刚上线第一天就出漏洞,不敢想之后是什么情况。
(不会插图,当我发广告吧 http://www.4hou.com/technology/2936.html )
1 月 9 日微信小程序正式上线,铺天盖地的各类评测、使用、分析甚至是授课培训之类的文章风一般席卷你所能看见的几乎所有媒体、社交平台。
小程序在出生前就被一片看好——“可以替代极大占用内存的 APP ”、“低廉的开发成本与低消耗的时间成本”等声音早已充斥整个互联网。在这种全方位‘利好’的形势下,很多大公司小公司都不愿放弃这样一个免费入口的机会,想必小程序还将在将来几个月持续红火。
微信小程序的优势:它存在的你知道的和你看见的
微信小程序工作在微信整体的框架中呈现,相比一些分发平台和 APP 、传统网站有以下几个优势:
风险都是我们很讨厌的东西,他总是在最不恰当的时候到来,比如正要下班回家被一通电话叫回单位,或是刚刚发布了个新版本准备出去散个心,火车上接到电话要处理问题。风险就像撕不开甩不走的狗皮膏药,让人不论做什么事情的时候心里总是悬着,总感觉做点什么大事业为什么就那么难。
其实我在做了这么多年的业务风控后,有一个非常直接的感受,尽管处理风险的人总是苦口婆心的讲:任何业务的变动都等同的伴随着机遇和风险,做任何业务改动一定要谨慎,多跟安全来讨论,但业务角度来讲往往眼睛只看着机遇,而选择性忽略风险。
小程序的上线就可以看作是一个业务上的变动,有了一个新的入口,所有人都在高喊小程序要改变行业格局的时候,笔者默默的打开了几个小程序检查一下,结果不出所料发现了几例非常常见的撞库风险:
在今天上线的众多小程序登录页面中我们都需要面对一个选项——是否同意小程序“获得你的公开信息(昵称、头像等)”、是否同意小程序“获取你的地理位置”。如果不同意,部分小程序就无法进行体验或使用了。
而在选择同意并进入页面之后,一些存在注册、登录、绑定操作的小程序,是否能够保证我们帐号的安全?是否会让有心人士有利可图?
什么是撞库?
撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在 A 网站的账户从而尝试登录 B 网址,这就可以理解为撞库攻击。
有一定技术了解的人应该比较清楚,首先这个某家公司的小程序登录接口用了 http ,导致我们可以简单的通过代理抓包提取这个登录接口的请求内容,然后构造不同的手机号码和密码组合就可以尝试撞库了,发现类似问题的公司到对应的手机 APP 和官网上看,其实都已经做了比较完善的风控措施,但因为一个新登录入口的引入而又没有考虑周详,原本坚固的风控体系一下子就变的形同虚设了。
如果你的产品已经不再迭代了、不出新功能了、外部大环境也基本不动了,那么出现风险的概率是很低的。风险这个东西特别喜欢人们仓促匆忙的做一些事情,互联网时代需求瞬息万变,用户忠诚度低,一个趋势跟不上就有被淘汰的危险, BAT 都不敢松懈,小体量的公司更是举着业务优先的大旗一路高歌猛进,安全往往只是停留在一个概念上,甚至连概念都没有,等业务量上来了再说呗。
但国内的互联网业务现状我只能用一个字:乱 来形容,原因也很简单,我们的产品打磨周期实在是太短了,留给产品研发上线的时间是按天来计的,造成的结果就是往往面上的工作做好了,该有的概念都有,结果引擎盖下面各种乱七八糟的拼凑,看着外观挺炫,能不能用稳不稳定真要打个大大的问号。
这种乱给了黑灰产生存的必要条件,不断的侵蚀企业的利润空间,甚至有能力把一些抵抗能力比较低的企业扼杀在早期,比如那些个使用条件多到令人发指的优惠卷,普通消费者永远是理不清楚的,但黄牛却能把各种折扣优惠理个门清,直接告诉消费者我比官网便宜多少,到最后消费者拿到了实惠,企业缺只留下了一堆黄牛帐号,当无力继续烧钱的时候草草关张。
互联网的草莽时代早已经过去了,笔者曾经做过这样的预测,接下来的市场拼的是精细化运营能力和风险抵御能力,谁更能从地板缝里扣钱出来,就能活的更久更长,而黑灰产链条的形成,意味着任何粗暴的生长模式都会被他们啃干净,什么都留不下。
无论对于互联网企业、用户还是黑灰产业链条上的人,微信小程序无疑都是一个崭新的、巨大的入口,也是每个使用者需要去面对、去规避可能存在的风险。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.