关于classisland的密码保护

[ZhainaneAPB]

检查清单

• [x] 我已更新到最新版 或 测试，并看过 最新提交，确认这一 Bug 还没有修复。我也已在 Issues 中检索，确认这一 Bug 未被提交过，并且在 常见问题 中没有解决方案。
• [ ] 我已经仔细阅读过选项里的内容，并且知道这个选项不用勾选。
• [x] 我已知晓并同意，此处仅用于汇报程序中存在的问题（关于其他非程序本身的问题应当在 Discussion 板块提出）。

期望的行为

其实期望是还没有想好，毕竟使用密码或者U盘来保护软件设置是既需要考虑实用性，有要考虑安全性，我不希望密码保护成为班上对电脑恶作剧的手段，也不希望密码只是一个形同虚设的障碍。

实际结果

当班上的课岛被恶意设了密码或者密码忘了、U盘丢了，此时备份整个包体就很重要了 在有必要的紧急情况下，先解压好备份的包体，然后用火绒直接解除占用并替换文件夹，就能达到“重置密码”的效果 这很明显违背了设置密码的初衷，毕竟根本没几个学校的课岛是由学校集控的，如果被恶意设置密码抑或是忘记密码能用直接替换的方法来洗密码那么这个保护还有什么用呢？ 如果要设置密码就必须考虑如上因素，希望开发者留意！

重现步骤

1.解压备份的完整包体 2.然后用火绒直接解除占用并替换课岛文件夹 3.达到“重置密码”的效果

堆栈跟踪（可选）

诊断信息

无

最后一步

• [x] 我认为上述的描述已经足以详细，以允许开发人员能复现该问题。如果我的 issue 没有按照上述的要求填写，可能会被无条件关闭。

[github-actions[bot]]

相似 Issues

1. 61% #1242
2. 52% #526

[HelloWRC]

您提出的这个问题在 ClassIsland 目前的阶段是没有很好的解决方案的，理由如下：

1. ClassIsland 设计上以普通用户身份运行，即使以管理员身份运行，也难以取得比如火绒安全软件等系统工具更高的权限。这意味着无论 ClassIsland 采取何种防御措施，比如校验配置文件完整性等，只要攻击者知道 ClassIsland 配置文件的存储位置和方式，就有能力将这些配置完全回滚到设置密码前或其他特定状态。而 ClassIsland 以安全软件或设备管理工具相比，没有高于用户的权限来进行自我防御，所以在 ClassIsland 现阶段进行的防御最终都能被轻易破解。
2. 除了上述原因，ClassIsland 是开源软件，这意味着 ClassIsland 的任何防御措施对攻击者都是透明的，即使 ClassIsland 不断地升级防御措施，攻击者仍然可以更轻易地破解这些防御措施。最终会让开发者浪费大量时间在这种无意义的单向透明的攻防战上。

所以综合以上原因，ClassIsland 现阶段选择了将密码保护信息保存到特定位置的方法，以一定程度上进行防御。事实上大部分人都找不到这个文件或想到这种攻击方式，过多的防御对这种攻击者意义不大；反之，如果攻击者又找到并替换这些文件的能力，那么考虑以上两点理由，以 ClassIsland 现阶段的状态进行过多的防御意义也不大。

如果您想要加强您的密码保护措施，可以考虑使用集控，或通过特定的系统权限配置来进行防御。

感谢您的理解。