V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
clino
V2EX  ›  问与答

阿里内网 BBS "貌似是按 HR 提的需求,研发给(每个员工的访问界面)加了一层肉眼无法识别的东西" 这个是怎么做到的?

  •  
  •   clino · 2016-09-18 10:17:58 +08:00 · 10508 次点击
    这是一个创建于 2974 天前的主题,其中的信息可能已经有所发展或是发生改变。
    http://media.weibo.cn/article?id=2309351000894019978004262074
    ```
    如果开除消息落实,这名员工大抵是要有些内心崩溃的,因为他甚至没忘了动手 PS 掉水印,然而他还是被找了出来。“就在今天早上( 9 月 14 日),一前端(工程师)解析了图片。”疑似知情的阿里小二李慧向记者透露。

    “貌似是按 HR 提的需求,研发给(每个员工的访问界面)加了一层肉眼无法识别的东西。”王文解释,这大概是因为升级的技术可以帮助公司根据外泄图片锁定截图者具体是谁。“违规的,开除也没办法。”
    ```
    问题: 是怎么做到的? 怎么破坏掉这种"肉眼无法识别的东西"?
    纯好奇.
    69 条回复    2016-09-19 12:44:08 +08:00
    webdev
        1
    webdev  
       2016-09-18 10:23:47 +08:00 via iPhone
    你先搞到页面再分享 啥都没 咋分析?
    cctvsmg
        2
    cctvsmg  
       2016-09-18 10:28:03 +08:00
    “按 HR 提的需求” 东厂果然厉害
    YvesX
        3
    YvesX  
       2016-09-18 10:28:57 +08:00 via iPhone
    搜索:数字水印
    hardensky
        4
    hardensky  
       2016-09-18 10:29:54 +08:00
    之前在华为就听说过 菊花应该也用了这种技术
    silvernoo
        5
    silvernoo  
       2016-09-18 10:34:27 +08:00 via Android
    用图片中一两个像素存个 id ,反正肉眼看不出来
    clino
        6
    clino  
    OP
       2016-09-18 10:34:57 +08:00
    @YvesX 应该不是数字水印吧? 因为用的是截图啊.
    clino
        7
    clino  
    OP
       2016-09-18 10:39:25 +08:00
    @silvernoo 你的意思是说某个特定的像素的值是员工编号之类的? 那截图存成 256 位色图+jpg 压缩比高些是否可破?
    YvesX
        8
    YvesX  
       2016-09-18 10:41:57 +08:00 via iPhone
    @clino 你说的就是传统的光学水印而已。
    数字水印的话,比如我把你的 uid 换成二进制,以难以辨别的像素点的形式装载在背景里,虽然你自己不知道,但你的每一张截图都能用程序读出尊姓大名。
    这是比较直观的形式了。好的算法不仅能做到肉眼不可见,还能抵抗压缩扭曲等各种干扰。
    2232588429
        9
    2232588429  
       2016-09-18 10:43:06 +08:00   ❤️ 1
    看这个贴: https://www.v2ex.com/t/306525 (阿里开除截图员工是怎么回事?)
    wd85318
        10
    wd85318  
       2016-09-18 10:56:48 +08:00
    支持阿里 HR
    当年还对阿里 HR 那句“技术人员就是狗,发出一个 job 就摇着尾巴过来”那句话记忆犹新
    clino
        11
    clino  
    OP
       2016-09-18 10:57:45 +08:00
    @2232588429
    @YvesX
    好吧,那个二值化加噪点是个比较好的办法但是好像还是有方法可以加入这种水印
    关键是不知道是如何加入的,如果知道就能针对处理了

    当然有个方法可以大致识别,就是两个帐号的同一界面的截图 beyond compare 一下,看哪些像素不一样就大概知道了
    nlzy
        12
    nlzy  
       2016-09-18 11:12:19 +08:00 via Android
    那以后截图 HTML 代码就好了
    YvesX
        13
    YvesX  
       2016-09-18 11:14:07 +08:00 via iPhone
    @clino 这就成了一场攻防战了。
    但因为本质上不是技术问题,是个管理问题,所以用技术手段去突破,最终胜算是很小的。
    比如把信息特征与自然语言分析结合起来,比如加入干扰信息防止对比,再比如更严格的监控措施。
    思路再严谨,抵不过头顶的房檐。
    shiji
        14
    shiji  
       2016-09-18 11:14:17 +08:00 via Android
    以后别截图,用装了美颜 app 的手机拍
    hinate
        15
    hinate  
       2016-09-18 11:17:03 +08:00 via Android
    @shiji 拍也会有的,打开页面就已经存在了
    learnshare
        16
    learnshare  
       2016-09-18 11:31:06 +08:00
    存几个特殊像素就是了,肉眼反正无法判断是不是屏幕脏了
    zuotech
        17
    zuotech  
       2016-09-18 11:38:37 +08:00
    在纯白的背景里添加一个 rgb(224,225,225)的水印, 肉眼肯定是看不出来的
    vuser
        18
    vuser  
       2016-09-18 11:43:27 +08:00
    html 2 txt
    shiji
        19
    shiji  
       2016-09-18 11:44:30 +08:00 via Android
    @hinate 恩,有是有,但是手机相片的像素和屏幕的像素就不是一比一对应了,还存在角度问题。 色彩的还原度也会有很大的偏差。
    2232588429
        20
    2232588429  
       2016-09-18 11:52:30 +08:00
    最好的办法应该是文字全部手打一遍传播
    gimp
        21
    gimp  
       2016-09-18 11:52:54 +08:00   ❤️ 1
    1 ,用一个 300W 像素的手机拍照
    2 ,将图片进行小幅度旋转( 1 度)
    3 ,高斯模糊 1 像素
    4 ,不影响阅读文字的前提下尽可能的缩小图片尺寸,比如 80%大小
    5 ,将图片旋转回来(-1 度)
    6 ,扩大图片到原来百分之 90 大小
    7 ,锐化处理
    8 ,使用截图,将照片中所需要展示的信息截取出来

    不知可破否,不过感觉好无聊...

    内网的东西,如果公司有规定,就不要去违反的好
    gimp
        22
    gimp  
       2016-09-18 11:57:51 +08:00
    截源代码好评,反正程序员也能直接读...
    deeporist
        23
    deeporist  
       2016-09-18 12:00:40 +08:00
    内网的东西 用个人账号登陆访问获取 并在公司的机器上呈现出来 想做手脚不要太容易 并不是在哪一张特殊图片上打水印 而是直接把个人识别信息贴膜一样贴到"呈现“上 解决方法要么手打 或者用识字软件扫一遍 或者让谷歌娘念出来 23333 哪怕用 ps 彻底黑白化估计都不保险 或者你牛逼盗管理或马云内网账号让他背锅哈哈哈哈
    imn1
        24
    imn1  
       2016-09-18 12:01:58 +08:00
    都没看到图,猜什么都没用,说不准只是很简单的像《风声》那样在边角加段 morse 码,想高级了也无法证实
    daben1990
        25
    daben1990  
       2016-09-18 12:06:45 +08:00
    看上面的帖子的话,可以在讨论区周围找 5 个元素,每个元素用 css 分别左右上下,各两个 px,表示 0-9 的数字,然后这样最多可以表示 99999 的工号,然后拿截图,进行像素级比对,就能知道工号了。
    emric
        26
    emric  
       2016-09-18 12:08:10 +08:00   ❤️ 1
    F12 去掉背景图片即可(别问我为什么知道
    anianj
        27
    anianj  
       2016-09-18 12:30:12 +08:00
    在阿里,技术人员就是狗,看来是除了技术人员的其他部分的共识啊,以前阿里的产品也说过类似的话:不要把技术当人看
    Izual_Yang
        28
    Izual_Yang  
       2016-09-18 13:46:26 +08:00
    就和以前网络小说防盗贴一样。
    xiaoice
        29
    xiaoice  
       2016-09-18 14:01:31 +08:00 via iPhone
    “时任阿里巴巴集团资深副总裁的邓康明谈到按照业绩将员工分为“野狗”、“小白兔”、“猎犬”。业绩很好但价值观特别差的员工被称之为“野狗”,对这类人公司的态度非常坚决:“对团队造成的伤害极大”,要“毫不手软地杀掉他”。”

    @wilddog
    xiaoice
        30
    xiaoice  
       2016-09-18 14:02:37 +08:00 via iPhone
    阿里这些 等级制度。给贴贬义的动物标签真的好吗。
    clino
        31
    clino  
    OP
       2016-09-18 14:07:04 +08:00
    imn1
        32
    imn1  
       2016-09-18 15:06:31 +08:00
    @clino
    啊? raw 是字符?
    那不用想 90%是背景图,剩下 10%是自创字体(针对每个 id 字体不同,这个工程就大了)
    以后阿里员工读信养成习惯客户端(不少可以设置不加载图片),更甚就终端命令行阅读
    9hills
        33
    9hills  
       2016-09-18 15:10:08 +08:00
    OCR 破一切数字水印。。
    v9ox
        34
    v9ox  
       2016-09-18 15:12:40 +08:00 via iPhone
    safari 阅读模式 能破吗
    wilddog
        35
    wilddog  
       2016-09-18 15:20:36 +08:00
    这个黑的很高级。 @xiaoice
    mcone
        36
    mcone  
       2016-09-18 15:28:33 +08:00
    1. 楼主可以搜下数字水印,楼上已经提到无数遍了,楼主却直接“我知道水印应该不是那个吧”带过了。如有条件,搜搜这几年的相关论文,你会惊讶这一行的发展,已经远远不是图片右下角一个 logo 那么简单了。
    之前 V 站本身也有过不少次的讨论,楼主也可以搜一下,没记错的话我回复的也有至少两三个相关帖子了。

    2. 没猜错的话,应该不是你发的那个图,那张图是内部信,其实就是 PR 信,巴不得你公开呢。
    数字水印图很可能是手机截屏的内网通报的那张吧(带着香锅什么花名的那个)
    jasonyang9
        37
    jasonyang9  
       2016-09-18 15:49:51 +08:00
    @zuotech 如果是类似这样的手段,那么对截图 PS 一下,用曲线合并高光区,即可解之
    lausius
        38
    lausius  
       2016-09-18 16:06:48 +08:00
    那截 HTML 好了。
    SNOOPY963
        39
    SNOOPY963  
       2016-09-18 16:44:53 +08:00
    说阅读模式和截 HTML 的……那跟直接复制文字有什么区别。。
    SNOOPY963
        40
    SNOOPY963  
       2016-09-18 16:50:57 +08:00
    人家截图就是为了增加一个可信度而已。如果处理过的话,同样也可以是假的处理伪造称真的。。

    顺便说手打文字的,如果辨识根据语义做替换呢?也是就说,每个人看到的文字其实是不一样的,在不影响语义的前提下系统根据过往经验辨识了无关理解的词作了替换。虽然现在市面上尚没有这样的系统但是这个完全是可行的。
    所以一旦要追踪其实并不是难事,若要人不知除非己莫为是真理。
    我们所为匿名做的一切混淆工作只是在我们的观测度上,一旦有人的观测度水平高于我们,我们就是赤身裸体的。

    忘了霍大是怎么找到抄袭的营销号的?
    bugmenein
        41
    bugmenein  
       2016-09-18 16:54:21 +08:00
    @9hills 同义词替换,标点替换。
    pi1ot
        42
    pi1ot  
       2016-09-18 17:10:30 +08:00
    @gimp 直接 copy 文本好不好
    CYKun
        43
    CYKun  
       2016-09-18 17:30:29 +08:00 via Android
    请认真阅读 9 楼的帖子,或自行搜索“数字水印和信息隐藏”。现在的技术已经能做到,从用摄像机偷拍的枪版电影视频片段(画质很差,长度只有几分钟)中还原出隐藏的信息。
    jeeve
        44
    jeeve  
       2016-09-18 17:49:01 +08:00
    参见钉钉就是了,钉钉公司群消息,背景水印是个人名+手机尾号
    kaedea
        45
    kaedea  
       2016-09-18 17:51:38 +08:00
    @wd85318 这句话哪来的?
    laoyuan
        46
    laoyuan  
       2016-09-18 18:05:08 +08:00
    破解后可否用于栽赃?比如栽赃到某个 HR 头上
    wangxiaoer
        47
    wangxiaoer  
       2016-09-18 18:14:43 +08:00
    有点纳闷,是不是生成的背景图里面有玄机?这样的话, F12 ,直接把这个背景或者元素删掉还有没有?删掉之后在截图有问题吗?
    binux
        48
    binux  
       2016-09-18 18:27:37 +08:00 via Android
    图片基础的数字水印都没法解决一个问题
    页面是 HTML 的啊,加个背景加个像素,渲染出来可能看不出,但是源码里太明显了
    能抢几盒月饼的,这都看不出来?
    rannnn
        49
    rannnn  
       2016-09-18 18:33:25 +08:00
    @binux 在头像里改两个 pixel, 某个 div 往左一个 pixel 往右一个 pixel ,你能看出来?
    binux
        50
    binux  
       2016-09-18 18:41:39 +08:00
    @rannnn
    1. 可以不截带图像的部分啊
    2. div 必须带边框,而且边框完整才有意义,在可视范围内,这样的边框非常少
    3. 这一切都是在 css 中控制的,找一个人 diff 一下就知道了,一劳永逸
    wangxiaoer
        51
    wangxiaoer  
       2016-09-18 19:12:44 +08:00
    @binux 其实 @rannnn 的回复让我惊了一下,按照这种逻辑,其他后台可以在多个元素上面输出水印,背景、人物图像、甚至操作按钮的背景之类,这样的话我觉得是无解的,除非设置不加载图片。但是这样的话,原帖中如果带有图像就不能截取了
    binux
        52
    binux  
       2016-09-18 19:15:06 +08:00
    @wangxiaoer 截个楼,要那么多按钮干嘛。。元素越少,越容易定位。
    再不济,找两个人,把页面资源全下载下来,资源做 diff ,离线渲染,完。
    rannnn
        53
    rannnn  
       2016-09-18 19:55:29 +08:00
    @binux 对啊,所以为了防止加这种“水印”,截图就会尽量小范围,范围越小可信性越低啊。比如你只截一段 text 的话谁相信你的截图?另外,我可以不用 css 啊,直接一个楼的文字就是一整张图片,我里面随便 pick 几个字偏移 1 个 pixel 。这种情况下为了防止页面被做小动作,你得再找一个同事把页面弄出来 diff ,呵呵那不就有另一个人知道是你泄的密了么。。。
    binux
        54
    binux  
       2016-09-18 19:58:21 +08:00
    @rannnn 「我里面随便 pick 几个字偏移 1 个 pixel 」光这一条就知道你并不了解 HTML/CSS 。对于人肉眼来说这很不明显,但是对于 HTML 、 CSS 就非常明显了。

    谁没事在一大段文字里面还插样式啊。
    wangxiaoer
        55
    wangxiaoer  
       2016-09-18 20:01:38 +08:00
    哈哈,说起 diff ,觉得用 headless 浏览器用两个账号分别渲染、截图,然后对比,可能是终极办法了
    rannnn
        56
    rannnn  
       2016-09-18 20:05:51 +08:00
    @binux 我的意思是所有文字就是一张图片,哪来的 css 。。。你见过那种放拷贝的小说站么,差不多就是那个意思。
    binux
        57
    binux  
       2016-09-18 20:15:26 +08:00
    @rannnn 阿里内网所有文字就是一张图片吗?如果是,确实只能 ORC 了。
    seeker
        58
    seeker  
       2016-09-18 21:01:58 +08:00
    如果知道了规则岂不是可以用来坑人了?把 ID 换成马云的不知道有什么效果。
    Quaintjade
        59
    Quaintjade  
       2016-09-18 21:22:04 +08:00 via Android
    @binux
    @wangxiaoer
    说到 diff ,还可以一个细节按部门差异化,另一个细节按工号余数差异化,再一个细节按其他什么差异化。
    这样就算找身边同事 diff 一下也只能找出部分差异。把这些差异掩掉后,虽然追踪者只能定位到部门,但范围已经很小了,结合点其他线索很容易定位到人。
    nyanyh
        60
    nyanyh  
       2016-09-18 22:07:40 +08:00
    r#20 @2232588429 手打一遍的话,如果有程序自动修改原始文字内容,让每个员工看到的都有些差异呢?
    toor00
        61
    toor00  
       2016-09-18 22:25:12 +08:00
    手机拍了然后换不同背景光下 用另一部手机再拍
    或者 拍的时候手动模式 自己调白平衡
    理论上这样处理完之后原图的信息都会发生变化但不影响人眼识别,不知道是否可破?
    billlee
        62
    billlee  
       2016-09-18 22:38:40 +08:00
    @toor00 白平衡一般没有关系的,要是把水印隐藏在色彩通道中,那改成灰度不就全没了
    2232588429
        63
    2232588429  
       2016-09-18 22:39:56 +08:00 via iPhone
    @nyanyh 那就整理出大概意思,不必逐字逐句
    billlee
        64
    billlee  
       2016-09-18 22:42:36 +08:00
    @nyanyh 自动修改文字而不改变语义,这个熵太低吧,没法唯一识别那么多用户的
    mingyun
        65
    mingyun  
       2016-09-18 22:58:05 +08:00
    这很阿里
    KaoN
        66
    KaoN  
       2016-09-18 23:10:03 +08:00
    截图,回家拿 ocr 识别。。家里发。。总行吧。。。
    flynaj
        67
    flynaj  
       2016-09-18 23:47:16 +08:00
    应该是他用的截图软件打的水印,内部肯定是这样的.这个就有无数个方法了.普通员工那个会提防这个,其实 QQ 的截图也应该有这个功能,分析一下去先!
    haocity
        68
    haocity  
       2016-09-19 08:36:53 +08:00
    改灰度 然后自己再手动上色
    inet6
        69
    inet6  
       2016-09-19 12:44:08 +08:00 via iPad
    朝鲜的红星操作系统就可以,阿里侵权了吧,三胖的导弹可不是闹着玩的。来源:为了实现这一目的,朝鲜在红星 OS 中引入了一种“水印”技术,可以对电脑或者 U 盘中的媒体文件进行标注操作。这也就意味着该系统能够对所有的媒体文件进行跟踪监控。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2509 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 02:13 · PVG 10:13 · LAX 18:13 · JFK 21:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.