V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
somereason
V2EX  ›  程序员

竟然有人在 oschina 上托管学生作业....

  •  
  •   somereason · 2017-06-01 14:51:23 +08:00 · 20215 次点击
    这是一个创建于 2733 天前的主题,其中的信息可能已经有所发展或是发生改变。

    逛 oschina 的山寨 git,发现这个项目,

    https://git.oschina.net/Csharp2017 ,

    少有的 C#项目,点进去看看.

    然后发现了项目结构是第 x 次作业..

    原来是某个老师建立的让学生交作业的项目,每一次作业都是一个文件夹.每个学生把当次作业 push 上去,文件名还要是学号和名字...

    我也是醉了, 这老师觉得自己很时髦?安全意识跑哪去了.

    随便搜一组学生名字和学号,就能搜到是天津大学.再搜搜学院信息也都能查到.

    自己建个私有 git 很难吗?能教编程这点安全意识都没有.

    176 条回复    2017-06-06 20:30:58 +08:00
    1  2  
    gesse
        101
    gesse  
       2017-06-02 10:53:05 +08:00


    人家红薯都没说什么
    wangxiaoer
        102
    wangxiaoer  
       2017-06-02 10:54:42 +08:00
    @xxiu 我也并没有恶意,只是觉得在使用 git 和代码托管平台就应该按照常规实践来使用,如果只是所谓的文件存储、共享用网盘更方便。我觉得无奈的是没有在合适的场合选择合适的工具,一般人就算了,但作为教 CS 课程的老师,这种选择会让人觉得不专业。
    yeziahehe
        103
    yeziahehe  
       2017-06-02 11:02:56 +08:00
    红薯大佬。
    Perry
        104
    Perry  
       2017-06-02 11:04:21 +08:00 via iPhone   ❤️ 3
    V 站一些人的多管闲事让我开始怀疑人生
    likuku
        105
    likuku  
       2017-06-02 11:06:42 +08:00   ❤️ 2
    看了这么多回复,看来国内信息安全现状在未来 20 年是不会有啥改善了...
    wangxiaoer
        106
    wangxiaoer  
       2017-06-02 11:15:31 +08:00   ❤️ 1
    @gesse 个人觉得红薯那个声明没啥实质意义,更多是一种姿态。作为网站创始人,这种情况下总不能说让注册用户离开吧,那样的话等于让很多潜在用户如学生等望而却步,索性来个肯定的表态。

    但是这种做法欠妥,作为运营者来讲,在肯定的基础上,如果能够讲明代码托管和网盘服务的区别,并且协助、引导那位老师和学生采用“正常”的代码管理流程,进一步享受 oschina 提供的服务的便利,这才是既兼顾了客户又坚持了原则。否则按照目前这种姿态,可能会造成一个小热点,吸引一波用户,可是如果一窝蜂都去当免费网盘用,正常的代码托管用户的资源势必收到挤压,网盘又比不过专业的,两边都不讨好,最终没有任何人受益,这样吸引过来的用户有价值吗?
    zoker
        107
    zoker  
       2017-06-02 11:16:51 +08:00   ❤️ 6
    楼主说法本身就不严谨,就不要强迫别人想的很细致。
    你知道 Git 是什么吗?什么叫 OSChina 的山寨 Git ?
    准确点你想黑的话,应该说 OSChina 的山寨 Github 或 山寨 Git 托管服务。
    山寨 Git 是什么意思?

