归所

每个文件都有正确的归宿

标签: 安全隐私

关于数据安全和隐私保护

  • 设计一个「绝不可能把文件弄丢」的文件整理工具

    设计一个「绝不可能把文件弄丢」的文件整理工具

    做归所的时候,我们一直在想一个问题:一个帮你自动移动文件的工具,怎样才能让人 100% 放心?

    毕竟,它要做的事情本质上就是”替你搬文件”——用户最怕什么?

    怕搬错了地方。

    怕搬到系统目录把 Windows 搞坏了。

    怕文件在两个规则之间被反复搬来搬去,最后不知道去了哪里。

    怕一旦出事,没法恢复。

    所以我们在设计归所的时候,安全不是”锦上添花的功能”,而是整个产品的地基

    三层熔断:不让文件在规则之间”迷路”

    归所的规则系统允许用户自定义任意整理策略。你可以设一条规则把 .pdf 文件挪到文档区,再设一条把包含”发票”的文件挪到财务区。这两条规则都可能匹配到”三月发票.pdf”。

    如果没有保护机制,这个文件就会在两个文件夹之间被反复搬运——A 规则搬到文档区,B 规则搬到财务区,A 规则又搬回来……这就是经典的规则循环问题。

    我们的解决方案是三层熔断机制

    第一层:同文件冷却期

    当一个文件被某条规则处理过之后,归所会记录这次操作。在接下来的一段时间内,如果同一条规则再次试图处理这个文件,系统会直接跳过——”我刚刚才帮你整理过,不用再来一次了”。

    这层保护能够覆盖大部分日常场景,因为绝大多数重复触发都是短时间内发生的。

    第二层:同路径速率限制

    如果同一个路径在短时间内触发了太多次操作(比如一小时内超过设定阈值),系统会自动熔断,暂停该路径的所有规则执行。

    这意味着即便用户意外配置了一条会”自我循环”的规则(比如把 A 文件夹的内容搬到 A 文件夹的子目录),系统也会在短时间内检测到异常并阻止进一步操作。

    第三层:全局熔断

    如果整个系统的操作频率出现异常飙升,归所会触发全局熔断——暂停所有规则执行,并通知用户。

    这三层防护不是”或者”的关系,而是”并且”的关系。任何一层被触发,都会在用户界面中给出清晰的原因说明,让用户始终知道发生了什么。

    双向封锁:系统目录是”禁区”

    归所内置了一套硬编码的路径黑名单,覆盖了所有 Windows 系统关键目录:

    • 系统核心目录:C:\WindowsC:\Program Files

    • 用户系统数据:AppData\LocalAppData\Roaming

    • 系统隐藏目录:$Recycle.BinSystem Volume InformationRecovery

    • 所有磁盘根路径:C:\D:\E:\

    这个黑名单是双向封锁的:

    1. 禁止监控:你不能把系统目录设为监控源——归所不会去”看”系统目录里有什么文件

    2. 禁止写入:规则的目标路径不能指向系统目录——归所不会把文件”搬”到系统目录里

    无论是通过界面操作还是通过配置文件,这些限制都是不可绕过的。用户白名单和配置无法覆盖硬编码保护。

    扩展名过滤:系统文件”搬不动”

    除了路径保护,归所还会检查文件扩展名。以下类型的文件被标记为危险扩展名,禁止移动和删除:

    • 系统可执行文件:.sys .dll .exe .bat .cmd

    • 驱动程序:.drv .vxd

    • 系统配置:.reg .ini .cfg .inf

    • 脚本文件:.vbs .js .ps1

    如果你的下载目录里恰好出现了一个 .dll 文件(虽然不太常见),归所不会动它。

    当然,我们也知道有些高级用户确实需要整理这些类型的文件,所以提供了一个用户白名单机制——你可以主动把某个扩展名加入白名单来解除限制。但默认状态下,安全优先。

    操作可撤销:最后的保险

    尽管有上述所有保护,我们还是给每一步操作都加了撤销能力

    归所会记录每次文件操作的完整信息:从哪里搬到了哪里,什么时候搬的,是哪条规则执行的。如果用户发现某个操作不对,可以一键撤销——文件会回到它原来的位置。

    这个功能不仅是一个”后悔药”,更是一个信任机制。用户在设置新规则时可以先开”预览模式”,看看规则会做什么操作,确认无误后再正式启用。

    设计哲学

    总结一下,归所的安全体系遵循一个原则:宁可误拦,不可误动

    三层熔断防止循环搬运,双向黑名单保护系统目录,扩展名过滤兜底系统文件,操作记录支持一键撤销。每一层都独立工作,任何一层的缺失都可能导致风险,而所有层加在一起,才构成了我们敢说”操作可撤销”的底气。

