paopao 写道 "对于同性恋来说,保护隐私是比异性恋更加敏感的事。例如网友见面,对于同性恋来说,见面之后,一方敲诈另一方说,“我告诉你们单位你是同性恋”,后果会很严重。如何一边保持用户活跃度,一边保护用户隐私,泡泡不久前对Blued的创始人、也是中国最大同性恋网站“淡蓝网”的站长耿乐进行邮件采访:
泡泡:Blued为什么不提供HTTPS(加密)下载?当前的.apk-File是通过http://blued.qiniudn.com/download/blued_3.1.4_a66880.apk 来提供服务的,因此它并不是加密的。你无法知道是否有人动过这个APP、加入间谍软件、甚至全部修改。
耿乐:我们不使用HTTPS的原因是在中国移动网络环境下,HTTPS失败率非常高(据以往第三方测试,偏远地区失败率高达45%),如果使用HTTPS会导致非常高的下载失败率。同样,中国境内的绝大多数软件商店(百度、360等)提供软件下载时也不会使用HTTPS。
泡泡:你可以解释一下为什么这个APP对于用户提出了很多授权请求吗?我们特别感兴趣的是,为什么这个APP会对使用者的“CALL_PHONE"(电话号码),"READ_CONTACTS"(通讯录),"READ_SMS"(阅读短信息) and "SEND_SMS"(发送短信息)?
耿乐:这些权限应该是所使用的第三方模块百度地图、百度推送所要求的,我们的应用仅涉及电话号码识别,并会询问用户会如何使用所识别到的电话号码(直接拨打或发送SMS)。我们的app中实际并无未经用户授权拨打电话、读取通讯录和发送短信的功能。
我们在下一个版本会重新review这些权限的必要性,控制第三方模块的权限或替代需要敏感授权的第三方模块,尽可能减少这些权限的使用,以免给用户造成困扰。
泡泡:为什么这个APP没有使用加密链接?现在这个APP连接到http://www.blued.cn/而非https://www.blued.cn/ ,这表明,它是不加密的。这中间的所有人都可以看到你发送了什么、接收到了什么,甚至可以操控它。
耿乐:原因同问题1。我们正在考虑通过基于HTTP协议的自定义通讯加密,来提升用户访问的安全性。预计2015年年初可以完成。
泡泡:另一项关于APP的测试显示,这个APP也拿走用户的IMEI(国际移动设备识别码)。IMEI对每一个GSM设备来说都是唯一的,并且几乎只有一个用途,就是允许开发商追踪和识别用户。为什么你们要保留用户的识别码?
耿乐:我们没有直接使用IMEI,我们的app没有保留、也没有向我们自己的服务器传送过IMEI——IMEI是我们在应用中使用的第三方模块百度推送和友盟统计用于识别设备和反作弊所使用。"