说个笑话:微信小程序认为用户昵称、头像是用户隐私

2020-03-17 17:55:40 +08:00
 GM

用户设置昵称、头像,就是想公开展示给其他人看的,然而微信小程序团队认为这些资料是用户隐私数据,需要用户授权才能获取。

嗯,好吧,你说是就是。


还有,微信小程序团队认为,没经过用户授权程序就直接能显示用户头像和昵称的话,用户会觉得很奇怪,所以禁止程序直接获取用户信息,必须要通过 getUserInfo 组件来授权获取。

这个逻辑我能理解,估计大家也都能,好了然后高潮来了:

为了让大家能直接显示微信用户头像、昵称,微信小程序团队体贴地提供了一套 open-data 组件,可以用来直接显示用户头像、昵称、性别、城市等所有“隐私数据”,无需用户授权。

嗯,说好的“用户会觉得很奇怪”呢?


对了还有:

微信小程序团队认为用户 openId 是敏感信息,然而小程序可以通过 wx.login + code2session 直接获取,整个过程完全无需用户同意。


笑死我了,哈哈哈哈哈哈哈哈哈哈哈......

...

扶额,欲哭无泪......

...

呸!

4636 次点击
所在节点    微信
33 条回复
mumbler
2020-03-17 19:26:38 +08:00
@GM 如果你用 openid 作为用户唯一标识去公开传输,我批量拿到你用户 openid 就可以攻击你啊,模拟用户在你程序操作,发表言论,这还不够敏感么,所以微信建议用 sessiondata 方式,而不要公开传输 openid
GM
2020-03-17 19:26:55 +08:00
还是第一次听说用户能在微信里自己构造请求,求用户在微信里构造假请求的方法。
微信开发工具里倒是可以,问题是你得加入到开发者列表里才能用这个工具。
aWangami
2020-03-17 23:48:14 +08:00
如果说这么一个场景,你在 Chrome 里面设置了头像和昵称,当你打开任意一个网站的时候都可以不经过授权网站就能拿到这些信息,你觉得是否合理?
Tokin
2020-03-18 00:28:55 +08:00
getUserInfo 需要授权才能获取,服务器也能拿到这个数据。
open-data 仅仅只是用户端显示,但是服务器拿不到这里的数据。
想要 openId,不要先经过 getUserInfo 吗?也就是 getUserInfo 授权一次之后之后无需授权,这么处理完全没问题吧。
alphatoad
2020-03-18 04:20:16 +08:00
就是因为有你这样不尊重隐私的开发者我们才不得不用 iPhone
GM
2020-03-18 10:14:47 +08:00
@aWangami
我想说的搞笑的地方:
官方团队说:[没经过用户授权程序就直接能显示用户头像和昵称的话,用户会觉得很奇怪]
然后:官方团队又提供一套 open-data 组件可以直接显示用户头像、昵称、性别、城市等所有“隐私数据”,无需用户授权。

@Tokin 要 openId 直接 wx.login 然后 code2session 即可,整个过程对用户透明,完全无需用户参与,无需授权。
xingyuc
2020-03-18 10:42:40 +08:00
@alphatoad 微信那套骗骗普通用户还行,你获取到了 openid 还不是想干嘛干嘛
GM
2020-03-18 12:29:43 +08:00
@xingyuc 你说能干嘛?嘛都干不了。这东西就跟用户 ID 一个样,就纯粹一个 guid 而已,除了该平台之外,任何人拿了都没任何用处。
xingyuc
2020-03-19 17:58:13 +08:00
@GM 那是现在严格了,以前可以发送通知啥的,随随便便获取 formid
feiandxs
2020-04-27 22:04:41 +08:00
@GM code2session 这个记不清了,其实更坑的我认为还是在公众号里。

不过你说的 open-data 组件还真的没问题。

因为这个组件只限于用户本地可以看得到,可以读取,对开发者是屏蔽了的,开发者并不能通过 open-data 这个组件获取到任何用户信息,只有那个用户自己访问的时候自己看得到而已。
GM
2020-04-28 10:42:18 +08:00
@feiandxs 你还是看明白为什么我觉得好笑:
第一,官方团队说:[没经过用户授权程序就直接能显示用户头像和昵称的话,用户会觉得很奇怪]
第二,官方团队又提供一套 open-data 组件可以直接显示用户头像、昵称、性别、城市等所有“隐私数据”,无需用户授权。

也就是说,实际上小程序是可以[没经过用户授权程序就直接能显示用户头像和昵称]的!直接打脸第一条。
feiandxs
2020-04-28 11:47:04 +08:00
@GM

我不觉得好笑,虽然微信开发团队人神共愤,是个开发者都想喷他们的文档到体系,但是……

不争这个了,笑就笑吧。

因为你讲的 1,2 亮点我都没在官方发言中找到,这就没法讨论了……

就算了吧。

张小龙真傻。
GM
2020-04-28 12:44:14 +08:00
@feiandxs 他们员工是这样给开发者答疑的:
当你作为一个用户进入一个小程序,这个小程序并没要求你授权就直接把你的头像昵称显示出来(它之前把 unionId 对应的头像昵称都存了下来),但是这个小程序主体( open 平台主体和公众平台主体并不相同)相关的任何一个应用你从来没用过,你会不会觉得很奇怪并且很不舒服,觉得自己在微信内的用户信息没有丝毫的保障?

当然了,如果认为员工的回答不算官方的话,我也无话可说,因为那确实不是正式官方正式发言的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/653632

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX