librelist archives

« back to archive

关于个人数据安全性问题。

关于个人数据安全性问题。

From:
free
Date:
2012-03-21 @ 01:53
个人数据不仅仅是指个人资料,也包括个人的文章、图片等(尽管文章、图片在一
定程度上是开放的)。这里仅针对个人文章和图片。

通常,我们根据id值获取用户的文章或图片,典型的例子是微博的图片上传。
流程如下:
1.在发布微博前,上传一张图片,服务器处理好图片,并返回图片id;
2.输入一些文本信息,点击发布微博(上传文本及图片id);
3.服务器使用文本和图片id,创建一条微博。

显然,这个流程是存在安全漏洞的,这就是图片id。
如果伪造一个图片id,会怎么样呢?

如果这个图片id存在,那么我就使用了别的用户上传的图片做了我的微博图片。
也许这没有什么问题,但如果这张图片是用户私密相册的图片呢?