这是一个创建于 81 天前的主题,其中的信息可能已经有所发展或是发生改变。
可以手机抓包一下,就能看见小红书 App 的图片(可能包括视频等静态资源)都是使用的 http (纯明文也没有自己的加密),也就是说你的网络提供者可以看见你具体浏览了什么内容。
第 1 条附言 · 81 天前
很多人说静态资源用明文没什么,对普通用户没有影响,不过:
1.小红书主要是图片社区,图片明文等于整个帖子就是明文(小红书以图搜图可以直接精确定位帖子),如果你浏览了自己的帖子,你的账户就可以直接定位到。相当于知乎 微博 豆瓣 贴吧 你浏览的信息都是明文。所以还是比较惊讶的,因为测试了知乎和微博帖子内容无论图片还是文字都是加密的。
2.除了惊讶就是提醒一下,不止是网络运营商,比如你在公共 wifi 访问,或者使用他人热点,刷小红书就等于裸奔了。是需要注意一下的哈,以防别有用心的人利用了。
1.小红书主要是图片社区,图片明文等于整个帖子就是明文(小红书以图搜图可以直接精确定位帖子),如果你浏览了自己的帖子,你的账户就可以直接定位到。相当于知乎 微博 豆瓣 贴吧 你浏览的信息都是明文。所以还是比较惊讶的,因为测试了知乎和微博帖子内容无论图片还是文字都是加密的。
2.除了惊讶就是提醒一下,不止是网络运营商,比如你在公共 wifi 访问,或者使用他人热点,刷小红书就等于裸奔了。是需要注意一下的哈,以防别有用心的人利用了。
 |
101
dosmlp 80 天前
@putaozhenhaochi 理论上运营商可以替换掉图片,直接在 xhs 里发广告
|
 |
103
salmon5 80 天前
|
|
105
salmon5 80 天前
toC 的你可以不考虑 C 的影响,但是要考虑潜在的风险,省几个芝麻绿豆的钱,不值得
|
|
106
dosmlp 80 天前
就不怕被人劫持流量,给你替换成反动图片吗,真要有人这么干够 xhs 喝几壶的了
|
 |
107
IamUNICODE 80 天前
好家伙,那公司其实抓包也能看你摸什么鱼了(还好我不玩小红书)
|
 |
108
leokun 80 天前
被看到无所谓,被篡改影响就很大了
|
 |
110
stone9527 80 天前
就这土壤
|
 |
111
macaodoll 80 天前
图片这种事情没人在乎的,而且得考虑兼容性,真正有用的是 API 接口,你看下,那些都是
|
 |
112
worker201 80 天前  4
楼上好几个傻逼张口就来,说什么 https 也一样想看就看,有本事你们篡改一个 https 请求试试
|
 |
113
wegbjwjm 80 天前 via iPhone
自有大儒来辩经
|
 |
114
mytsing520 PRO CDN 的大客户其实可以不支付 HTTPS 请求费,商务谈判就可以做到,本站里就有好几个用户是这个级别的 CDN 客户
不清楚 XHS 是什么级别的 |
 |
115
Muniesa 80 天前 4
觉得 http 和 https 没区别的太雷人了,https 能做到这么轻松的劫持吗? http 可以靠一些手段变得安全,那也不代表随便搞个 http 就行了
 |
 |
116
catazshadow 80 天前 via Android
Http 光校验签名挡不了重放攻击
还有说“相信”电信可以看 HTTPS 的,你那电信是有量子计算机吗 |
 |
117
mightofcode 80 天前
看来产品做成功跟技术真没太大关系
|
 |
118
Leon777 80 天前
李彦宏:我就说中国人不在乎隐私吧
|
 |
119
camillo 80 天前
小红书 UGC 内容成功,但其余整个平台本身本来就是三脚猫菜鸡水平
|
 |
120
kilotiger 80 天前 3
😅V 站用户水平都参差成这样了,连最基本的技术都不懂,张口就来,https 容易劫持这种话,我只在这个帖子的评论区看过
|
 |
121
obeykarma 80 天前
@Greenm 如果运营商,甚至公共 Wi-Fi 或者公司 Wi-Fi 做 DPI 检测,都可以清晰的做出人物画像,这个用户喜欢哪类东西,多大罩杯,最近在看什么类型的图片,画像后丢给广告联盟甚至诈骗集团
|
 |
122
mht 80 天前
主要还是为了省钱吧,CDN 的 https 请求次数是额外收费的,http 是免费的。。。我的 app ,资讯图片也是直接 http 了,没啥复杂的原因,就是少花点钱。
|
 |
123
smoothsea 80 天前
应该只有部分图是 http 的
|
 |
124
memcache 80 天前
省钱为主,以小红书的流量还是能省不少钱的
|
 |
125
SpencerCJH 80 天前
看了眼 B 站的,全是 HTTPS 请求,websocket 都是 wss 。
|
 |
126
tenserG 80 天前
小红书 CDN 流量和存储费大概会比较吃紧 不过明文传输过分了我以为只有校园网才这样
|
 |
127
HENQIGUAI 80 天前
@freezebreze #42 学习了新算法
|
 |
128
ZhiyuanLin 80 天前
@Chingjyu
