V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  smilexyk  ›  全部回复第 3 页 / 共 16 页
回复总数  308
1  2  3  4  5  6  7  8  9  10 ... 16  
2017-03-01 23:58:03 +08:00
回复了 smilexyk 创建的主题 Apple 原以为只有 QQ 在上传心跳包的我真是 naive
@szrambo 感谢官方释疑,看来此帖可以暂时结束了(手动比心)
2017-03-01 23:55:45 +08:00
回复了 smilexyk 创建的主题 Apple 原以为只有 QQ 在上传心跳包的我真是 naive
@famouslastword 同志我又没有逼你回复我……不想回复您可以不回复啊……然后再来说你问的问题:
第一, http 为何不安全:做一个很简单的设想,假设我伪装成了上述的请求地址,向客户端发出请求,请求客户端上传数据,在同一时间发送大量请求,就可以瞬间占满上行带宽,更严重的可以参考前面某位被 QQ 段时间大量请求导致防火墙崩溃的仁兄。 http 为什么不安全?不是因为你能想到他能拿来干什么,而是因为你根本想不到有心之人会拿来干什么。
第二,关于请求失败重试的问题,我承认绝大多数 crash report 都会有这个机制,但是我相信绝大多数的 crash report 都会有最大请求数的设定, crashlyrics 也没有说上传失败之后锲而不舍每 15s 来一次坚持几个小时吧?
2017-03-01 22:17:07 +08:00
回复了 smilexyk 创建的主题 Apple 原以为只有 QQ 在上传心跳包的我真是 naive
@otakustay 其实本人同样倾向于这个属于正常的检查,问题在于他这个检查第一藏在一个工具类 Framework 里,第二没有采用 https 传输,另外重试的时间太短又不会主动停止,让我觉得有些难以接受。另外我刚刚研究出来一个或可复现的方法,先退出 QQ ,打开 Surge REJECT 掉 monitor.uu.qq.com 这个地址,然后再进入,有一定概率触发多次请求这个地址的行为,不知道你们的机器上能否复现。
2017-03-01 20:43:18 +08:00
回复了 smilexyk 创建的主题 Apple 原以为只有 QQ 在上传心跳包的我真是 naive
@famouslastword 第一, HTTP Payload 看过一些,表示以本人的能力加密后的密文确实看不出来具体内容,但是 http 的风险并不是你一句信息加密过了就能解决的;第二,我完全无意浪费您的时间,欢迎 Block 我,这样您的 Timeline 也不会被我这种小白占领,我们时间不值钱慢慢研究这到底有什么风险,您时间宝贵,去干您认为更值得的事情吧。
2017-03-01 20:10:06 +08:00
回复了 smilexyk 创建的主题 Apple 原以为只有 QQ 在上传心跳包的我真是 naive
刚刚又发生了一件非常好玩的事情,重启电脑打开 Surge 后 QQ 登陆不上了,看了一下请求,果然……
https://ww3.sinaimg.cn/large/006tKfTcly1fd7ljnkexuj317a0ykna9.jpg
反复尝试数次之后终于成功登陆……不知道是不是因为放弃了 QAQ
2017-03-01 19:50:58 +08:00
回复了 smilexyk 创建的主题 Apple 原以为只有 QQ 在上传心跳包的我真是 naive
@jsq2627 到不了这个水平啊……要是我有监督大厂的这个水准,我也用不着来这里询问大家的看法了,可以学习 Price Tag 作者怒斥新浪那样直接面刚腾讯了 QAQ
2017-03-01 19:48:59 +08:00
回复了 smilexyk 创建的主题 Apple 原以为只有 QQ 在上传心跳包的我真是 naive
@SpicyCat 可能我用的新浪图床还没有支持 https ,然后最新的 chrome 会提示不安全
2017-03-01 19:31:01 +08:00
回复了 smilexyk 创建的主题 Apple 原以为只有 QQ 在上传心跳包的我真是 naive
@famouslastword @famouslastword 别的我且不说, http 传输只要不是明文就行?你的意思就是 Apple Google Microsoft 推了那么多年的 https 就是咸吃萝卜淡操心就是了,反正 http 只要加个密就行
2017-03-01 17:26:21 +08:00
回复了 smilexyk 创建的主题 Apple 原以为只有 QQ 在上传心跳包的我真是 naive
@Lattez 在我这里本体还算比较安分,没看到什么比较异常的请求
2017-03-01 17:25:31 +08:00
回复了 smilexyk 创建的主题 Apple 原以为只有 QQ 在上传心跳包的我真是 naive
@ykwlv surge for Mac ,其实如果不想花钱的话下一个 iHosts 修改一下 hosts 文件效果一样的
2017-03-01 17:09:44 +08:00
回复了 alphat 创建的主题 iOS IOS 现在是不是已经不能免证书真机调试了 ( 17.03.01)
把你的手机连上 Mac 之后点一下 fix issue 试一下
2017-03-01 16:56:12 +08:00
回复了 Venjer 创建的主题 iOS 请问 ios 程序员,你们知道 mac 可以开发 Android 吗?
