Re: [問卦] 伊莉論壇是不是站主早就放推了阿

: ※ 引述《Armour13 (鎧甲)》之銘言：
: : 如題
: : 我本來想換一下我的伊莉頭像
: : 發現伊莉一堆東西都還在用Flash
: : Flash都停止不知道幾年了，到現在還沒更新
: : 這幾年一堆人在官方版問，完全沒人來回答
: : 伊莉的站主是財富自由了，把論壇放著當收租再用嗎
因為伊莉那個網站系統是很早期的康盛創想開發的 Discuz!，
是遠在賣給騰訊之前非常早期的商業授權版本，
騰訊接手後的 Discuz! X 3.4 v20191202 才會換成 HTML5。

要從古早時期的商業授權版本換到近代的 Discuz! X 是有難度的，
特別是有些站架起來以後還會對原始碼做一些魔改導致升級困難。
當年的站長就算有程式能力，大都還是不會使用 CVS 或 SVN 之類的版本控制系統。
就算會了最多也是用 SVN 做版本控制，不像現在能用 git rebase 處理。
賺到財富自由以後更懶得管這些事情了，能用就好，放著繼續騙錢。

順便說一下對岸這套 Discuz! 系統漏洞無敵多，
當年對岸的烏雲網 (已死，但鏡像站還活著) 公開了一堆都沒人要修。
很多人在這類被駭的網站註冊帳號被幹走帳密去建表拿去暗網上賣，
然後買家就能拿這些資料去其它網站試登看看，
如果登成功的話，根據網站性質決定要盜走個資還是直接改密碼做壞事。

盜個資的話，表示改你密碼做壞事無利可圖，
可能就翻你交易記錄打詐騙電話說你不小心設到分期付款。

改密碼的話，如果是拍賣網站，就用你帳號賣假貨，他收錢，你進警局。
如果是可以刷數位下載版的東西，譬如 DMM 這種網站，你就會發現你的卡被大量盜刷。如果更不幸的，你 gmail 之類的信箱帳密也是一模一樣，他還能改掉你信箱密碼。
改了信箱密碼以後就能慢慢翻你信箱看你還註冊過哪些網站，
要是那些網站你用了不同密碼，他可以使用找回密碼、重設密碼等功能幫你改密碼。

有一堆人說 Paypal 容易被盜刷，其實也是這個途徑被幹走帳號去刷的。
最近這類帳密資料庫也被用來盜 PTT 帳號，以前 PTT 沒被搞只是因為沒那個價值。
攻擊特徵就是大部分的帳號幾乎沒有登入失敗紀錄，一次就能登入成功並且盜走帳號。
2011 到 2020 年間這種大規模到帳號主要發生在收 VIP 的論壇跟 PT 站。
PTT 出事的時間相對很晚，但並不是新型手法，只能說站方危機意識不足。

另外，你硬要開 Flash 不是完全沒辦法，英文能力還行的話可以參考這篇：
https://bit.ly/3lOWTLS

※ 引述《QQKKQKQK (QK啦!)》之銘言：
: 乳內文
: 額四內文
: 四 john der la
: 八卦是，你還在用伊莉，對吧
: 說真的，我一直都很搞不懂，為啥伊莉可以撐到現在沒被鴿子抄掉
簡單說主因是站長居住地跟主機所在地不是同個國家且不相容美國 DMCA 法案，
次因是它的金流管道是很難被追蹤的，VIP 款項不是直接進站長本人帳戶。

全世界這種非法侵權網站會出事都敗在金流。
就算 VIP 收款金流設了斷點，
也可能因為廣告商註冊國跟站長居住國相同，
導致警察可以直接問廣告商你付錢給誰而被抄掉。

收 VIP 的金流斷點其實也不算難找，
古早時期就存在的 Dragonfans、Dalces 這些金流商都能替這類論壇服務。
不但可以收台灣銀行轉帳、超商條碼付款，還能收大陸的支付寶跟銀聯卡。
支付方式多元到小學生都有辦法去超商買 VIP，當然會抽取一定 % 數的佣金。
當年很多站長不願意被抽 % 想自己全拿，結果被鴿子循付款管道摸上去，就倒站了。

: 以前以我接觸的來講
: 艾噹洛這種論壇都有少數的文章可以用hinet FTP空間下載，不然也有mega
: 唯獨伊莉這種論壇，幾乎所有人都用錢空
: (錢空就是有流量限制，逼你花錢買流量的網路空間)
: 看來有不少人在伊莉跟錢空上賺了不少錢
錢空只是遵循著資源分享界的金三角：「空間、金錢、分享者」