    你这么有安全意识,为学生信息安全着想,你就不应该再把地址贴到这里。

    - From 20094657
    leave01
        108
    leave01  
       2017-06-02 11:25:11 +08:00
    莫名其妙的优越感
    hoythan
        109
    hoythan  
       2017-06-02 11:36:21 +08:00   ❤️ 5
    妈的 git 的主要目标不就是开源吗?作业分享大家一起看一起解决问题怎么了?V 站婊子越来越多了.
    quix
        110
    quix  
       2017-06-02 11:39:14 +08:00
    建议屏蔽名字
    sherrybiubiubiu
        111
    sherrybiubiubiu  
       2017-06-02 11:46:45 +08:00
    老师应该是想让同学们可以互相看看别的同学写的代码吧 有这种老师都是幸运的 我们学校都是光盘把一个班的项目打包。。。。。。
    wolfan
        112
    wolfan  
       2017-06-02 11:48:15 +08:00
    @hoythan 针对这事,确实有个不妥,如果能把学号(或者包括姓名)改用一个代号更好,毕竟学号还是不宜如此不紧慎的,当然如果换面私有项目就没有这些问题了 。
    byuc
        113
    byuc  
       2017-06-02 11:57:45 +08:00   ❤️ 1
    用楼主的话来说,最后一句应该换成:“自己建个私有 的山寨 git 很难吗?”
    求教正宗的 git 在哪里?
    ioriwong
        114
    ioriwong  
       2017-06-02 12:02:03 +08:00
    赞一下老师,唾一下楼主
    laoyuan
        115
    laoyuan  
       2017-06-02 12:22:57 +08:00
    铜币技能 get
    laoyuan
        116
    laoyuan  
       2017-06-02 12:33:30 +08:00
    别的学校我没研究,山东大学 sdu.edu.cn 的网站群上,奖学金、保研的,学号、身份证号、姓名院系,全都有,这是要公示的!
    laoyuan
        117
    laoyuan  
       2017-06-02 12:36:43 +08:00
    这样确实不太好,我觉得信息公示至少身份证号应该打几位码
    sobigfish
        118
    sobigfish  
       2017-06-02 13:00:49 +08:00   ❤️ 1
    有些学校呢,学生的用户名是学号 初始登录密码是身份证特定几位。
    然后....
    其实通过学号真的可以搜出一堆东西
    l00t
        119
    l00t  
       2017-06-02 13:06:15 +08:00
    @wangxiaoer 这就不是一个项目,要啥 readme? 还有你哪看到提交作业用的是 pptx 格式? 怎么我看到的大多是 PDF,少部分是 md ? git 作为一个版本控制系统,甭管传的格式是啥,必要的时候版本回退总是可以用的吧。
    likuku
        120
    likuku  
       2017-06-02 13:07:36 +08:00
    @zoker [你这么有安全意识,为学生信息安全着想,你就不应该再把地址贴到这里。 ]

    呵呵呵...这自欺欺人玩的 666
    wangxiaoer
        121
    wangxiaoer  
       2017-06-02 13:18:20 +08:00
    @l00t 按照目前那个仓库里面的文件,每次一个文件夹,真没看出来用版本控制的意义在哪里(实际上作业这种东西也不存在回退不会退的问题了,作业之间都是相对孤立的),所以我觉得这种情况百度网盘加个密码是最合适的。如果用 osc 的代码托管,就文本方式正常提交代码,如果用心的话分支、tag 啥的都试一试,就当学习 git,这样子挺好的。
    至于学号、姓名之类,有保密意识固然好,但这个不是我的喷点 :smile:
    l00t
        122
    l00t  
       2017-06-02 13:30:20 +08:00
    @wangxiaoer 一次作业可以多次提交啊,虽然大部分都是后面的版本有效,但也许就有人遇到发现改了后还是改之前的版本更好的情况呢。另外就算拉倒网盘一个高度来比较,这套操作方式也比网盘方便啊…… 百度网盘你是打算大家共用一个账号?谁把谁的东西改了都不知道好么。
    imbushuo
        123
    imbushuo  
       2017-06-02 13:36:38 +08:00
    我们都是 Computing Account 对应开 Private GitHub Repo 的
    sobigfish
        124
    sobigfish  
       2017-06-02 13:37:52 +08:00
    http://gs.tju.edu.cn/xw_infor/default.htm
    佐证 #118 的 有些学校呢(同一个学校),学生的用户名是学号 初始登录密码是身份证特定几位。


    用户类型 登录名 密码说明
    所有研究生 学号 与培养选课系统相同,初始密码为身份证号
    SourceMan
        125
    SourceMan  
       2017-06-02 13:43:49 +08:00
    虽然我也觉得不是很妥当,放公共 repo

    但是

    我就是要唾弃 v2 上面居高自然的不良风气
    liuzhen
        126
    liuzhen  
       2017-06-02 13:44:43 +08:00   ❤️ 2
    楼主没有搞清楚 git 和 github 的关系 /区别
    solee
        127
    solee  
       2017-06-02 13:46:04 +08:00   ❤️ 1
    没有私有化确实有问题 但是山寨 git 我只能呵呵一笑了
    anviod
        128
    anviod  
       2017-06-02 13:52:03 +08:00   ❤️ 1
    既然有安全意识,楼主是否有披露原则? 贴链接公布他人信息是否妥当?这是负责任的态度?
    ParallelMao
        129
    ParallelMao  
       2017-06-02 14:00:57 +08:00
    讲实话在学校的时候我也曾无比期望需要实践的课程老师能用这样的方式来管理学生的作业,但是我们学校的老师们都不愿意去学 git 更不用说还能用 git@osc。总之对这件事我觉得老师没有错,只是可能在用的方式上有一些可以改善的地方,比如可以给每个班建一个 group,然后项目设置为 group 内部可见,公网不可见之类的。希望该老师能够坚持下去。
    Icemic
        130
    Icemic  
       2017-06-02 14:18:20 +08:00
    我校又火了 2333
    onlyice
        131
    onlyice  
       2017-06-02 14:33:05 +08:00
    楼主是否有统计过,贴学号被人人肉的有多少比例?造成了怎样的隐私问题?带来了多少影响?有多少人在意被贴学号?
    Sjmr
        132
    Sjmr  
       2017-06-02 14:42:03 +08:00
    看回复就清楚,国人对自己的隐私被泄露已经到了习以为常麻木不仁的地步,但是题主把链接发出来的作法实在不敢恭维,这不就闹出了那个 Issue,并且让更多人知道了这些东西,如果你是当事人会开心吗?
    parametrix
        133
    parametrix  
       2017-06-02 15:01:45 +08:00   ❤️ 4
    很奇怪,难道因为“反正很容易就能搜索到”,“学校信息系统本就漏洞百出”,或者“这种信息又不能把钱从你银行卡里取出来”就无所谓了?难道这种态度不是在为已经十分严峻的信息安全形势“添柴”?

    很多东西本就不是只有两种极端,从“该信息会跟着我进坟墓”到“这本就是应该公开获取的信息”中间有很多选择吧,每一次选择稍微用心一点,选择更安全的做法,都会增加整体信息安全的强度,让恶意者付出更高的成本。

    这件事情里,学校只要选择使用私有库就能避免问题,成本很小,想不出不做的道理。如果说“反正学校其他网站 /BBS 上就能找到这些信息,我多做也没用”,我觉得这是态度问题。
    Yinz
        134
    Yinz  
       2017-06-02 15:06:53 +08:00
    @sobigfish 同意,某些学校的系统能用学号和默认密码登陆,进一步获取学生信息,其中某些系统能查到身份证号,以此进一步登陆更多的系统滚个人信息的雪球
    sobigfish
        135
    sobigfish  
       2017-06-02 15:35:48 +08:00
    里面有位太自以为是了,以为我在喷他...
    你哪位?值得我喷么?

    可以看看 ls 对你这种态度的说法,都是在讨论态度和思维方式而已,谁管你是谁
    sumonian
        136
    sumonian  
       2017-06-02 15:48:43 +08:00
    楼主真是蛋疼的想法
    个人觉得挺好
    coolypf
        137
    coolypf  
       2017-06-02 15:53:50 +08:00
    打开链接发现里面已经喷起来了……
    VectorHuang
        138
    VectorHuang  
       2017-06-02 15:55:49 +08:00
    哇..现在的老师都会用 git 了。
    sobigfish
        139
    sobigfish  
       2017-06-02 16:01:24 +08:00
    @coolypf #137 看热闹不嫌事大😂,真心没喷他,这种事不关己无所谓的态度(既然无所谓了还跑出来说什么无所谓?)让人觉得忍不住要吐槽
    yangzj1992
        140
    yangzj1992  
       2017-06-02 16:12:05 +08:00
    我觉得这真的是纯粹小题大做,上纲上线了...
    parametrix
        141
    parametrix  
       2017-06-02 16:14:14 +08:00   ❤️ 1
    我这里再举个例子补充一下我个人的看法:比如从银行把钱取出来就立即放进钱包里这个习惯。

    假定一个银行每天接待 1000 名客户,每天取出 100w 现金(这都是例子,具体数字我并不清楚),大家取完钱后都小心的收进钱包,那么一个蹲点的盗贼怎么看呢?他在抢一位客户的成本下,收益预期是 100w/1000=1000 元,假定他被抓的概率是 5 成,会没收所得,并在监狱里关 10 年,而不偷窃的话社会低保一个月给他 500 元,500*12*10=60000 元,所以他采取行动的预期净收益是 1000*0.5-60000*0.5=-29500。

