V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
lyoume
V2EX  ›  问与答

QQ 聊天图片未加密 , 且 URL 中包含 QQ 号 , 是什么原因没有加密?

  •  
  •   lyoume · 2020-02-20 13:40:33 +08:00 · 5064 次点击
    这是一个创建于 1763 天前的主题,其中的信息可能已经有所发展或是发生改变。

    群聊和私聊都可以抓包看到图片的 URL , 且可以直接 GET 访问看到图片内容

    自己发送的图片没抓到 , 只抓到接收的群聊和私聊图片

    目前是在 QQ for Mac 端(App Store 下载的最新版)抓取到的 , 其他平台尚未测试


    私聊抓包截图: https://imgur.com/99QaPun

    群聊抓包截图:

    https://imgur.com/8crXVfM

    https://imgur.com/orKmzYj

    隐私已打码 , 图中的 IP 地址都属于 gchat.qpic.cn , 且该域名属于腾讯


    相关内容:

    2017 年 V2 就有用户提出了这个问题 , https://www.v2ex.com/t/362222

    https://www.zhihu.com/question/303715433/answer/542685038


    这是否造成了隐私与安全问题? 是什么原因至今尚未得到解决?
    25 条回复    2020-08-02 11:07:11 +08:00
    wpblank
        1
    wpblank  
       2020-02-20 14:48:46 +08:00
    我加的一个群就有防撤回机器人,有人撤回图片的话,他就把撤回的图片 url 复读一遍 2333
    xmi
        2
    xmi  
       2020-02-20 14:55:43 +08:00 via Android
    @wpblank 那就是说本地没了,服务器上还有副本
    dototototo
        3
    dototototo  
       2020-02-20 16:13:09 +08:00 via Android
    @xmi 是必须要有。
    fancy111
        4
    fancy111  
       2020-02-20 16:17:31 +08:00
    你不会以为加密了就安全了吧?
    subpo
        5
    subpo  
       2020-02-20 16:20:27 +08:00
    我有一个朋友想看原图
    yghack
        6
    yghack  
       2020-02-20 16:25:36 +08:00
    微信的图片视频也是这样
    ysc3839
        7
    ysc3839  
       2020-02-20 16:27:01 +08:00
    可能是故意不上 https 省钱?
    Mitt
        8
    Mitt  
       2020-02-20 16:43:26 +08:00
    @fancy111 问题在于如果不加密 运营商或者你同局域网的人就可以根据你的图片链接知道你的 QQ 号码,还可以截取你的图片,https 防的不是服务商,是中间人
    lijun00326
        9
    lijun00326  
       2020-02-20 16:43:31 +08:00
    @fancy111 比不加密的话能被看得底裤都不剩好得多吧
    lxk11153
        10
    lxk11153  
       2020-02-20 17:06:42 +08:00
    私聊的是啥图?我有一个朋友想看原图+1
    Love4Taylor
        11
    Love4Taylor  
       2020-02-20 17:48:06 +08:00 via Android
    所以只能全局代理了
    dremy
        12
    dremy  
       2020-02-20 19:52:40 +08:00 via iPhone
    为了中间商更方便吧……反正隐私对他们来说都不值钱
    Raynard
        13
    Raynard  
       2020-02-20 19:54:37 +08:00
    故意的,

    你懂的。
    Buges
        14
    Buges  
       2020-02-20 19:56:23 +08:00 via Android   ❤️ 1
    本着不对第三方泄漏数据的原则,买个腾讯云小鸡挂代理上 QQ 吧。
    20150517
        15
    20150517  
       2020-02-20 20:10:32 +08:00
    故意的,运营商规定群图片必须要能读取,然后腾迅只能用这办法
    zzkde
        16
    zzkde  
       2020-02-20 20:30:27 +08:00
    之前用 arp 欺骗抓包的时候也发现了,挺好奇的...
    lyoume
        17
    lyoume  
    OP
       2020-02-20 21:03:58 +08:00
    @20150517 15# 很奇怪的规定 , 并且私聊的图片也未加密 , 如果有必要不如直接去腾讯数据库拷贝?
    lyoume
        18
    lyoume  
    OP
       2020-02-20 21:38:01 +08:00
    @subpo @lxk11153 #5 #10 我差点想把图片发到 QQ 然后抓包把链接发给你们的朋友了
    相关线索 https://send.firefox.com/download/42147d7518879982/#9eitEatQP3hEVV-Lx_shLA
    QUIOA
        19
    QUIOA  
       2020-02-20 22:03:34 +08:00 via Android
    你想咋利用
    lxk11153
        20
    lxk11153  
       2020-02-20 22:10:22 +08:00
    @lyoume #18 我朋友看了后表示需要那个牌号,谢谢
    ddsfeng
        21
    ddsfeng  
       2020-02-20 22:46:42 +08:00
    @lyoume 你可以试一下把 URL 中的 QQ 号改成任意一个数字, 一样可以正常访问那张图片.

    URL 中后面的那段 类似 UUID 的才是关键, 前面的数字, 只能说是为了某种目的, 把 QQ 号拼上去了而已.
    594duck
        22
    594duck  
       2020-02-21 06:20:20 +08:00 via iPhone
    抓你方便
    gavindexu
        23
    gavindexu  
       2020-02-21 09:31:33 +08:00 via iPhone
    审查用?可以快速知道是谁发的图,那直接转发是什么效果呢?
    BrettD
        24
    BrettD  
       2020-02-21 13:52:26 +08:00 via iPhone
    公司企业网络的聊天软件内容监控系统就是利用这些来收集记录员工聊天内容的
    roadwide
        25
    roadwide  
       2020-08-02 11:07:11 +08:00
    现在已经加密了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3372 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 11:19 · PVG 19:19 · LAX 03:19 · JFK 06:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.