Android Studio 妥妥的
2017-03-01 16:51:50 +08:00
回复了 smilexyk 创建的主题 Apple 原以为只有 QQ 在上传心跳包的我真是 naive
@famouslastword 首先, http 本身难道不就代表明文么?难道还存在密文的 http ,最多不过厂商自己做一层加密变成抓包之后依然看不懂的内容而已,并不能改变其本身不安全的事实;其次,我质疑的也就是截图这个模块进行此类上传的合理性,尤其是在主程序都并未请求的情况下;最后,关于法律问题:第一,发现此问题的第一时间我就在微博上私信了腾讯微信的官方微博账号,至今并未获得明确回应,我想询问网友意见的权利我还是有的;第二,我在此并未作出“腾讯微信已经侵犯我隐私权”的判断,而仅表示对这种可能性存在的担忧;第三,腾讯也没有权利限制我对我个人实际控制的笔记本电脑进行网络请求截取的权利,同时我也在此保证我所有截图的真实性
2017-03-01 15:23:28 +08:00
回复了 smilexyk 创建的主题 Apple 原以为只有 QQ 在上传心跳包的我真是 naive
@famouslastword 就算我再退一步,以上的问题都是由于开发者的一些失误或者 macOS 系统的一些限制那作为一个收集用户数据的请求(姑且我都不说他收集的是不是隐私数据),他采用的依然是 http 明文传输,而 crashlytics 和 google-analytics 等你所说的大厂据我所知没有一个不是采用 https 协议的,请问这也是再正常不过的事情么?
2017-03-01 15:16:50 +08:00
回复了 smilexyk 创建的主题 Apple 原以为只有 QQ 在上传心跳包的我真是 naive
@famouslastword 首先,作为个人对公司的质疑来说,并不适用于有罪推定,也就是说我并没有义务拿出证据,相反是公司有义务提出证据证明我的质疑不成立;其次, Google Facebook Dropbox 等大厂有此类数据上传确实很正常,比如 google-analytics ,比如 crashlytics 等等,但是这些数据上传并没有刻意地避开程序的主进程,相反地在 QQ 和微信中,一个采取了内置一个 app 的方式来上传,一个采取了使用并不是主要功能支持包的 Framework 来上传,似乎这些并不是业内常见的做法吧。
2017-03-01 14:51:15 +08:00
回复了 Gothack 创建的主题 iPhone ios10 为什么还没出越狱
不完美越狱已经出来了,完美越狱估计遥遥无期了,毕竟不完美越狱已经足够很大一部分使用,可能完美越狱的动力会降低很多,也不会那么着急。
2017-03-01 14:43:01 +08:00
回复了 smilexyk 创建的主题 Apple 原以为只有 QQ 在上传心跳包的我真是 naive
@SpicyCat 我这里图片还是可以正常显示的诶……
2017-03-01 14:42:38 +08:00
回复了 smilexyk 创建的主题 Apple 原以为只有 QQ 在上传心跳包的我真是 naive
@famouslastword 从我个人而言,发现这个问题只是想和 V 站上的朋友们分享一下,让不知道而且有需求的人可以考虑 REJECT 掉;其次而言,我个人其实并不反对 Tencent Google 之类的公司进行一定量的数据收集,但是第一,从一名用户的角度上来说,我有权利质疑微信上传数据的行为,第二,从我个人情感角度上来说,即使不反感收集数据本身,我也很反感腾讯这种在工具中夹带私货,明明上传数据却还要把上传请求遮遮掩掩找个截图、股票之类的分支功能藏起来的行为。即使它本身并没有什么过多的想法,我也会产生一些或许多余的想法,就是这样。
2017-03-01 13:36:52 +08:00
回复了 smilexyk 创建的主题 Apple 原以为只有 QQ 在上传心跳包的我真是 naive
@ic2y 其实我估计也是如此,我主要质疑的就是:第一,作为一个截图的 Framework (我姑且顾名思义认为是这样吧),有什么必要请求联网权限,即使有,如果没有成功连接的条件下不断尝试访问,至少也是程序本身的问题;第二, 作为一个截图的 Framework ,他的网络请求在我没有截图的时候唤起,在我截图的时候反而没有发送网络请求,也就是说这个网络请求跟截图这个功能实现并没有什么关系;退一步说,即使是崩溃报告,也没有放在截图 Framework 的必要吧。
2017-03-01 13:29:02 +08:00
回复了 smilexyk 创建的主题 Apple 原以为只有 QQ 在上传心跳包的我真是 naive
@tscat 我只能说这种事情亡羊补牢犹未为晚,不能因为现状已经这样了就任人宰割不是
1  2  3  4  5  6  7  8  9  10 ... 16  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2844 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 20ms · UTC 12:27 · PVG 20:27 · LAX 04:27 · JFK 07:27
Developed with CodeLauncher
♥ Do have faith in what you're doing.