V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
nodenode
V2EX  ›  程序员

淘宝这是啥情况,这种口子都能放开让人随便乱来?

  •  
  •   nodenode · 2012-11-01 13:21:26 +08:00 · 6246 次点击
    这是一个创建于 4392 天前的主题,其中的信息可能已经有所发展或是发生改变。
    18 条回复    1970-01-01 08:00:00 +08:00
    pyKun
        1
    pyKun  
       2012-11-01 14:07:38 +08:00   ❤️ 1
    欺骗的技巧挺简单的,入门的css知识就能明白

    疑问淘宝能这么容易露着bug么。。。
    asing
        2
    asing  
       2012-11-01 15:18:26 +08:00
    这个就是传说中的高端黑么
    aveline
        3
    aveline  
       2012-11-01 16:09:38 +08:00
    lz傻逼...
    ipconfiger
        4
    ipconfiger  
       2012-11-01 16:26:42 +08:00
    图森破,CTRL A 完爆
    nodenode
        5
    nodenode  
    OP
       2012-11-01 16:48:41 +08:00
    @ipconfiger 要让每个用户在每个页面上都 CTRL A? 这才森破到家了吧
    liyandong
        6
    liyandong  
       2012-11-01 16:59:48 +08:00
    这个好
    sobigfish
        7
    sobigfish  
       2012-11-01 17:40:55 +08:00
    感觉 TAE_SDK 2.0 绝对做不到lz的效果。..帖子里的地址也进不去啊
    lemonda
        8
    lemonda  
       2012-11-01 18:29:54 +08:00
    明知道某类虚拟商品是假货举报给淘宝客服,客服说要去每件商品页面点举报,一个个点完后没一个举报被采纳,因为证据不足。而想获取证据的办法说来好笑就是去买一件假货,买完等消保退款的功夫骗子早骗够钱跑掉了好吧。
    特别窝火的是拿骗子毫无办法,本是淘宝该做的事变成了用户得上赶着贴钱去做,用户能天天守在淘宝上挨个举报么?
    nodenode
        9
    nodenode  
    OP
       2012-11-01 19:45:02 +08:00
    @sobigfish 额,不好意思,这个豆瓣贴不是我发的,我也没看到真实情况,所以想求证一下,一般为了防止xss之类的事情,对用户生成内容应该是严格限定的,像淘宝也不允许生成外链,但如果这个开放css是真的话,那这个疏忽就真的有点低级了
    reus
        10
    reus  
       2012-11-01 19:57:54 +08:00
    以前人人网还能用js咧…
    sobigfish
        11
    sobigfish  
       2012-11-01 20:38:56 +08:00
    taobao最恶心人的是卖盗版软件和盗版电子书的,投诉了也没人理,国内的出版商发行商也不管
    xinyu198736
        12
    xinyu198736  
       2012-11-01 21:12:06 +08:00   ❤️ 1
    作为首个散步这个消息的当事人,其实本意不是这样正大光明放在公共场合讨论这个问题的。

    在微博曝光后很多同行立马进行了研究并发表意见。

    以前我也在淘宝做过旺铺相关的开发,知道旺铺的规则是很严格的,不可能产生这种可以注入css影响页面普通区域的bug。

    这次应该是淘宝的异步自定义模块的规则出了漏洞,被一些比较爱研究和高级人士发现了,然后利用此漏洞注入任意的css,从而整个页面都可以定义。算是一个bug吧。

    不过卖家这种利用肯定是违规的,会受到相应的惩罚。

    淘宝有一套规则来控制卖家的装修权限,是极其严谨的,如果不出bug是不可能让你自定义关键位置的样式的。
    Mac
        13
    Mac  
       2012-11-01 23:46:12 +08:00
    SO WHAT?这种骗术和自己PS张评论图在商品介绍上有什么区别么?搜索排名又上不去,一向是从搜索页面看销量,进页面看评论。
    alcoholwang
        14
    alcoholwang  
       2012-11-02 01:55:16 +08:00
    这个如果开放css都蛮难防的
    jakobzheng
        15
    jakobzheng  
       2012-11-02 07:05:19 +08:00
    受用了
    oldcai
        16
    oldcai  
       2012-11-02 08:57:22 +08:00
    @alcoholwang 似乎人人网就比较好,之前写过一下应用,它给所有css的class、id以及标签的class、id加个应用id的后缀。
    Asen
        17
    Asen  
       2012-11-19 09:49:27 +08:00
    其实我们应该从另外一种角度看待这个问题。
    曝光这种CSS作弊后的页面效果,但是没有曝光如何去修改,所以会有很多开店的小白用户去寻找方法,这样淘宝上不就有多了一种牟利的商家?
    无利不起早啊!
    Kymair
        18
    Kymair  
       2012-11-19 11:04:24 +08:00
    所有的骗术在曝光之后看起来都很简单,但你身处其中的时候事情就完全不一样了。
    这个欺诈已经是非常具有迷惑性的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2668 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 06:57 · PVG 14:57 · LAX 22:57 · JFK 01:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.