腾讯文档扫描小程序码两端登录的安全风险

2018-04-19 14:35:47 +08:00
 paicha

在腾讯文档 Web 端,可以扫描小程序码登录。扫描后,微信打开小程序的同时,Web 端也登录了。这种方式挺有新颖的,还能给小程序引流,有心人可以发掘下更多玩法,不过今天我想讨论另外一个问题。

上文的 Web 扫码登录,这并不是 OAuth 授权方式,这应该是通过小程序码的 场景二维码 实现的: Web 端登录二维码是带参数的场景二维码,打开小程序的时候,小程序接收到自定义参数,后端找到对应的 Web 会话,完成登录。

这里的问题是,扫描场景二维码打开腾讯文档小程序的时候,该小程序里并没有任何关于正在登录 Web 端的提示,与扫描普通二维码的交互无异;而且普通的小程序码和带参数的小程序码,单独看是没办法分辨的,普通用户更加不会留意。

这其中就有了安全风险了:

  1. 我打开腾讯文档 Web 端,拷贝登录二维码备用
  2. 发送微信给某人,编一段话术,诱导扫描二维码
  3. 对方扫描进入小程序,这时我已经窃取对方文档了,对方毫不知情

更好的方式:

每次扫描登录 Web 端,小程序应该给出提示,并且可以显示所有会话信息,提供「下线」操作。

3961 次点击
所在节点    信息安全
2 条回复
kingmo888
2018-04-19 14:56:27 +08:00
不明觉厉。

反正我已经没有啥新隐私可以暴露了,索性就这样吧,用的爽就好了。
TimePPT
2018-04-19 15:22:03 +08:00
试了下还真是,这确实是有风险

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/448132

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX