消息称阿里解雇了十名外泄性侵指控内网文章的员工【2楼：截图ID水印技术的讨论】

armok.

彭博社援引知情人士消息称，阿里巴巴集团解雇了 10 名员工，因为他们公开了一名女同事对一名前经理的性侵指控。

报导称， 这 10 名员工将这名女同事内网控诉文章的截图除去带有他们个人 ID 的水印后对外公开发布。

至于被解雇原因，报道是因为违反了禁止外泄员工论坛内容的政策，另外三人因在公共论坛发表不当评论而受到批评。阿里巴巴未对该报道发表评论。（via 路透）

armok.

【声明：本帖子只是讨论阿里截图加密技术，不要跑题到讨论我们论坛的加密。违者封锁ID 两天】


不知道阿里的截图ID水印技术，跟我们论坛使用的谁先进？

阿莫敬告举报者：我已经查出你是谁，回头是岸 https://www.amobbs.com/forum.php?mod=viewthread&tid=5732994

我们是2年前实施的。

另外，阿里的截图ID水印可以有测试版和可以采购得到吗？如果比我们目前使用的先进，我有兴趣使用。

我们的截图水印有个比较大的缺陷：大大增加了web服务器的负荷，为此我们只好升级了服务器硬件。由于负荷加大，上网人数多峰值爆发的时候，导致系统无法运行在最佳状态。所以我一直寻找更好的水印截图加密方式。

能保证论坛安全，能及时揪出告密者，非常有价值。

zhongsandaoren

恶性循环，再解雇泄露“解雇了 10 名员工”的截图员工

armok.

zhongsandaoren 发表于 2021-8-31 16:55
恶性循环，再解雇泄露“解雇了 10 名员工”的截图员工

估计以后没有人敢再泄露了.

我们论坛实施了水印截图加密后，也没有再被人举报到网警。

得益于截图我们能追查出论坛用户名或上网特征（没有登录时），并且我们论坛的每一个用户都是真实实名制（打过电话和短信验证过）。

wxws

OCR后重新排版，什么水印还有效？

当然，这降低了可信度，让别人以为是原创，出事更麻烦。

armok.

wxws 发表于 2021-8-31 17:06
OCR后重新排版，什么水印还有效？

当然，这降低了可信度，让别人以为是原创，出事更麻烦。

图片、头像我们也有加密的，你怎么ocr？

prow

armok. 发表于 2021-8-31 17:09
图片、头像我们也有加密的，你怎么ocr？

感兴趣，如果图像重新编码，或者经过处理，还有加密效果么

shamiao

以后只能靠抄录了，什么内幕消息抄录文字版发出去才保险

armok.

prow 发表于 2021-8-31 17:51
感兴趣，如果图像重新编码，或者经过处理，还有加密效果么

就算经过翻拍、复印，仍然有效。

安全原因，我们的加密方法不会公开讨论。

这个帖子是讨论阿里的加密方法。谁知道它是来自哪家公司？如果是公开发行的，我们评测后会决定是否采购。

qtechzdh

要在万恶的资本主义国家，估计这种行为应该罚到底裤都穿不起了

kundi

我之前看到过文章讲了现在的电影放映过程中，如何保护版权的用的方法，即播放的图像中和播放的声音中加入指纹（包含时间地点场次等信息），人的感官无法看出与听出。我想，既然人感官无法感知出，用脑机接口来盗录音频与视频。这样不是使得录到的指纹失真吗，因为人听觉与视觉响应特性，与现代图像传感器和麦克风是不一样的，再加上人脑的某些特性（包括人感知色彩差别没有机器的好）。
假如有人用这种闹机接口，或者模拟人图像感知范围的“滤波器”，ID水印就会失真，准确性下降。

qtechzdh

kundi 发表于 2021-8-31 19:00
我之前看到过文章讲了现在的电影放映过程中，如何保护版权的用的方法，即播放的图像中和播放的声音中加入指 ...

脑机接口这么牛皮了，还值得搞这个？
相当于拿把金锄头捡粪球了。

18161319737

qtechzdh 发表于 2021-8-31 19:38
脑机接口这么牛皮了，还值得搞这个？
相当于拿把金锄头捡粪球了。  ...

