首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
0o0o0o0
V2EX  ›  程序员

小红书 App 帖子的图片都是明文传输的,网络提供者可以完全看到你浏览的实际内容

  •  3      
  •   0o0o0o0 · 1 天前 · 12345 次点击

    可以手机抓包一下,就能看见小红书 App 的图片(可能包括视频等静态资源)都是使用的 http (纯明文也没有自己的加密),也就是说你的网络提供者可以看见你具体浏览了什么内容。

    第 1 条附言  ·  1 天前
    很多人说静态资源用明文没什么,对普通用户没有影响,不过:
    1.小红书主要是图片社区,图片明文等于整个帖子就是明文(小红书以图搜图可以直接精确定位帖子),如果你浏览了自己的帖子,你的账户就可以直接定位到。相当于知乎 微博 豆瓣 贴吧 你浏览的信息都是明文。所以还是比较惊讶的,因为测试了知乎和微博帖子内容无论图片还是文字都是加密的。
    2.除了惊讶就是提醒一下,不止是网络运营商,比如你在公共 wifi 访问,或者使用他人热点,刷小红书就等于裸奔了。是需要注意一下的哈,以防别有用心的人利用了。
  • 小红书
  • 抓包
  • 明文传输
    127 条回复    2025-07-04 20:51:17 +08:00
    1  2  
    dosmlp
        101
    dosmlp  
       10 小时 59 分钟前
    @putaozhenhaochi 理论上运营商可以替换掉图片,直接在 xhs 里发广告
    dosmlp
        102
    dosmlp  
       10 小时 57 分钟前
    @nunterr 有没有可能 https 不仅仅是看不到明文,还无法替换内容,http 劫持后可以任意的替换内容,
    salmon5
        103
    salmon5  
       10 小时 55 分钟前
    @jayin #88 应该不会节省 15%这么高吧?流量和存储费才是大头


    @daweii #92 这个才是使用 http 的要害!其他 toC 的影响都是次要的,这个钱完全不应该省
    salmon5
        104
    salmon5  
       10 小时 52 分钟前
    @daweii #92 这个影响才是要害,可能直接让小红书相关域名消失信不信?这个信息安全要足够重视
    salmon5
        105
    salmon5  
       10 小时 51 分钟前
    toC 的你可以不考虑 C 的影响,但是要考虑潜在的风险,省几个芝麻绿豆的钱,不值得
    dosmlp
        106
    dosmlp  
       10 小时 49 分钟前
    就不怕被人劫持流量,给你替换成反动图片吗,真要有人这么干够 xhs 喝几壶的了
    IamUNICODE
        107
    IamUNICODE  
       10 小时 40 分钟前
    好家伙,那公司其实抓包也能看你摸什么鱼了(还好我不玩小红书)
    leokun
        108
    leokun  
       10 小时 33 分钟前
    被看到无所谓,被篡改影响就很大了
    UN2758
        109
    UN2758  
       10 小时 23 分钟前
    @ala2008 mitm
    stone9527
        110
    stone9527  
       10 小时 19 分钟前
    就这土壤
    macaodoll
        111
    macaodoll  
       10 小时 16 分钟前
    图片这种事情没人在乎的,而且得考虑兼容性,真正有用的是 API 接口,你看下,那些都是
    worker201
        112
    worker201  
       10 小时 11 分钟前   ❤️ 1
    楼上好几个傻逼张口就来,说什么 https 也一样想看就看,有本事你们篡改一个 https 请求试试
    wegbjwjm
        113
    wegbjwjm  
       10 小时 8 分钟前 via iPhone
    自有大儒来辩经
    mytsing520
        114
    mytsing520  
    PRO
       10 小时 1 分钟前
    CDN 的大客户其实可以不支付 HTTPS 请求费,商务谈判就可以做到,本站里就有好几个用户是这个级别的 CDN 客户
    不清楚 XHS 是什么级别的
    Muniesa
        115
    Muniesa  
       8 小时 26 分钟前   ❤️ 2
    觉得 http 和 https 没区别的太雷人了,https 能做到这么轻松的劫持吗? http 可以靠一些手段变得安全,那也不代表随便搞个 http 就行了
    catazshadow
        116
    catazshadow  
       8 小时 16 分钟前 via Android
    Http 光校验签名挡不了重放攻击

    还有说“相信”电信可以看 HTTPS 的,你那电信是有量子计算机吗
    mightofcode
        117
    mightofcode  
       7 小时 42 分钟前
    看来产品做成功跟技术真没太大关系
    Leon777
        118
    Leon777  
       7 小时 41 分钟前
    李彦宏:我就说中国人不在乎隐私吧
    camillo
        119
    camillo  
       7 小时 8 分钟前
    小红书 UGC 内容成功,但其余整个平台本身本来就是三脚猫菜鸡水平
    kilotiger
        120
    kilotiger  
       6 小时 50 分钟前   ❤️ 2
    😅V 站用户水平都参差成这样了,连最基本的技术都不懂,张口就来,https 容易劫持这种话,我只在这个帖子的评论区看过
    obeykarma
        121
    obeykarma  
       6 小时 47 分钟前
    @Greenm 如果运营商,甚至公共 Wi-Fi 或者公司 Wi-Fi 做 DPI 检测,都可以清晰的做出人物画像,这个用户喜欢哪类东西,多大罩杯,最近在看什么类型的图片,画像后丢给广告联盟甚至诈骗集团
    mht
        122
    mht  
       3 小时 54 分钟前
    主要还是为了省钱吧,CDN 的 https 请求次数是额外收费的,http 是免费的。。。我的 app ,资讯图片也是直接 http 了,没啥复杂的原因,就是少花点钱。
    smoothsea
        123
    smoothsea  
       3 小时 29 分钟前
    应该只有部分图是 http 的
    memcache
        124
    memcache  
       2 小时 45 分钟前
    省钱为主,以小红书的流量还是能省不少钱的
    SpencerCJH
        125
    SpencerCJH  
       2 小时 40 分钟前
    看了眼 B 站的,全是 HTTPS 请求,websocket 都是 wss 。
    tenserG
        126
    tenserG  
       1 小时 40 分钟前
    小红书 CDN 流量和存储费大概会比较吃紧 不过明文传输过分了我以为只有校园网才这样
    HENQIGUAI
        127
    HENQIGUAI  
       4 分钟前
    @freezebreze #42 学习了新算法
    1  2  
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2511 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 12:56 · PVG 20:56 · LAX 05:56 · JFK 08:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.