原以为只有 QQ 在上传心跳包的我真是 naive

前段时间一直都是直接 REJECT 掉 QQ 的截图内置应用的联网权限，今天突发奇想直接 REJECT 了请求网址，然后就看到了如下的一幕…… Request Header 如下：
POST /analytics/rqdsync HTTP/1.1
Host: monitor.uu.qq.com
Accept: */*
bid: com.Tencent.JietuFramework
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 416
User-Agent: %E5%BE%AE%E4%BF%A1/7965 CFNetwork/807.2.14 Darwin/16.4.0 (x86_64)
Connection: keep-alive
pver: 2.2.0(7965)
pid: com.Tencent.JietuFramework

smilexyk

2017-03-01 12:50:08 +08:00

@famouslastword 如果世界上只有我一个人，那我想不用就不用的确是没什么问题，问题在于你真的能做到放弃整个社交圈么？在现实已经这样的情况下，能少被收集一点是一点，至少求个心安。

smilexyk

2017-03-01 12:52:07 +08:00

@xmoiduts 估计不行，即使能拦截到 Request Body 也肯定是加密的，没有密钥也是看不到具体内容的

smilexyk

2017-03-01 13:00:14 +08:00

@tianshilei1992 看起来是必须得通过拒绝网络请求来解决这个问题了？

nyanyh

2017-03-01 13:06:45 +08:00

r#2 @paradoxs 68 块买 Surge 送单机版 Surge Mac 23333

paradoxs

2017-03-01 13:09:00 +08:00

@nyanyh 现在买不到

tscat

2017-03-01 13:10:22 +08:00

其实楼上那位有点道理。腾讯可能比你自己都了解自己。你曾经暗恋过的女孩，喜欢吃的东西，他分分钟就知道。多少几百上千万的生意是在腾讯的眼皮子底下做的。
多少公司所谓的机密，政府内幕，在腾讯都是毛毛雨。

shiji

2017-03-01 13:10:34 +08:00

POST /analytics/rqdsync

我的猜测：第一个词是统计分析，第二个是 RQD + SYNC （同步）

网上另外一个能找到的链接是： http://rqd.uu.qq.com/rqd/sync 常见于一些别的 APP 上（可能用了腾讯的开发组件？ SDK 什么的？）

然后继续猜 RQD 的意思。

搜到了：
http://wiki.dev.4g.qq.com/v2/ZH_CN/ly/index.html#!rqd.md#RQD 接入配置
http://wiki.dev.4g.qq.com/v2/ZH_CN/android/rqd.md
http://www.cnii.com.cn/mobileinternet/2014-08/21/content_1429247_3.htm

应该是跟腾讯 Bugly 相关的崩溃上报组件吧。　这是我从字面上的推理。

shiji

2017-03-01 13:16:21 +08:00

另外我觉得访问的这么频繁可能是因为你 reject 了它，会短时间多次尝试。你把规则取消掉，弄个对照组比较一下。

smilexyk

2017-03-01 13:17:36 +08:00

@shiji 但是很难想象微信会 15s 崩溃一次啊…… Surge 使用的 crashlytics 上传都没有这么频繁。

smilexyk

2017-03-01 13:21:39 +08:00

@shiji 刚刚尝试了一下，的确是如果放行一次，那么一段时间内就不会再次请求。但是问题在于究竟我能有什么数据这么重要需要让微信 15s 试一次都得传上去……

smilexyk

2017-03-01 13:29:02 +08:00

@tscat 我只能说这种事情亡羊补牢犹未为晚，不能因为现状已经这样了就任人宰割不是

ic2y

2017-03-01 13:30:59 +08:00

@smilexyk 会不会跟当年的暴风影音导致全省断网的那个 bug 一样。。程序员想当然认为肯定成功，处理异常的时候，太随便了。异常的话，就 15s 再试一次。。。

smilexyk

2017-03-01 13:36:52 +08:00

@ic2y 其实我估计也是如此，我主要质疑的就是：第一，作为一个截图的 Framework （我姑且顾名思义认为是这样吧），有什么必要请求联网权限，即使有，如果没有成功连接的条件下不断尝试访问，至少也是程序本身的问题；第二，作为一个截图的 Framework ，他的网络请求在我没有截图的时候唤起，在我截图的时候反而没有发送网络请求，也就是说这个网络请求跟截图这个功能实现并没有什么关系；退一步说，即使是崩溃报告，也没有放在截图 Framework 的必要吧。

shiji

2017-03-01 13:38:12 +08:00

@smilexyk 看资料这个所谓的崩溃上报系统不仅仅上报崩溃，普通的错误 /警告也是会上报的。所以如果哪个要循环执行的方法会引发警告的话，也到有可能这样上报错误。
这些都是我的猜测。这事腾讯来个人三言两语就能说明白。我就猜到这了。

famouslastword

2017-03-01 13:40:18 +08:00

@smilexyk 你确实是太 naive ，而且是庸人自扰，收集信息这种只是从你注册那刻就已经完成了。真想不泄露私隐数据只要不把敏感关键字公开就行了，这种厂商数据你能控制吗？这点数据在手机程序里在正常不过了。

SpicyCat

2017-03-01 13:47:48 +08:00

图挂了

zyllwy

2017-03-01 14:18:30 +08:00

这个可以起诉....当泄露隐私案例

honeycomb

2017-03-01 14:28:14 +08:00

POST /analytics/rqdsync HTTP/1.1
Host: monitor.uu.qq.com

这个明显就是类似 Google Analytics 的遥测数据收集机制，说难听一点叫用户追踪
我鼓励大家限制用户追踪，而这一点从使用浏览器的内容拦截扩展程序开始

smilexyk

2017-03-01 14:42:38 +08:00

@famouslastword 从我个人而言，发现这个问题只是想和 V 站上的朋友们分享一下，让不知道而且有需求的人可以考虑 REJECT 掉；其次而言，我个人其实并不反对 Tencent Google 之类的公司进行一定量的数据收集，但是第一，从一名用户的角度上来说，我有权利质疑微信上传数据的行为，第二，从我个人情感角度上来说，即使不反感收集数据本身，我也很反感腾讯这种在工具中夹带私货，明明上传数据却还要把上传请求遮遮掩掩找个截图、股票之类的分支功能藏起来的行为。即使它本身并没有什么过多的想法，我也会产生一些或许多余的想法，就是这样。

smilexyk

2017-03-01 14:43:01 +08:00

@SpicyCat 我这里图片还是可以正常显示的诶……

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/344014

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.