收藏
回答

关于关联公众号机制的改变,及重大安全风险!

框架类型 问题类型 操作时间 AppID
小程序 Bug 2019-04-04 wxf2269f853778b206

已经发现有人在问这个问题了,官方偷偷的在后台加了个“关联无需确认”的选项,然后默认是开。。


你们加功能可以,但不要静默打开啊喂。


在这个基础之上,我发现在公众号的关联列表里,查看已关联小程序详情的时候,除了可以看到appid,还能看到对面的小程序的登陆邮箱,这是多大的安全风险啊!

相当于我有公众号,随便去搜一个知名小程序,关联(划重点!这里现在不需要小程序的管理员确认了!),然后就能拿到小程序的后台登录账号了!!尽管后面登录还需要扫码,只是暴露个账号而已,但这也是起码的隐私吧。。


回答关注问题邀请回答
收藏

2 个回答

  • Pipin小平
    Pipin小平
    2019-04-05

    你好,关于暴露账号信息的问题,我们会慎重考虑,感谢建议!我们持续优化公众号关联小程序的功能。

    2019-04-05
    有用 1
    回复
  • 老张
    老张
    2019-04-06

    就算你黑进去了?你又能做什么呢?成员管理表里没有你呀。

    2019-04-06
    有用
    回复 4
    • 陈
      2019-04-09

      如果我有你家大门的钥匙,但是没有你卧室的钥匙你会不会慌

      2019-04-09
      回复
    • 老张
      老张
      2019-04-09回复

      这只是相当于小偷知道你家大门有把密码锁,但不知道密码吧(知道邮箱,但不知道密码)。现在智能锁到处都是。

      而且小偷就算知道了密码,还必须用你的手机微信扫描才能开门,小偷还要拿到你的手机。

      就算你用微信扫描开门了,发现主人根本没有给你配权限,你还是进不去。


      总之,这完全没有楼主所说的重大安全风险。

      2019-04-09
      回复
    • 陈
      2019-04-09回复老张

      谁知道有没有破解的方法,安全无小事啊

      2019-04-09
      回复
    • 陈
      2019-04-11回复老张

      看看这个帖子 你说的问题

      2019-04-11
      回复
登录 后发表内容