馬特市民在夜不閉戶、路不拾遺的街區中整理安全指南與隱私足跡的插畫。

馬特市民安全指南

先看見自己的足跡,再決定怎麼閱讀、互動與發布

安全不是一個工具,也不是一句保證。Matters 能讓公開寫作不完全依賴單一平台,也能把一部分保護做得更透明;但閱讀、登入、留言、發文、收款、錢包與社交互動,仍會留下不同足跡。 這份指南先幫你選情境、走旅程、做本機檢測,再說 Matters 已做與仍待確認的安全措施。

先回答:安全邊界在哪裡?

安全不是一句保證,而是三個邊界

這一段先把 Matters 能做、使用者要做、以及任何平台都不能承諾的地方分開,避免把安全誤解成某個單一工具。

平台能做

降低單一平台依賴,公開說明保護邊界

Matters 的公開敘事包含去中心化內容存儲與分發、IPFS/IPNS、開源與創作者自治。這些設計提高公開內容的韌性,也要求我們誠實說明哪些內容可能長期流通。

使用者要做

把閱讀、寫作、金流與日常身份分開

瀏覽器設定檔、登入方式、公開 ID、頭像、簡介、語氣、社交連結、錢包與出入金路徑,都可能讓外部把不同身份串起來。

不能承諾

公開互動不能被說成匿名

公開文章、留言、截圖、搜尋索引、IPFS、Fediverse 或外部轉載,都可能讓內容離開 Matters 的控制範圍。安全指南提供操作素養,不承諾匿名。

旅程地圖

先選你正在做的事,再看每一步會留下什麼足跡

同一個 Matters 帳號,閱讀、留言、發文、收款與支持作者會留下不同線索。安全指南的入口不是工具,而是情境。

1 進站前

使用獨立瀏覽器設定檔

敏感閱讀不要和日常 Google、X、信箱、錢包或常用社群帳號放在同一個瀏覽器環境。

2 閱讀中

能公開閱讀就不登入

只是閱讀時,不一定需要帳號。登入後的追蹤、收藏、留言與支持作者都會進入另一層足跡。

3 搜尋與收藏

把收藏當成可被串連的偏好

搜尋、收藏、追蹤與閱讀節奏可能形成興趣輪廓。高風險閱讀可用隔離身份處理。

4 切換身份

登出、清 site data,或換設定檔

切換日常身份與敏感身份前,先清除 Matters site data;更好的做法是使用不同瀏覽器設定檔。

自我檢測

先檢查自己的操作習慣,再檢查公開 ID

這些檢測只在瀏覽器本機執行,不呼叫 API,也不會把勾選或輸入內容送出。它是給你看的,不是給 Matters 看的。

尚未勾選檢測項目

讀者與互動者體檢

確認你是否把閱讀、登入、留言與站外分享分開處理。

作者/記者體檢

確認筆名、內容、發文節奏和發布後風險是否分開處理。

支持與金流體檢

確認錢包、出入金與付款方式是否符合你的身份風險。

公開 ID 檢測

可輸入 Matters 公開 ID 或筆名格式。規則只在瀏覽器本機執行。

體檢結果

  • 輸入公開 ID 後,這裡會用瀏覽器本機規則提示你可以檢查哪些風險。

第三方可檢視

Matters 為隱私、安全、抗審查做了什麼

這一段給合作方、資安審查者與關心平台治理的人看:哪些已完成、哪些正在盤點、哪些需要 Cloudflare / AWS / Sentry 權限才能確認。

本頁 已完成

安全指南採低追蹤架構

本頁不載入 Google Analytics、GTM、AdSense 或站內 fingerprint 元件;自我檢測只在瀏覽器本機執行。

網路路徑 已完成

Cloudflare ECH 已啟用

ECH 可降低支援瀏覽器在 TLS 握手階段暴露目標網域的機會。正式上線前仍建議補 Cloudflare dashboard 或公開檢測截圖作為佐證。

內容韌性 已完成

IPFS / IPNS 提高公開內容流通能力

IPFS / IPNS 讓公開作品不完全依賴單一平台,但也表示公開內容可能更難完全撤回。安全指南必須同時說明這兩面。

主站 進行中

縮小長期 fingerprint 使用範圍

主站 repo 可見 browser hash、analytics、Sentry PII 與 read events 等足跡。這些有風控或除錯價值,但應逐項定義必要流程與保存期限。

透明度 進行中

repo 可見項目與 dashboard 項目分開說明

analytics、fingerprint、Sentry 可從 repo 盤點;Cloudflare Logpush、IP header、Page Shield、AWS/Sentry retention 需要 dashboard 權限確認。

權限 待確認

Cloudflare / AWS / Sentry 設定仍需補齊

Logpush 欄位、visitor IP header、WAF/API Shield、AWS access logs、Sentry retention 等屬於 repo 之外的設定,需 infra 權限才能完整審核。

來源與證據

這些說法從哪裡來

正式對外前,每個主張都要能回到國際記者安全指南、Matters 公開內容、GitHub 架構,或標記為仍需 Cloudflare / AWS / Sentry 權限確認。