登录的。但是邮箱被更改之前,我没有收到任何验证码之类的东西,就直接被更改了。
然后我将邮箱修改回我之前的邮箱,发现被占用了(因为我之前尝试过用原邮箱登录 Craft ,它自动给我创建了一个新账号),然后我把邮箱修改成 Gmail ,一切顺利,顺利到不需要任何验证,只要新邮箱收一个验证码就行。
最后,最离谱的事情发生了,我用新的 Gmail 邮箱账号登录 Craft ,提示我账号不存在,又给我创建了一个新账号,所以,我的 Craft 账号就这么莫名其妙消失了……
想不到 2022 年的今天,还有安全措施如此之差的软件。
更新一下原因:
找到原因了,原因是 Craft 加入了 Setapp,因为 Setapp 是拼车的(声明:不推荐),所以有人通过我的 Setapp 账号直接无验证登录了我的 Craft,并且修改了邮箱。
安全问题在于:我的 Craft 是单独的账号单独的 Pro 订阅,跟 Setapp 没有任何关联,但即使如此,也可以无验证直接登录 Craft(包括通过 Google/Apple 等等登录,只要邮箱一样,就不需要任何两步验证)。
而且修改账号邮箱不需要任何两步验证(密码/原邮箱验证码统统不需要),只要登录了这个账号,就可以修改它的一切内容,包括删除账号,也不需要任何的验证。
总结:
邮箱被修改与 Craft 无关,是个人原因。但是,Craft 的安全措施弱也是确实存在的,无验证就可以修改邮箱和删除账号,有点不太行。
1
sunshower 2022-12-04 13:45:34 +08:00 via Android
笔记软件太多了 要么老牌要么离线 其它我都不考虑
|
3
eagrex 2022-12-04 14:14:56 +08:00
我有一个不常用的邮箱也收到了这个邮件,但是我不记得自己用那个邮箱注册过 Craft ,尝试登陆的时候可以登陆但是被创建了一个新账户...
|
4
wu67 2022-12-04 14:17:42 +08:00 2
我选择在自己电脑创建个文件写写 md 和 txt, 要不就创个 git 项目用, 各种笔记云根本不靠谱
|
5
wu67 2022-12-04 14:18:36 +08:00 1
还有一些云笔记, 分享禁止复制, 那我上云有个卵用, 还不如买个 u 盘备份
|
6
LuciusChen 2022-12-04 14:28:13 +08:00 1
推荐 emacs 中的 org-roam 配合 agenda ,解决笔记和 GTD 的问题,移动端用 beorg 同步就可以在手机上做 GTD 。
|
7
logyxiao 2022-12-04 14:30:34 +08:00
op 有准备换什么软件么...这么不安全的话..我也得换了
|
8
Ga2en 2022-12-04 14:33:09 +08:00
备忘录不好用吗
|
9
poison123 2022-12-04 14:34:15 +08:00 via iPhone
官方怎么说
|
10
Justfakemoz 2022-12-04 14:53:34 +08:00
安利个支持私有化部署的 memos: https://github.com/usememos/memos
|
11
closedevice 2022-12-04 14:57:44 +08:00
求问官方怎么回复,同现在重度使用中
|
12
subframe75361 2022-12-04 15:20:02 +08:00
obsidian / logseq
|
13
SenLief 2022-12-04 15:27:33 +08:00
craft 不是可以离线的吗
|
14
LagunAPaTa 2022-12-04 15:35:14 +08:00
自己搭 nextcloud 配合 word 的路过
|
17
Xmk OP @closedevice 我也在等官方回复,我之前的账号还是 Pro ,现在 Pro 账号也消失了🫠好歹数据通过 iPhone 断网导出了
|
18
Xmk OP @logyxiao 我准备都迁移到 Obsidian ,但不得不说 Craft 确实 ui 漂亮很多,Apple 生态下用起来也挺方便的……
|
19
loading 2022-12-04 15:58:46 +08:00
这就是我一直不敢拼车的主要原因
|
21
coolair 2022-12-04 16:04:45 +08:00
目前用 Obsidian + MEGA ,很舒服。
|
22
Nitroethane 2022-12-04 16:19:58 +08:00
「原因是 Craft 加入了 Setapp ,因为 Setapp 是拼车的(声明:不推荐),所以有人通过我的 Setapp 账号直接无验证登录了我的 Craft ,并且修改了邮箱」
没看懂这个,为什么别人能通过你的 setapp 账号无验证登陆你的 craft ? craft 在加入 setapp 后通过 setapp 登录的时候也需要 setapp 账号的密码呀?难道你拼的 setapp 不是每人一个单独的账号么? |
23
Phishion 2022-12-04 16:22:14 +08:00
苹果的家庭组要不是强制组织者人替所有家庭成员承担费用,估计也是被拼的乱七八糟。
你这个要是个人类型的账户拼的车,我觉得也还好,变相反拼车了属于是,有可能就*故意这么设计*的。 你这个要是多用户的 Team 类型,我觉得不可原谅,简直是 BUG 。 享受优惠就要承担风险,重要的东西还是不要拼了吧,谁知道跟你一辆车的是什么牛鬼蛇神 |
24
yibie 2022-12-04 16:22:23 +08:00
emacs + 坚果云 舒适
|
25
swulling 2022-12-04 16:23:26 +08:00 via iPhone
你要这么想,要是别人不改邮箱而是持续窥探你的隐私笔记……
