原以为只有 QQ 在上传心跳包的我真是 naive

前段时间一直都是直接 REJECT 掉 QQ 的截图内置应用的联网权限，今天突发奇想直接 REJECT 了请求网址，然后就看到了如下的一幕…… Request Header 如下：
POST /analytics/rqdsync HTTP/1.1
Host: monitor.uu.qq.com
Accept: */*
bid: com.Tencent.JietuFramework
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 416
User-Agent: %E5%BE%AE%E4%BF%A1/7965 CFNetwork/807.2.14 Darwin/16.4.0 (x86_64)
Connection: keep-alive
pver: 2.2.0(7965)
pid: com.Tencent.JietuFramework

famouslastword

2017-03-01 15:05:19 +08:00

@smilexyk 你当然有权利质疑，只不过提醒你请提高自身认知并拿出确切证据（重点是你确定你有能力找出？）再来质疑，以免浪费大家时间同时也对小白们产生影响，建议你先看看 google dropbox facebook 大厂的程序，这种请求包在懂行的人眼中真的正常不过了。

smilexyk

2017-03-01 15:16:50 +08:00

@famouslastword 首先，作为个人对公司的质疑来说，并不适用于有罪推定，也就是说我并没有义务拿出证据，相反是公司有义务提出证据证明我的质疑不成立；其次， Google Facebook Dropbox 等大厂有此类数据上传确实很正常，比如 google-analytics ，比如 crashlytics 等等，但是这些数据上传并没有刻意地避开程序的主进程，相反地在 QQ 和微信中，一个采取了内置一个 app 的方式来上传，一个采取了使用并不是主要功能支持包的 Framework 来上传，似乎这些并不是业内常见的做法吧。

jeremaihloo

2017-03-01 15:21:17 +08:00

@smilexyk #21 不是很能理解，怎么就心安了，怎么就心不安了

smilexyk

2017-03-01 15:23:28 +08:00

@famouslastword 就算我再退一步，以上的问题都是由于开发者的一些失误或者 macOS 系统的一些限制那作为一个收集用户数据的请求（姑且我都不说他收集的是不是隐私数据），他采用的依然是 http 明文传输，而 crashlytics 和 google-analytics 等你所说的大厂据我所知没有一个不是采用 https 协议的，请问这也是再正常不过的事情么？

n6DD1A640

2017-03-01 15:53:01 +08:00

很早前就留意到， 1 分钟 1 次，拦截也是这样。不过现在没用 QQ 也不管了。。 https://ex.noerr.eu.org/t/279268#reply16

famouslastword

2017-03-01 16:36:45 +08:00

@smilexyk 笑了，如果是 http 明文传输敏感数据你就抓个包看不就是？就想小米上次被爆一样拿出确切证据，如果不是明文有什么意义？大厂的程序照样是分模块的，是你见得太少了，都说先提高自身认知再来讨论，你的这种疑问可以直接找腾讯质问，你现在通过第三方发这种质疑厂商可是可以保留法律途径的。真实 too young 而且 too naive.

https://www.zhihu.com/question/28672990

smilexyk

2017-03-01 16:51:50 +08:00

@famouslastword 首先， http 本身难道不就代表明文么？难道还存在密文的 http ，最多不过厂商自己做一层加密变成抓包之后依然看不懂的内容而已，并不能改变其本身不安全的事实；其次，我质疑的也就是截图这个模块进行此类上传的合理性，尤其是在主程序都并未请求的情况下；最后，关于法律问题：第一，发现此问题的第一时间我就在微博上私信了腾讯微信的官方微博账号，至今并未获得明确回应，我想询问网友意见的权利我还是有的；第二，我在此并未作出“腾讯微信已经侵犯我隐私权”的判断，而仅表示对这种可能性存在的担忧；第三，腾讯也没有权利限制我对我个人实际控制的笔记本电脑进行网络请求截取的权利，同时我也在此保证我所有截图的真实性

roist

2017-03-01 17:11:25 +08:00

这里很多人心态就是，已经被你 QJ 了很多次了，想再来就随时随地随便你

不是电脑小白，一些很简单的措施就能防御绝大部分

ykwlv

2017-03-01 17:20:10 +08:00

可以问下是用的什么软件 reject 的吗？还是系统上哪里设置的？

Lattez

2017-03-01 17:21:51 +08:00

monitor.uu.qq.com 这个...其实不止那个截图， QQ 本体，微信都会有上传， Reject 掉这一个域名就好了

enenaaa

2017-03-01 17:21:53 +08:00

非常反感这种偷偷摸摸上传数据的行为。一般情况下能禁的就禁了。
这楼里某些人的心态也是醉

smilexyk

2017-03-01 17:25:31 +08:00

@ykwlv surge for Mac ，其实如果不想花钱的话下一个 iHosts 修改一下 hosts 文件效果一样的

smilexyk

2017-03-01 17:26:21 +08:00

@Lattez 在我这里本体还算比较安分，没看到什么比较异常的请求

famouslastword

2017-03-01 17:31:23 +08:00

@smilexyk 扯那么多不就是说明你拿不出实际证据啊？没实际证据那还有什么质疑点？国内厂商 HTTP 传输海了去，重点是内容是否明文，是否涉及到敏感数据。不合理性？ debug 数据收集算不算合理？这种数据收集在手机应用真的多得是。权利？当你下载到该程序并且决定安装这时候你已经同意了腾讯对你的数据进行操作了，你不同意就别安装啊。

jian529910670

2017-03-01 17:36:21 +08:00

@famouslastword 所以你的资料活该被泄露喽

famouslastword

2017-03-01 17:45:00 +08:00

@jian529910670 这种厂商数据如果泄露了你能怎么样？请你在全球拿出实际案例厂商泄露了你的数据你能怎样？能找出一家保证自己信息不泄露的厂商吗？现在我不就是说不把敏感关键字公开就可以了？关心这些手机程序那点数据传输首先就是自己不懂风控，而且对实际情况都不掌握还质疑，就想央视那些新闻一样可笑。

roist

2017-03-01 17:50:35 +08:00

@famouslastword 你这个心态可真是极品，布道也请把握尺度

velee

2017-03-01 17:51:04 +08:00

@famouslastword 这货不依不饶的样子，让我感觉很费解。我 block 了，你们随意！

lrigi

2017-03-01 19:08:08 +08:00

@famouslastword 你有毒吧，是个商人都想多赚点钱就不许用户砍价了？

smilexyk

2017-03-01 19:31:01 +08:00

@famouslastword @famouslastword 别的我且不说， http 传输只要不是明文就行？你的意思就是 Apple Google Microsoft 推了那么多年的 https 就是咸吃萝卜淡操心就是了，反正 http 只要加个密就行

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/344014

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.