学会了瞬间移动去送快递和外卖的感觉

armok.

kundi 发表于 2021-8-31 19:00
我之前看到过文章讲了现在的电影放映过程中，如何保护版权的用的方法，即播放的图像中和播放的声音中加入指 ...

你的理论经不起推敲的。

看下面图片，你的眼睛是不是认为只是一堆石头？

其实有军人隐藏在里面。

所以你的方法不可行。

Ponker

阿里是频域水印

kundi

armok. 发表于 2021-8-31 20:59
你的理论经不起推敲的。

看下面图片，你的眼睛是不是认为只是一堆石头？

但是，如果在此的过程中，可加入AI的方法，进行图像修复。比如有一个已知正常不加密码的单色渐变，和加了密码的单色渐变部分在数据上会有差异，用AI识别出有渐变后，就把原加有密码的渐变擦删除，替换为重新生成的渐变。总之，就是识别出图片的基本元素，重新把这些基本元素重新生成出来，生成新的图片。
举一个简单的例子，可能不太恰当，现在论坛的背景是灰色的，仔细看会有底纹（密码存在），字符也可有底纹。如果有人拍照截图了文字和背景，可以看到背景，文字，方框具体数据的差异（色差），当识别出这截图字符内容，背景和方框及其基本颜色（即这些部分不加密码情况下是有指定几个颜色的，而不是杂色）后，把背景和文字重新用软件生成（遵循识别出基本颜色），并重新布局，背景如果有装饰性花纹的也重新用其他算法生成，这样就组成了新的图片（这里就称为“图片重组”，借助“重组蛋白疫苗”的概念”），而不是简单的加工原图片。
所以说，本论坛要求必须上传头像是很必要的，这样截图到图片组成较复杂头像时，相对不易用“图片重组”的方法干扰到加入密码。

armok.

kundi 发表于 2021-8-31 21:36
但是，如果在此的过程中，可加入AI的方法，进行图像修复。比如有一个已知正常不加密码的单色渐变，和加了 ...

论坛一直强制规定不能使用空白头像、不能使用纯色或简单线条头像。

armok.

Ponker 发表于 2021-8-31 21:32
阿里是频域水印

能科普一下？可以采购得到吗？

kundi

armok. 发表于 2021-8-31 21:56
论坛一直强制规定不能使用空白头像、不能使用纯色或简单线条头像。

我刚刚洗澡的时候，想了一下，前面说的“重组图片”其实就是一种在AI领域的“造假”技术，现在已经有了视频，图片，音频这三种“造假”的方法。如果头像和附图，在网络上其他地方也能够找到，即使尺寸相差大，但是网上找到的图片看起来相似且没有其他可见水印，那么在“图片重组”中，就将原附图或头像替换掉，达到重新生成一个无密码指纹图片的效果。
综上所述，可以在规定中增加以下内容，即头像要使用复杂且网上找不到相似图片的图片，最好是自己拍照的图片（比如我这个头像就是自己做的一个小项目的照片），我觉得有些人头像的图片很可能就是网上原本就有的，这样风险就大了。

Aper-2020

armok. 发表于 2021-8-31 18:03
就算经过翻拍、复印，仍然有效。

安全原因，我们的加密方法不会公开讨论。

经过翻拍、复印，仍然有效。 我好像猜到了大概方向。为了论坛长久敏感的事还是不让大家讨论为好。 网上经常看到某某实名举报某某。什么ID水印技术对这类人都无用

armok.

Aper-2020 发表于 2021-8-31 23:32
经过翻拍、复印，仍然有效。 我好像猜到了大概方向。为了论坛长久敏感的事还是不让大家讨论为好。 网上经 ...

其实这个技术只是辅助的。

最主要的是：

1。我们论坛的内容，经过严格把关，确实没有什么可以举报的。

2。鸡毛蒜皮的举报，我们能摆得平。我们论坛14年来没有因为违规被停机过1分钟，已经说明我们不是吃素的。


而举报者要承担被我们查出来的风险。我会用自己的方法解决：自己做法官、自己做刽子手。

armok.

Aper-2020 发表于 2021-8-31 23:32
经过翻拍、复印，仍然有效。 我好像猜到了大概方向。为了论坛长久敏感的事还是不让大家讨论为好。 网上经 ...

我们不断升级和更新加密方案的。目前同时使用了近10种方法，你可以破解一两种，但只要有一种没有破解到，我们就能追踪到。

sonna

armok. 发表于 2021-8-31 21:57
能科普一下？可以采购得到吗？

知乎上有比较完整的原创解释，文章太长就不转载了：

从零开始的频域水印完全解析

armok.

sonna 发表于 2021-9-1 01:39
知乎上有比较完整的原创解释，文章太长就不转载了：

从零开始的频域水印完全解析 ...

哇，太复杂太精妙了。怪不得上次我们找人实施收费这么贵 ：）

icoyool

armok. 发表于 2021-8-31 18:03
就算经过翻拍、复印，仍然有效。

安全原因，我们的加密方法不会公开讨论。

我不相信有这样的技术，
原理上就讲不通，
而且很多网页浏览器都会替换网页的式样
css/html等加密是不可能的了

唯一能下手的就只有头像了, 而且也很容易检查出来,
头像来一个高斯模糊不就可以
(我用两个用户名打开同样的页面, 对比抓取的html代码, 对比图片的md5等手段)

你要保证每个地方的截图都能识别, 肯定就是纸上谈兵,
如果是特定区域, 截图了特定的图片, 估计是有可能实现id加密的;

Doding

icoyool 发表于 2021-9-1 10:26
我不相信有这样的技术，
原理上就讲不通，
而且很多网页浏览器都会替换网页的式样

高斯模糊搞不定

armok.

icoyool 发表于 2021-9-1 10:26
我不相信有这样的技术，
原理上就讲不通，
而且很多网页浏览器都会替换网页的式样

你敢不敢拿你的生命跟我赌一次？

你将我们的帖子截图（阿莫百科内的帖子，这些帖子必须登录才能查看），然后我们识别出你的用户信息。

如果识别不出，我给你十万。

如果识别出来，你自行了断。

（你可以重新注册一个其它ID，到时我们可以告诉你截图者的ID。）

shamiao

Aper-2020 发表于 2021-8-31 23:32
经过翻拍、复印，仍然有效。 我好像猜到了大概方向。为了论坛长久敏感的事还是不让大家讨论为好。 网上经 ...

窃以为对抗攻击也很难靠保密。坛内的讨论相当于演习，如果演习都害怕，临战就更堪忧。（个人浅见）

armok.

shamiao 发表于 2021-9-1 11:09
窃以为对抗攻击也很难靠保密。坛内的讨论相当于演习，如果演习都害怕，临战就更堪忧。（个人浅见） ...

大家可以讨论和猜测，但是我们不会公布论坛截图加密的任何细节。

我们为此付出了非常高昂的服务费，肯定是经过各种测试后才付款的。


另外，这个讨论的重点是阿里的截图加密方案，大家不用跑题。

shamiao

armok. 发表于 2021-9-1 11:06
你敢不敢拿你的生命跟我赌一次？

你将我们的帖子截图（阿莫百科内的帖子，这些帖子必须登录才能查看）， ...

太凶了哈哈。

说正经的。推荐站方提供一个“安全问题”的反馈邮箱，只接受安全漏洞（主要是程序漏洞，也可以包括水印挑战）类的反馈。以便坛友或安全专家（白帽子）发现问题时，能够秘密地进行即时报告，避免公开发帖，从而在问题修复之前，尽量缩减知情范围。

这个办法也不是我的原创，而是各大软件企业和开源项目的通行惯例，供参考。

armok.

shamiao 发表于 2021-9-1 11:13
太凶了哈哈。

说正经的。推荐站方提供一个“安全问题”的反馈邮箱，只接受安全漏洞（主要是程序漏洞，也 ...

本来这个帖子只是讨论阿里的截图加密，上面的坛友却跑题质疑我们的方案。

这根本不是讨论问题的态度，因为我们论坛的截图加密方案是不可能会公开讨论的。

但阿里的方案可以公开讨论。

我们的加密方案因为有缺陷（导致服务器负荷问题），如果阿里的方案可以购买到，我们会考虑的。

当然，如果我们购买了阿里的方案，我们也会保密，也不会告诉大家已经购买。因为这是安全相关的东西。

armok.

shamiao 发表于 2021-9-1 11:13
太凶了哈哈。

说正经的。推荐站方提供一个“安全问题”的反馈邮箱，只接受安全漏洞（主要是程序漏洞，也 ...

