慎用PTT这类辅助软件

Rhilip 2018-03-23 PM 1578℃ 0条

慎用PTT(PT-Tool)这类辅助软件。除非你能保持定期修改密码和Passkey的好习惯。

类别指:

  • 代码不开源或无第三方审查,纯粹依赖于开发者个人自觉
  • 使用Cookies(或者账号密码形式)获取用户信息,拥有完全站点访问权限(部分站点设有二次验证或对敏感操作需要二次密码验证等除外)

PTT使用截图(v2.0.1)

ptt.png

以下为贴吧质疑帖及作者宣传贴:


以下为原文

1、软件自身

该软件目前并不是完全开源状态。
给大家的也是编译完后的程序。
虽然有原作者保证,但是万一存在源代码投毒或者编译投毒的情况那?
各位的PT账号是自己辛苦求来的,还请为自己的账号安全性多做考虑。(部分有二次验证的站除外)
至少目前就这软件的功能上讲,没什么必要。
聚合搜索的教程吧里小吧也整理过很多,数据展示各站有流量条,
自己真心在意自己的数据增长,拿个Excel表格记录也好。(然而你玩就了就知道数据只是浮云

此外我个人对E语言编写的任何程序都不放心!

2、Cookies问题

别说目前用的是浏览器用来登录抓cookie没什么关系。
一方面,该软件在根目录明文存储站点Cookies信息,并未进行任何混淆加密,可能存在文件被盗取上传的可能;
另一方面,NexusPHP系的logout只是把你本地浏览器的cookies给清除而已,如果你在退出后冒用原来的Cookies,仍然可以直接使用。只有修改账号密码后才能彻底弃用掉原有的Cookies。
以下为原版代码。分别是NexusPHP登陆和登出的函数。

  • 登陆设置Cookies并以此识别用户信息

login.jpg

  • 登出只将用户Cookies从浏览器中清除

logout.jpg

3、作者本身态度

我个人记得该软件作者曾在Pt吧发布过帖子宣传该软件,但是对于帖子中要求开源以及对软件安全性质疑的楼层均未给予明确回复。且在本人质疑后直接删除该贴(update:据作者回复只是因为初版只是小规模公开)。另据他人告知,原来该软件曾在群内有过源代码公开,但目前已删除,只有成品。(update: 目前群内有学习代码公开,但学习代码并不代表成品代码,同时也不能代表编译结果。

标签: PT, ptt, cookies, nexusphp

非特殊说明,本博所有文章均为博主原创。

评论啦~