斯科菲尔德的计算法则是任何与计算机打交道的人都应该知道的法则。它们的重点是数据的可移植性、完整性和安全性。

杰克-斯科菲尔德是一位多产的记者,为《卫报》撰稿,接近40年。在此期间,他写了三篇特别的文章,被称为 "斯科菲尔德的计算法则".

杰克并不是一下子就创造了这些原则,而是在他整个职业生涯中遇到的发现的积累。

单独来看,这些原则并不特别,也不是革命性的--事实上,它们是非常基本的。然而,它们是你应该坚持的宝贵经验,特别是在团体组织中。

斯科菲尔德第一法则

“除非你能清楚看到如何把数据弄出来,否则千万不要把数据放进程序。” ― 杰克-斯科菲尔德 (2003)

斯科菲尔德的第一法则指出,当你依赖一个组织时,你应该确认将你的数据转移到另一个组织会很容易。

你想要更换供应商常见原因可能是。

  • 服务条款的改变。
  • 另一家具有不同愿景的公司接手。
  • 涨价或转变为一个不太有利的商业模式。
  • 服务关闭,或软件成为废弃软件。

例如:

  • LastPass将免费用户限制在一种类型的设备上。(更多信息)
  • ArtStation被Epic Games收购。(更多信息)
  • Adobe转向软件即服务的商业模式(SaaS)。(更多信息)
  • Megaupload被关闭并被管理机构查封。(更多信息)

数据可移植性是软件和服务的一个基本特征。当你需要避免供应商的锁定或必须为迁移过程做昂贵的预算时,这是主要的解决方案。

什么是供应商锁定?

供应商锁定是指公司将用户绑在他们的软件上。用户可以在迁移到公司竞争对手的软件时采取一些措施来增加摩擦(难度)。

其目的是通过使离开的步骤不方便、费时或繁琐,即使用户有更好的选择,也能迫使用户留下。

当你选择要使用的软件或服务时,你要注意这种做法。这可以有多种形式。

  • 不允许你导出个人数据或用户生成的内容。
  • 不允许将文件导出为开放或人可读的格式。
  • 使软件与现有的开放标准不兼容。

数据可迁移的权利

通用数据保护条例 (GDPR)有助于提高数据可迁移的权利。它促使像Discord、Instagram和Twitter这样的公司为用户添加自动化工具来导出他们的内容。

GDPR的第20条是 "数据可迁移性权利",即有办法将你的个人数据从数据控制者那里转移到你可以给另一个数据控制者的标准格式的权利。

尽管GDPR是专门针对个人数据的,但这已经促进了通用的数据可迁移性,包括用户生成的内容。虽然在欧盟之外执行GDPR的难度值得商榷,但这些工具通常也可以让其他司法管辖区(欧盟外)的成员使用。

如果你代表一个组织或自由职业者,负责挑选软件,请记住这一点!

斯科菲尔德第二法则

"数据不真正存在,除非你至少有两个副本(起码有三份)。"
杰克-斯科菲尔德 (2008)

备份数据是大多数人拖延的一个苦差事,直到它太晚(发生损毁)。但幸运的是,事实证明,organizations(组织)在这方面更成熟一些。

斯科菲尔德的第二法则表明,除非你至少有两份数据的副本,否则你应该把它当作不存在的东西。

理想情况下,你应该将这两份副本保存在不同的物理位置--我指的不是不同的驱动器,而是不同国家或大陆。

对于你拥有的数据,如你的台式机、笔记本电脑或闪存驱动器。

  • 设备或你的整个库存可能丢失或被盗。
  • 如果你有全盘加密,你可能忘记你的密码。
  • 你的硬件可能在你身上发生故障,导致数据丢失。
  • 火灾或水灾等灾难可能会破坏一切。

这甚至可能是由于用户的错误造成的。不管你的技术水平如何,你可能会用 "覆盖 "而不是 "另存为",将操作系统刷入到错误的驱动器上,或者一个开发人员在修改提交后强行推送到错误的分支。

