2014-10-27 20:54
如此说来,网银客户端通信如果不加密被嗅探到的也只不过是帐号密码。//@赵武360: 在被攻破的情况下泄露的是位置信息,利用难度不只是钱,还要近距离接触。tk可以给出你的定级。//@tombkeeper:我觉得儿童卫士保护的主体还是挺珍贵的,利用难度就是一个千把块钱的小设备。
2014-10-27 20:28
任何技术层面的讨论都是科普的最好时机,大家可以学到很多知识。我理解qid对应用户名,token对应密码,那么只要存在传输协议没进行加密的(如http),那么在嗅探或中间人的情况下,都会被获取。那么我说目前大部分网站和APP都可能被攻破,不知道理解是否正确。当然老谭说了还要考虑成本和收益和影响。
2014-10-27 20:49
我觉得儿童卫士保护的主体还是挺珍贵的,利用难度就是一个千把块钱的小设备。//@赵武360: 最后说的价值问题看来是争议的关键点,确实不同安全等级的产品对漏洞的顶级不可能是一致的……那么问题来了,如何定义儿童卫士的资产级别,以及此次漏洞的利用难度?
2014-10-27 20:28
任何技术层面的讨论都是科普的最好时机,大家可以学到很多知识。我理解qid对应用户名,token对应密码,那么只要存在传输协议没进行加密的(如http),那么在嗅探或中间人的情况下,都会被获取。那么我说目前大部分网站和APP都可能被攻破,不知道理解是否正确。当然老谭说了还要考虑成本和收益和影响。
2014-10-27 20:30
renew
2014-10-27 16:01
接下来不知道是不是这样:1、无视产品所涉及数据的敏感性,好比网银客户端拿新闻客户端的标准要求自己,轻描淡写地声称信道不是厂家的事儿,数据可被获取是很寻常的,没什么大惊小怪。2、仅通过不会被广为传播的渠道确认漏洞相关信息,而主要官方消息渠道继续挂着那些抵赖和污陷,没准还再补点新的。
2014-10-27 20:06
@土人谭晓生 你们可能还没理解这个漏洞是怎么回事。我向负责和选手沟通的技术人员确认了:通过无线嗅探等手段即可获得token等,不需要控制用户手机。一旦得到,就可以长期在任意地点监控相关儿童手环的位置。当时@GeekPwn 官方微博描述的精确无误:“戴手环的孩子在哪儿,父母知道,别人也能知道”。
2014-10-27 16:01
接下来不知道是不是这样:1、无视产品所涉及数据的敏感性,好比网银客户端拿新闻客户端的标准要求自己,轻描淡写地声称信道不是厂家的事儿,数据可被获取是很寻常的,没什么大惊小怪。2、仅通过不会被广为传播的渠道确认漏洞相关信息,而主要官方消息渠道继续挂着那些抵赖和污陷,没准还再补点新的。