这是一个创建于 1420 天前的主题,其中的信息可能已经有所发展或是发生改变。
如果存储在手机本地的 token 被窃取了不就相当于拿到用户的登录权限吗? 比如现在的淘宝拼多多等长期不重新登录都没问题,随便下单
第 1 条附言 · 2020-12-25 18:40:36 +08:00
其实下单的意思只是举个例子,不是用户的钱就一定被盗,只是想说拿到 token 不就信息都可以泄露了吗?不能发能查看吧,买到的东西是隐私
第 2 条附言 · 2020-12-25 18:40:43 +08:00
其实下单的意思只是举个例子,不是用户的钱就一定被盗,只是想说拿到 token 不就信息都可以泄露了吗?不能发能查看吧,买到的东西是隐私
 |
1
lw10645 2020-12-25 15:52:55 +08:00  1
那你拿到淘宝拼多多的 token 去下单了吗
|
 |
2
taobibi 2020-12-25 15:56:44 +08:00
现在好多 APP 都强制扫码登陆,本来网页端登录好好的,都要扫码,宣传上宣传扫码“安全”
|
 |
3
westoy 2020-12-25 15:57:53 +08:00
有支付密码啊
|
 |
4
shyangs 2020-12-25 16:01:18 +08:00
我看过比密码的生命周期还长的 token
用户改了密码, 旧 token 还有效. 设计文件中明确写上了这点. |
 |
5
Mitt 2020-12-25 16:04:44 +08:00 via iPhone
下单随便下 你付款还能随便付?
|
 |
6
murmur 2020-12-25 16:06:03 +08:00
所以支付宝宣称丢手机包赔,当然真的因为丢手机被盗刷赔没配咱就不知道了
|
 |
7
polyang 2020-12-25 16:08:08 +08:00
token 泄露了顶多让你看看订单记录,下单是不可能的,会让你输入支付密码的。
|
 |
8
securityCoding 2020-12-25 16:12:24 +08:00 6
token 会定期刷新让你不过期的错觉 ,并不是不过期
|
 |
9
jiezhi 2020-12-25 16:39:23 +08:00
不仅一个 token 吧,好多设备信息和设备相关签名的,你换了设备来请求还是能识别出来的吧
|
 |
10
yinzhili 2020-12-25 16:47:20 +08:00
你能下单有啥用,付款的时候还是要指纹或者面容 id 才行
|
 |
11
BUHeF254Lpd1MH06 2020-12-25 16:50:41 +08:00
不止一个 token 吧,之前我们做的策略就是有两个 token,refresh token 和 access token,利用 refresh token 去刷新
|
 |
12
ericwood067 2020-12-25 16:51:07 +08:00
>token 会定期刷新让你不过期的错觉 ,并不是不过期
>不仅一个 token 吧,好多设备信息和设备相关签名的,你换了设备来请求还是能识别出来的吧 这两个合起来基本上就是正确答案了。大部分 App 换了设备会被踢下线的,将你的手机资料全部迁移到一个新手机试试就知道了。 |
 |
13
3dwelcome 2020-12-25 16:53:00 +08:00
自动登录里有设备 ID 的,你拿到 token 也没用,除非你再弄一个一模一样的设备。
|
 |
14
ScepterZ 2020-12-25 16:55:15 +08:00
关于楼上说的设备验证,之前用过一个 app 叫钛备份,好像不是所有 app 都做了的,有些 app 直接恢复就能用(好几年前的事情了,记不清楚了
|
 |
15
keepeye 2020-12-25 17:01:39 +08:00
token 应该会定期刷新的吧
|
 |
17
agagega 2020-12-25 17:17:53 +08:00 via iPad
楼主去用用上海健康码的小程序就知道登录态太短有多恶心人了
|
 |
18
Jaosn 2020-12-25 17:24:28 +08:00
iOS 好多 APP 重新下载都直接跳出 “到 XX 是你的账号吗?”
|
 |
19
alect 2020-12-25 17:32:23 +08:00
见过软件换设备了旧的 cookie 依旧有效
|
 |
20
dynastysea 2020-12-25 17:44:13 +08:00
@murmur 这个赔也没啥难度啊,现在手机基本上都是有锁屏密码的,其次支付宝也只是小额免密,赔起来也没啥难度
|
 |
21
Rache1 2020-12-25 18:18:49 +08:00
@shyangs 前些年用网抑云就是,旧手机送人了,没有退出网抑云,隔几天就莫名其妙歌单多了一些歌,然后改了密码,居然没用 😂
|
 |
22
musi 2020-12-25 18:28:00 +08:00 via iPhone
淘宝这东西有设备指纹的
|
 |
23
boris93 2020-12-25 18:32:04 +08:00 via Android
长命的不是 token,是 session
在 session 有效期 token 会刷新 你登录会延长 session 有效期 |
|
24
boris93 2020-12-25 18:33:43 +08:00 via Android
@agagega #17 上海健康码小程序简直十分[友善度]
而且我看着他后面摆了个绿码,前面弹框告诉我要登录,那到底取码要不要登录 |
 |
27
noble4cc OP @boris93 然而有些软件就是不会刷新 token,除非重新登录,计算刷新 token 这里面也有时间差,长的话感觉也不怎么安全
|
 |
29
xuanbg 2020-12-25 19:32:35 +08:00
你偷一个 token 来试试看就知道了,反正我司的 token 是绑定用户设备的。你看上去是永久有效,但实际上只是因为你在用,服务端会自动帮你刷新而已。
|
 |
30
akira 2020-12-25 20:14:39 +08:00
都能拿到本地存储的 token 了。。还有啥是拿不到的
|
 |
31
ylsc633 2020-12-25 20:22:31 +08:00
看来是没改过密码呀
你试试 app 登录之后 然后去网页上把密码改了 再回来打开 app 试试 |
 |
32
wangbenjun5 2020-12-25 20:41:17 +08:00 1
大家都忽略了一点,那就是 token 只是安全设计的一个环节,正常来说,在涉及交易和金钱的操作的时候都会有其它风控做辅助,比如说用户是不是在常用登录地点、设备 id 有没有变化等等
|
 |
33
bzshow1 2020-12-25 21:33:51 +08:00 via Android
看到订单信息了,还要怎样,隐私泄露了
|
 |
34
Lemeng 2020-12-25 23:52:34 +08:00
淘宝吗?下单都要支付密码,转账也要
|
 |
35
anguiao 2020-12-26 00:29:46 +08:00
那么怎么窃取呢,应该都是存在 app 私有目录里的吧,不 root 应该是读不到的。请求的时候也有 HTTPS 啊,而且一般还会套一层自己的加密。
|
 |
36
Leigg 2020-12-27 12:21:16 +08:00 via iPhone
思考这个问题的原因:如果你一直不打开 APP,那么你的 token 会很快过期,如果你经常使用 APP,你就很长时间不用再次登录。
|
 |
37
hambers 2020-12-27 12:29:15 +08:00 via iPhone
如果抓包能否拿到请求的 token 呢,抓完包使用报文模拟一样的请求
|
 |
38
vzyw 2020-12-27 15:43:17 +08:00
但是你本地的 token 想要被别人拿是很难的啊。 如果说黑客能拿到你本地的 token,那说明这个环境以及不安全了,什么措施都没用
|
 |
40
Sapp 2020-12-27 15:49:45 +08:00
现在的很多 token 是唯一的,当你换了手机在其他地方登录,再用这个就会出现让你重新登录,其次敏感操作一般需要二次验证甚至还要加上风控,比如你的设备信息你的 ip,第三就是很多时候你感觉你登录很久其实是后台在给你刷新 token,你长时间不使用 token 还是会过期
|
 |
41
philipjf 2020-12-28 03:31:09 +08:00 via iPhone
上面的大人物只关心能不能强迫用户安装 APP,绑定手机号,上传身份证,实时定位,摄像头监控,麦克风监控,同步通讯录,信息记录,童话记录,信用卡号…
哪有功夫管用户账号安不安全,又不是不能用 |
Select Language