论坛的站内信息就可以做这个沟通，大家发私信给我就行。
最好是发手机短信13925800119，有专人处理。

icoyool

armok. 发表于 2021-9-1 11:06
你敢不敢拿你的生命跟我赌一次？

你将我们的帖子截图（阿莫百科内的帖子，这些帖子必须登录才能查看）， ...

其实没有这么复杂,别人要取证, 要截图,
可以直接用纯文本的浏览器来抓取你网页的内容来固定证据的,
犯不着直接到网页上来截图

armok.

icoyool 发表于 2021-9-1 11:34
其实没有这么复杂,别人要取证, 要截图,
可以直接用纯文本的浏览器来抓取你网页的内容来固定证据的,
犯 ...

如果不是我们论坛的直接截图，就没有法律效力，我们就可以质疑网页被人篡改过，被人陷害。

我们就可以出示证据，要求网警去抓举报者，因为伪造证据举报是犯罪行为。


另外，请回到阿里的方案，不要再跑题。

icoyool

shamiao 发表于 2021-9-1 11:52
开个玩笑，说明一下单纯的直接截图也不够。具体 ↓ 看下图

证据肯定需要证据链的,
如果是作为证据使用,当然可以申请隐去个人信息;
网页截图当然可以F12随便修改,



单纯的一个截图无论怎么截,都基本不会采信

armok.

icoyool 发表于 2021-9-1 11:58
证据肯定需要证据链的,
如果是作为证据使用,当然可以申请隐去个人信息;
网页截图当然可以F12随便修改,

继续跑题，封锁ID到明天23：59

armok.

shamiao 发表于 2021-9-1 12:01
???这个玩笑过于简单了。

说实话，还是要看个人怎么用。如果我是阿里爆料者，不追求法律意义的真实性 ...

请不要继续跑题，否则也会被处理。


再重申一次：这是一个讨论阿里加密方案的帖子。

下面继续跑题的都会被封锁ID 2天。

shamiao

armok. 发表于 2021-9-1 12:08
请不要继续跑题，否则也会被处理。

抱歉，已撤回所有以上不适合的回帖

kundi

icoyool 发表于 2021-9-1 10:26
我不相信有这样的技术，
原理上就讲不通，
而且很多网页浏览器都会替换网页的式样

根据原图的元素，重新生成一张图片，如看到文字就重新按原字体和颜色生成文字，看到有方框就重新生成相同颜色尺寸的方框……即“人看到什么重新生成什么”，即我前面说的“图片重组”法。
原图有头像，头像如果是网络上除论坛外能够找到相似的，那么也会替换。如果原图每个部分都能够被重新这样生成，头像图片用其他网络上相似或相同的替换，那他就用重新生成出的图片公开曝光，原图就不公开出来给其他任何人看。
但是头像里面，找不到能够替换的就不行了，即这个头像原图是论坛外没有的。
您可以用百度识图，看看论坛内头像，是否是有网络上其他地方有相同的。

armok.

kundi 发表于 2021-9-1 12:29
根据原图的元素，重新生成一张图片，如看到文字就重新按原字体和颜色生成文字，看到有方框就重新生成相同 ...

不理37楼通告，继续跑题，封锁ID到明晚23:59

网络攻城师

这个功能确实很牛，水印的技术也与时俱进

以前的单位也有偷盗，斗殴的尸检发生，上一级领导都要求不要乱传乱说，同事之间也不要谈论，因为一块钱传来传去能变成100万的新闻。

pcwhy

kundi 发表于 2021-8-31 21:36
但是，如果在此的过程中，可加入AI的方法，进行图像修复。比如有一个已知正常不加密码的单色渐变，和加了 ...

