lzhw 最近的时间轴更新
lzhw

lzhw

V2EX 第 334088 号会员,加入于 2018-07-23 20:05:28 +08:00
lzhw 最近回复了
@MrZZZ 我觉得#209 说的就很好,贴在下面希望你能再帮忙给相关同学反馈一下,转发给他们请他们看一眼,了解一下我们用户的心声,早日彻底修复此问题~非常感谢!

1. 对于单字名用户来说,显示一个字就等于显示“全名”了啊,这改了相当于没改,真是情何以堪

2. 虽然支付宝微信转账会显示姓名的最后一个字,但支付宝微信也提供了手机查找开关,可以让用户关闭,阻止陌生人通过手机号搜索到自己,看到自己的姓名信息。而京东这个没有关闭选项,全世界的人都能用手机号邮箱用户名搜索到自己看到自己的姓名信息

3. 即使是姓名最后一个字,但实名了就能被查到,不实名就不会被查到,还是让实名用户有种被歧视不受尊重之感

4. 找回密码这个功能本身就没有显示姓名敏感信息的必要,那么原则上就不应该显示(data minimization)。正如 @lework1234 说的,“这找回密码为啥要显示呢,不能要求输入姓名和卡号么?为了体验不能牺牲安全啊”
真的要显示也请在添加银行卡页面之前再设一道验证门槛以阻止陌生人的访问,因为:

5. 我们在京东实名,可没有授权京东向全社会披露我们姓名的最后一个字啊
@MrZZZ 谢谢。是的,现在是把显示两个字改成显示一个字了,但是这依然不是我们实名用户所希望的解决办法。我们还是希望能彻底解决这里的问题,一个字都不显示给陌生人看。比如让用户自己输入姓名,或者在添加银行卡页面之前再设一道验证门槛(类似其他找回密码的方式需额外验证收货人姓名或身份 ID 后六位)以阻止陌生人的访问。

同时期网商银行转支付宝暴露用户真实姓名的漏洞 /t/707160 现在已经彻底解决,用户必须同时输入对方的姓名和手机号才能进入转账页面了,彻底堵死了陌生人通过手机号获取姓名的可能性,这次阿里给用户的交代就很令人满意。我们现在就希望京东也能尽快跟进,彻底修复,一个字都不给陌生人看,而不是改成显示一个字就觉得可以了,不需要再修复了。。
@MrZZZ 请问有什么新进展吗?谢谢
同时期的网商银行输入手机号会暴露支付宝用户真实姓名的漏洞 /t/707160 已彻底修复,现在网商银行转账支付宝时需要同时输入对方姓名和对方支付宝账号,如果姓名账号不匹配则无法进入转账页面,彻底堵死了陌生人通过手机号获取姓名的可能性✌️

希望京东也能早日彻底修复这个找回密码暴露用户实名信息的漏洞啊,一个字都不显示给陌生人看。比如让用户自己输入姓名,或者在添加银行卡页面之前再设一道验证门槛(类似其他找回密码的方式需额外验证收货人姓名或身份 ID 后六位)以阻止陌生人的访问。谢谢!@keelii
@thonatos 谢谢!今天发现网商银行转账支付宝的时候需要同时输入对方姓名和账号了,谢谢相关安全同学的努力!谢谢!

不过我试了下发现了一些小小的不足,请允许我在这里描述一下,希望你能帮忙反馈给相关同学,看能再稍稍改进一下吗。。非常感谢

在转账界面输入一个不存在的支付宝账号,会弹出提示“无对应支付宝账户”。输入一个关闭手机号查找隐私开关的支付宝账号,如果账户名称(姓名)输的不对,会提示“户名账号不匹配”,但如果账户名称(姓名)输对了,会提示“账号不存在,或对方关闭了隐私开关”。

但实际上如果账号真的不存在,那么只会提示“无对应支付宝账户”,也就是说提示“户名账号不匹配”时,至少是存在对应的支付宝账号的,哪怕对应账号已经关闭了隐私开关,无非是姓名输的不对罢了;提示“账号不存在,或对方关闭了隐私开关”时,那也是存在对应的支付宝账号的,而且输入的姓名和手机号也肯定正确无误,只能说明这个人关闭了他支付宝账号的隐私开关,不可能是账号不存在。

能看得出这个地方的第一个条件判断是判断账号是否存在,第二个条件判断是判断户名账号是否匹配,第三个条件判断才是判断对方有无关闭隐私开关。我觉得把第三个条件判断移到最前面和第一个条件判断放在一起进行判断最好了,输入账号的时候如果账号不存在或者对方关闭了隐私开关,那么直接弹出提示“账号不存在,或对方关闭了隐私开关”就好,否则的话再进行户名和账号的匹配判断。这样应该比最后才判断隐私开关是否关闭要更合适一些。

最后还想再冒昧问一下,目前这样改了,以后还会不会修改姓名只显示一个字了?我是说通过点击支付宝联系人直接进入转账页面,在转账页面还是显示的两个字的全名,还是很容易能试出支付宝联系人的真实姓名。(支付宝里如果不向好友公开真实姓名,好友给自己转账的时候只会显示“对方已隐藏姓名”连姓名校验都没法做。)

谢谢!
@Arizas 谢谢
@jandu 楼上说的都差不多了😂说到底是用户选择权的问题,在支付宝我可以选择为了手机号转账的方便而公开姓名的最后一个字供陌生人搜索查看,也可以选择更注重隐私宁愿不要这种方便而不公开姓名的最后一个字,支付宝尊重我的选择权,给了我设置开关(微信的手机号转账更是默认关掉的,默认用户更注重隐私)

而京东这个就等于剥夺了用户的选择权,你想公开也得公开,你不想公开也得公开。而且这个强迫用户“公开”的理由也不怎么站的住脚,单纯只是为了找回密码。。在我们的印象中,找回密码一般都是用户主动提供信息供网站验证身份,而不是网站主动显示用户信息让你看看这是不是你吧?
@ruixue 总结的非常好,谢谢

@MrZZZ 恕我冒昧,能否请求你帮忙把楼上这个帖子转发给相关同学,希望他们也能看一眼?非常感谢!
@darknoll 可问题是,不是谁都能拿到外卖透漏的信息,外卖用户也可以用假名让信息变得没有价值;而京东这个漏洞是任何人都可以输入手机号 /邮箱 /用户名查到对应用户的信息,必为真实实名信息而且用户没有办法阻止,等同于向互联网完全公开了,门槛和性质完全不一样啊

而且,即使现在信息泄露的比较厉害,并不意味着就可以剥夺我们对隐私信息安全的追求,就好比如果我的果照不慎外泄也不意味着我出门就要裸奔,更不意味着别人以后就能随意让我脱衣服拍照。还是希望京东能彻底解决这个问题~
@paradoxs 说的是,显示任何敏感信息(包括 1 个字)前,至少要有一个校验才对

能让陌生人无需提供其他任何信息,仅仅输入一个手机号 /邮箱 /用户名就能直接进入添加银行卡的页面,看到对应用户的敏感信息,这个逻辑说实话我到现在还是想不通
关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2074 人在线   最高记录 5168   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 17ms · UTC 00:32 · PVG 08:32 · LAX 17:32 · JFK 20:32
♥ Do have faith in what you're doing.