这是一个创建于 878 天前的主题,其中的信息可能已经有所发展或是发生改变。
开着 fiddler ,观察到百度网盘的好多请求竟然是 http ,而非 https ,于是开过滤只看网盘客户端的请求,竟然大部分都是 http 。请求里有 cookie 信息什么的,这不是很危险吗?
观察到自动请求十分频繁,那么百度这么做,是因为要省一些 cpu 资源?
 |
1
wu67 2022-06-21 17:18:03 +08:00  2
是的. 抓过包就知道, 甚至查询出来的文件的真实存储地址, 也是有一般 http 的. 不过我印象中应该不是全都是 cookie, 而是有很大一部分是 session 级别的, 也不好直接定义, 因为它很快就会过期.
|
|
2
wu67 2022-06-21 17:18:39 +08:00
#1 '一般 http 的' --> 一半
|
 |
3
nowheretoseek OP @wu67 长见识了,我还以为全部 https 已经是大厂软件标配了呢
|
 |
4
v2tudnew 2022-06-21 20:14:19 +08:00 1
你再多测些常用国产软件,你会发现越是大厂越不把用户当回事,反而有的小站全站加密。
|
 |
6
eason1874 2022-06-21 21:55:05 +08:00
如果是静态文件,那可能是跟运营商合作,运营商会 HTTP 302 跳转到自家缓存节点,请求内容在运营商内网就给你返回了,不用从真实服务器下载,这种链接的特点是 IP 地址开头后面跟着原始网址
|
 |
8
sadfQED2 2022-06-21 22:34:50 +08:00 via Android 4
哈哈哈,前百度网盘员工。说出来你可能不信,网盘线上 php5.4+centos4 ,早期代码都是校招生写的,php 框架不支持路由,不支持请求方法检验,你看看创建订单相关接口都是 get 请求
我在职的时候跟领导说,技术架构太老太落后,已经没法维护了,需要重构,结果领导回我一句,大家都能维护,为啥你不能维护。然后我就提桶跑路了 |
|
9
nowheretoseek OP @sadfQED2 谢谢,真长见识啊
|
|
10
wu67 2022-06-22 10:04:45 +08:00 1
@7RTDKSAK 你去抓一下包就知道, 你的一个文件是存在云端的某几台服务器上的, 在接口侧看起来就是一个资源+N 个镜像备份. 而下载时, 会通过你的用户信息, 查询接口, 获取到(所有?)对应这个文件在服务器上的存储地址, 但是这个地址也是带上了有效期会话字段的, 所以看起来那个链接就是非常非常长的一段. 我把以上的地址称为文件的‘真实存储地址’.
至于 ISP, 人家也没空管你, 而且查询地址的接口我印象中是 https 的, 所以看不到. 退一步讲, 他通过证书什么的看到了, 那他凭借那个查询到的地址, 还真的能下载你的文件.... |
 |
11
flyqie 2022-06-27 06:05:21 +08:00 via Android
|
Select Language