人人, 你不要为了上市丧失了基本的道德!

昨天影响颇为强烈的人人网站内信漏洞导致大量用户隐私失窃的事让人很是震惊. 作为国内颇具影响力的SNS, 因为一个很低级的标签过滤问题, 导致如此严重的后果, 实在难以理解. 但事情到了这里, 还只是牵涉到人人的技术问题, 暂且没有上升到道德层面.

很快, 一些网友发表了关于此漏洞的文章, 希望可以引起大家的注意, 进而减小损失, 我也顺势发了一些相关的状态.但令人无法相信的是, 今天这些状态居然被删除了! 平时一些关于政治的状态, 人人你删除一些, 我鄙视你, 但不至于那么鄙视你. 但这个和政治毫无关系的状态, 仅因为陈述了一下这个事件, 就遭到删除, 我怎么就那么地鄙视你呢?

一个朋友提到人人要上市了, 于是似乎它们之间是有关联的. 或许这个事件本身就是竞争对手一首策划的, 人人你中招了就中招了, 居然期望通过阻止言论来保全自己的商业利益! 你这种行为与那什么东西有什么区别?! 那什么东西还可以说是为了和谐稳定, 而你呢? 你的商业道德哪儿去了?

事件发生的时候, 你没能尽快解决问题, 反而期望在之后通过这种侵犯用户权益的手段消除影响. 你让我情何以堪?

我承认因为有大量的同学朋友在人人网上, 我对人人网产生了一定的依赖, 但这并不妨碍我揭露你的行径! 技术赶不上Facebook, 道德又如此低劣! 看清你的前路在何方吧!

 

人人网站内信漏洞导致大量用户隐私泄露

昨天有个朋友给我看了一篇文章, 是关于一段出现在人人站内信中的JS.

当用户点开带有这段<script>的站内信时, 其中的代码将会自动运行, 并采集用户的好友名片信息, 发送到指定的服务器. 并且再给好友发送内容相同的站内信.

不得不说这是一个非常低级的漏洞, 人人的后台居然没有对站内信中的特定标签 (比如这里是script) 进行处理. 很不解的是, 人人的日志上都出现了大量关于此 “病毒” 的信息, 人人却依然没有修复此漏洞, 效率如此低下? 当时的 msg.renren.com 已经出现了不能访问的情况, 一开始我还以为是人人暂时关掉了相关服务并进行漏洞修复, 后来发现问题依旧, 于是之前的不能访问只能说明收到攻击的数量之大, 导致人人站内信的服务器超出负荷. 后来人人是有了一些举动, 但貌似并非是技术层面的, 只是将相关域名加成了关键字. 人人的技术人员哪儿去了?

那抛开这些不说, 谈谈这次攻击的技术方式.

因为一些安全问题, 浏览器对很多种方式的跨域访问进行了限制. 比如不同域的页面之间不能互相访问内容, XMLHttpRequest 跨域会有警告甚至根本不能跨域, 包括 HTML5 里面的 canvas 也做了类似限制. 不过还是有例外, 比如<script></script>, <img />就可以. script 可以获取跨域的信息, 而 img 可以通过 GET 方式发送跨域信息.

这也是这次攻击所利用到的主要信息交换方式.

所以人人的技术水平还有待提高啊, 包括在一些浏览器 (现代浏览器) 里显示也有小问题.