吐槽一下飞书授权的安全问题

160 天前
 squirrelgg

工作上在使用飞书,单位也是使用的高级版,单位的一些管理应用也是接入的飞书,一直以来相安无事,最近我老大登录发现我们后台,在跳转到飞书授权后点了一下用户的下拉列表,发现了另外一个同事的飞书(之前在他电脑上浏览器上授权过),点击后无感登录到了后台,我还以为是我们自己应用出了问题,后来查证只要在浏览器(非隐私模式)授权过,不主动清除,90 天内都会保留登录态在那个电脑,不光是自建应用,飞书所有的网页登录都会自动切换为选择的那个用户,而且开发者无法用程序控制。

这就引出了一个安全问题,如果是一个不太懂网络相关知识的同事在出差期间使用过公共电脑的浏览器授(非隐私)权后,直接关闭(在我们内部会议室也出现过),那么你的工作信息和资料都会裸奔。

后来跟他们技术支持反馈这个问题,标准的流程回答,说他们也很奇怪这样的设计,反馈一下,然后建议扫码登录,我就准备接入扫码,搞了一圈后发现,扫完码后仍然要跳转那个他们那个狗屁网页进行授权,重要的是,我用我账号扫码,跳转后选择我同事的账号(之前授权过测试)进行跳转回来登录,居然也能正常登录!!!!!我血压瞬间上来了!!!

我刚开始还纳闷为什么这样设计,后来他们说有个设置,可以调整各个客户端的授权时间(默认 90 天无法更改),我就去找我们管理去开这个功能,又有了新的发现:需要买!而且这个模块不单独售卖!!!按人头收费,这就意味着我们要额外付出二十几万的成本来控制这个登录过期时间(而且最短时间只能设置为一天)。到此为止,这种设计模式已经清楚了,降低飞书内部的安全策略,让用户明显感觉到难受,再来将这个内部安全提升作为卖点。

跟飞书的人交流的过程中,他们很惊讶,然后态度有很好,说是反馈一下,然后一步步引导到买更高版本,当跟他们讨价还价的时候,态度就豪横了,现在想起来真 TM 极其恶心!

部分聊天内容(截图有水印)

单位:

目前我们是已经发生重大事故了
公司所有老板都关注到了,然后关联了两位同事
就算是有效期缩短,但是机制上面还是会有泄露的风险

飞书:

如果是产品功能层面,这个我们确实没有办法,不同的版本功能权限不一样

单位:

这么重要的模板
就算单独模块的处理解决方案都没有

飞书:

像刚刚发群里的那个也是在官网上对客户广而告之不是说突然要要收费

单位:

但这个非常重要的信息安全误
必须要绑定起来,就没有单独模块的紧急解决方案,就感觉有点难搞Để

飞书:

飞书首先保障的是外部安全,防范外部攻击,内部安全防范只能是升级飞书更高的版本,这个也是我们产品售卖的商业逻辑

之前他们先装作不知道,然后各种话术,最后讨价还价,态度立马转变

国内的这些个玩意儿,真他妈一言难尽

有说的不对的地方希望大家口下留情,谢谢,第一次发帖

615 次点击
所在节点    问与答
0 条回复

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1049482

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX