这是一个创建于 2824 天前的主题,其中的信息可能已经有所发展或是发生改变。
前段时间一直都是直接 REJECT 掉 QQ 的截图内置应用的联网权限,今天突发奇想直接 REJECT 了请求网址,然后就看到了如下的一幕……
Request Header 如下:
POST /analytics/rqdsync HTTP/1.1
Host: monitor.uu.qq.com
Accept: */*
bid: com.Tencent.JietuFramework
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 416
User-Agent: %E5%BE%AE%E4%BF%A1/7965 CFNetwork/807.2.14 Darwin/16.4.0 (x86_64)
Connection: keep-alive
pver: 2.2.0(7965)
pid: com.Tencent.JietuFramework
 |
101
smilexyk OP @famouslastword 反正我也看出来了,你无非不就是想让我承认我就是个菜鸡你最厉害么?行啊无所谓的,反正我又没啥损失?比我厉害又啥都说明不了,纠结这个东西除了浪费我的时间之外没什么鬼用,你以后出去爱怎么吹怎么吹,吹我给你赔偿精神损失都成,行了吧?
|
|
102
smilexyk OP @famouslastword 另外根据我不多的一点人生经验,慎谈“永远”,因为这是最容易被打脸的事情之一了
|
 |
103
famouslastword 2017-03-02 09:57:54 +08:00
|
|
104
smilexyk OP @famouslastword 原话还给你,讨厌我可以 block , V 站给了这个功能,您大可以随意使用
|
 |
105
phdyu 2017-03-02 10:05:53 +08:00
不会包含用户隐私,没说能不能,可不可以,会不会获取得到用户隐私。🤔🤔
|
|
106
smilexyk OP @phdyu
第一,能不能的问题上,回答肯定是“能”,最简单的可以获取设备名,大多数人的主机名应该都是“自己的名字+的 MacBook ”什么的,也算是个隐私数据吧 第二,可以不可以,是可以的,因为绝大多数公司的用户服务条款中都会要求用户同意收集一定数据的许可,法律上来说确实是可以的 最后,会不会,那我只能说,看厂商自律 |
 |
107
yangqi 2017-03-02 10:18:12 +08:00
@famouslastword 你既然知道 http 不安全,那还说那么多风凉话?看来你是为国内众多厂商洗地的?
前段加密太容易破解了,但大部分不值得去破解。 security through obscurity 不是真正的安全。 |
|
108
yangqi 2017-03-02 10:20:13 +08:00
@famouslastword 那你是怎么忍受你自己的不懂装懂的呢?
|
|
109
phdyu 2017-03-02 10:32:07 +08:00
@smilexyk 配合有关部门实时调用截图.app 上传用户操作界面呢🤔🤔🤔🤔
|
|
110
smilexyk OP @phdyu 我只能说目前请求包的大小远小于一张屏幕截图的正常大小,所以至少目前这个可能性几乎没有
|
|
111
famouslastword 2017-03-02 11:30:04 +08:00
|
|
113
smilexyk OP @bjlbeyond 根据官方说法这是个 bug ,也就是说是有触发条件的,具体如何触发我现在也在尝试复现。初步判断在程序打开之前就开始拒绝这个地址的请求有可能会触发,但是具体的我也在尝试中
|
|
114
yangqi 2017-03-02 22:28:07 +08:00
@famouslastword 登录密码也要看什么站的了,随便一个小站的密码有什么好破解的。再说我破解不了就说明安全了?脑子秀逗了。我告诉你我什么密码都破解不了,你怎么不把你密码设置成 123456 ?智商堪忧
|
 |
115
Jasmine2016 2017-03-03 09:19:41 +08:00
爽!凡是回复数大于 100 的,不是盖楼有奖品,就是有撕逼。
另外我也想说一点: 有的人,纵使疾病缠身,千疮百孔,也没有放弃生存的欲望。有的人,身体健康,生活幸福,却早已没有奋斗的目标,甚至还想轻生。 如果把放弃治疗跟放弃隐私拿来作比较,会不会有人认同。 |
 |
116
lwd2136 2017-03-03 10:08:25 +08:00
这玩意儿 好几个月之前就出现了 早就 block 链接了
|
|
117
lwd2136 2017-03-03 10:11:51 +08:00
版本 5.4.1 2017/01/19 这个版本依旧
|
|
118
smilexyk OP @lwd2136 按照官方的说法来看,估计就是导入了早期的 RQD SDK ,然后 app 更新的时候因为老版本的 SDK 也能用就没把 SDK 同步更新了;就是不知道最后这个锅内部给谁去背了(笑)
|
 |
119
benwwchen 2017-03-03 14:00:31 +08:00
其实聊天记录、朋友圈什么的不是都会存在他们服务器上的吗?这些数据还不够隐私吗?假如真要偷偷收集其它数据的话,顺带平时就可以一并上传吧,加密了你又不会发现,没必要另外开一个连接啊…… 真的要较真的话要用二进制逆向工程才有可能看出在上传什么吧。(语气可能有点奇怪,但绝无恶意)
|
Select Language