大家一起来探讨一下阿里网盘这次的 Bug 是什么导致的

77 天前
 xiaohupro

这几天阿里网盘泄露用户隐私的重大 bug 大家应该都知道了,但是我很难理解这种 bug 是什么导致的?按道理登录已经鉴权了,自己存的东西理论上肯定是有和用户唯一标识对应的关系呀,怎么会存在能看到其他用户内容的情况,大家一起来分析分析。

11518 次点击
所在节点    程序员
49 条回复
qianji201712
77 天前
这还要讨论?不就是菜,草台班子
wunonglin
77 天前
有啥好讨论的,where 写错了呗
realpg
77 天前
某个接口鉴权错了 小 bug 影响大而已
HenrikC
77 天前
这么敏感的事,轻描淡写的的就过去了,没有隐私可言。。。。
gxt92
77 天前
鉴权没做好
lifei6671
77 天前
拉相册图片的时候 where 语句没加 uid 。
Configuration
77 天前
@HenrikC 轻描淡写?阿里有官方回复吗?
onlyshit
77 天前
hash 碰撞了吧
1145148964
77 天前
想少了。有可能是专门留出来看别人照片用的。
和之前 openssh 那次漏洞有的比
LuffyPro
77 天前
不大相信,大厂会出现这种低级错误(当然,也有可能是我视野不够,触及不到这种 bug 出现的其他场景);不过就看到几个截图,不知道是否必现,如果是必现问题,这锅放到产研线,谁的锅更大点?程序员?测试?
allanzhuo
77 天前
世界都是个草台班子,以前我觉得大厂写代码都很牛逼,进来后发现菜鸡一堆
povsister
77 天前
@HenrikC
说句可能不那么 zzzq 的话,真在乎隐私就别上云,自己的数据只掌握在自己手里。
国内没有端到端加密的网盘,那么被大厂研发看到和被所有人看到区别大吗?我觉得压根无所谓,这种定性的事情不需要在乎 1 还是 N ,有就是有,没有就是没有。
HenrikC
77 天前
@Configuration
阿里云盘相关工作人员回应:“14 日晚上,技术人员已经第一时间修复了 BUG ,相关功能可以正常使用,用户影响面较小。”
HenrikC
77 天前
@povsister 你说的没错,是这样。
totoro625
77 天前
@LuffyPro #10 “不过就看到几个截图,不知道是否必现”
这句话太强了,可以引申到,不过就看到几段视频,也不是每个人都能遇到的事情,不能以偏概全
再过一段时间,视频全部投诉下架,直接当做无事发生
hiboshi
77 天前
听说是因为相册有个相册 ID ,但是新加坡着火了导致数据迁移回国内,新加坡的数据和国内数据发生冲突了,解决的办法应该是用户 id+相册 ID
Steve0723
77 天前
就是权限管理没做好
wssy001
77 天前
有啥好讨论的,不就是代码提交前的自测,关键的数据权限代码被打上了注释,发版时没注意取消注释给提交上去了
arongpm
77 天前
看了买 NAS 是对的,之前还抱怨花那么多钱买的 nas 不值,现在看来真香,记住一点,nas 激活选择地区要选世界,不要选大陆。
abccccabc
77 天前
有没有一种可能是因为裁人导致的 bug (^_^)

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1073418

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX