V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  lzhw  ›  全部回复第 2 页 / 共 10 页
回复总数  185
1  2  3  4  5  6  7  8  9  10  
@jandu 楼上说的都差不多了😂说到底是用户选择权的问题,在支付宝我可以选择为了手机号转账的方便而公开姓名的最后一个字供陌生人搜索查看,也可以选择更注重隐私宁愿不要这种方便而不公开姓名的最后一个字,支付宝尊重我的选择权,给了我设置开关(微信的手机号转账更是默认关掉的,默认用户更注重隐私)

而京东这个就等于剥夺了用户的选择权,你想公开也得公开,你不想公开也得公开。而且这个强迫用户“公开”的理由也不怎么站的住脚,单纯只是为了找回密码。。在我们的印象中,找回密码一般都是用户主动提供信息供网站验证身份,而不是网站主动显示用户信息让你看看这是不是你吧?
@ruixue 总结的非常好,谢谢

@MrZZZ 恕我冒昧,能否请求你帮忙把楼上这个帖子转发给相关同学,希望他们也能看一眼?非常感谢!
@darknoll 可问题是,不是谁都能拿到外卖透漏的信息,外卖用户也可以用假名让信息变得没有价值;而京东这个漏洞是任何人都可以输入手机号 /邮箱 /用户名查到对应用户的信息,必为真实实名信息而且用户没有办法阻止,等同于向互联网完全公开了,门槛和性质完全不一样啊

而且,即使现在信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望京东能彻底解决这个问题~
@paradoxs 说的是,显示任何敏感信息(包括 1 个字)前,至少要有一个校验才对

能让陌生人无需提供其他任何信息,仅仅输入一个手机号 /邮箱 /用户名就能直接进入添加银行卡的页面,看到对应用户的敏感信息,这个逻辑说实话我到现在还是想不通
@simy 😂

@wangkun025 说的好

@ruixue 确实啊

@YaakovZiv 😖
请恕我考虑不周,在第三条附言里面用了“已基本修复”的描述,虽然后面也呼吁京东进一步改进,但之前确实没有认识到问题的严重性。现在看到了大家的回复,深深明白显示姓名的一个字给陌生人看也是极不妥当的,确实不应该认为问题“已基本修复”了,只能说“比之前好了点”,抱歉😭

还是希望京东能继续改进,做到一个字也不要显示给陌生人看,真正修复此问题。谢谢!
@MrZZZ 非常感谢!
@thonatos 非常感谢你的帮助,现在希望解决的两个问题(转账页只显示姓名的最后一个字,以及用户关闭了手机号查找那就是不能用手机号找)的后面这个已经解决了,支付宝关闭手机查找后网商银行也不能查找了,很赞!谢谢相关安全同学的努力!

不过前面这个问题还是想请求你再帮忙反馈一下,希望网商银行能继续跟进,和支付宝做到同步,转账页只显示对方姓名的最后一个字(**某)~好让用户为了方便而打开手机查找功能时更加没有顾虑

现在网商银行转账支付宝页面显示的对方姓名还是两个字的全名(*某某),只隐藏了姓,依然很容易利用姓名校验功能输入常见姓氏撞出对方的完整姓名😭这么做也还是让支付宝转账时特意只显示姓名最后一个字保护用户隐私的贴心设置显得尴尬而没有意义唉。。而且我们支付宝用户也不希望看到网商银行用户有比我们支付宝用户更高的信息查看特权,在我们支付宝用户都只能看到对方姓名最后一个字时网商银行用户就是能看到两个字😭

#37 提到的京东找回密码可看到用户全名(*某某)的问题,昨天京东已经做了修复,现在也只能看到最后一个字(**某)了。相信网商银行也能早日解决这个转账页直接显示全名的问题,不要半途而废啊😭

再次感谢!
@fbi007130 谢谢提醒,测试了一下,现在支付宝关闭“通过手机号找到我”隐私开关后,网商银行搜索手机号也找不到对应的支付宝了。不过如果支付宝打开手机查找开关,网商银行能搜索手机号找到对应支付宝的话,转账页面显示的对方姓名还是两个字的全名,只隐藏了姓,依然很容易利用姓名校验功能输入常见姓氏撞出对方的完整姓名

也就是说希望解决的这两个问题(转账页只显示姓名的最后一个字,以及用户关闭了手机号查找那就是不能用手机号找)现在阿里解决了后面这个,前面这个我们还是希望网商银行那边能继续跟进一下,和支付宝做到同步,转账时只显示对方姓名的最后一个字~
@MrZZZ 同求进一步反馈,谢谢!

可以参考一下大家最近的回帖~希望这个漏洞能早日真正修复,一个字也不要显示给陌生人看😭
@fbi007130 😭

@AmberJiang 谢谢理解~

@menghan 🤮手机号转账这个用户能选择关闭吗?
@fbi007130
@ruixue
@lework1234
@qiaogaohhb
@Jumenglo
请恕我考虑不周,在第三条附言里面用了“已基本修复”的描述,虽然后面也呼吁京东进一步改进,但之前确实没有认识到问题的严重性。现在看到了大家的回复,深深明白显示姓名的一个字给陌生人看也是极不妥当的,确实不应该认为问题“已基本修复”了,只能说“比之前好了点”,抱歉😭

再次冒昧 at 请原谅,还是希望你们能帮忙反馈一下,做到一个字也不要显示给陌生人看,真正修复此问题。谢谢!
@ApolloMa
@Unclev21x
@keelii
@ApolloMa 谢谢!

不过我有个疑问,京东其他找回密码的方式都不会提示姓名啊,反而是要求输入收货人姓名或者身份 ID 作为手机号之外的一个额外验证。。而且这毕竟是找回自己账号的密码,而不是转账给他人防止转错人,为什么会怕搞错了人呢。。如果用户找回的就是非自己实名的账号,那也应该是用户自己承担搞错账号的风险吧。。

还有个问题能否也帮忙反馈一下,即使确实需要在添加银行卡的页面提示姓名的最后一个字,那么在进入该页面之前能否像其他找回密码的方式一样,再设置一个前置验证,比如收货人姓名或者身份 ID,通过了再进入?能让陌生人无需提供其他任何信息就能直接进入添加某个用户的银行卡这个页面,说实话我到现在还有点想不通😭
@ApolloMa 谢谢,现在已经只显示姓名的最后一个字了

恕我冒昧,请你看下#160 和#165 的帖子,考虑到单字名的用户,能否帮忙问一下这块还能进一步优化吗?最好取消姓名显示,毕竟这只是个密码找回功能嘛。。如果确实怕用户混淆,请用户自己输入姓名最后一个字做验证或把最后一个字改成拼音显示也好啊。。

谢谢!
@Unclev21x
@keelii

谢谢,谢谢!

试了下现在已经只显示姓名的最后一个字了,这速度够快的!

不过能否看下#160 和#165 的帖子,考虑到单字名的用户,也想冒昧问一下这块还能进一步优化吗?比如取消姓名显示或者最后那个字弄成拼音代替

谢谢!
@thonatos 谢谢!
@bianqurenfm 😭😭😭

即使现在信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,我觉得还是不要直接弃疗啊,能争取一点算一点吧,所谓的有一分热,发一分光,如果什么都不做,那才是最绝望的啊😭

不管怎么说,支付宝和京东的这两个隐私安全漏洞如果都能得到解决,那么世界上的漏洞不就少了两个吗
@Patrick95 我觉得还是不要直接弃疗啊,能争取一点算一点吧,所谓的有一分热,发一分光,如果什么都不做,那才是最绝望的啊😭

不管怎么说,支付宝和京东的两个漏洞如果都能得到解决,那么世界上的漏洞不就少了两个吗
@tyzrj766
@lshero
唉,心太累了,现在真的是防不胜防🤮
@hahaandyou001 唉,现在真的是防不胜防🤮
1  2  3  4  5  6  7  8  9  10  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3414 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 15ms · UTC 04:59 · PVG 12:59 · LAX 20:59 · JFK 23:59
Developed with CodeLauncher
♥ Do have faith in what you're doing.