你应该时刻准备好应对可能导致数据丢失的情况。虽然不是每个人都有足够的可支配的收入,但设备一般很容易用足够的钱来购买,但可能多年积累的数据是无法从设备中恢复的。

云端的数据

斯科菲尔德第二法则 不仅针对你拥有的数据,还包括你保存在云端的数据。例如,你应该把你的云存储、电子邮件和媒体内容也存放在第二个地方。

当使用那些不需要备份你的数据,或在一段时间不活动后关闭你的账户的服务时,这一点尤其重要。这在那些提供真正免费服务的公司中很常见,它们不需要成本,也不需要跟踪,比如Nextcloud供应商或Tutanota。

不要因为你的数据在云中就认为它是安全的。最近的一个例子是OVH的一个数据中心发生火灾,导致数据丢失。OVH公共云提供非管理型服务器,这意味着用户负责管理和备份他们的服务器。(更多信息)

此外,还存在着漏洞的风险,允许未经授权的人访问你的账户。

例如,去年黑客获得了对Twitter管理工具的访问权,使他们能够访问许多知名的账户。使用这样的工具,要删除以前的帖子和媒体也是很容易的。(更多信息)

同步你的数据

你可以通过使用在你的电脑和服务器之间同步数据的解决方案来解决其中的一些问题。这提供了保护,防止任何与硬件有关的故障,或物理损坏。

如果数据丢失会有不利的后果,应该加密并同步到云存储。一些软件,如Bitwarden或Thunderbird,本身也依赖于同步,所以即使服务器消失了,你的设备上仍然有一个最新的副本。

然而,同步并不能解决所有问题--最理想的是也有一个独立的备份。同步将自动发送所有的变化,包括用户错误,甚至是恶意软件或勒索软件所做的修改。有定期的冷存储备份对这样的情况会很方便。

斯科菲尔德第三法则

"你越容易访问你的数据,其他人就越容易访问你的数据。" ― 杰克-斯科菲尔德 (2008)

保护数据一直涉及到在安全性和便利性之间找到一个平衡点。我们希望数据对我们来说容易访问,但对其他人来说很难访问。

这种冲突导致了关于数据疏忽的问题。

当你把数据放在云端时,这会自动使它更容易被他人访问。你的云供应商可能有漏洞,有人可能会猜到你的密码,或者一个云供应商员工可能会违背公司原则,破坏或出售你的数据。

你可能会责怪某人或获得赔偿,但你的数据和可能是你客户的数据仍然在那里,而你会是最终允许它发生的人。

提高安全性往往有些不方便,但是别人在企图破坏账户时正是利用了这种不方便:

  • 暴力破解 – 猜短密码,因为它破解得更快。
  • 伪造凭证 – 押注于密码的重复使用,因为这让密码使用者比管理多个密码更方便。
  • 字典攻击 – 猜常用密码,因为它对于密码使用者更容易回忆。

此外,这些攻击基于用户没有启用2FA,以及另一方的数据没有被混淆或加密。

你或你的组织应该使用一个密码管理器,在所有系统上执行2FA,并在可能的情况下,在数据被发送到第三方服务器之前进行加密。

甚至更好,删除不再相关的数据(无用的数据)。删除数据总是比担心保护数据要好。

这可能包括聊天记录、电子邮件或包含机密信息的文件、社交媒体密码,以及客户或员工数据。特别是如果它们是几个月或几年前的,不再有意义。如果你不需要它们,其他人也不需要。

总结

这些法则是在10多年前确立的,今天比以往任何时候都更适用。

技术和开放标准已经发生了演变,所以它们更容易被遵守。但随着云计算基础设施的发展,我们越来越信任第三方来处理我们的数据。在许多情况下,我们可能对它被留在哪里以及谁能接触到它感到太舒服(太信任)了。

不幸的是,杰克-斯科菲尔德于2020年3月去世,但他支持了科技界的许多人。我希望通过分享他的经验,其他人可以继续从中学习。

原文:Schofield's Laws of Computing – What they Are and Why You Should Know Them,作者:Seth Falco