平时也会去逛逛网友的网站,pigeon 最近遇见的还是比较多的。主题是好主题,官方售价30¥。
但是注意:截止 4.0 2021/10/24 版本,在使用QQ邮箱评论的时候,该主题评论区默认会泄露评论者的QQ号。谨慎评论!!
Typecho 和 WordPress 默认情况下都是隐藏评论者邮箱的,被它突然这么一搞觉得很难接受,在毫不知情的情况下泄露隐私,造成被有心人收集攻击的风险,比如可以对应到邮箱和网站,伪装该站长发表不当言论等。
单独的QQ号或邮箱或网站其实意义也不大,但是这些东西都关联起来还是能针对性的搞一些事情的,甚至本人都有冲动想收集一波。
已经“实名”給开发者反馈了,后续跟进看其如何处理吧。
问题主要是主题开发者直接使用 QQ 头像的 API(非腾讯官方公开)来显示使用数字 QQ 邮箱评论的访客头像,由于主题作者使用的未经任何加密的 API 因此可以直接从头像地址上找到明文的 QQ 数字账号。
也并不是要去为难开发者,这主题样式我看着也顺眼,这泄漏行为也确实影响到我了。
这是一款适用于文字编辑的 Typecho 主题,主题所有的功能都围绕着写作来服务,在简约的外表下可以使文字的优美更加突出,去除所有对阅读干扰的板块!
地址:https://novcu.com/post/typecho-notes/
不知道其他主题测了没,都已经修复了该删帖了
对普通用户可能无感,对别有用心的人来说泄露确实会给QQ号主人带来一些烦恼,比如类似Spam之类的骚扰。
不过QQ自身也好多API鉴权不严谨泄露业务关联号的。
麻烦顺便测评下,handsome,Cuteen, Twitter等一些列主题。
也接受批评,下个版本我注意下这个问题。
用户登陆账号,用户QQ号是非常具体非常隐私的东西,被不合理利用的可能性较大,期待大佬改善,是很棒的主题
不正常,不应该直接客户端用那个API获取头像,邮箱获取QQ也可以直接服务器上获取再输出,或者如果没有好的解决方案除非明确告知访客不然就不应该使用。
首先这些博客系统默认不会泄露访客邮箱,其次有解决办法可以不泄露,至少本人反感这种泄露。
我看你是闲的蛋疼
是有点了
作为站长作为主题开发者,还是不能只考虑自己的情况,毕竟网站是对外的得为访客用户想想。
有些主题作者做大版本升级时,可能漏写了隐私安全方面的代码吧
功能酷炫,应该是大佬忽视了或者没有意识到隐私安全的重要性吧。
我现在用的就是这个主题。
那怎么办啊。
我自己也不会改主题。
就想简单的写东西
不懂 typecho,不会改,对你自己没有影响的啦,或许只有我在意了,但我依然坚持这是一种很没有职业操守的行为。
奥
牛啊,我都没注意。
也上前一段时间刚好折腾网站头像,对这个比较敏感。
觉得吧,自己一个人私用就算了(大不了把它黑名单了),但写出来给他客户等多人一起用性质就不一样了,这严重破坏了该博客系统的隐私规则,破坏圈子里默认标准,解决不了别上线,当然这边也只是牢骚下,如何处理全靠这主题开发者心情了,不改的话踩到这屎只能自认倒霉,路边草地抹一抹擦一擦,继续浪。
影响不是很大!
在外到处浪,踩坑了。
珍爱生命,远离QQ
目前没有好的替代品,继续用着吧。