工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
这是一个创建于 2402 天前的主题,其中的信息可能已经有所发展或是发生改变。
原文: https://zhuanlan.zhihu.com/p/36235128
概述:在知乎最新 Android 版本 5.15.1(658) 下,若你使用「分享到 QQ 」功能分享任意知乎站内链接到任意 QQ 接收者,你可能正在泄漏自己的知乎帐号到 QQ 平台。分享链接中,utm_member 字段经过 base64 解码后的 hex 字符串是用户的唯一识别码。通过这个识别码,可以直接打开用户资料页,从而知晓这个分享链接是哪位用户发送的。
如果你不太明白这有什么问题,或是不明白这是什么意思,请看原文的说明与分析。
概述:在知乎最新 Android 版本 5.15.1(658) 下,若你使用「分享到 QQ 」功能分享任意知乎站内链接到任意 QQ 接收者,你可能正在泄漏自己的知乎帐号到 QQ 平台。分享链接中,utm_member 字段经过 base64 解码后的 hex 字符串是用户的唯一识别码。通过这个识别码,可以直接打开用户资料页,从而知晓这个分享链接是哪位用户发送的。
如果你不太明白这有什么问题,或是不明白这是什么意思,请看原文的说明与分析。
 |
1
orangeade 2018-04-28 17:54:01 +08:00 via Android
啧啧,之前加 utm source utm media 就知道迟早要这么干
|
 |
2
sobigfish 2018-04-28 18:22:24 +08:00
想起过年时的银联云闪付 app 更是直接一堆人暴露手机号 不是更恐怖
|
 |
3
airyland 2018-04-28 18:59:48 +08:00
貌似 [即刻] 也是,分享到 QQ 时观察过 URL 格式,貌似连 base64 都不做了,下面的 userid 在 web 版验证过确认是用户 id。
https://m.okjike.com/officialMessages/{{messageid}}?username={{userid}}&utm_source=qq 点击后会跳转到无参数地址,但是已经直接泄露了。 |
 |
4
billlee 2018-04-28 20:27:48 +08:00
我一般都是选择分享到 chrome, 然后复制链接到目标应用里面再分享的
|
 |
5
caijunyi 2018-04-28 22:14:34 +08:00
知乎变味了!!!
越来越商业化了! |
 |
6
flowfire 2018-04-28 22:22:16 +08:00 via iPhone
卸载好几个月了
|
 |
7
logOo 2018-04-28 22:26:00 +08:00 via Android
日常要完
|
 |
8
maxlino 2018-04-29 01:33:38 +08:00 via iPhone  1
似乎网易云也是
|
 |
10
580a388da131 2018-04-29 03:35:31 +08:00
强迫症每次分享链接都要清理到最干净
淘宝商品链接要清理掉除 id 以外的所有参数 一直以为我没救了 原来还能拯救我的隐私。。。 |
 |
11
gobomb 2018-04-29 04:23:35 +08:00 via iPhone
网易云音乐和 qq 音乐也是
|
 |
12
des 2018-04-29 07:12:56 +08:00 via Android
@580a388da131 算我一个,强迫症
|
 |
13
honeycomb 2018-04-29 08:38:35 +08:00 via Android
这种就是链接之后的小尾巴,如果有人在 V2 发带小尾巴的链接而不作说明请及时指出
|
 |
14
justfun 2018-04-29 08:59:12 +08:00 via Android
跨平台追踪
|
 |
15
iwtbauh 2018-04-29 09:26:04 +08:00 via Android 1
所以,我们就可以随意伪造这个字段把锅扣别人头上喽,别人也可以随意伪造这个字段把锅扣我头上喽
|
 |
16
artoostark 2018-04-29 09:47:23 +08:00
那我伪造成周源的。
|
 |
17
daocao 2018-04-29 09:57:44 +08:00
@artoostark 系统发现这是周圆分享的链接。立即提高了网页打开速度[手动 dog ~]
|
 |
18
banricho 2018-04-29 10:15:08 +08:00
网易云 QQ 虾米一律如此
|
 |
19
michaelzs 2018-04-29 10:51:09 +08:00
|
 |
20
HannibaI 2018-04-29 11:29:27 +08:00 1
感谢 V2EX,找到了女神的网易云账号
|
 |
21
illusion33 2018-04-29 11:55:15 +08:00
有些链接还带了信息可以知道别人到底是客户端分享的还是 web 分享的
|
 |
22
Biwood 2018-04-29 12:06:01 +08:00
我想说,网易云音乐的分享也带有用户 id,我感觉这根隐私关系不大,但是跟产品体验有关
|
 |
23
oott123 2018-04-29 13:47:35 +08:00
@Livid 我的 ip 因为分享这个帖子的全文而被 V2EX 封锁。详细信息已经发往 hello at V2EX dot com,但还没有得到回复,请帮我解封 ip。
我自认为我的帐号信用良好而又从来没有发过什么 SPAM,算比较优质的用户了,然而那么长一篇文章,出于信任 V2EX 的氛围,直接在 V2 上首发,结果点个提交之后,说我是 SPAM 直接被封 IP 了,体验非常非常差,十分沮丧,甚至怀疑人生,都想直接流失了…… 另外,反 SPAM 规则如果误判率这么高又没有任何豁免规则,那么反馈渠道请至少告诉用户“你的反馈成功了”并有时效性承诺,而不是石沉大海。对于深度用户而言,一晚上加一上午都刷不了 V2EX 会很崩溃…… |
|
24
oott123 2018-04-29 13:48:24 +08:00
P.S. 这篇文章的原作者是我。因为发在 V2EX 结果被 V2EX 自动封 ip,出于无奈才委托朋友发到知乎专栏上。
|
|
26
oott123 2018-04-29 13:53:35 +08:00
@Livid #25 您好,请看我 24 楼的附注。这篇文章是我亲手写的,而且我首发在 V2EX,没有任何“转载”行为。是因为 V2EX 把我的 IP 封锁了,所以我才委托朋友发到知乎专栏。如果您不相信,我可以让她帮我把原作者后面的“三三”链接到我的 V2EX 主页。
|
 |
27
Livid MOD |
|
28
oott123 2018-04-29 14:09:30 +08:00
@Livid #27 我理解您有自己的事情需要完成,谢谢您百忙之中的处理。我只是在邮件没有得到回复的时候,希望通过其它途径来得到更快的反馈。当然,您也可以不回复我,这是您的选择。您需要的原始文本我已通过邮件发送给您。
之前我提到的“得到反馈”的意思是,举个例子:邮箱增加一个自动回复:“来信已收到,我将会在五个工作日内回复您”。当然,或许你不喜欢自动回复,那么在反 SPAM 提示的时候增加“请发送反馈到 your_email。我们将会在五个工作日内回复您”。这样,给用户以明确的预期,会更加友好一些。 再次感谢您的付出和理解,愿 V2EX 更加美好。 |
Select Language