怪不得“拼多多”故意使用漏洞提权,主要源自于墙国小白多、没底线的开发者也多,相辅相成的
如果忘了拼多多干了什么事,这里有前情提要:
《知名互联网厂商利用漏洞非法控制用户手机窃密,数亿设备受影响》https://www.sohu.com/a/656642277_121648035
《卡巴斯基实锤:拼多多存恶意代码!》https://www.51cto.com/article/750487.html
《美媒:拼多多侵害用户隐私规模前所未见》https://www.rfa.org/mandarin/yataibaodao/junshiwaijiao/hx1-04042023080535.html
一年后的现在,有个mac程序员发帖提问:《自己做的软件用快速提权还是让用户手动授权》https://www.v2etwitter.com/t/1028980
这个程序员说,知道某些版本的macOS存在漏洞,可以用来无感知获得高权限,全程无须告知用户、无须获取用户授权。
于是他就问,该不该利用这个漏洞。
底下的某些回答几乎没有底线,支味十足:
「安全问题不用考虑用户体验」
「减少用户操作,提高用户体验」
「参考 PDD ,直接 root ,给自己做窝」
「只有专业人士才会注意安全问题,对于用户来说步骤越少越好」
虽然反对声更多,但还是有人一针见血:
「别听楼里那帮洁癖的,如果是面向小白用户的话一个弹框授权会让一些用户体感认为“更不安全”。具体想得到有价值的回馈可以去小红书问问」
关于小白用户的这段话,确实很现实。
支国小白觉得授权弹窗烦,确实是会主动让渡自己的权限的,比如:
《教你如何让Win10默认所有软件以管理员身份运行?》https://www.bilibili.com/read/cv9242100/
一开头就这么讲:「经常会跳出“以管理员身份运行”的弹窗,对于肥鱼这种脾气的人来说,一次两次还行,多了就烦了」
可能这个用户不知道,苹果电脑和Linux桌面版不但也有授权弹窗,而且还要求输入密码。Windows授权弹窗不用按密码都嫌烦,那么用苹果电脑和Linux桌面版应该会烦得它砸电脑吧。
这也难怪会有程序员提问该不该利用漏洞,不把“提权请求”告诉用户。
《知名互联网厂商利用漏洞非法控制用户手机窃密,数亿设备受影响》https://www.sohu.com/a/656642277_121648035
《卡巴斯基实锤:拼多多存恶意代码!》https://www.51cto.com/article/750487.html
《美媒:拼多多侵害用户隐私规模前所未见》https://www.rfa.org/mandarin/yataibaodao/junshiwaijiao/hx1-04042023080535.html
一年后的现在,有个mac程序员发帖提问:《自己做的软件用快速提权还是让用户手动授权》https://www.v2etwitter.com/t/1028980
这个程序员说,知道某些版本的macOS存在漏洞,可以用来无感知获得高权限,全程无须告知用户、无须获取用户授权。
于是他就问,该不该利用这个漏洞。
底下的某些回答几乎没有底线,支味十足:
「安全问题不用考虑用户体验」
「减少用户操作,提高用户体验」
「参考 PDD ,直接 root ,给自己做窝」
「只有专业人士才会注意安全问题,对于用户来说步骤越少越好」
虽然反对声更多,但还是有人一针见血:
「别听楼里那帮洁癖的,如果是面向小白用户的话一个弹框授权会让一些用户体感认为“更不安全”。具体想得到有价值的回馈可以去小红书问问」
关于小白用户的这段话,确实很现实。
支国小白觉得授权弹窗烦,确实是会主动让渡自己的权限的,比如:
《教你如何让Win10默认所有软件以管理员身份运行?》https://www.bilibili.com/read/cv9242100/
一开头就这么讲:「经常会跳出“以管理员身份运行”的弹窗,对于肥鱼这种脾气的人来说,一次两次还行,多了就烦了」
可能这个用户不知道,苹果电脑和Linux桌面版不但也有授权弹窗,而且还要求输入密码。Windows授权弹窗不用按密码都嫌烦,那么用苹果电脑和Linux桌面版应该会烦得它砸电脑吧。
这也难怪会有程序员提问该不该利用漏洞,不把“提权请求”告诉用户。
