百度网盘 PC 客户端请求不走 https?

2022-06-21 16:00:14 +08:00
 nowheretoseek

开着 fiddler ,观察到百度网盘的好多请求竟然是 http ,而非 https ,于是开过滤只看网盘客户端的请求,竟然大部分都是 http 。请求里有 cookie 信息什么的,这不是很危险吗?

观察到自动请求十分频繁,那么百度这么做,是因为要省一些 cpu 资源?

2087 次点击
所在节点    问与答
12 条回复
wu67
2022-06-21 17:18:03 +08:00
是的. 抓过包就知道, 甚至查询出来的文件的真实存储地址, 也是有一般 http 的. 不过我印象中应该不是全都是 cookie, 而是有很大一部分是 session 级别的, 也不好直接定义, 因为它很快就会过期.
wu67
2022-06-21 17:18:39 +08:00
#1 '一般 http 的' --> 一半
nowheretoseek
2022-06-21 18:50:52 +08:00
@wu67 长见识了,我还以为全部 https 已经是大厂软件标配了呢
v2tudnew
2022-06-21 20:14:19 +08:00
你再多测些常用国产软件,你会发现越是大厂越不把用户当回事,反而有的小站全站加密。
7RTDKSAK
2022-06-21 21:46:01 +08:00
@wu67 "文件的真实存储地址"是什么意思?是说如果 ISP 愿意的话,能够下载到个人百度网盘的文件?
eason1874
2022-06-21 21:55:05 +08:00
如果是静态文件,那可能是跟运营商合作,运营商会 HTTP 302 跳转到自家缓存节点,请求内容在运营商内网就给你返回了,不用从真实服务器下载,这种链接的特点是 IP 地址开头后面跟着原始网址
WOLFRAZOR
2022-06-21 22:06:14 +08:00
@v2tudnew 真就日常摆烂。我也以为 https 是国内人均标配呢
sadfQED2
2022-06-21 22:34:50 +08:00
哈哈哈,前百度网盘员工。说出来你可能不信,网盘线上 php5.4+centos4 ,早期代码都是校招生写的,php 框架不支持路由,不支持请求方法检验,你看看创建订单相关接口都是 get 请求

我在职的时候跟领导说,技术架构太老太落后,已经没法维护了,需要重构,结果领导回我一句,大家都能维护,为啥你不能维护。然后我就提桶跑路了
nowheretoseek
2022-06-22 02:11:13 +08:00
@sadfQED2 谢谢,真长见识啊
wu67
2022-06-22 10:04:45 +08:00
@7RTDKSAK 你去抓一下包就知道, 你的一个文件是存在云端的某几台服务器上的, 在接口侧看起来就是一个资源+N 个镜像备份. 而下载时, 会通过你的用户信息, 查询接口, 获取到(所有?)对应这个文件在服务器上的存储地址, 但是这个地址也是带上了有效期会话字段的, 所以看起来那个链接就是非常非常长的一段. 我把以上的地址称为文件的‘真实存储地址’.

至于 ISP, 人家也没空管你, 而且查询地址的接口我印象中是 https 的, 所以看不到. 退一步讲, 他通过证书什么的看到了, 那他凭借那个查询到的地址, 还真的能下载你的文件....
flyqie
2022-06-27 06:05:21 +08:00
@sadfQED2 老哥啥时候离职的?现在也是这样吗?震惊。

这技术架构也忒老了,用的自研的 php 框架吗?
sadfQED2
2022-06-27 07:53:18 +08:00
@flyqie 有两年了,那不叫自研框架,就是早期一帮没有任何经验的校招生写的东西。现在那帮校招生混成高 T 高 M 了,自己吹牛逼写 ppt 的资本,也不许别人改

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/861148

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX