#时间线守护者

1. 程序运行在自己的电脑上，备份下来的数据也是在自己电脑里，放心100%。
2. 支持备份点赞嘟文/发嘟/收藏/关注/被关注数据到本地（比如archive.txt）
3. 将程序加到电脑开机自启程序中，无需每次备份都手动打开程序。
4. 定时备份（每天？每周？每月？都好说）
5. 支持多平台（OSX/Linux/Windows）

#想法 #TODO #备份 #Golang

Aug 09, 2020, 06:09 · · 0 · 1

毛茸茸生长 @bgme@bgme.me

如果已经向 #时间线守护者授权过相关权限的用户，可以到首选项（Preferences） > 帐户（Account） > 已授权的应用（Authorized apps）撤销相应授权。

Aug 09, 2020, 05:59 · · 3 · 0

毛茸茸生长 @bgme@bgme.me

时间线守护者的安全隐患

Timeline 上时常出现的 #时间线守护者，我强烈不建议大家使用。

在一切开始之前，先确立这样一个准则：不要相信你无法验证的承诺。
就比如说：不少VPN都承诺，不记录日志。但这些承诺靠谱吗？[1]用户根本没有办法验证，这些VPN服务商是否记录日志。即然如此，一个记录用户日志的VPN服务商完全可以承诺自己不记录用户日志。而且从动机上，VPN服务商完全有理由记录用户日志。你每个月付给它们的十美元连请律师的咖啡钱都不够，如果记录日志，一旦VPN服务商遇上了什么法律麻烦，就可以把你交出去来推卸自己的法律责任。
一些长毛象实例承诺不记录用户日志，但是在相信这些承诺之前，你应当想一想你是否有手段验证这些承诺的真伪。

回归正题，说一说时间线守护者。
先看一看时间线守护者这类备份工具的工作流程（图一）。
根据目前了解的信息，时间线守护者至少请求了 read:bookmarks、read:favourites、read:notifications、read:statuses、write:statuses 五个权限。而且由于需要每周定时发送邮件，相应的 access token 是存储于应用开发者的服务器上的。这就带来了极大的安全隐患。
如果一个恶意的攻击者拿到了这五个权限，他可以做什么？
有了那一堆read权限，他可以无感的对你的帐户进行监控与偷窥，基于这些监控，他还可以进一步对你进行建模分析。而 write:statuses 权限，则可以用来对你的好友进行钩鱼攻击或用来发送SPAM信息。

当然，时间线守护者可能会做出一系列承诺，但是正如前文所说，你是否可以验证他的这些承诺？
再退一步来说，就算他确实是按照这些承诺做了，在合理的范围内使用这些权限，但他也无法保证他所获取的这些Token不会泄露，不被其他怀有恶意目的攻击者取得。著名的提问箱 Peing 便曾出现过安全漏洞，造成大量用户的twitter OAuth token 泄露[2]。

所以为了自己的帐户安全考虑，请不要使用时间线守护者这类请求敏感权限，同时非本地存储相应 access token 的应用。

[1] https://www.solidot.org/story?sid=64970
[2] https://www.itmedia.co.jp/news/articles/1901/29/news117.html