    安全不是卖点,是底线。

  • 开发日志 #03 · 当自动整理遇到安全问题

    开发日志 #03 · 当自动整理遇到安全问题

    写在前面

    上周我们在开发日志里聊了 FinalPlace 的整体进展,这周想单独聊一件「看不见但至关重要」的事——安全。

    作为一个会自动移动、重命名、甚至删除你文件的工具,如果它不够安全,那它的便利就是一把没握好的刀。

    所以这周,我们把大量精力投入到了安全防护上。

    🛡️ 三道安全防线

    第一道:命令注入防护

    如果你的文件名里藏着类似 ; rm -rf / 的恶意内容,一个不够严谨的文件管理工具可能会在处理文件时把它当成命令执行。

    听起来很极端?但作为一款本地运行的工具,我们必须假设最坏的情况。

    这周我们全面审计了文件名处理链路,确保所有文件名都经过严格的转义和校验,彻底杜绝命令注入风险

    第二道:Zip 炸弹检测

    一个 42KB 的压缩包,解压后可能是 4.5PB 的数据。

    这不是玩笑,这是真实存在的攻击方式,叫做「Zip 炸弹」。如果自动整理工具不假思索地解压它,你的硬盘会瞬间被填满。

    FinalPlace 现在内置了 Zip 炸弹检测机制,在处理压缩文件之前会先检查其压缩比,一旦发现异常,直接拒绝操作

    第三道:路径穿越防护

    ../../../etc/passwd 这样的路径,看起来只是普通的文件路径,但如果程序不做好校验,攻击者可以通过它访问到系统中的任意位置。

    我们强化了路径安全检查,确保所有文件操作都被限制在用户授权的范围内,不会因为一个路径字符串就泄露系统数据

    🔄 整理规则防死循环

    除了恶意攻击,还有一类问题我们也很重视:用户自己造成的意外

    比如你设了两个规则:规则 A 把所有 PDF 移到「文档」文件夹,规则 B 又把「文档」文件夹里的文件移到桌面。如果这两个规则同时生效,文件就会在两个文件夹之间无限跳转。

    我们加入了循环检测机制——规则引擎在执行前会分析规则链,一旦检测到潜在的死循环,就会提前警告并阻止执行。

    ⚙️ 更精准的文件处理

    最后分享一个小改进,但对你日常使用影响很大。

    Windows 上有一种文件叫「只读文件」,普通的方式判断它其实不够准确。这周我们把只读检测换成了Win32 原生 API,同时新增了强制解除只读的能力。

    这意味着当你让 FinalPlace 去整理一个标记为只读的文件时,它能更精准地识别和处理,不会因为判断失误而中断整个整理流程。

    📌 总结

    改进项 用户价值
    命令注入防护 恶意文件名不会威胁系统安全
    Zip 炸弹检测 压缩包不会撑爆你的硬盘
    路径穿越防护 文件操作不会越界到系统目录
    循环检测机制 规则不会互相打架导致死循环
    Win32 原生集成 只读文件也能被准确处理

    安全不是一次性的工作,而是一个持续迭代的过程。我们会持续加固 FinalPlace 的安全防线,让你用得更安心。

    如果你对这些改进有任何想法,或者想提出其他安全方面的建议,欢迎通过 service@yynote.cn 联系我们。

  • 常见问题解答(FAQ)

    常见问题解答(FAQ)

    以下是用户最常问到的问题。如果您有其他疑问,欢迎通过 service@yynote.cn 联系我们。

    📥 下载与安装

    Q: 归所支持哪些操作系统?

    A: 目前归所仅支持 Windows 10 及以上版本。macOS 和 Linux 版本正在规划中。

    Q: 安装归所占多大空间?

    A: 归所本体约 50MB,安装后占用的磁盘空间非常小。

    Q: 需要管理员权限吗?

