有关人人网分享权限漏洞及不在校内上发表任何可能涉及个人内容日志的决定

校内在许多方面存在历史遗留的数据完整约束漏洞,也就是一个表数据的更改、删除并没有导致其他表的更新,比如删除好友并不会导致好友从特别关注中移除还能看到动态等。

今天遇到了一比较不高兴的事,就是一年前的某2B文章居然被百度搜出来了,让我感到无比的惊讶与愤怒。分析了一下,造成这个问题的原因按时间顺序应该有五点:

1,原日志更改权限或者删除不会影响已分享日志的公开

2,不登陆用户可以直接查看公开分享

5,分享日志处于blog.renren.com域名,这个域名的robots.txt没有禁止搜索引擎

4,校内在某段时间不登陆即可查看设置公开权限的用户

5,构成公开权限用户建立到互联网上的链接通路,如:用户在某明星的公共主页上留言,而此明星将其公共主页的链接贴到其的新浪博客上

最终搜索引擎得到了本应有权限的日志。这个问题的核心还是第一条的漏洞和第二条的策略,然而我并不奢望他们能够解决,校内出BUG已经不止是一个两个了,当年站内信的XSS我到现在还记忆犹新。这次的发现让我对校内的安全性表示严重的怀疑,我决定不再在校内上发表涉及个人内容的日志,此类日志我将发布在QQ空间或者个人博客上,校内日志将使用链接转至外部。也希望各位童鞋注意此类漏洞,慎重在校内上发表文章。

Leave a Reply

Your email address will not be published. Required fields are marked *

Using REAL email address will help you receive reply notifications.