浏览器崩溃别急着上传Crash Reports,DMP泄漏隐私,各种敏感信息,明文密码,浏览器历史浏览网址记录。
浏览器崩溃别急着上传Crash Reports,DMP泄漏隐私,各种敏感信息
zyymartin | 2013-07-04 17:49
是什么浏览器呢?你猜~
某浏览器崩溃了,反馈到问题反馈的帖子中附上一个崩溃日志,可是您知道吗?在上传崩溃日志的时候您的隐私正在泄漏!
随便在问题反馈专贴下载了某用户的Crash Reports:
最下面那个就那个最大的,我们分析那个DMP,我们用TXT格式打开,您的上网历史,提交的密码等等等你等都来了
保护那位用户的隐私关键部
1.POST数据看到了(看到了吗cookies!cookies!,别窃喜,这边cookies我可不会让你全不知道)位做和谐处理
2.QQ号码等重要信息泄漏
3.明文显示密码(关键部位和谐了)
附:随便分析出一点浏览记录
note.youdao.com/web/list?notebook=/6E8B**ECA79B40
xicanliyi.kegood.com
www.yk216.com
note.sdo.com/my#/note/list?_=1369811*****&start=20&limit=**
http://www.liebao.cn/go/security/
http://www.xiaa.net/
http://www.xiaa.net/
jingyan.baidu.com/article/cd4c2979aed54**02a.html
www.cnblogs.com/ruxpinsp1/archive/2008/05/06/font-in-front-end-develop****2.html
顺便说一下,已经添加那个童鞋的QQ证实过了~就是他本人的信息哦,你怎么看,乌云骚年~
相关讨论:
1#
0x0F (你看不见我)????(人脸无?) | 2013-07-04 17:53
建议给予雷劈
2#
zyymartin | 2013-07-04 17:55
@0x0F">0x0F 有没有发现各种坑,你以后还敢发送DMP吗?~
3#
xsser (十根阳具有长短!!) | 2013-07-04 17:56
劈了
4#
疯狗 (谁淫荡啊谁淫荡) | 2013-07-04 17:57
我擦勒
5#
园长 (你在身边就是缘,缘分写在数据库里面。) | 2013-07-04 17:57
@0x0F">0x0F 就算你不提交人家一样泄漏你的隐私,屌丝的隐私又不值钱,泄漏就算了吧,还能把人家怎么滴。
6#
zyymartin | 2013-07-04 17:58
@xsser 可怜的哇哇,目测那个问题反馈板块有很多人上传DMP要给他们一点提示才好,要不然各种姿势泄漏
7#
疯狗 (谁淫荡啊谁淫荡) | 2013-07-04 17:59
@园长 关键是。。。这个有证据啊,有图有真相有证明
8#
zyymartin | 2013-07-04 17:59
@疯狗 有奖励不~求奖励
9#
疯狗 (谁淫荡啊谁淫荡) | 2013-07-04 18:13
@zyymartin 呃,我点击感谢了。。
10#
xsser (十根阳具有长短!!) | 2013-07-04 18:25
@zyymartin 我也先人肉感谢了
11#
gainover (">_< ' / & \ 看啥,没见过跨站字符么) | 2013-07-04 19:20
这个竟然可以随便下载别人上传的dmp文件!!首先论坛权限设置就有问题啊!
12#
zyymartin | 2013-07-04 19:56
@gainover 很多浏览器论坛在用户反馈崩溃的时候都要求上传COOKIES的,跑到智能填表的位置的时候崩溃了密码就被明文保存了下来,然后对外公开,我们来分析一下,全部拿下
13#
zyymartin | 2013-07-04 20:06
@gainover 不对打错了不是cookies是dump
14#
xsser (十根阳具有长短!!) | 2013-07-04 21:47
话说啊,浏览器崩溃就应该是内存全部上传,内存里就会包含cookie啊,因为要进行debug啊
15#
zyymartin | 2013-07-05 06:42
@xsser 这么说咱们的浏览器浏览记录啊甚至有可能是QQ聊天记录全部都要都要上传
16#
zyymartin | 2013-07-05 06:46
@xsser 而且,明文显示密码呢·····
17#
xsser (十根阳具有长短!!) | 2013-07-05 10:39
@zyymartin 内存里应该不会包括聊天记录的 密码必须是明文的啊 因为它这个是客户端的 不是服务端的
18#
zyymartin | 2013-07-05 10:49
@xsser 恩恩,我想厂商也不是有意而为之的,这是分析BUG的本来的需要,但是会有暴露一点隐私的风险,这点应该在用户上传DUMP之前有告知,用户要知道有这个风险而不是蒙在鼓励不知道,用的这个例子嘛,只能说这个娃太悲催了,一抓抓到这么多信息。
19#
xsser (十根阳具有长短!!) | 2013-07-05 10:57
@zyymartin 对滴
20#
horseluke (微碌) | 2013-07-05 12:15
log或者debug信息泄露敏感信息,是个在程序员圈子内常见但基本很少留意过的问题
我自己也遇过,搞笑的是,写log的代码还是自己写的...最后在论坛上将附件的查看权限给提高到200才勉强阻止了进一步的发展......-_-||
21#
核攻击 | 2013-07-05 15:06
这个“隐私泄露”现象比较“正常”,也难以避免,程序员毕竟需要当时数据进行调试。