警告，升级后论坛的QQ互联可能会导致隐私泄漏(非挂马)

fcerebel

这个肯定不是挂马，并非紧急事件


只是

1. kafan的某条js会读取用户的腾讯微博的cookie，并且猜测这句js和DZ论坛的QQ互联有关系
   

复制代码

依据如下：
浏览器  firefox

1 首先，我在腾讯微博有帐号(关注了"卡饭"的腾讯微博帐号)，但和卡饭用的，发这个帖子的"fcerebel"无关，也没有绑定过。

2 在默认的cookie设置下(接受所有cookie)

http://www.dumpt.com/img/viewer.php?file=ycq3grmiraudwcrvys7f.jpg


登录卡饭后，会告诉我，我的腾讯微博中

“卡饭 已收听!”


http://www.dumpt.com/img/viewer.php?file=pn73r0rcspmytk0yka9h.jpg

诶？卡饭论坛怎么知道这个事情的

于是猜测是DZ2的QQ互联造成的

3 于是我禁用了第三方Cookie


http://www.dumpt.com/img/viewer.php?file=u0h8s3ox1g21mvg5xxmd.jpg


登录卡饭后，告诉我




"卡饭 立即收听"

这就意味着，只要你在浏览器中保留了QQ帐号，比如：
t.qq.com
的话

只要你登录了卡饭，卡饭(可能也包括疼讯)随时就能知道你的t.qq.com帐号与卡饭帐号之间两者的关联，当然其它带有QQ互联的DZ论坛也是如此
即便你没有关联两个帐号的行为

4 问题是什么？

这么做可能会让腾讯在你不知情的前提下，了解你的各种信息，更可能确认你的真实身份，这么做的一种结果是有助于向你推送精确广告


------------------------IE9的测试(6/7/8/9均有效)--------------------------


IE在默认设置下不会出现这个问题
原因是，IE有一套复杂的cookie策略，默认设置为中

测试时发现只要不低于"低"就不会出现这个问题


http://www.dumpt.com/img/viewer.php?file=ts9ygmzdyqjmhp7ry0nd.jpg


------------------------------------------------------------------------------------
外面找了一个免费图库做的外链，但是代码不兼容论坛，所以看大图请点击小图下面链接


-----------------------------更新-------------------------------------------------

管理员 Theone 在33L以及全区置顶贴给出了答复，这里全文引用：

http://bbs.kafan.cn/thread-993192-1-1.html

把这个情况已反映给discuz官方，希望能得到更确切的说明。

不过，据我目前所掌握的情况来看，应该是QQ互联的程序自身在做程序上的判定，会自动检测是否有登录QQ，已经登录的QQ是否有微博，有微博的话是否收听该站点的官方微博。

而QQ互联的所有程序都是在腾讯服务器上进行的，从未登录情况下点击“QQ登录”后跳转的页面地址可以看出（http://connect.discuz.qq.com/dis ... nsumer_key=10016185）。

更直接点的说法，腾讯在论坛程序中嵌入的api程序会自动搜索与它自身有关的服务开启情况，类似的比如输入QQ空间的网址，QQ空间会提示已经登录的QQ号。

不过，确实这样程序主动的进行关联，而不是人自己意愿下的行为，确实存在收集隐私的风险，我同时也会将此问题反馈给腾讯，建议有兴趣的同学可以做进一步的分析和数据整理，就官方目前给我的口头答复，是绝对没有收集隐私。


另外，从discuz官方反馈给我的消息来看，今天初步尝试的QQ登录，总体数据很不错，绑定QQ的人（其中非资深泡论坛的人占大比例）很多，绑定QQ后，不用输入帐号密码轻松登录论坛，也确实方便了不少人；至于许多人不愿意看到亮眼的绑定QQ的图标，会在今后的做出调整，不至于被其分去过多注意力；

gtyre1

看到XSS，就进来了

貌似这帖子不适合发在这。。

fcerebel

gtyre1 发表于 2011-5-27 15:48
看到XSS，就进来了

貌似这帖子不适合发在这。。

这个是关系到整个论坛用户的事情

虽然dz被腾讯收购了

也不能做坏事

安联

我登陆各个论坛统一用一个浏览器，上webqq单独使用另一个浏览器

晚风中的泪

希望卡饭尽快处理

cfz246

应该不会那样吧，希望有人出来说下。。。。

huhsh

谢谢提醒

619875192

看见首页的绑定就只想骂人

zhangxujian11

精彩！前排强烈支持！

ioton

跨站的危害太大了，麻烦啊。。