創業者設法在法律灰色地帶設立符合 DMCA 甚至無視 DMCA 的檔案上傳服務，
跟分享者簽訂合作夥伴關係，根據 PPD 或 PPS 等方案將佣金提供給分享者。
空間商可以拿獲利去擴充設備，買更多機器、硬碟、頻寬、流量等等。
分享者再拿這些抽成去買第一手新資源，將新資源分享給下載者。

不過華語圈的錢空分享者大都是所謂的 copy cat 或者 PT 站的搬運工，
算是破壞這個生態鏈的人，做的是無本生意，成本可能就他的時間跟網路費還有電費吧。如果認真找的話，還是能找到一些用錢空發布第一手資源的網站。
但是電影的話，通常對岸的片源提供者都是找 PT 站長談全球首發合作 (院線上映前)，所以在錢空上幾乎是找不太到第一手的電影資源，AV 還比較有可能。

只是因為日本 IT 業的水準大家也明白，所以 API 漏洞很多，白嫖方法一堆。
加上前面提到的盜帳號等手段，實際上現在第一手 AV 發布站台也是無本生意。
不過這幾年真的被玩太兇，最近 DMM 和 R18 已經開始採取一些動作。
Sokmil 也開始大規模 ban 帳號，大陸跟台灣合法刷卡也可能先退款再 ban 你。
DUGA 很早就採取了日本簡訊驗證，每次刷卡之前都要收日本門號的簡訊才讓你刷。
其它成人網站也不少都改用 CREDIX 這家刷卡系統，非日本 JCB 卡一樣會拒刷。
不是 CREDIX 這家的，通常只要你有 JCB 卡還是能刷，但可能需要個日本 IP。

可能有人會說 DMM 這類網站影片不是都有 DRM 嗎？怎麼有辦法下載來分享？
那當然是因為這些 DRM 都是可以在有合法授權的情況下移除掉的，
另外也有不少商家的 DRM 授權伺服器本身有漏洞，
可以透過竄改授權請求封包內容的方式獲取所有影片授權。

排除資源是不是白嫖來的這點來說，
西方國家很多論壇都類似現在的伊莉，上面全都是錢空載點。
而且在他們的觀念裡，分享者花技術獲取資源，花時間發布資源，
因此他們收取對應的報酬也是很合理的，不會動輒要求傳 MEGA 這些空間。

資源分享界之所以能生生不息，主要還是來自於這金三角的互利共生模式。
自從 MU 事件以後，美國電影和唱片協會也發現 DMCA 法案實在有夠爛，
與其走 DMCA 不如直接切斷金流還比較有用，於是找政客去斷金流：
https://bit.ly/3wQWptt
2014 年他們找上這位 Patrick Leahy 直接對 VISA 跟 MasterCard 施壓，
至於 Paypal 在 2012 年 MU 出事的當下立即就採取了自律措施和錢空切割，
這兩大事件搞倒了絕大多數 2008-2014 年間大錢空時代的優質錢空。

現在的錢空都是比較坑的，連分享者都坑，還會偷改程式調數字去減少分享者收益。
所以世界上大部分第一手自購資源的錢空分享者都在 2014 年左右跑光了。

順便說一下，很多錢空有提供 webmaster 分潤機制，約 1% 到 10% 不等。
如果伊莉站長有去那些錢空開個帳號並取登記他網域的話，
只要有人在錢空買高級會員，伊莉的站長也能分到一杯羹。

: 而且，比較有名的論壇都需要邀請碼才可以註冊
不過就算是 FDZone 跟無限這類論壇，現在也大都已經沒落了。
線上串流平台太強，加上現在的小朋友都不喜歡下載回來才看，
這幾年這些用公網 BT、免空、錢空的資源分享型幾乎都走向沒落。

PT 站台這十年來受到的影響相對輕微，
除了幾年前對岸五大 PT 站出事情那次之外。

不過那也是對岸的生態鏈起變化的緣故，
他們的商人慢慢引入合法授權的影片，
自然會叫政府去抓那些侵權網站。

這幾大 PT 站當初會被搞無非也是站長太貪心，
他們會直接把站上資源拿去淘寶賣，
用影音播放器內附裝滿影片的硬碟這種形式很囂張地在淘寶開賣場。
站方收款管道直接很大方的用站長本人的支付寶，根本是找死。
相較之下，繁體圈的論壇設金流斷點的能力遠遠領先他們十年。

: 伊莉可以這樣大喇喇的公開，大喇喇的註冊，大喇喇的搜尋
: 還不被鴿子抄掉
: 真的屌
金流斷點設得好，主機所在國選得好，光這兩點就不可能抄掉。
加上大部分站長都會讀 TorrentFreak 的新聞知道業界法律動向，
哪個國家法律快要變嚴格了就趕快把主機移到另一個國家，
基本上都不太會出事情。

: 這麼難用還能活到現在，才是最屌的
台灣逐漸走向高齡化社會，大多數會逛這些的都社會人士了。
一個月掏個 10 到 15 美金去買錢空會員，基本上也不是很大的負擔。
所以這類網站還是會繼續活著，活得非常好，直到站長不想賺為止。

--

銀行現在大都要 OTP 驗證，純密碼的只能在約定帳戶之間轉，問題應該不大。 原則就是每一間網站要使用不同密碼，這可以使用密碼管理軟體做到。 想省錢的話就用 KeePass，它的資料檔是由你設定的主密碼加密， 可以透過雲端同步到你行動裝置，行動裝置上也有對應的 app 能打開。 主密碼你就認真想一個複雜度夠，全世界只有你知道，又沒在其它地方用過的。 想每個月花點小錢換方便的就找 1Password 這種雲端方案， 這種廠商通常從 PC 到行動裝置都有開發軟體給你用， 但就要相信廠商那邊沒有安全漏洞跟內鬼。 我是不相信，所以只用 KeePass。 當然除了我提到的這兩個以外還有其它選擇，可以 Google 搜尋一下找找。

你要這樣做也行。 其實不靠密碼管理軟體做到每間網站密碼不同，也是可以透過這種方式。 至少在現代除非你個人帳號是特別有價值，不然不會特別去分析你的密碼模式。 畢竟現成的帳密清單太好取得，寫個程式讀檔到處亂試比寫程式分析密碼模式簡單得多。 但是這年頭吃飽太閒的軟體工程師很多， 會在正職之外把專業技術用在奇怪的地方上， 所以我建議你還是用安全點的做法。

繞過 2FA 這聽起來是 yo 叔的專長？ 先聲明一下我不是資安專長，在學期間的研究主題跟這毫不相干。 我從事過的所有正職工作也和資安無關，對相關議題只是有基本常識的程度。 就我所知的範圍內，盜 token 的方式主要有四種： 1. 社交工程: 就是用話術騙你上當。 2. 釣魚網站: 就是用假網站騙你。 3. 木馬程式: 就是有辦法偷你機器上幾乎所有資料的可疑程式。 4. 中間人攻擊法: 除了釣魚網站外，不受信任的公用網路、WiFi 都可以實現這招。 這四種是可以相互組合的，1 通常最容易跟其它幾個搭配， 簡單說就是騙你開某網站、騙你裝某軟體、騙你在他準備好的地方用他提供的網路。 騙你的方法不一定是透過真人說話，隨機發 email 給不特定人也可以。 只要信件標題聳動，譬如說你某網站的帳號即將被封鎖，除非你點信中連結去設 2FA， 然後那個連結其實不是連到真正的網站去，而是被偽造得幾乎一模一樣的網站。 你所有的操作都會被轉發到真正的網站去，真正網站傳回的資料也會經過這個假站。 這樣從真正網站傳回來的 token 就會被對方側錄走，這是很多年前就有的手法。 不要中這些招的方法也大都是靠常識就能迴避， 最簡單就是進行跟輸入帳密或啟用 2FA 相關的操作時多注意一下網址列， 如果網址列不是你熟悉的那個，或者明顯是可疑網域 (.pw、.pro 這些非典型頂級網域)， 那就千萬不要進行這些跟帳號安全有關的任何操作，包括把帳密打進登入框。 當然也有一些故意整個網域買到和真實網站只差一個字母的，要特別小心。 如果平常沒有認網址習慣的，那可能比較難防範，這個我也不知道怎麼教。 email 的寄件人是可以輕易偽造來源的，只要發信的伺服器允許這麼做就可以任意輸入。 其實比較正規的金融單位，大都在自己的公司內有架設電子郵件伺服器。 所以他們寄件伺服器的網域名稱通常還會是他們自己的，不會使用外部的代寄服務。 因此你打開郵件原始檔，找檔頭最後面或倒數第二筆 Received: 欄位， 通常可以看到他們公司的網域名稱，譬如中國信託你會看到： 「Received: from xxx.xxx.ctbcbank.com (...)」 這東西是信件傳遞的足跡，無法被偽造，可以判斷寄件來源是否可靠。 只是近年很多公司會使用 Google Workspace 或其它外部的寄信服務， 看這個東西已經不太準了，頂多看一下郵件原始碼的 SPF 和 DKIM 驗證有沒有通過。 SPF 如果驗證失敗要不就這公司網管上班在混，要不一定就是假的信。 如果從 gmail 收信的話，打開郵件原始碼的時候 gmail 會幫你把驗證結果整理在上面。 簡單說這些手法起手式幾乎都是社交工程，近年比較常見就是先嚇你， 讓你失去部分判斷力，然後趕快按著對方的指示操作。 只要知道常見的社交工程手法，然後有個正常的腦袋和正確的電腦使用觀念， 其實是很不容易中招，畢竟八卦板從來都不缺人轉貼各種奇怪的社會新聞。 木馬軟體可能是很多人的弱項，這邊我除了買正版軟體以外好像沒什麼好的建議。 其實有經濟能力以後，我都懶得去網路上找什麼註冊機序號機， 防毒軟體都會跳出來警告裡面有病毒，很難判斷到底是誤報還是真的有。 有工作的人應該大多會選擇用金錢買時間，所以我為了省時間就去買正版了。 近年還有沒有什麼新招我沒研究，看有沒有資安專家可以出來補充。

