说个笑话:微信小程序认为用户昵称、头像是用户隐私

2020-03-17 17:55:40 +08:00
 GM

用户设置昵称、头像,就是想公开展示给其他人看的,然而微信小程序团队认为这些资料是用户隐私数据,需要用户授权才能获取。

嗯,好吧,你说是就是。

还有,微信小程序团队认为,没经过用户授权程序就直接能显示用户头像和昵称的话,用户会觉得很奇怪,所以禁止程序直接获取用户信息,必须要通过 getUserInfo 组件来授权获取。

这个逻辑我能理解,估计大家也都能,好了然后高潮来了:

为了让大家能直接显示微信用户头像、昵称,微信小程序团队体贴地提供了一套 open-data 组件,可以用来直接显示用户头像、昵称、性别、城市等所有“隐私数据”,无需用户授权。

嗯,说好的“用户会觉得很奇怪”呢?

对了还有:

微信小程序团队认为用户 openId 是敏感信息,然而小程序可以通过 wx.login + code2session 直接获取,整个过程完全无需用户同意。

笑死我了,哈哈哈哈哈哈哈哈哈哈哈......

...

扶额,欲哭无泪......

...

呸!

4601 次点击
所在节点    微信
33 条回复
ersic
2020-03-17 18:01:27 +08:00
头像跟昵称本来就是隐私呀,主动授权可以拿到头像昵称等信息然后你能存下来。这个 open data 组件我没用过,但我猜那个仅仅是显示在用户端,服务端是拿不到的,两者没啥冲突啊。
luckyrayyy
2020-03-17 18:03:08 +08:00
本来就是隐私,很多人昵称是姓名,头像是本人。
GM
2020-03-17 18:03:18 +08:00
@ersic 你没 get 到关键点:

[没经过用户授权程序就直接能显示用户头像和昵称的话,用户会觉得很奇怪]
然后
[通过 open-data 组件可以直接显示用户头像、昵称、性别、城市等所有“隐私数据”,无需用户授权。]
ersic
2020-03-17 18:06:25 +08:00
@GM 我觉得这个措施是为了保护用户隐私没啥问题。直接显示用户会觉得很奇怪,是官方在哪写的?还有这种奇怪的理由。
lshero
2020-03-17 18:06:56 +08:00
只是不想简单的让你直接把用户的头像和昵称直接发送到你自己的服务器上去薅用户的关系链而已
falcon05
2020-03-17 18:09:30 +08:00
楼上说得对,我觉得这样处理没毛病
amon
2020-03-17 18:12:11 +08:00
当别的产品要获取你微信的信息时,任何信息都是隐私,
当微信要获取你的信息时,任何信息都不是隐私。
qinrui
2020-03-17 18:14:16 +08:00
张小龙:一亿人教我如何做微信
6IbA2bj5ip3tK49j
2020-03-17 18:14:45 +08:00
这完全没问题啊。
1,open-data,用户界面能显示,里面数据你拿不到
2,openId,微信没说是隐私数据啊
different
2020-03-17 18:17:51 +08:00
这不是隐私吗?相反,我觉得这样非常人性化,我不小心点开了你的小程序,或者只是打算进去看看是什么东西,但我压根就不想让你知道我是谁。或者不想让你知道我来过。我凭什么不小心点进来了,就得告诉你我的头像和昵称?
🐶🐶🐶🐶🐶🐶
eason1874
2020-03-17 18:23:46 +08:00
头像、昵称是用户隐私,很多人的头像昵称可以用来社工搜索。

OpenID 是脱敏的,不同应用获取同一个用户的 OpenID 得到的值不一样。
GM
2020-03-17 18:24:28 +08:00
@xgfan 说了的,开发文档里说的:“openid 等敏感信息”
GM
2020-03-17 18:25:48 +08:00
@xgfan 哦,没说是隐私数据,说是“敏感数据”
eason1874
2020-03-17 18:27:32 +08:00
@GM #12 OpenID 只对你的应用敏感,对用户不敏感,因为每个应用获取到的值是不一样的,在你这里拿到某个用户的 OpenID 只能在你这里用,去别处用不了。
GM
2020-03-17 18:38:42 +08:00
@eason1874 那么,在我这想用就用,想获取就获取,拿到别的地方一点用都没有,哪里敏感了?
eason1874
2020-03-17 18:57:40 +08:00
@GM #15 你只向用户暴露他自己的 OpenID 就不敏感,你要不小心批量暴露了就敏感,具体怎么个敏感法看你的标准和用法。
GM
2020-03-17 19:02:30 +08:00
@eason1874 哪怕全部泄露了,任何人依然无法用来获取用户任何信息,哪里敏感了?

用户名称和头像确实有点隐私,这个我基本同意,这个就不争了。搞笑的是后面的部分。
yujiang
2020-03-17 19:07:52 +08:00
张小龙:又是一个教我做微信的
duxiansen
2020-03-17 19:12:40 +08:00
我也觉得 OpenID 这样处理没毛病,只对单个应用有效,如果需要一个平台下所有应用关联的话,需要用 UnionID,这个在小程序里需要授权。open-data 展示的数据拿不到,只能自己看,类似 iOS 应用也可以不用授权就能读取到相册,但是应用本身获取不到相册里面的内容
eason1874
2020-03-17 19:24:06 +08:00
@GM #17 我说了,看你的标准和用法。如果你把 OpenID 作为查询参数且链接没有加密就暴露给用户,这时候用户又得到了你其他用户的 OpenID,那他就可以构造针对其他用户的假请求。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/653632

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX