{"version":"https://jsonfeed.org/version/1.1","title":"苏迟但到的主页","home_page_url":"https://kexohproject.pages.dev","feed_url":"https://kexohproject.pages.dev/json/","description":"<p>你好，欢迎访问个人主页！</p><p>擅长密码学，安全分析，数字水印等技术。</p><p>你可以联系我通过:findmykexin@gmail.com或者知乎私信。</p><p>我的知乎链接：<a href=\"https://www.zhihu.com/people/su-chi-dan-dao\" rel=\"noopener noreferrer\" target=\"_blank\">苏迟但到 - 知乎 (zhihu.com)</a></p><p>我的github链接：<a href=\"https://github.com/kexinoh\" rel=\"noopener noreferrer\" target=\"_blank\">kexinoh</a></p>","icon":"https://kexohcdn.gptapi.cyou/kexohproject/production/images/channel-2e54d141ee195646ca12a9d16507a908.jpg","favicon":"https://kexohcdn.gptapi.cyou/kexohproject/production/images/favicon-340a2925d02a0386f3b954a032834917.jpg","authors":[{"name":"苏迟但到"}],"language":"zh-cn","items":[{"id":"DiEI1-dFLxI","title":"做网页开发时，允许用户输入url图片地址来作为自己的头像有什么风险？","content_html":"<p data-pid=\"kIVzuiHA\">这个事情还真的发生过，QQ在去年修改之前，一直允许用户自定义转发的消息卡片内的图片链接url。</p><p data-pid=\"b_Fy6Zhz\">然后就被玩出花来了，一些常见的破坏性的事件我举一下:</p><p data-pid=\"R8eSU7UP\">1.<b>流量黑洞</b>，这是因为把图片设置为阿里云的网速测速链接，然后用户的设备里面的QQ就会一直保持最高网速加载那张图片，最后流量耗尽，房子归移动。</p><p data-pid=\"MQaGVAA2\">这个事情是导致QQ最终把加载图片取消掉的最关键因素，因为真的太恶心人了，我自己就碰到了好几次，一没注意2G没了。</p><p data-pid=\"3QMq0le7\">2.<b>隐私窃取</b>，只要把对应的卡片（经常伪装成一个新闻卡片）转发给别人。别人的设备就会加载对应的API，但是API同时也是用户控制的，会自动获取相应的IP地址，从而导致了用户隐私的泄露。</p><p data-pid=\"ZwWeEJJ0\">3.<b>伪造官方消息</b>，很多人就会被图片里面的腾讯官方logo所迷惑等等，还有假红包之类的。玩法很多，QQ那么多员工就这样几年后才后知后觉。</p><p data-pid=\"MPPSmrCg\">后面还发生了一件事情就是QQ内部的网页如果开启手机摄像头那么就因为QQ的权限原因会自动获取手机摄像头权限，从而导致大量大量大量的人隐私泄露。（就是你打开看上去是一个普通的新闻链接，但事实上你就被拍照片了，如果正在洗澡的话，那就BBQ了）。</p><p data-pid=\"NGKJdn4x\">这件事情没有上热搜，但是保守估计这件事情有上千万人次被拍过。因为这个事情本来就是在圈子里面内部流传的，后面有一个人做了一个免费网站，开放给大家免费使用。如果在2021年暑期有陌生网友给你发过链接的话，可能就中招了。</p><p data-pid=\"WYlTETEE\">SO，QQ后面就对网页搞黑名单访问制（达到一定量就自动上黑名单）了。</p><p data-pid=\"FjYih-PJ\">QQ的安全机制真是一言难尽。。。。。。。</p><p></p>","content_text":"这个事情还真的发生过，QQ在去年修改之前，一直允许用户自定义转发的消息卡片内的图片链接url。\n\n然后就被玩出花来了，一些常见的破坏性的事件我举一下:\n\n1.流量黑洞，这是因为把图片设置为阿里云的网速测速链接，然后用户的设备里面的QQ就会一直保持最高网速加载那张图片，最后流量耗尽，房子归移动。\n\n这个事情是导致QQ最终把加载图片取消掉的最关键因素，因为真的太恶心人了，我自己就碰到了好几次，一没注意2G没了。\n\n2.隐私窃取，只要把对应的卡片（经常伪装成一个新闻卡片）转发给别人。别人的设备就会加载对应的API，但是API同时也是用户控制的，会自动获取相应的IP地址，从而导致了用户隐私的泄露。\n\n3.伪造官方消息，很多人就会被图片里面的腾讯官方logo所迷惑等等，还有假红包之类的。玩法很多，QQ那么多员工就这样几年后才后知后觉。\n\n后面还发生了一件事情就是QQ内部的网页如果开启手机摄像头那么就因为QQ的权限原因会自动获取手机摄像头权限，从而导致大量大量大量的人隐私泄露。（就是你打开看上去是一个普通的新闻链接，但事实上你就被拍照片了，如果正在洗澡的话，那就BBQ了）。\n\n这件事情没有上热搜，但是保守估计这件事情有上千万人次被拍过。因为这个事情本来就是在圈子里面内部流传的，后面有一个人做了一个免费网站，开放给大家免费使用。如果在2021年暑期有陌生网友给你发过链接的话，可能就中招了。\n\nSO，QQ后面就对网页搞黑名单访问制（达到一定量就自动上黑名单）了。\n\nQQ的安全机制真是一言难尽。。。。。。。\n\n","date_published":"2023-06-01T09:49:14.000Z","_microfeed":{"web_url":"https://kexohproject.pages.dev/i/url-DiEI1-dFLxI/","json_url":"https://kexohproject.pages.dev/i/DiEI1-dFLxI/json/","rss_url":"https://kexohproject.pages.dev/i/DiEI1-dFLxI/rss/","guid":"DiEI1-dFLxI","status":"published","itunes:title":"New Article Title for iTunes","date_published_short":"Thu Jun 01 2023","date_published_ms":1685612954000}}],"_microfeed":{"microfeed_version":"0.1.2","base_url":"https://kexohproject.pages.dev","categories":[{"name":"Education","categories":[{"name":"Language Learning"}]},{"name":"Technology"}],"subscribe_methods":[{"name":"RSS","type":"rss","url":"https://kexohproject.pages.dev/rss/","image":"https://kexohproject.pages.dev/assets/brands/subscribe/rss.png","enabled":true,"editable":false,"id":"4KlfbtkEfzy"},{"name":"JSON","type":"json","url":"https://kexohproject.pages.dev/json/","image":"https://kexohproject.pages.dev/assets/brands/subscribe/json.png","enabled":true,"editable":false,"id":"DVFm7TYiNSq"}],"description_text":"你好，欢迎访问个人主页！\n\n擅长密码学，安全分析，数字水印等技术。\n\n你可以联系我通过:findmykexin@gmail.com或者知乎私信。\n\n我的知乎链接：苏迟但到 - 知乎 (zhihu.com)\n\n我的github链接：kexinoh","copyright":"©2024","itunes:type":"episodic","items_sort_order":"newest_first"}}