海淘

标题: 关于身份证扫描图片的浏览权限设置，问题可能会很严重。 [打印本页]

作者: iske 时间: 2012-8-18 19:43
标题: 关于身份证扫描图片的浏览权限设置，问题可能会很严重。
经过我的不专业测试验证，在客户上传身份证扫描图片后，无需采用任何验证即可浏览身份证扫描图片。
此问题可小可大，如果被别有用心的人盯上，客户的隐私很可能有被泄露，且贵站在根目录下面也没设置robot.txt，所以客户身份证扫描件还存在被搜索引擎索引的风险。
所以为了网站的长远发展，为了客户的隐私，还是希望管理员能重视此问题，修改相应程序代码。

上传过身份证扫描件的童鞋可以采用以下方式验证：
1，注销你的后台登陆状态
2，在浏览器内敲入http://www.qq-ex.com/user/uploads/30997/addressphoto/你的身份证号码.jpg
3，敲回车看看你上传的身份证图片是否显示了。

可以暂时采用的解决方法：
在根目录下设置.htaccess图片防盗链，设置robot.txt禁止搜索引擎索引储存身份证图片的文件夹，综合用户上传时的时间戳、客户id及身份证号码用md5加密图片文件名，但此方法加密后扫描图片依然还是无需任何权限就能被浏览，依然存在被恶意扫描的风险。

建议长远的解决方法：
取消使用绝对地址显示，用php做动态地址，然后结合客户端cookie，如果是未登录或登录超时，则返回一张默认图片。可以参考QQ群空间里用户头像的显示原理。

最直接的解决方式：
设置用户可删除上传身份证图片的机制，用户首次上传身份证图片且人工验证通过后在数据库中储存图片文件的md5值、身份证号码md5值和用户id，用户可选择确认收货后删除服务器中的身份证图片，如果需再次使用快递服务，选择上传跟首次上传相同图片文件，程序只需以用户id为准，验证身份证图片文件的md5值及身份证号码的md5值，若跟首次上传时的匹配即可直接通过验证，这样就可避免客服多次反复验证，同时也保障了客户的隐私安全。

希望管理员能重视此问题，如果管理员想给我点奖励我也不会介意的

作者: 吉祥如意 时间: 2012-8-18 23:21
这个怕怕啊，希望快点解决

作者: windywinter 时间: 2012-8-19 00:13

吉祥如意发表于 2012-8-18 23:21
这个怕怕啊，希望快点解决

不用那么害怕
那个URI里面有两个变量，一个ID一个身份证号，枚举起来一点都不现实。

作者: jvezhi 时间: 2012-8-19 10:44
不管怎么样希望重视，到现在也每个官方人出来说句话？

作者: Alice 时间: 2012-8-19 10:56
你好你的建议已转相关技术负责人了呵呵请大家放心我们采取了安全措施的

作者: iske 时间: 2012-8-19 12:39

windywinter 发表于 2012-8-19 00:13
不用那么害怕
那个URI里面有两个变量，一个ID一个身份证号，枚举起来一点都不现实。 ...

id很眼熟啊，难道是全球搞基交流论坛里那位？

作者: iske 时间: 2012-8-19 12:42

Alice 发表于 2012-8-19 10:56
你好你的建议已转相关技术负责人了呵呵请大家放心我们采取了安全措施的 ...

多谢，希望解决后能给出一个通告。

作者: windywinter 时间: 2012-8-19 13:05

Alice 发表于 2012-8-19 10:56
你好你的建议已转相关技术负责人了呵呵请大家放心我们采取了安全措施的 ...

还有一个，身份证号那里没限制只能是数字和X，可能有安全隐患。

作者: [email protected] 时间: 2012-8-19 15:22
为什么客服的QQ都不回复我，总也不在线，我的单子从官网发出来，现在显示又发回法见人了，有人跟我讲为什么吗~~~~有人在线吗~~~~~~第一次海淘没经验~~~有人可以请教吗
客服编号：UWRF
UPS 单号：1Z606W020351523636

作者: hfviii 时间: 2012-8-21 13:15
顶起来，希望早日提供完整解决方案

欢迎光临海淘 (https://haitao8.com/)