新浪微博非常低级安全性问题，点个链接即可登陆他人帐号

http://login.sina.com.cn/sso/login.php?service=miniblog&entry=winweibo&returntype=HEADER&gateway&useticket=1&url=http%3A%2F%2Fapi.t.sina.com.cn%2F1644737*********************************************jVHuUngz%252FEqA6yc1yJZOzRhCqaqetaXJX2kmWD4iJw%252B02iDhF%252FDMy8%253D%26v%3D1

(出于安全考虑略去部分，虽然我还不知道这样略去是否足够安全...)

新浪居然把session转码存在链接里，这样一来任何获得这条链接的人都可以随时随地登陆微博帐号，经测试更换密码依然有效...我无语了，这个BUG低级又恐怖

aligo

2011-06-25 17:25:31 +08:00

url token吧
不过一般这东西一般是访问一次之后就生成一个新的，然后30秒就过期什么的

Leo

2011-06-25 17:37:31 +08:00

@aligo 我也觉得应该有个时间期限在里面，问题是这个链接今天依然有效。

CoX

2011-06-25 17:49:31 +08:00

确实是 token 问题～～而且是一直有效的，这个token是weibo应用开发的关键，但是存在链接里确实是不安全啊。

manhere

2011-06-25 17:50:46 +08:00

关键是如何去获取别人的这个链接？如果有机会抓包的话，有没有这个链接似乎区别不大，但更换密码仍有效确实很恐怖。

reus

2011-06-25 18:01:03 +08:00

因为有手机浏览器不支持cookie的，所以只能把session key存在url里面了… 算不上bug吧，只是无奈的折衷而已，开发者都知道这回事的。而且登录页面也提示不要将url泄漏给别人的…

Leo

2011-06-25 18:14:47 +08:00

@reus 网络环境不好时，通过微博应用打开页面就出现这个链接了，不知情的人容易copy链接发出去，我就是个杯具的例子，还好是发给朋友。

腾讯微博的做法也是这样吗

xinzhi

2011-06-25 20:31:17 +08:00

腾讯也是这样的。手机版大都这样，收藏链接就能自动登录，最多提示各验证码。

xlaok

2011-06-25 22:08:21 +08:00

做了一个自己的导航站，就是用的这个url来免登录的～
如果没有这个url的话，用php能不能解决这个问题啊？就是在任何电脑上，点一个连接就自动登录，具体的思路是什么啊

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.