> 如果下发的 sha256 也在 http 里被篡改了呢 你这个能被篡改的前提是下发 sha256 也走的是 HTTP 但是小红书这种情况是只有图片、视频之类的 CDN 大文件走了 HTTP 。文字,各种 API 调用都是 HTTPS ,所以通过 SHA256 校验是可以防止运营商篡改投毒的。 |
 |
129
jiangzm 80 天前
瞎几把操心
|
 |
130
labubu 79 天前
web 版本都是 https
|
 |
131
gotonull 79 天前
@freezebreze 学习了新算法
|
 |
132
Chingjyu 79 天前 via iPhone
@ZhiyuanLin 有道理,但 http 就是更容易被篡改,比如说上面提到的重放攻击。而且不一定需要篡改,能看到你看的内容也足够建立一个用户画像了
|
 |
134
naythefirst01 79 天前
@nunterr 那你说个可行性比较高的方案呗
|
 |
136
wefgonujnopu 79 天前
http 速度更快,而且更省钱
|
 |
137
z919126592 79 天前
哪天早上去上班被老板叫去,把前一天带薪拉屎时候,刷小红书的吐槽公司的内容拉出来问怎么回事就老实了
|
|
138
z919126592 79 天前
@z919126592 #137 特指楼上的几个说没问题的人
|
|
139
z919126592 79 天前
@Bananana #62 这是 http 不用证书直接明文,再说也还有大量 app 是没有校验证书的,iOS 上各种代理 app 去广告就是直接 mitm 请求
|
 |
140
duzhuo 79 天前
好搞笑哈哈
|
 |
141
Honghe 79 天前
稳住,阿里正在投资/收购小红书。
|
 |
142
llsquaer 78 天前
没人作恶的情况下,没啥问题。
http 最大的安全问题是中间人攻击。 万一那天浏览器 0day 估计就要跪一大片了。 |
 |
143
Rorysky 78 天前
@putaozhenhaochi 那动态信息用 http 有啥问题,要 https 干啥
|
 |
144
OverflowCat 78 天前
电子前哨基金会 Threat Lab 之前的分析指出,「 Red Note 以明文 HTTP 协议检索发布的内容。由于缺乏基本的传输层加密,我们认为这款应用对任何用户来说都不安全。即使你不在乎数据被传到中国,也不应该使用任何默认不采用加密的应用程序。」
https://www.eff.org/deeplinks/2025/02/crimson-memo-analyzing-privacy-impact-xiaohongshu-aka-red-note P.S. 倒是很方便我抓包 |
 |
145
clancyliu 77 天前
@z919126592 我靠,这事真发生在我身上了
|
|
146
z919126592 77 天前
@clancyliu #145 所以上面说图片资源 http https 无所谓的真的是在搞笑的
|
 |
147
cheng4741 77 天前
@way2create 你选的时候就已经上传了,用来给你推荐音乐,滤镜,标题啥的
|
 |
148
mintist 77 天前
成本和隐私,,,
|
 |
150
ganbuliao 77 天前
公布一下路由器 劫持 http 教程 倒逼一下小红书 :/dog
|
 |
152
Bananana 77 天前
@z919126592 我说小红书的 API 接口,直接能用 Charles 抓包抓到,没说 CDN 。我们的 App 都会做证书验证,防止 mitm ,这么大的公司居然没做
|
|
153
z919126592 77 天前
@Bananana 我也说的 app 的 API 请求啊,常用的网易云豆瓣知乎 b 站,还有 YouTube Spotify 这些 app ,都没有 ssl pinning 啊,大把现成的插件可以 mitm 请求去广告或者无水印下载之类的功能
|
 |
154
way2create 77 天前
@cheng4741 我观感上也挺像这样的 印象有提示什么图片处理中 但我也没去抓包测试
|
 |
155
AkinoKaedeChan 77 天前 via iPhone 1
其实不要以为用 TLS 就安全了,因为这些很多 PCDN 甚至所有节点用同一个证书,证书私钥直接下发到 PCDN 节点,然后你可以把私钥弄出来想干啥就干啥了…
|
 |
157
XiLemon 76 天前 via iPhone
好家伙,那就 rewrite 一下:
^http://(.*).xhscdn.com -> https://$1.xhscdn.com |
 |
158
xiaoyai0322 76 天前
说隐私不重要的,把 vx 朋友圈,抖音点赞什么的都放开
|
 |
160
caokang2011 76 天前
@AkinoKaedeChan 现在 90%以上都是 ECDHE ,你能用私钥破解?
|
|
161
AkinoKaedeChan 76 天前 via iPhone
@caokang2011 我知道有前向安全性不能解密,但是可以中间人;除此之外还能用来绕过一些企业的防火墙,构建一些僵尸网络的通信方式。
|
Select Language