LV. 30
GP 5k

【密技】回覆後這張圖片會變成你的職業(新增說明

樓主 深海異音 hbl917070
299 -




回覆這篇文章後
長頸鹿就能夠猜出你的職業跟種族





這是原始碼,用golang寫的


下面是原理簡述

使用者用瀏覽器開啟網頁時,其實就是用瀏覽器向網頁伺服器發出請求,包含圖片也都是請求
假設一個裡面只有3張圖片,沒有其他任何東西的網頁
那麼瀏覽器開啟這個網頁,就是對伺服器發出4次請求(網頁x1+圖片x3)

用瀏覽器開啟網頁(訪問伺服器)時,會把一些無關隱私的基本資料也送給對方瀏覽器
像是IP還有使用者目前使用的設備與瀏覽器類型
這樣對方伺服器才能知道要回應什麼網頁
舉例來說,同樣是巴哈的網址,用電腦開就會變成電腦版網頁,用手機看則是手機版網頁
就是因為開啟巴哈的時候,瀏覽器就已經把自己「是不是手機」的這個訊息送給巴哈的伺服器
不過當然啦,這些資料很容易偽造,純粹給伺服器參考用

利用這個特性就能做出這種特殊圖片
當使用者開啟這張圖片後,根據使用者送到伺服器的IP
跟這篇文章每一層樓的IP進行比對,就能猜出是哪一個使用者
不過巴哈只顯示IP的前3個數字,而且家用電腦還有手機4G網路,通常都是浮動IP
所以準確性不是100%,只有回文的當下能夠準確猜出來
過個一天,甚至是幾小時後,可能就會猜錯

現在能這樣做的網站也不多了
通常網站會先用自己的伺服器去讀取圖片,然後才回傳給使用者看,這樣有2個好處
1、安全性比較高,避免使用者隱私外洩
2、在伺服器先行壓縮圖片,避免造成使用者流量負擔

不過其實發這篇文我還挺猶豫的
雖然這不是什麼漏洞,純粹是對伺服器有點基礎都會知道的概念
但確實透過這種方式,就能知道任何一個巴哈使用者的IP
還挺多人回應這篇文章的,但都沒有人反映這個問題
所以還是提醒一下,有這樣的風險存在
任何一個非巴哈姆特圖床的圖片,都是如此

以防萬一我在這邊澄清一下,這張圖片沒有記錄任何資料
原始碼就上面那個GitHub
雖然每個人都能看到自己的職業
但在我這邊我除了我自己是妖精初心者外,什麼都不知道

299
-
未登入的勇者,要加入討論嗎?
板務人員:

7537 筆精華,08/18 更新
一個月內新增 21
歡迎加入共同維護。


face基於日前微軟官方表示 Internet Explorer 不再支援新的網路標準,可能無法使用新的應用程式來呈現網站內容,在瀏覽器支援度及網站安全性的雙重考量下,為了讓巴友們有更好的使用體驗,巴哈姆特即將於 2019年9月2日 停止支援 Internet Explorer 瀏覽器的頁面呈現和功能。
屆時建議您使用下述瀏覽器來瀏覽巴哈姆特:
。Google Chrome(推薦)
。Mozilla Firefox
。Microsoft Edge(Windows10以上的作業系統版本才可使用)

face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】