浏览器崩溃别急着上传Crash Reports,DMP泄漏隐私,各种敏感信息,明文密码,浏览器历史浏览网址记录。

浏览器崩溃别急着上传Crash Reports,DMP泄漏隐私,各种敏感信息

zyymartin | 2013-07-04 17:49

是什么浏览器呢?你猜~

某浏览器崩溃了,反馈到问题反馈的帖子中附上一个崩溃日志,可是您知道吗?在上传崩溃日志的时候您的隐私正在泄漏!

随便在问题反馈专贴下载了某用户的Crash Reports:

最下面那个就那个最大的,我们分析那个DMP,我们用TXT格式打开,您的上网历史,提交的密码等等等你等都来了

保护那位用户的隐私关键部

1.POST数据看到了(看到了吗cookies!cookies!,别窃喜,这边cookies我可不会让你全不知道)位做和谐处理

2.QQ号码等重要信息泄漏

3.明文显示密码(关键部位和谐了)

附:随便分析出一点浏览记录

note.youdao.com/web/list?notebook=/6E8B**ECA79B40

xicanliyi.kegood.com

www.yk216.com

note.sdo.com/my#/note/list?_=1369811*****&start=20&limit=**

http://www.liebao.cn/go/security/

http://www.xiaa.net/

http://www.xiaa.net/

jingyan.baidu.com/article/cd4c2979aed54**02a.html

www.cnblogs.com/ruxpinsp1/archive/2008/05/06/font-in-front-end-develop****2.html

顺便说一下,已经添加那个童鞋的QQ证实过了就是他本人的信息哦,你怎么看,乌云骚年

相关讨论:

1#

0x0F (你看不见我)????(人脸无?) | 2013-07-04 17:53

建议给予雷劈

2#

zyymartin | 2013-07-04 17:55

@0x0F">0x0F 有没有发现各种坑,你以后还敢发送DMP吗?~

3#

xsser (十根阳具有长短!!) | 2013-07-04 17:56

劈了

4#

疯狗 (谁淫荡啊谁淫荡) | 2013-07-04 17:57

我擦勒

5#

园长 (你在身边就是缘,缘分写在数据库里面。) | 2013-07-04 17:57

@0x0F">0x0F 就算你不提交人家一样泄漏你的隐私,屌丝的隐私又不值钱,泄漏就算了吧,还能把人家怎么滴。

6#

zyymartin | 2013-07-04 17:58

@xsser 可怜的哇哇,目测那个问题反馈板块有很多人上传DMP要给他们一点提示才好,要不然各种姿势泄漏

7#

疯狗 (谁淫荡啊谁淫荡) | 2013-07-04 17:59

@园长 关键是。。。这个有证据啊,有图有真相有证明

8#

zyymartin | 2013-07-04 17:59

@疯狗 有奖励不~求奖励

9#

疯狗 (谁淫荡啊谁淫荡) | 2013-07-04 18:13

@zyymartin 呃,我点击感谢了。。

10#

xsser (十根阳具有长短!!) | 2013-07-04 18:25

@zyymartin 我也先人肉感谢了

11#

gainover (">_< ' / & \ 看啥,没见过跨站字符么) | 2013-07-04 19:20

这个竟然可以随便下载别人上传的dmp文件!!首先论坛权限设置就有问题啊!

12#

zyymartin | 2013-07-04 19:56

@gainover 很多浏览器论坛在用户反馈崩溃的时候都要求上传COOKIES的,跑到智能填表的位置的时候崩溃了密码就被明文保存了下来,然后对外公开,我们来分析一下,全部拿下

13#

zyymartin | 2013-07-04 20:06

@gainover 不对打错了不是cookies是dump

14#

xsser (十根阳具有长短!!) | 2013-07-04 21:47

话说啊,浏览器崩溃就应该是内存全部上传,内存里就会包含cookie啊,因为要进行debug啊

15#

zyymartin | 2013-07-05 06:42

@xsser 这么说咱们的浏览器浏览记录啊甚至有可能是QQ聊天记录全部都要都要上传

16#

zyymartin | 2013-07-05 06:46

@xsser 而且,明文显示密码呢·····

17#

xsser (十根阳具有长短!!) | 2013-07-05 10:39

@zyymartin 内存里应该不会包括聊天记录的 密码必须是明文的啊 因为它这个是客户端的 不是服务端的

18#

zyymartin | 2013-07-05 10:49

@xsser 恩恩,我想厂商也不是有意而为之的,这是分析BUG的本来的需要,但是会有暴露一点隐私的风险,这点应该在用户上传DUMP之前有告知,用户要知道有这个风险而不是蒙在鼓励不知道,用的这个例子嘛,只能说这个娃太悲催了,一抓抓到这么多信息。

19#

xsser (十根阳具有长短!!) | 2013-07-05 10:57

@zyymartin 对滴

20#

horseluke (微碌) | 2013-07-05 12:15

log或者debug信息泄露敏感信息,是个在程序员圈子内常见但基本很少留意过的问题

我自己也遇过,搞笑的是,写log的代码还是自己写的...最后在论坛上将附件的查看权限给提高到200才勉强阻止了进一步的发展......-_-||

21#

核攻击 | 2013-07-05 15:06

这个“隐私泄露”现象比较“正常”,也难以避免,程序员毕竟需要当时数据进行调试。