    但假定大家没有这个习惯,而是取出来的钱就随便拿在手上,那盗贼只要盯一个取了 10w 的人,就能预期正收益。

    虽然把钱放进钱包里这个习惯不能完全避免被偷,不能避免小偷知道谁去了钱,甚至不能完全避免小偷知道你取了多少钱,但他要获取相同的资讯代价就大了很多。这样一个小习惯,在整体上为大家带来的很大的安全收益。
    Qcui
        142
    Qcui  
       2017-06-02 16:31:53 +08:00   ❤️ 2
    什么样的用户养什么样的厂商,国内互联网厂商为啥对隐私肆无忌惮,就是因为这么多人根本就不在乎自己的隐私
    shierji
        143
    shierji  
       2017-06-02 16:36:16 +08:00 via Android
    我觉得这个事儿好的地方比坏的地方多一些
    chenyu0532
        144
    chenyu0532  
       2017-06-02 16:38:54 +08:00
    好不容易来了一个不是 XXX 语言怎么样? java 是不是快死了? php 是最好的语言么? 之类的开喷帖子。。。wahahahha
    chenyu0532
        145
    chenyu0532  
       2017-06-02 16:42:11 +08:00
    认真的说学生的那点破信息,学号 姓名 之类的没啥价值,去办手机号的时候你的信息已经泄露了。这点小破信息没人在意。以后买车 买房 后再说个人隐私问题吧
    why1
        146
    why1  
       2017-06-02 18:48:22 +08:00 via Android
    @Qcui 政府最高兴,也许就是幕后黑手
    hijkzzz
        147
    hijkzzz  
       2017-06-02 19:07:35 +08:00
    难道要用垃圾 FTP 服务器打包 word 文件提交抄来的代码?
    zoker
        148
    zoker  
       2017-06-02 20:19:12 +08:00 via iPhone
    @likuku 嗯,虽然不知道你说的什么意思,但还是谢谢回复,有私信,有邮箱,大可以先通知下这位老师,而不是到处公布 :)
    mozutaba
        149
    mozutaba  
       2017-06-02 21:09:52 +08:00 via Android
    研究生时就是这么干的。github 上加入老师的组织,然后 push 自己的代码,好处是没有抄袭问题,坏处是学号邮箱被知道了。
    maintainer
        150
    maintainer  
       2017-06-02 23:25:57 +08:00
    LZ 既然这么有安全意识,不应该先告诉那位老师有信息安全问题,然后等得到准确回复后再公开这个项目的链接吗?
    有的黑客找到 BUG 后都会先通知厂商修复它,等修复后才曝光呢。
    jayin
        151
    jayin  
       2017-06-02 23:31:58 +08:00 via iPhone
    震惊!
    m31271n
        152
    m31271n  
       2017-06-02 23:34:37 +08:00
    别人用什么,关你鸟事。瞎操心。
    casparchen
        153
    casparchen  
       2017-06-02 23:55:24 +08:00
    @Sweden 我们连身高体重身份证号都是
    SharkIng
        154
    SharkIng  
       2017-06-03 06:22:24 +08:00 via iPhone
    让我想起了上次那个 git 交作业 被队友坑了那个帖子
    Trim21
        155
    Trim21  
       2017-06-03 08:25:13 +08:00
    @laoyuan 身份证没有要求公示,纯粹是公布的人的错误,刚发出来不久就要求撤掉了...
    Trim21
        156
    Trim21  
       2017-06-03 08:27:09 +08:00
    @Hzzone

    同时我很好奇哪天你被逼急了是不是也会说出李翔一样的话
    xvx
        157
    xvx  
       2017-06-03 08:36:59 +08:00 via iPhone   ❤️ 1
    看了这么多回复,竟然连 V 站这么多人都这样的想法,看来国内隐私安全之现状,死光这一代再死光下一代,都不会变得有好转的了。
    azoon
        158
    azoon  
       2017-06-03 10:09:17 +08:00
    闲的蛋疼
    Clarencep
        159
    Clarencep  
       2017-06-03 11:37:10 +08:00
    顶 LZ 一个。使用 git 完全可以自己搭个服务器。若是嫌 gitlab 太复杂,完全可以使用 gogs 这只拆箱即用的。

    反正我是不会把敏感信息都放公开的 git 库上的。

    幸好没有遇到这样的老师 :)
    Miy4mori
        160
    Miy4mori  
       2017-06-03 13:25:07 +08:00 via iPhone
    这 tm 也能怼,还有人吐槽为什么不用 markdown 代替 pptx ?说不出话。v 站现在的群众真是越来越厉害了……
    lp10
        161
    lp10  
       2017-06-03 13:28:14 +08:00
    嗯,不应该把已经公开了的信息再发送一遍……
    你这跟别人提交了漏洞先报警的有啥区别?
    乌云就是被你们这种人搞死的 :D
    Hzzone
        162
    Hzzone  
       2017-06-03 15:31:07 +08:00
    @Trim21 你放心,我不会被你恶心到的,心很大
    Trim21
        163
    Trim21  
       2017-06-03 16:12:08 +08:00
    @Hzzone 是,那是因为你本身也恶心
    Trim21
        164
    Trim21  
       2017-06-03 16:15:26 +08:00
    @Miy4mori 因为一个是文本文件一个是而二进制文件,git 对他们的支持程度天然不同,这有什么不能吐槽的...
    wujunchuan2008
        165
    wujunchuan2008  
       2017-06-03 16:40:47 +08:00
    我觉得这点信息没啥价值吧,比起手机号码啥的,学号姓名真不算什么
    而且至少从教育层面出发,在学生中推广 Git 也挺好的
    parametrix
        166
    parametrix  
       2017-06-03 17:24:42 +08:00
    看到很多朋友觉得像姓名学号之类的信息没什么价值或者不算隐私,那么按照这种观点,快捷支付绑定银行卡验证的五要素哪些算是有价值?哪些算是隐私?或者学号没有价值,按这个道理身份证号有没有?

    现实也应证了这种心态,现在五要素里真正起作用的恐怕就只剩下短信验证码了,要不会出现验证码泄露,银行卡就被绑定盗刷这么滑稽的事情?

    就事论事,我个人对于在学生中推广 Git 也很赞同,而且像姓名这种在一定范围内公开的信息,现实中也难以保护的尽善尽美,所以我没有想苛责当事人这件事情没做好,只是针对业者托大的态度。

    现在“信息安全”,“保护隐私"在衡量产品的时候权重实在太低,很多网络产品不上 https,一说起来就是会增加服务器负荷,可见用户信息安全在他们心目中连这点成本都不值。那邮件、即时通讯还加什么密?用户密码为什么要加盐 HASH ?手机系统为什么要升级? APP 的权限当然是全要啦,万一以后要用呢?总而言之,我这里取的用户信息没什么价值就是了。

    还有,已经泄露的信息那是没办法了,但总不能就这样自暴自弃,还是要努力一下的,未来日子还长呢。。。
    Miy4mori
        167
    Miy4mori  
       2017-06-03 17:42:16 +08:00 via iPhone
    @Trim21 醒醒,pptx 是基于 XML 的,况且二进制怎么就不能上 git 了? LFS 研究出来干什么的? git 没学会教条主义倒是学的不差,在下佩服。
    Bryan0Z
        168
    Bryan0Z  
       2017-06-04 00:25:14 +08:00 via Android
    @Miy4mori 不是都是压缩过了吗,改成 zip 都能解压的
    Miy4mori
        169
    Miy4mori  
       2017-06-04 02:21:56 +08:00 via iPhone
    @Bryan0Z 这倒没注意,退一步就算是二进制传 git 也没什么吐槽的,更何况人家用的好好的 ppt 要被吐槽用 git 就要用 markdown。一脸问号,什么时候 markdown 还能取代 ppt,真是吐的没水平。
    Trim21
        170
    Trim21  
       2017-06-04 08:35:38 +08:00 via iPad
    @Miy4mori 你新建一个 pptx 试试看你的 git 能把他像 xml 文件一样 diff 不
    gesse
        171
    gesse  
       2017-06-04 13:24:23 +08:00 via iPhone
    莫名其妙的优越感
    Miy4mori
        172
    Miy4mori  
       2017-06-05 17:25:09 +08:00 via iPhone
    @Trim21 不能又怎么样,谁规定二进制不能上 git,再说人家就有 ppt 的需求凭什么要切换成 md ?
    Trim21
        173
    Trim21  
       2017-06-05 23:30:10 +08:00 via iPhone
    @Miy4mori
    你说的很对,谁规定不行了?
    吐槽不用 md 也是规定不能用 pptx 吗?我们又不可能跑去把他们的 pptx 都删掉,怎么可能规定行不行。
    milly
        174
    milly  
       2017-06-06 01:37:02 +08:00
    码云支持免费设置成私密项目,估计老师还比较懒
    Miy4mori
        175
    Miy4mori  
       2017-06-06 17:39:36 +08:00 via iPhone
    @Trim21 人家就需要 ppt 吐个哪门子的 md 槽?这也算吐槽?只是秀个 md 的优越吧。
    Miy4mori
        176
    Miy4mori  
       2017-06-06 20:30:58 +08:00 via iPhone
    @Trim21 没必要辩了,没意义,各有各的看法,谁也不服谁。哈哈哈。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2835 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 11:52 · PVG 19:52 · LAX 03:52 · JFK 06:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.