QQ会员中的聊天记录漫游设计缺陷分析

披露状态:

2012-05-08: 细节已通知厂商并且等待厂商处理中

厂商已经主动忽略漏洞,细节向公众公开

简要描述:

在异地登录状态下,可以直接查看聊天记录
详细说明:

假如我现在在是本地看聊天记录。把号码让外地的朋友登录还是可以不需要验证密保的情况下查看!这样个人的隐私就公开了

漏洞证明:

漏洞就不需要证明了。你们工作人员随便哪一个号测试一下就知道了!
修复方案:

应该把所有QQ会员漫游记录都用独立密码进行二次加密!不管是不是常用地点登录都需要进行二次密码,第一次验证后 下次查看就不需要验证!电脑重启后需要再次验证 这样以保证用户个人信息的安全

时间: 2024-11-28 13:54:38

QQ会员中的聊天记录漫游设计缺陷分析的相关文章

非QQ会员上传聊天记录的技巧一则

在QQ以前的版本中,QQ会员可以开通消息记录的漫游功能将消息上传到腾讯(促销产品 主营产品)的服务器,以便在另一台计算机上登录QQ时也可以很方便的查看到已上传的消息记录.但是这样或多或少有些限制,比如必须开通会员,只有一个月的保存时间,不过在最新的QQ2009正式版中,利用"上传记录"这个功能则没有这方面的限制,最关键的是非QQ会员上传聊天记录. 打开聊天窗口,单击"消息记录"按钮,在右侧窗口选择要上传的本地消息记录,单击"更多"左侧的"

无视QQ会员 聊天记录酷盘存

QQ有一项功能,叫做"消息记录漫游",功能开启后,用户可以在任何地方自由自在地查阅全部的QQ聊天记录,非常方便.可遗憾的是,该功能只对QQ会员开放,普通用户无法享用.难道普通用户只能空守本地的聊天记录,无法像QQ会员一样实现数据漫游吗?No!借助"酷盘"的文件存储功能,普通用户也照样能让QQ聊天记录如影随形. 原理非常简单,QQ的聊天记录保存在本地电脑以QQ号码命名的文件夹里,我们只需把这个文件夹放置到酷盘的同步文件夹里,就能利用酷盘客户端程序随时随地调取. 首先我

《算法设计与分析》一一第2章 从算法的视角重新审视数学的概念

第2章 从算法的视角重新审视数学的概念 CHAPTER 2 第2章 从算法的视角重新审视数学的概念根据我们在第1章中对抽象算法设计与分析的讨论,算法的本质是预先给定的一组指令的排列组合:而算法分析是对指令的执行和存储单元的使用等离散现象的计数.源于算法的这一本质属性,我们需要熟练掌握相应的数学知识为抽象算法设计与分析服务.这些数学知识往往是我们已经学习过的,现在的重点是要从抽象算法设计与分析的角度来重新审视它们.本章首先讨论算法设计与分析中常用的数学对象与数学性质.其次,为了进一步讨论算法代价的

手机QQ聊天记录漫游如何设置

我们在手机进入到手机QQ,然后点击QQ面板中的"头像-设置"效果如下图所示 之后我们再找到下面的"聊天记录"选项,进入之后我们再点击打开 依次选择"聊天记录全漫游"打开进入效果如下图所示,细节如下.

asp.net开发类似于qq空间中我的动态,好友动态 的数据库设计

问题描述 asp.net开发类似于qq空间中我的动态,好友动态的数据库设计,比如好友动态中,有好友发表了心情,日志,分享了某某日志,照片,转载了某某日志,心情,相片,好友与某某成为好友关系,好友参加某某活动等 解决方案 解决方案二:该回复于2011-11-07 10:22:51被版主删除解决方案三:首先用户产生了动态,放到动态表feed里,里面有动态的产生者,动态的内容,动态的APPID等.同时,把这条动态的ID放入队列queue里,也就是我们常说的消息队列,队列可以是memory表,可以是me

手机qq聊天记录漫游如何关闭

在手机下面打开qq账号,之后找到"消息" 在打开菜单我们点击"qq头像"切出菜单再点击"设置"按钮,效果如下. 接着进入到手机的设置面板,你会看到列表下面有一项"聊天记录"功能,我们单击该按钮. 进入到聊天记录设置面板后,会有一个"聊天记录漫游"选项,此时该选项显示为"7天",说明我们开启了消息记录漫游最近7天的消息记录,我们单击该按钮. 好了在进入聊天记录漫游界面我们只要点击"

IM QQ 改版(第一期)设计总结

  今天的网站改版绝对值得一看!毕竟是上亿人都在用的通讯软件,QQ 官网的改版非同小可,集结了大量顶尖设计师的腾讯设计中心也耗费了相当大的精力,现在将改版过程的经验分享出来,不可多得,别错过咯 >>> 官网作为用户了解一个产品最权威和直接的窗口,应该承载什么样的内容,取决于产品特征和调性.QQ是中国用户量最大的即时通讯件之一,功能越来越细致.丰富,仅仅提供展示和下载产品的信息源当然远远不够.我们迫切希望不仅仅是新品发布,QQ每一次改版的创新功能点,以及越发年轻化的品牌基调都可以更直接有效

整合qq登录,数据库应该怎么设计

问题描述 整合qq登录,数据库应该怎么设计 如果整合了qq.新浪微博的第三方账号的登录后 当会员点击qq登录后,那么 会员表原本的username和email字段则为空,那么就会出现问题 因为 UNIQUE KEY username (username), UNIQUE KEY email (email), 这两个字段是UNIQUE KEY,不能为空,那么数据库应该怎么设计呢 解决方案 填入qq账号,密码用个第三方专用密码标志填入 解决方案二: 一般是在用户首次登录你的系统的时候,由系统模拟产生

“蓝精灵”化身多彩气泡 缤纷主题QQ会员随心选

"在那山的那边,海的那边,有一群蓝精灵--"近日伴随着<蓝精灵2>的热映,这一经典动画形象再次焕发新活力,成为街头巷尾热议话题."蓝精灵"."格格巫"."侏罗纪公园"等大片中的元素和场景也迅速登上了手机屏幕,成为QQforAndroid/iPhone4.5体验版本中首推的气泡主题. &http://www.aliyun.com/zixun/aggregation/37954.html">nb