关于 Typecho 主题 Pigeon 造成评论者 QQ 泄露二三事

平时也会去逛逛网友的网站,pigeon 最近遇见的还是比较多的。主题是好主题,官方售价30¥。

但是注意:截止 4.0 2021/10/24 版本,在使用QQ邮箱评论的时候,该主题评论区默认会泄露评论者的QQ号。谨慎评论!!

Typecho 和 WordPress 默认情况下都是隐藏评论者邮箱的,被它突然这么一搞觉得很难接受,在毫不知情的情况下泄露隐私,造成被有心人收集攻击的风险,比如可以对应到邮箱和网站,伪装该站长发表不当言论等。

单独的QQ号或邮箱或网站其实意义也不大,但是这些东西都关联起来还是能针对性的搞一些事情的,甚至本人都有冲动想收集一波。

已经“实名”給开发者反馈了,后续跟进看其如何处理吧。

《关于 Typecho 主题 Pigeon 造成评论者 QQ 泄露二三事》

问题主要是主题开发者直接使用 QQ 头像的 API(非腾讯官方公开)来显示使用数字 QQ 邮箱评论的访客头像,由于主题作者使用的未经任何加密的 API 因此可以直接从头像地址上找到明文的 QQ 数字账号。

也并不是要去为难开发者,这主题样式我看着也顺眼,这泄漏行为也确实影响到我了。

这是一款适用于文字编辑的 Typecho 主题,主题所有的功能都围绕着写作来服务,在简约的外表下可以使文字的优美更加突出,去除所有对阅读干扰的板块!

地址:https://novcu.com/post/typecho-notes/

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

  1. 常瑞 说道:

    牛啊,我都没注意。

    1. 黑鸟 说道:

      也上前一段时间刚好折腾网站头像,对这个比较敏感。

  2. 龙笑天 说道:

    :023: 没有啥其它办法弄 只能图片本地化才能避免 或者直接使用cravatar就行~

    1. 黑鸟 说道:

      觉得吧,自己一个人私用就算了(大不了把它黑名单了),但写出来给他客户等多人一起用性质就不一样了,这严重破坏了该博客系统的隐私规则,破坏圈子里默认标准,解决不了别上线,当然这边也只是牢骚下,如何处理全靠这主题开发者心情了,不改的话踩到这屎只能自认倒霉,路边草地抹一抹擦一擦,继续浪。

  3. 新看客影视 说道:

    影响不是很大!

    1. 黑鸟 说道:

      在外到处浪,踩坑了。

  4. 沉舟侧畔 说道:

    珍爱生命,远离QQ

    1. 黑鸟 说道:

      目前没有好的替代品,继续用着吧。