查看: 13850|回复: 47
收起左侧

[其他事项] 警告,升级后论坛的QQ互联可能会导致隐私泄漏(非挂马)

  [复制链接]
fcerebel
发表于 2011-5-27 15:46:33 | 显示全部楼层 |阅读模式
本帖最后由 fcerebel 于 2011-5-28 15:09 编辑

这个肯定不是挂马,并非紧急事件


只是
  1. kafan的某条js会读取用户的腾讯微博的cookie,并且猜测这句js和DZ论坛的QQ互联有关系
复制代码
依据如下:
浏览器  firefox

1 首先,我在腾讯微博有帐号(关注了"卡饭"的腾讯微博帐号),但和卡饭用的,发这个帖子的"fcerebel"无关,也没有绑定过。

2 在默认的cookie设置下(接受所有cookie)

http://www.dumpt.com/img/viewer.php?file=ycq3grmiraudwcrvys7f.jpg


登录卡饭后,会告诉我,我的腾讯微博中

卡饭 已收听!”


http://www.dumpt.com/img/viewer.php?file=pn73r0rcspmytk0yka9h.jpg


诶?卡饭论坛怎么知道这个事情的

于是猜测是DZ2的QQ互联造成的

3 于是我禁用了第三方Cookie


http://www.dumpt.com/img/viewer.php?file=u0h8s3ox1g21mvg5xxmd.jpg


登录卡饭后,告诉我




"卡饭 立即收听"

这就意味着,只要你在浏览器中保留了QQ帐号,比如:
t.qq.com
的话

只要你登录了卡饭,卡饭(可能也包括疼讯)随时就能知道你的t.qq.com帐号与卡饭帐号之间两者的关联,当然其它带有QQ互联的DZ论坛也是如此
即便你没有关联两个帐号的行为

4 问题是什么?

这么做可能会让腾讯在你不知情的前提下,了解你的各种信息,更可能确认你的真实身份,这么做的一种结果是有助于向你推送精确广告


------------------------IE9的测试(6/7/8/9均有效)--------------------------


IE在默认设置下不会出现这个问题
原因是,IE有一套复杂的cookie策略,默认设置为

测试时发现只要不低于""就不会出现这个问题


http://www.dumpt.com/img/viewer.php?file=ts9ygmzdyqjmhp7ry0nd.jpg


------------------------------------------------------------------------------------
外面找了一个免费图库做的外链,但是代码不兼容论坛,所以看大图请点击小图下面链接


-----------------------------更新-------------------------------------------------

管理员 Theone 在33L以及全区置顶贴给出了答复,这里全文引用:

http://bbs.kafan.cn/thread-993192-1-1.html

把这个情况已反映给discuz官方,希望能得到更确切的说明。

不过,据我目前所掌握的情况来看,应该是QQ互联的程序自身在做程序上的判定,会自动检测是否有登录QQ,已经登录的QQ是否有微博,有微博的话是否收听该站点的官方微博。

而QQ互联的所有程序都是在腾讯服务器上进行的,从未登录情况下点击“QQ登录”后跳转的页面地址可以看出(http://connect.discuz.qq.com/dis ... nsumer_key=10016185)。

更直接点的说法,腾讯在论坛程序中嵌入的api程序会自动搜索与它自身有关的服务开启情况,类似的比如输入QQ空间的网址,QQ空间会提示已经登录的QQ号。

不过,确实这样程序主动的进行关联,而不是人自己意愿下的行为,确实存在收集隐私的风险,我同时也会将此问题反馈给腾讯,建议有兴趣的同学可以做进一步的分析和数据整理,就官方目前给我的口头答复,是绝对没有收集隐私。


另外,从discuz官方反馈给我的消息来看,今天初步尝试的QQ登录,总体数据很不错,绑定QQ的人(其中非资深泡论坛的人占大比例)很多,绑定QQ后,不用输入帐号密码轻松登录论坛,也确实方便了不少人;至于许多人不愿意看到亮眼的绑定QQ的图标,会在今后的做出调整,不至于被其分去过多注意力;

评分

参与人数 1人气 +1 收起 理由
zhangxujian11 + 1 技术蒂。摩拜。

查看全部评分

gtyre1
发表于 2011-5-27 15:48:50 | 显示全部楼层
看到XSS,就进来了

貌似这帖子不适合发在这。。
fcerebel
 楼主| 发表于 2011-5-27 15:51:32 | 显示全部楼层
gtyre1 发表于 2011-5-27 15:48
看到XSS,就进来了

貌似这帖子不适合发在这。。

这个是关系到整个论坛用户的事情

虽然dz被腾讯收购了

也不能做坏事
安联
发表于 2011-5-27 15:51:56 | 显示全部楼层
我登陆各个论坛统一用一个浏览器,上webqq单独使用另一个浏览器
晚风中的泪
发表于 2011-5-27 15:55:19 | 显示全部楼层
希望卡饭尽快处理
cfz246
发表于 2011-5-27 16:33:05 | 显示全部楼层
应该不会那样吧,希望有人出来说下。。。。
huhsh
发表于 2011-5-27 16:36:54 | 显示全部楼层
谢谢提醒
619875192
发表于 2011-5-27 17:47:31 | 显示全部楼层
看见首页的绑定就只想骂人
zhangxujian11
发表于 2011-5-27 18:14:48 | 显示全部楼层
精彩!前排强烈支持!
ioton
头像被屏蔽
发表于 2011-5-27 18:30:40 | 显示全部楼层
跨站的危害太大了,麻烦啊。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 12:22 , Processed in 0.122138 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表