V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
paicha
V2EX  ›  信息安全

腾讯文档扫描小程序码两端登录的安全风险

  •  
  •   paicha · 2018-04-19 14:35:47 +08:00 · 3971 次点击
    这是一个创建于 2429 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在腾讯文档 Web 端,可以扫描小程序码登录。扫描后,微信打开小程序的同时,Web 端也登录了。这种方式挺有新颖的,还能给小程序引流,有心人可以发掘下更多玩法,不过今天我想讨论另外一个问题。

    上文的 Web 扫码登录,这并不是 OAuth 授权方式,这应该是通过小程序码的 场景二维码 实现的: Web 端登录二维码是带参数的场景二维码,打开小程序的时候,小程序接收到自定义参数,后端找到对应的 Web 会话,完成登录。

    这里的问题是,扫描场景二维码打开腾讯文档小程序的时候,该小程序里并没有任何关于正在登录 Web 端的提示,与扫描普通二维码的交互无异;而且普通的小程序码和带参数的小程序码,单独看是没办法分辨的,普通用户更加不会留意。

    这其中就有了安全风险了:

    1. 我打开腾讯文档 Web 端,拷贝登录二维码备用
    2. 发送微信给某人,编一段话术,诱导扫描二维码
    3. 对方扫描进入小程序,这时我已经窃取对方文档了,对方毫不知情

    更好的方式:

    每次扫描登录 Web 端,小程序应该给出提示,并且可以显示所有会话信息,提供「下线」操作。

    2 条回复    2018-04-19 15:22:03 +08:00
    kingmo888
        1
    kingmo888  
       2018-04-19 14:56:27 +08:00
    不明觉厉。

    反正我已经没有啥新隐私可以暴露了,索性就这样吧,用的爽就好了。
    TimePPT
        2
    TimePPT  
       2018-04-19 15:22:03 +08:00
    试了下还真是,这确实是有风险
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1060 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 18:28 · PVG 02:28 · LAX 10:28 · JFK 13:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.