這段時間西方傳來最有名的就是 MegaUpload 空間。 他們可憐的創辦人 Kim Dotcom 的引渡官司到現在還在紐西蘭那邊打。 當年如果真的要發 FullHD 高位元率的影片，還是得放在 MU 上，H 空不敷使用。 那時很多高畫質分享者在 MU 的庫存量都高達數百 TB。 就在台灣這邊搞論壇收 VIP 搭配免空下載模式的同時期， 西方分享圈已經發展出了錢空的金三角互利共生模式， 當時有所謂的三大錢空 FileServe、FileSonic、Wupload， 二次元分享圈又俗稱為御三家。 這三家空間很佛，每月 10 美金無限儲存，不管你有沒有分享出去都沒差。 同樣的你只要每月 10 美金就能隨便抓東西，沒有單日流量限制。 沒概念的可以看一下現在 Google 跟 Dropbox 這些雲端空間的收費方式， 當時每月 10 美金不但可以抓遍全網路資源，還能全部存進自己帳號永久保存， 以現在這時間點來看是多麼不可思議的事情，這能說他們不佛心嗎？ 當時錢空客服明確回答空間是 true unlimited，存幾百 TB 不分享隨便你。 現在你這樣問錢空客服，對方只會說 fair usage 或看你貢獻而定， 不提供冷儲存 (也就是一定要分享)，檔案 90 到 180 天沒人下載自動砍檔。 當時的錢空分享者通常都會同時發這三家空間的載點，你有一家高級會員就很夠用。 錢空給分享者的分潤也高到恐怖，可以參考一下這位日本網友的收支報告：

MU 在 2012 年被 FBI 抄了之後，三大錢空業者紛紛跑路， 他的收益還能短暫維持在 2000 美金以上一段時間。 之後越來越多黑心的新興錢空誕生，他的收益最後掉到 1000 美金以下，就不幹了。 現在的錢空不但不能無限儲存永不砍檔，每天還有下載流量限制，單日限 30GB 的都有。 因為很少人注意西方分享圈這段時間在幹嘛，所以這邊稍微分享一下。 什麼？日本在東方？不，實際上日本人當時也有不少擠去西方論壇發錢空。 錢空的 PPD 方案，西方國家每下載 1000 次，分享者當時可以拿到 40 美金以上， 而亞洲國家大概只有 10 到 15 美金，傻了才會乖乖留在亞洲分享錢空連結還要被罵。 合法的 OTT 的確打趴很多非法分享平台，但軟體、遊戲、書籍類的還是得靠論壇下載。 非法網站要搞線上串流成本遠高於只是架一間貼貼文字、連結、圖片的論壇， 初始成本和在現實世界開一間加盟飲料店不會差太多，對站長們來說失敗風險太高。 部分老早賺飽財富自由的站長，可能會掏點錢做做興趣，但影片的畫質就很參差不齊。 加上軟體、遊戲、電子書這些都還有病毒問題，現在真的花錢買正版才是王道。

因為 KeePass 是開放原始碼軟體，誰都可以拿去改出自己的版本。 官方的就這邊左上角那個 2.51.1 的 Windows 版：

除了官方版本以外，KeePassXC 也是另一個常見的非官方版本：

這兩種我記得都有中文網頁在介紹。 只是你想用在手機上的話，就沒有所謂的官方版本可以用，好用的可能也要付錢。 Android 上我是用 KeePass2Android， iOS 上我用的是對岸的人開發的 FantasyPass，因為好用的真的難找。 Dropbox 免費版就足以在 PC 跟手機之間同步它的資料檔了，只是有裝置數限制。

MU 死一段時間對岸的迅雷崛起，當時他們的迅雷離線還有機會撈到 2000 年前後的資源。 後來對岸當然開始有各種政策管制，迅雷就把一些敏感資源禁掉了。 不然當時只要你想辦法找回 ed2k 連結，貼進去迅雷離線就是一秒完檔。 後來又有百度離線、115 離線等等類似的東西，目前剩下 115 離線還算堪用。 115 離線撈老資源還是有相當高的成功率，不過你想撈他們所謂的敏感資源就有難度。 只要你找得到當年 ed2k 連結、torrent 檔或磁力連結，貼進去看看馬上就知道有沒有。 真的非常想要的話，國外的二手市場也能找找， 只是一些絕版的熱門商品二手價可能賣到十倍以上。 上古時期的音樂 CD，譬如神思者 (S.E.N.S.) 的專輯這種很古老的， 你大概也只能用 115 去撈了，你想花錢買還真的完全找不到有人賣你。

會提到迅雷離線、百度離線、115 離線主要是上面有板友說 20 年前資源難找。 這些都是付費 VIP 的服務，有機會撈到那種上古資源，目前堪用的只剩 115 離線了。 115 某一年開始為了自保，把分享功能給廢了。 目前民間存在一種 115 SHA1 連結的分享方式， 但為了避免被舉報很少公開分享 115 SHA1 的連結。 這類 BT 代抓服務在台灣之所以流行起來， 是因為 BT 這種 P2P 傳輸協定會在下載的同時上傳給別人。 因為有上傳行為的關係，法律上會認為你有散佈行為，運氣不好會吃到版權砲。 版權砲有一種是跨境往你 ISP 發投訴的，這種算還好，台灣 ISP 普遍沒有三振條款。 如果你是去日本或歐美留學唸書的，吃到版權砲事情會非常大條。 只是如果你用的是台灣學網，學校計中會把檔名跟侵權行為告知你的班導或指導教授。 另一種版權砲是來自國內製片廠商或購買授權的代理商，這種就要上法院了。 雖說最後大都會是和解簽切結書賠點小錢之類的收場，但對第一次體驗到的還是很驚魂。 特別是有些廠商會守在大論壇那邊跟著下載他們自家 BT 資源的， 然後去看 peer list 上的 IP，只要是國內 IP 就一個一個抄下來等著法院見。 要注意的是代理商，他們有買授權不見得會告訴你， 也有可能買了授權卻在台灣的市面上完全看不到他們代理的影音商品， 他們買這授權就是等著上網釣魚發版權砲給眾多網友的，吃到這種版權砲會非常幹。 BT 代抓服務就是由境外伺服器幫你抓 BT， 等伺服器完種之後讓你能透過 HTTP 或 FTP 等形式下載， 這種下載不會有上傳行為，因此版權商告不了你。 但是要注意這個在日本是不成立的，日本在 2012/10/1 有個新法案， 這法案規定你只要未獲得授權，光是下載侵權物就能判你最高兩年刑期：

這十年來很多不知道這法律跑去日本的留學生都踩到這條。 而且日本警方只要看你流量大就可以去監視你到底在傳什麼東西，非常危險。 所以如果身邊有朋友要去日本留學的，最好在行前特別提醒他們乖一點，以免觸法。 雖然這法案當初是拿來打擊 P2P 的，監聽也主要是針對 P2P， 但也難保哪一天其它協定不會受到監聽，盡量不要心存僥倖。 規避監聽的方法當然也是有，但需要一些比較專業的知識，不懂的話別做就是了。