原以为只有 QQ 在上传心跳包的我真是 naive

前段时间一直都是直接 REJECT 掉 QQ 的截图内置应用的联网权限，今天突发奇想直接 REJECT 了请求网址，然后就看到了如下的一幕…… Request Header 如下：
POST /analytics/rqdsync HTTP/1.1
Host: monitor.uu.qq.com
Accept: */*
bid: com.Tencent.JietuFramework
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 416
User-Agent: %E5%BE%AE%E4%BF%A1/7965 CFNetwork/807.2.14 Darwin/16.4.0 (x86_64)
Connection: keep-alive
pver: 2.2.0(7965)
pid: com.Tencent.JietuFramework

smilexyk

2017-03-01 23:58:03 +08:00

@szrambo 感谢官方释疑，看来此帖可以暂时结束了（手动比心）

famouslastword

2017-03-02 00:02:59 +08:00

@smilexyk 大哥不懂就别抛书包好吧？这种程序主动 POST 的请求你伪造请求地址能干啥？你确定你搞懂了？现在 bug 修复而且澄清了，这下好了吧？

smilexyk

2017-03-02 00:08:20 +08:00

@famouslastword 我怎么知道这个 POST 可不可以通过服务器请求来触发？

famouslastword

2017-03-02 00:19:05 +08:00

@smilexyk 我服了，反正我现在无聊，现在是你客户端主动请求服务器。 Client/Server 原理都不懂还抛书包，你认了吧，我不说了。

https://en.wikipedia.org/wiki/Client%E2%80%93server_model

smilexyk

2017-03-02 00:27:19 +08:00

@famouslastword 首先我还是那句话，没人求你说。其次，你难道就没有发现这个事情本身就符合一个攻击模式么？在这个事情中我本人充当了一个攻击者，主动 reject 了这个请求触发了这个 bug ，如果我对这个地址的请求被人劫持了进行了 reject ，不也一样可以触发？

famouslastword

2017-03-02 00:40:10 +08:00

@smilexyk 你这种人真是想到就以为是一回事了，如果真是这样的话那大多数程序都有这问题，问题是这数据包如此之小想搞成 DDOS 你也是无聊至极，而且前提是你能控制对方网络，如果你真能控制对方网络你能干任何事情啦大哥，你是无聊还是歇斯底里为反驳而反驳？建议你多学学实际技术而不是在网上看那些小文章就以为自己懂了，你算了吧。

smilexyk

2017-03-02 01:09:16 +08:00

@famouslastword 无聊归无聊，反正我也是闲着无聊才会跟你连撕这么多楼（当然我也得承认我一开始确实没怎么想过这种网络请求要如何进行攻击，因为我觉得这种攻击还不如直接发个病毒邮件来的实在），我的一切说法也只是针对你说 http 不明文就安全来说的。言而总之，你说安全也好，我说有风险也罢，官方已经全面更换 https ，我们俩讨论再多不过是对历史遗留的无谓争论而已，不影响你睡眠质量了。有什么事情明早再说，愿你明早迎来一个有活力的早晨，就酱 lol

yangqi

2017-03-02 01:20:28 +08:00

@famouslastword 自己半瓶子水就别说别人了。普遍的现象不代表就是对的，楼主质疑的没有错。质疑不需要证据，如果有证据那就可以直接起诉了。

还说什么 http 是不是明文，一看就是小白啊

cxbig

2017-03-02 01:26:11 +08:00

光是个心跳不能说明问题，抓个包看看是啥内容才是真的。
比方说我在系统 Contacts 里加一条记录，要是被它发出去了，那才算是隐私泄露。

famouslastword

2017-03-02 01:32:28 +08:00

@smilexyk 这叫撕？你也太看得起自己了，你说的这种攻击就算改了 https 能有用？不懂就别装懂，承认自己不懂就是如此之难？现在开始和稀泥了，见惯这种节奏了。

@yangqi 质疑不需要证据？我也是开眼界了，你们这些被 trigger 的人一看到 http 就条件反射明文我一看就懂了。

kojirou

2017-03-02 02:10:53 +08:00

其实只是 QQ 一直在失败重试。。
而且都用 QQ 微信了，人家要偷隐私还会用这么 low 的方法给你看到哦

asdwddd

2017-03-02 02:28:10 +08:00

@smilexyk 记得有那种员工和儿童上网行为监控软件会记录所有的键盘记录和定时截取当前屏幕的截图进行上传，
你是不是怀疑 QQ 在干这种事？

yangqi

2017-03-02 02:48:45 +08:00

@famouslastword 你以为你应用里面加密 http 就安全了？太天真了。你再怎么加密数据， header 怎么加密？怎么判断你访问的域名是真的而不是别人伪造的？

http 本来就应该被条件反射成明文，不要自己为自己比别人聪明，那些小聪明都没用的

smilexyk

2017-03-02 07:07:16 +08:00

@famouslastword 我当然要和稀泥了，不然我还怎么睡觉……特么当时都凌晨一点多了

smilexyk

2017-03-02 07:08:25 +08:00

@asdwddd 看包大小应该就是普通的 report ，应该还到不了你说的那个程度……

Gerhman

2017-03-02 09:14:36 +08:00

那个 f 开头的人应该就是那种否定别人找快感的类型吧，看他 bb 那么多也是好玩

famouslastword

2017-03-02 09:24:42 +08:00

这帖子很好表现什么人是做技术的，什么人永远不是做技术的。

@yangqi 你这种不看上下文的就别跳出来了，我这帖子上从来没说 http 就安全，而是结合这个质疑场景 HTTP 传输的不是明文那风险就不高，国内前端加密这么多你有能耐就破解一个试试？非对称加密严格说肯定是不安全的，但是结合实际利用有何不妥？

@smilexyk So Pathetic. 你的回帖从偷换概念到和稀泥过来，只能建议你提高自身认知。

Lucius

2017-03-02 09:32:07 +08:00

@famouslastword #97 同时也表现了你和 LZ 的素质孰高孰低 233

smilexyk

2017-03-02 09:36:50 +08:00

@famouslastword 像我这种成天随便发个帖吐个槽也能被人闹腾的凌晨一点多没法睡觉的当然可怜，不过也用不着你来可怜我。谁做技术谁不做也不是你能判断的，你说我不是我就不是了？（当然某种程度上我确实不是做网络技术的）

Lucius

2017-03-02 09:37:01 +08:00

@famouslastword #97

也许你自己觉得很在理，但是这种咄咄逼人不依不饶的姿态很令人讨厌。就事论事讨论事情，为什么张口就是智商 too young naive ？

希望你能意识到自己让别人讨厌了。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/344014

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.