为啥会有共享笔记的想法? |
26
shuxhan 2022-12-04 16:27:08 +08:00
本地优先,云端同步也要走自己的机器,最大程度避免使用平台软件
|
27
Xmk OP @Phishion 是这样的,但是我 Craft 本来就是单独订阅的,没有跟 Setapp 关联,只是邮箱相同而已,但是却可以通过 Setapp 直接登入同邮箱的 Craft ,不需要密码。
现在感觉离谱的是 Craft 不需要二步验证就能直接改邮箱和删除账号。 |
28
Xmk OP @Nitroethane 对的,Setapp 现在没有家庭版了,找了一段时间没找到老家庭版的车,所以就个人账号拼的。我没想到 Craft 可以通过 Setapp 无验证直接登入,而且 Craft 更是单独订阅的,和 Setapp 也没有关联。
主要是 Setapp 大多软件都是本地的,都没什么问题,想不到 Craft 是这么个策略。确实拼车有风险,等到期准备自己开了。 |
29
Xmk OP @swulling 并不是共享笔记,而是 Craft 的邮箱和 Setapp 的邮箱是同样的,就可以免验证直接登入 Craft 了,哪怕之前 Craft 并没有关联 Setapp 也可以。
之前 Setapp 里我使用的 APP 都是本地验证+iCloud 同步的,所以都没出过任何问题,但这次 Craft 的策略有些不一样。 |
31
Phishion 2022-12-04 16:39:58 +08:00
@Xmk 你这种是属于,它后加进来 APP 之后原有账号被“污染”了,如果是正常使用,当然是好事,属于突然帮你省了一笔订阅费,它还好心帮你关联了账号。
但是这种极端情况,就出现了这种有🐶手欠改你东西删你数据的人,但是也有可能是,那个人也用了 Craft ,然后你们的数据出现了冲突,跟你一个车的以为是数据同步出错了,然后就删了你的账号。 总之大伙儿引以为戒,希望 OP 的笔记数据没有丢。 |
32
Xmk OP @Phishion 希望它好心之前可以询问一下用户 hh…总之还是觉得它应该把密码和二步验证加上去,改邮箱和删账号都属于账号的高危操作,现在的情况是只要登录了就啥都能干。是另一个用户通过 Setapp 登录了 Craft ,然后改了我的邮箱,估计他也没搞清楚这个账号机制。
数据还好,通过离线导出了一份,现在看看之前的 Pro 账号能不能找回来… |
33
neochen13 2022-12-04 22:28:43 +08:00
所以还是不要拼车,这种事故屡见不鲜,动不动就出事
|
34
jakes 2022-12-04 22:52:16 +08:00 via iPhone
还是推荐用 obsidian
|
35
Makarich 2022-12-05 06:49:45 +08:00
只用备忘录,其他都不如备忘录方便。
|
36
Baoni 2022-12-05 10:56:09 +08:00
也就是说,楼主的笔记被别人占有了?楼主也有 setapp 为什么不能重复那个人的操作,再登上去改回来呢?太惨了
|
37
Nielsen 2022-12-05 11:21:17 +08:00
特地去看了下,Craft 提供了一个“Sign in with Setapp”的选项……这样看其实就没什么问题了。
之前 Setapp 没有这个功能……所有 op 遇到的这种,算是个人帐号拼车的附带伤害吧。 |
38
coolcoffee 2022-12-05 11:31:53 +08:00
我也觉得 craft 这种云笔记风险很高,难保不会哪天出现数据泄露事件,所以一年订阅到期后就准备迁移了。
不能指望笔记应用厂商有能力和经历去把安全问题考虑好 |
40
Joeith 2022-12-05 11:47:13 +08:00
现在迁移到 Obsidian ,除了几个痛点(云端操作难搞 + 只能编辑 md+云上分享+不支持块状格式),其他的很满意。这个不出意外,几乎是可以用很久的笔记软件了。
|
41
Xmk OP @Baoni 改回来了,然后账号消失了,十分的可以说是离奇了。。。
「我的账号经历过 A 邮箱->被修改为 B 邮箱->我修改为 C 邮箱之后,就消失了,用 A C 邮箱均无法登录账号,都是创建一个新的账号。」 这真的让我对 Craft 感觉一点都不放心。。 |
42
Xmk OP @Nielsen 正常的或者说大多数 app 的 Sign in with xxx 逻辑应该是首次关联登录要求绑定现有账号,并且验证现有账号的密码之后做关联吧。而且不经过任何验证直接能修改邮箱的 app 也很少见的……
|
43
lovestudykid 2022-12-06 08:10:41 +08:00
我之前就说过,不要用共享账户的方式共享 setapp 订阅,有很大的安全隐患,比如任何人都可以登陆上 setapp ,把邮箱改掉,把其他人踢掉。
|
44
flyingheart 2022-12-07 21:14:52 +08:00
推荐使用 GitNote ,完全开源,支持任何支持 Git 的云服务作为存储工具
我用的是 dev.azure.com ,完全免费,支持私有 repo ,下载速度极快 |
45
Xmk OP @flyingheart 看起来好像不错,mark 一下
|
46
chengYT 2022-12-08 21:44:42 +08:00
去年 craft 得年度 app 奖的时候我也订阅了一年,用了一段时间发现还是不如 notion ,就放弃了,不过 UI 是真的漂亮。
|
47
Xmk OP @poison123 @closedevice 更新一下,截至目前,发给官方的三封邮件都没收到任何回复,放弃了。。。
|
49
evan9527 331 天前
你的 setapp 拼车是不是把主账号的位置也拼出去了?家庭组成员的话是不会发生这种事情的
|