这是一个创建于 2945 天前的主题,其中的信息可能已经有所发展或是发生改变。
第 1 条附言 · 2016-10-16 18:10:00 +08:00
我差点都忘了昨天晚上在 V2EX 上发了这么个帖子了……
刚刚关于这个问题写了篇长文,各位有兴趣的话可以去看看:
我的博客: https://abcdabcd987.com/qrcode-login/
或者知乎: https://www.zhihu.com/question/46822051/answer/126854559
刚刚关于这个问题写了篇长文,各位有兴趣的话可以去看看:
我的博客: https://abcdabcd987.com/qrcode-login/
或者知乎: https://www.zhihu.com/question/46822051/answer/126854559
 |
1
loveminds 2016-10-16 00:00:28 +08:00
扫码登录的安全性是建立在手机这一设备是安全的前提下的
|
 |
2
Lonely 2016-10-16 00:25:59 +08:00 via iPhone
因为 bat 不管怎么设计都是脑残的(手动斜眼)
|
 |
3
sobigfish 2016-10-16 00:36:01 +08:00
支付宝手机上改密码*第 2 个号,有段时间没登录*
询问了过往收货地址和 Wi-Fi ssid ,这节奏是把手机当主要安全设备在使用(可想而知他们 app 那么多权限都干嘛去了),反正他们信任移动设备多过 pc 是没跑的了。 陈裕皓的回答 >“客户端有已经登陆的 cookie ” 客户端还是用 cookie 来验证 auth 就真呵呵了。 |
 |
4
helloccav 2016-10-16 00:37:50 +08:00
同意一楼的说法。我身边的人经常会互相玩别人的手机,所以扫码登录严重降低了安全性
|
|
5
sobigfish 2016-10-16 00:48:04 +08:00
扫码后,交换 cookie 来验证登录绝对是个错误做法,
这种方式 Replay attack 也很好介入 |
 |
6
imn1 2016-10-16 01:01:01 +08:00
对于这个问题,由于我没有在手机安装阿里系 APP ,也没有绑定手机,所以一直有个疑问:
这个安全逻辑是否实际上就是建立在“手机 sim 卡由账户持有人安全控制”这一个基准上?(补充:不仅限于阿里,也包括其他公司的应用,当然也包含国外的) 以我所知 1.APP 是并非必须安装在 sim 卡所在设备的 2.APP 的“信任登录”建立在 sim 卡相关判断(例如手机号码)的绑定 所以,当“手机 sim 卡由账户持有人安全控制”这一个基准不成立时,持有 sim 卡的人可以在任意设备安装一个全新的 APP ,他可以通过 sim 卡相关号码的操作验证,把这个新装 APP 设置为“信任”,然后就可以完成前述的安全判断了 如果是这样,实际上“手机 sim 卡由账户持有人安全控制”这条准则才是最终核心,跟这个所有相关的操作方式只是形式不同,安全性是基本相同的 |
 |
7
ysdj 2016-10-16 01:21:31 +08:00 via Android
曾经在朋友圈发了个二维码,分分钟登到别人账号
|
 |
8
onionnews 2016-10-16 01:34:06 +08:00 via Android
真正目的是为了让你下载 APP 和提高打开率,唤醒全家桶
|
 |
10
shiny 2016-10-16 01:44:59 +08:00
有一次在同事手机上登录支付宝并退出。
隔几天后,同事在手机上的第三方 App 里购买时,用了我的支付宝成功支付。 致电客服才知道,账户默认开启了小额免密。 |
 |
11
techmoe 2016-10-16 07:51:41 +08:00 via Android
客户端有 cookie 这思想很危险啊
|
 |
12
peneazy 2016-10-16 07:54:15 +08:00 via Android
淘宝既可以扫码登录,又可以输入密码登录,这完全是把风险扩大了,何来安全之说。
|
 |
13
itisthecon 2016-10-16 08:36:01 +08:00
扫码安全说纯属扯谈, 就是阿里为了强推 app 的一个流氓行为, 只可惜再怎么耍流氓我都早把淘宝 app 卸载了
|
 |
14
mc468ma 2016-10-16 09:54:05 +08:00 via Android
我认为是培养用户扫码习惯,有助于二维码的广泛推广。然而这是很脑残的设计。
|
 |
15
hanru 2016-10-16 10:09:46 +08:00 via Android
没有扫码登录的时候是如果密码泄露,帐号被盗;有了扫码登录后是如果密码泄露,或者如果用户不慎(无论出于何种原因)扫了不该扫的二维码,帐号被盗。扫码登录更安全?
|
 |
17
lslqtz 2016-10-16 10:22:06 +08:00
|
|
18
sobigfish 2016-10-16 10:49:00 +08:00
@lslqtz sqrl.pl/guide/ 这个比较全面点,( app 本身 auth 授权用 token 安全过 cookie)
|
 |
19
wy315700 2016-10-16 11:32:34 +08:00
越来越多的产品会采用手机端验证的方案的, Mac 上的 Apple Pay 也采用了手机验证的方案。
|
 |
20
0TSH60F7J2rVkg8t 2016-10-16 13:06:22 +08:00
QRLJacking :如何劫持快速登陆时使用的二维码
http://www.freebuf.com/articles/web/110510.html |
 |
21
abcdabcd987 OP 我差点都忘了昨天晚上在 V2EX 上发了这么个帖子了……
刚刚关于这个问题写了篇长文,各位有兴趣的话可以去看看: 我的博客: https://abcdabcd987.com/qrcode-login/ 或者知乎: https://www.zhihu.com/question/46822051/answer/126854559 |
Select Language