V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
orzfly
V2EX  ›  全球工单系统

知乎“分享”功能可能正危及你的隐私

  •  1
     
  •   orzfly · 2018-04-28 17:51:23 +08:00 via Android · 8590 次点击
    这是一个创建于 2402 天前的主题,其中的信息可能已经有所发展或是发生改变。
    原文: https://zhuanlan.zhihu.com/p/36235128

    概述:在知乎最新 Android 版本 5.15.1(658) 下,若你使用「分享到 QQ 」功能分享任意知乎站内链接到任意 QQ 接收者,你可能正在泄漏自己的知乎帐号到 QQ 平台。分享链接中,utm_member 字段经过 base64 解码后的 hex 字符串是用户的唯一识别码。通过这个识别码,可以直接打开用户资料页,从而知晓这个分享链接是哪位用户发送的。

    如果你不太明白这有什么问题,或是不明白这是什么意思,请看原文的说明与分析。
    orangeade
        1
    orangeade  
       2018-04-28 17:54:01 +08:00 via Android
    啧啧,之前加 utm source utm media 就知道迟早要这么干
    sobigfish
        2
    sobigfish  
       2018-04-28 18:22:24 +08:00
    想起过年时的银联云闪付 app 更是直接一堆人暴露手机号 不是更恐怖
    airyland
        3
    airyland  
       2018-04-28 18:59:48 +08:00
    貌似 [即刻] 也是,分享到 QQ 时观察过 URL 格式,貌似连 base64 都不做了,下面的 userid 在 web 版验证过确认是用户 id。

    https://m.okjike.com/officialMessages/{{messageid}}?username={{userid}}&utm_source=qq

    点击后会跳转到无参数地址,但是已经直接泄露了。
    billlee
        4
    billlee  
       2018-04-28 20:27:48 +08:00
    我一般都是选择分享到 chrome, 然后复制链接到目标应用里面再分享的
    caijunyi
        5
    caijunyi  
       2018-04-28 22:14:34 +08:00
    知乎变味了!!!
    越来越商业化了!
    flowfire
        6
    flowfire  
       2018-04-28 22:22:16 +08:00 via iPhone
    卸载好几个月了
    logOo
        7
    logOo  
       2018-04-28 22:26:00 +08:00 via Android
    日常要完
    maxlino
        8
    maxlino  
       2018-04-29 01:33:38 +08:00 via iPhone   ❤️ 1
    似乎网易云也是
    ctsed
        9
    ctsed  
       2018-04-29 01:59:01 +08:00
    @airyland #3 #3 页面上显示的是 xxx 给你分享了 xxx,xxx 关注了 xxx
    580a388da131
        10
    580a388da131  
       2018-04-29 03:35:31 +08:00
    强迫症每次分享链接都要清理到最干净
    淘宝商品链接要清理掉除 id 以外的所有参数
    一直以为我没救了 原来还能拯救我的隐私。。。
    gobomb
        11
    gobomb  
       2018-04-29 04:23:35 +08:00 via iPhone
    网易云音乐和 qq 音乐也是
    des
        12
    des  
       2018-04-29 07:12:56 +08:00 via Android
    @580a388da131 算我一个,强迫症
    honeycomb
        13
    honeycomb  
       2018-04-29 08:38:35 +08:00 via Android
    这种就是链接之后的小尾巴,如果有人在 V2 发带小尾巴的链接而不作说明请及时指出
    justfun
        14
    justfun  
       2018-04-29 08:59:12 +08:00 via Android
    跨平台追踪
    iwtbauh
        15
    iwtbauh  
       2018-04-29 09:26:04 +08:00 via Android   ❤️ 1
    所以,我们就可以随意伪造这个字段把锅扣别人头上喽,别人也可以随意伪造这个字段把锅扣我头上喽
    artoostark
        16
    artoostark  
       2018-04-29 09:47:23 +08:00
    那我伪造成周源的。
    daocao
        17
    daocao  
       2018-04-29 09:57:44 +08:00
    @artoostark 系统发现这是周圆分享的链接。立即提高了网页打开速度[手动 dog ~]
    banricho
        18
    banricho  
       2018-04-29 10:15:08 +08:00
    网易云 QQ 虾米一律如此
    michaelzs
        19
    michaelzs  
       2018-04-29 10:51:09 +08:00
    HannibaI
        20
    HannibaI  
       2018-04-29 11:29:27 +08:00   ❤️ 1
    感谢 V2EX,找到了女神的网易云账号
    illusion33
        21
    illusion33  
       2018-04-29 11:55:15 +08:00
    有些链接还带了信息可以知道别人到底是客户端分享的还是 web 分享的
    Biwood
        22
    Biwood  
       2018-04-29 12:06:01 +08:00
    我想说,网易云音乐的分享也带有用户 id,我感觉这根隐私关系不大,但是跟产品体验有关
    oott123
        23
    oott123  
       2018-04-29 13:47:35 +08:00
    @Livid 我的 ip 因为分享这个帖子的全文而被 V2EX 封锁。详细信息已经发往 hello at V2EX dot com,但还没有得到回复,请帮我解封 ip。
    我自认为我的帐号信用良好而又从来没有发过什么 SPAM,算比较优质的用户了,然而那么长一篇文章,出于信任 V2EX 的氛围,直接在 V2 上首发,结果点个提交之后,说我是 SPAM 直接被封 IP 了,体验非常非常差,十分沮丧,甚至怀疑人生,都想直接流失了……

    另外,反 SPAM 规则如果误判率这么高又没有任何豁免规则,那么反馈渠道请至少告诉用户“你的反馈成功了”并有时效性承诺,而不是石沉大海。对于深度用户而言,一晚上加一上午都刷不了 V2EX 会很崩溃……
    oott123
        24
    oott123  
       2018-04-29 13:48:24 +08:00
    P.S. 这篇文章的原作者是我。因为发在 V2EX 结果被 V2EX 自动封 ip,出于无奈才委托朋友发到知乎专栏上。
    Livid
        25
    Livid  
    MOD
       2018-04-29 13:49:07 +08:00
    @oott123 可能里面有短链接触发了关键字。

    但是,根据 V2EX 一直以来的规则,我们不欢迎全文转载。
    oott123
        26
    oott123  
       2018-04-29 13:53:35 +08:00
    @Livid #25 您好,请看我 24 楼的附注。这篇文章是我亲手写的,而且我首发在 V2EX,没有任何“转载”行为。是因为 V2EX 把我的 IP 封锁了,所以我才委托朋友发到知乎专栏。如果您不相信,我可以让她帮我把原作者后面的“三三”链接到我的 V2EX 主页。
    Livid
        27
    Livid  
    MOD
       2018-04-29 13:53:57 +08:00
    @oott123

    1. 这是周末,我要陪家人。
    2. 而且,你邮件发给我的两个格式( PDF 和 JSON ),我都无法直接在开发环境中复现问题。
    3. 请提供原始文本的 .md 格式。
    oott123
        28
    oott123  
       2018-04-29 14:09:30 +08:00
    @Livid #27 我理解您有自己的事情需要完成,谢谢您百忙之中的处理。我只是在邮件没有得到回复的时候,希望通过其它途径来得到更快的反馈。当然,您也可以不回复我,这是您的选择。您需要的原始文本我已通过邮件发送给您。

    之前我提到的“得到反馈”的意思是,举个例子:邮箱增加一个自动回复:“来信已收到,我将会在五个工作日内回复您”。当然,或许你不喜欢自动回复,那么在反 SPAM 提示的时候增加“请发送反馈到 your_email。我们将会在五个工作日内回复您”。这样,给用户以明确的预期,会更加友好一些。

    再次感谢您的付出和理解,愿 V2EX 更加美好。
    Livid
        29
    Livid  
    MOD
       2018-04-29 17:02:27 +08:00
    @oott123 收到,问题已经在本地开发环境复现。具体细节已经通过邮件回复你了。
    Hieast
        30
    Hieast  
       2018-04-30 09:19:32 +08:00
    @oott123 心疼三三,摸摸头
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5651 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 09:05 · PVG 17:05 · LAX 01:05 · JFK 04:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.