上网课如何保护个人隐私 —— 和ProctorU斗智斗勇

为什么我担忧ProctorU的隐私问题

最近大家都在上网课,大部分学校监考都是通过ProctorU进行的,也许ProctorU就业务流程来说做的是最成熟的,但是用户体验来说学生群体真的大部分都在吐槽。

从Chrome的评分 vs 使用人数可见这个插件并不招人待见。大部分的评论集中于隐私担忧,因为这个插件索要的权限的确不是一般的多:

ProctorU也有试图解释自己这些权限的用途,但是解释的根本不到位,很多权限的用途是完全没有被解释的,尤其是有很多权限其实完全可以通过他们监考流程中的LogMeIn客户端实现(在开始考试后会要求运行一个LogMeIn客户端,而LogMeIn客户端有完整的屏幕分享、远程控制权限,既然有屏幕分享当然也能完整看到你访问的所有网站)

是的,ProctorU有隐私条款。但对于一个能接触到大量客户信息的商业公司,这个水平的隐私条款在我看来是过于模糊的。

问这样几个问题:

  1. 我的个人信息会被储存多久?多久叫做necessary?储存时是否加密?以何种合规方式进行储存?
  2. 谁对个人信息储存安全进行审计?以Google的企业服务为例,对Google的ISO 27001/ISO 27017/ISO 27018审计提供方是四大所之一的EY,那么对ProctorU进行审计的又是谁?
  3. 当ProctorU被入侵以后(来源1来源2来源3),回应为何如此模糊,就外泄内容的信息披露如此之少以至于我们只能从黑客提供的免费样本中知道哪些东西是确定被外泄了。

ProctorU的槽点真的很多,加之各种迷一样的业务流程,我觉得让学校弄几个TA开Zoom+LogMeIn以固定流程进行监考要靠谱的多。

如何自我保护

ProctorU槽点多,但是架不住学校非要用它(毕竟市场上目前没有更好的替代品),大家能做的只有加强自我保护。这里给大家如下简易保护建议:

方法一:制作自己专属的考试系统

ProctorU不允许大家使用虚拟机,所以要想完全给ProctorU创建一个独立的环境最理想的方法之一就是从不同的硬盘引导系统启动。买一块移动硬盘(SSD为佳,尽可能不要使用U盘,因为性能多数时候跟不上),这里比较推荐 三星的T7 或者 闪迪的Extreme PRO(500G远远够用了,亲测如果跑Latex/Python Jupyter之类也都没问题,可以适应绝大多数考试的性能要求)。

给移动硬盘装上Windows,该装什么都装齐,然后用Bitlocker把自己原来的系统加密起来(一键加密参见微软自带的教程:https://support.microsoft.com/en-us/windows/turn-on-device-encryption-0c453637-bc88-5f74-5105-741561aae838)。

完成以后从移动硬盘启动以后你应该能看得到原来的磁盘,但是无法在不解开Bitlocker锁的情况下进行访问,这样多数时候能防止监考人员在未经授权的情况下意外访问你电脑中的数据,毕竟有的监考人员能意外帮你把卷交了。虽然Bitlocker这类不透明的加密并非最优解,但是对于ProctorU监考这个场景基本够用。

方法二:同系统创建不同的用户

如果创建一个完全独立的系统过于复杂,相对容易的做法是建立一个新的普通用户,Windows/Mac都对不同用户之间的数据有一定的隔离,可以采用这个方式进行简易的隐私数据隔离。正常系统都有自己的权限控制体系,新的普通账户(非管理员)正常情况下并不能绕过系统的权限管理越界访问明确划归为另一个用户的数据。

方法三:不用ProctorU的时候卸掉插件

如果方法一和二都依然过于复杂,你可以至少尝试在不使用ProctorU插件的时候卸载掉它以避免不必要的数据收集,毕竟非考试场景时我们真的不需要它。

方法四:尽可能避免使用护照作为验证介质

ProctorU要求你提供有效的ID来验证身份,但是对个人信息保护所提甚少,我不但不知道我的ID是怎样被储存的(加密还是不加密?储存多久?谁都能访问这些信息?我们都不知道)。

我们能做的也只能是按照最坏的情况来进行打算——假设你有一个Photo ID不得不被泄漏给黑客,你会愿意是哪一个?如果是我,我觉得最不应该被泄漏的信息应当是护照——信息外泄的时候黑产使用这些信息的时候护照最容易被滥用且具有通用性(多个国家都能被使用)。因此如果你有合适的低价值Photo ID(如地方性的Photo ID/Age Proof Card,那些能且只能拿来某特定地区证明年龄的证件)会好过给护照。

以上希望对大家能有帮助。

更希望有更好的软件/服务能替代ProctorU,毕竟很多学校在用ProctorU真的是且只是因为没有其他选择。