亲，不用那么麻烦，你可以试试autoencoder。

pcwhy

armok. 发表于 2021-9-1 04:31
哇，太复杂太精妙了。怪不得上次我们找人实施收费这么贵 ：）

老大，从一个EE/CS老师的角度，建议如下：
1. 试试给服务器放一个GPU，我觉得如果你靠CPU来算数字水印，拖慢服务器是肯定的。
2. 数字水印的开源库还是很多的，后边其实自己都是可以搞得定的。理论上你只要低比特率信息编码（你如果怕别人多次截图然后从字节层面上发现你有保护技术，就别用动态编码）加上任何几种水印技术别人都不太可能破解你。
https://github.com/Saeid-jhn/Digital-Image-Watermarking
https://github.com/ShieldMnt/invisible-watermark
https://github.com/mchall/HiddenWatermark
你还可以从那几个github上看看别人的攻击方法，其实一开始数字水印就已经考虑了各种攻击方法：
No Attack, Blur, Flip Horizontal, Resize (1024x768->360x270), Visible Watermarking, Crop, JPEG Quality 20%, Grayscale, PrintScreen, Noise       
3. 但是用了人工智能里头的autoencoder之后这种水印还是不是存在那就不清楚了。AI对于很多领域都是致命的。

pcwhy

icoyool 发表于 2021-9-1 10:26
我不相信有这样的技术，
原理上就讲不通，
而且很多网页浏览器都会替换网页的式样

请谷歌学术或者中国知网digital watermarking，读两篇IEEE或者硕士论文你就不会这么说了。

tesmoto

看完知乎的链接后，就一个想法：书读少了！

david1234

对于id水印，比较两张不同id图像，根据差异，可分析出加水印方式，做反补偿，不仅能破坏原水印，还可伪造新水印。
简单方法：取4张不同id图像，相加除4，即可破坏绝大部分水印

david1234

频域水印，可以把空域图片看成一池清水，当在水池某位置（位置表示id）投入石块（频域改变），图片会出现层层涟漪。
由于涟漪分布整张图中，破坏图片局部，仍可定位涟漪中心。
若在池水投一把沙子，就很难精确定位每粒沙子入水位置。这就是多张不同id图片溶和可消水印原理

rainbow

我们公司的文档是最简单的可视水印。

gzhuli

频域水印其实也没那么难破解，用电工都懂的话来说就是对图像做FFT，然后加入特定频率的陷波器，再反FFT就行了。

普通高斯模糊只是低通，未必能有效滤掉所有频域水印的信息，但是如果你能找出水印的频域，插入针对性的滤波器，就能在基本不改变图像的前提下滤掉水印。

当然这个前提是你要知道有水印，而且也有相关的数字信号处理知识和经验，绝大部分人是没这个技术的。

sunrn123

个人有一个加密方法不知是否可行：
论坛不用任何的加密，而是使用网页工具监控电脑截图(拷贝或者下载)操作，截图后的图片再处理
比如：ID12345678的用户，截图是768.1x960.2的（利用截图的误差添加一些数据），就是在图片像素后面或者里面加一些特定的数据，这样就可以追踪到任何一个ID用户了

biying

sunrn123 发表于 2021-11-14 19:15
个人有一个加密方法不知是否可行：
论坛不用任何的加密，而是使用网页工具监控电脑截图(拷贝或者下载)操作 ...

站在屏幕前用手机拍照的怎么监测？

zoudzy

牛呀，还有这种加密技术

tsb0574

gzhuli 发表于 2021-11-14 15:02
频域水印其实也没那么难破解，用电工都懂的话来说就是对图像做FFT，然后加入特定频率的陷波器，再反FFT就行 ...

还是书读少了。
知乎里面的东西，大学都读到过，就不知道这些工程数学都是干什么用的。现在是活生生的例子，还有C代码实现。

BongBong

这个我们实验室做过实验, 截图，即使采用PS， P的的过份也能还原,  但手机拍了, 基本丢失隐藏信息。 如果手机拍了, 再用手机拍一次, 基本没有还原隐藏信息可能。

autolog

注意了，企业微信的聊天记录界面也有隐藏水印，管理员可以开启

guoj

破解方法比较简单， 打开图像，把RGB区域的RGB的后两个bit全部置1或者全部置0.  水印就抹除了。

频域水印，就是用RGB的低bit保存了信息而已。

siemenswjl

学习了。受益匪浅

armok.

我们最近升级了论坛的加密追踪方式，会更加有效的追踪到举报者。

lrqblack

sonna 发表于 2021-9-1 01:39
知乎上有比较完整的原创解释，文章太长就不转载了：

从零开始的频域水印完全解析 ...
(引用自23楼)

感谢分享这个答案，看完之后感觉书读少了，果然是专业人干专业的事。不过这种方法被知道后，截图者用同样的方法不断的加密多次估计就无法分辨了。