    A: 基本功能不需要管理员权限。但某些系统目录保护规则需要提升权限才能修改。

    🔒 安全与隐私

    Q: 归所会把我的文件上传到云端吗?

    A: 不会。 归所的核心引擎运行在您的电脑上,所有文件操作都在本地完成。我们不收集、不上传任何文件内容。

    Q: 归所会追踪我的使用行为吗?

    A: 不会。 归所不包含任何埋点或行为分析。您在归所中的一切操作都是私密的。

    Q: 如果误删了文件怎么办?

    A: 归所记录每一次操作,您可以随时撤销。只需打开操作历史,找到对应的操作并点击撤销即可。

    ⚙️ 功能与使用

    Q: Free 版本和 Pro 版本有什么区别?

    A: Free 版本可以创建第一条规则(Index 0),足够体验核心功能。Pro 版本支持更多规则数量、高级动作、以及即将推出的云端同步功能。

    Q: 可以同时运行多个规则吗?

    A: 可以。归所支持多条规则并行运行,Index 数字越小的规则优先级越高。

    Q: 规则可以跨电脑同步吗?

    A: 云端同步功能正在开发中。届时您可以将规则导出为配置文件,在新电脑上导入即可。

    Q: 归所会影响电脑性能吗?

    A: 归所设计为轻量级运行,看门狗采用事件驱动而非轮询模式,正常情况下 CPU 占用极低。

    🛠️ 故障排除

    Q: 文件没有被自动移动怎么办?

    A: 请检查:

    1. 规则是否已启用
    2. 文件是否符合规则的触发条件
    3. 目标目录是否存在且可写

    Q: 规则触发了但文件没有移动?

    A: 可能是以下原因:

    • 文件正在被其他程序使用
    • 文件是 Office 临时文件(~$开头)
    • 文件正在下载中

    Q: 如何联系技术支持?

    A: 您可以通过以下方式联系我们:

  • 安全与隐私承诺:归所如何保护您的文件

    安全与隐私承诺:归所如何保护您的文件

    在数字时代,文件就是我们的工作成果、记忆存档和心血结晶。归所深知这一点,将「数据主权」作为产品的第一原则。

    🔒 永不妥协的本地优先

    归所的核心引擎运行在您的电脑上,所有文件操作都在本地完成:

    • 零云端传输 — 文件内容永远不会上传到任何服务器
    • 零隐私收集 — 不会收集文件名、文件内容或文件位置信息
    • 零追踪机制 — 不包含任何埋点或行为分析

    💻 跨盘安全保护

    我们深知文件跨盘移动是高风险操作,因此实现了 Safe-Move 协议

    1. Copy — 先完整复制文件到目标位置
    2. Verify — 校验文件完整性(大小、哈希)
    3. Delete — 仅在验证通过后才删除源文件

    任何一步失败,原文件都会完整保留。

    🛡️ 多重安全防护机制

    Office 文件保护

    自动检测 ~$.~lock 临时文件,避免在文件编辑过程中移动造成损坏。

    下载中间态防护

    自动识别正在下载的文件(浏览器临时命名、下载工具分块文件),确保下载完成后再处理。

    文件锁检测

    检测文件是否被其他程序占用(正在编辑、压缩中、被杀毒软件扫描),避免冲突。

    5秒熔断保护

    LRU 熔断机制防止规则在短时间内重复触发同一文件,避免循环移动。

    系统目录硬保护

    C:\WindowsC:\Program Files 等系统目录默认禁止操作。

    ⏪ 操作可撤销

    归所记录每一次文件操作,您可以随时:

    • 单次撤销 — 将文件恢复到上一次操作前的状态
    • 批量撤销 — 按操作会话批量回滚
    • 查看历史 — 查看完整的操作日志

    📋 商业限制保障

    Free 用户仅有 Index 0(第一条规则)生效,确保核心体验的同时,也防止误操作导致大规模文件移动。

    🏷️ 工作区边界

    通过 MCP 协议集成时,所有文件操作都有工作区边界校验。您可以设定规则生效的目录范围,归所不会越界操作。

    我们的承诺: 归所是一个安静的文件管家,它默默工作、从不越界、随时可撤回。在您需要它的时候,它在;您不需要的时候,它安静地在后台待命。