@Jerami #30 我们目前能做的就是只用 WiFi，或者全局代理，或者屏蔽认证用的域名

@woyaojizhu8 #29 之前已经有类似的疑虑帖 /t/671734

这有张流程图，可以参考

http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/assets/pic/121111/cn_zh/1561616270841/%E4%B8%80%E9%94%AE%E7%99%BB%E5%BD%9520190627.png

你点那个授权按钮后，认证 sdk 就会向运营商服务端报告已获得用户授权请求返回完整手机号，但那个授权页也是 app 展示给你看的，所以技术上 app 是可以直接模拟用户已授权然后用认证 sdk 去获取完整手机号的。。对此运营商也只是政策上规定不允许 app 绕过用户这么做，发现不提示用户授权直接去请求完整手机号会封 AccessKey，但实际情况我们用户不得而知

@zxCoder Nextcloud 也有同步功能，php 写的更易读，但是因为没有使用分块，所以无法做到增量差分同步和去重存储。。

有现成的开源的 Seafile，可以去看看代码，主要就是分块存储

运营商手机号授权 api，试试屏蔽域名
config.cmpassport.com 、www.cmpassport.com （移动）
opencloud.wostore.cn （联通）
id6.me 、open.e.189.cn （电信）

“即使现在信息泄露的比较厉害，并不意味着就可以剥夺我们对隐私信息安全的追求，就好比如果我的果照不慎外泄也不意味着我出门就要裸奔，更不意味着别人以后就能随意让我脱衣服拍照。”（ /t/707302 @lzhw ）

“虽然我们在保护个人信息方面的力量很渺小，各种隐私泄露满天飞 ，但不意味着我们裸奔就是对的”（ /t/707302 @taobibi ）

京东找回密码暴露用户实名信息的漏洞了解一下 /t/707302

到现在也只是把显示两个字改成显示一个字了，并没有完全阻止陌生人访问这部分敏感信息，大家还在等京东彻底修复这个问题呢，单字名用户表示更是情何以堪。。

有人在尝试社工你？部分手机号充值渠道在回执里能看到打了码的机主姓名。。希望是我想多了

@Leee 真有可能啊。。反正我是一点安全感都没有了，怕没多久就又有类似京东暴露实名信息这样的漏洞出现，然后接二连三没完没了。。更何况即使是京东这个也还没完全修复呢，想着名字还是能被人随便用京东查出来，有安全感就怪了😭

现在确实是手机端重视程度要远高于电脑网页端，这点无可否认。毕竟国内互联网用户大规模爆发就是智能手机大规模流行的时间，手机上网门槛比电脑低，相对电脑上网更能做到“随时随地”，很多人的第一台上网设备就是手机，越来越多的人已经习惯了手机上网，再加上国内网站接验证码肯定要有手机，手机更是成了上网必需品，而对于没有“生产”需求只有“消费”需求的广大用户来说电脑已经是可有可无了，习惯电脑上网的老网民终究成了少数。对于网站来说，手机端能搜集到的用户信息，可是远多于电脑网页端，再加上推送的需要，自然是不留余力的推行手机端了，甚至会刻意劣化电脑网页端的体验，倒逼用户们都养成使用手机端的习惯~

@Leee 京东找回密码暴露用户实名信息的漏洞了解一下 /t/707302

到现在也只是把显示两个字改成显示一个字了，并没有完全阻止陌生人访问这部分敏感信息，大家还在等京东彻底修复这个问题呢，单字名用户表示更是情何以堪。。

@lzhw 谢谢

@MrZZZ 同非常感谢！

@jandu 嗯，虽然支付宝转账会显示姓名的一个字，但支付宝也在隐私设置里提供了“通过手机号 /邮箱找到我”的开关，可以让有需求的用户关闭，阻止陌生人通过手机号 /邮箱搜索到自己并看到自己的姓名信息。而京东这个没有关闭选项，全世界的人都能用手机号邮箱用户名搜索到自己看到自己的姓名信息，而我们用户没有任何办法阻止。。

更何况，支付宝转账时怕转错账所以有必要显示对方姓名的一个字以辅助验证身份，京东这个只是在找回密码，本身就没有必要显示用户姓名这种敏感信息的啊😂

@lzhw 我再补充几点

1. 对于单字名用户来说，显示一个字就等于显示“全名”了啊，这改了相当于没改，真是情何以堪

2. 虽然支付宝微信转账会显示姓名的最后一个字，但支付宝微信也提供了手机查找开关，可以让用户关闭，阻止陌生人通过手机号搜索到自己，看到自己的姓名信息。而京东这个没有关闭选项，全世界的人都能用手机号邮箱用户名搜索到自己看到自己的姓名信息

3. 即使是姓名最后一个字，但实名了就能被查到，不实名就不会被查到，还是让实名用户有种被歧视不受尊重之感

4. 找回密码这个功能本身就没有显示姓名敏感信息的必要，那么原则上就不应该显示(data minimization)。正如 @lework1234 说的，“这找回密码为啥要显示呢，不能要求输入姓名和卡号么？为了体验不能牺牲安全啊”
真的要显示也请在添加银行卡页面之前再设一道验证门槛以阻止陌生人的访问，因为：

5. 我们在京东实名，可没有授权京东向全社会披露我们姓名的最后一个字啊

毕竟我们在京东实名，可没有授权京东向全社会披露我们姓名的最后一个字啊

@lzhw 是的。即使显示一个字，那也是我真实姓名的一部分，对于单字名的用户更是“全名”了。在我没有义务向他人展示我姓名的一部分以辅助验证身份(比如接收转账)时，京东有什么理由把我姓名的一部分暴露出去，公开给全世界任何一个人查看呢？

即使是转账场景：微信转账显示姓名的一个字，但微信是默认关闭手机号转账的，陌生人不能通过搜手机号直接给我转账从而看到我姓名的一个字；支付宝转账也显示姓名的一个字，但支付宝也在隐私设置里提供了关闭手机号 /邮箱查找的功能，这样陌生人也不能通过搜手机号 /邮箱直接给我转账从而看到我姓名的一个字；而京东的这个“密码找回”可没有开关供我们用户关闭，任何人都能搜手机号 /邮箱 /用户名看到我姓名的一个字，我们用户没有任何办法阻止。。单字名用户更是情何以堪。。

找回密码真的不是这么找的。一个字那也是我真实姓名中的一个字，属于敏感信息的一部分，我不希望被别有用心的陌生人看到哪怕一个字就不应该被他看到哪怕一个字。所以我认为这个暴露实名信息的漏洞并没有彻底得到修复，这个密码找回的流程还是存在问题的。我想很多人应该和我一样也是这么认为的

希望京东能彻底修复这个暴露实名信息的漏洞，一个字都不要显示，让用户自己输入姓名，或者在添加银行卡页面之前再设一道验证门槛以阻止陌生人的访问

@lework1234 “这找回密码为啥要显示呢，不能要求输入姓名和卡号么？为了体验不能牺牲安全啊”

说的极是啊👍

@MrZZZ 请问能否看一下我#181 的帖子，帮忙进一步反馈一下，彻底修复这个漏洞？非常感谢！