V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
pulelt
V2EX  ›  问与答

微博现在这么恶心呀?

  •  
  •   pulelt · 2019-03-03 18:44:12 +08:00 · 8460 次点击
    这是一个创建于 2073 天前的主题,其中的信息可能已经有所发展或是发生改变。
    密码改了,双重验证,后台登陆显示设备和地址也是我自己。
    但是莫名其妙会显示给很多人点过赞。
    如果账号被盗用,那登陆 IP 和设备就不是我自己了。
    微博会干这样的事情?
    74 条回复    2019-03-10 12:33:56 +08:00
    1KN6sAqR0a57no6s
        1
    1KN6sAqR0a57no6s  
       2019-03-03 18:47:28 +08:00 via Android   ❤️ 1
    微博一直在干这样的事啊,你被买赞了。要吃饭的嘛。
    pulelt
        2
    pulelt  
    OP
       2019-03-03 18:50:24 +08:00
    @YuxiangLuo 如果是账号被盗可以理解,我今天刚把手机和密码都改了,还加了双重验证。然后一会就出现很多点赞。关键是后台登陆设备和 IP 是我自己。严重怀疑微博干的,但是官方没有理由这么干呀,这太恶心了。
    pulelt
        3
    pulelt  
    OP
       2019-03-03 18:50:43 +08:00
    有没有其他人,也有这种情况?
    codingadog
        4
    codingadog  
       2019-03-03 18:53:53 +08:00 via Android   ❤️ 1
    https://www.v2ex.com/t/396631
    之前我根据这个做了以后貌似没有出现过了
    猜测可能是 http 中间人劫持
    Ley
        5
    Ley  
       2019-03-03 18:54:07 +08:00 via Android
    有的。一直这样。就是这么恶心。
    XOXO360
        6
    XOXO360  
       2019-03-03 18:54:18 +08:00 via iPhone   ❤️ 3
    我还莫名其妙关注人呢,和你一样的情况。
    pulelt
        7
    pulelt  
    OP
       2019-03-03 19:01:22 +08:00
    @codingadog 刚把授权的应用都取消了
    chantan
        8
    chantan  
       2019-03-03 19:39:51 +08:00 via iPhone
    莫名其妙关注其他人一直在...
    tadtung
        9
    tadtung  
       2019-03-03 19:43:13 +08:00 via Android
    @pulelt 不一定是微博的问题,很可能是运营商的问题。。。去年时就被曝光过。
    Ley
        10
    Ley  
       2019-03-03 19:45:14 +08:00 via Android
    @tadtung 运营商没法对加密通信做手脚吧
    gamexg
        11
    gamexg  
       2019-03-03 19:53:43 +08:00
    瑞智华胜涉窃取 30 亿条个人信息:非法牟利超千万元

    http://finance.sina.com.cn/stock/thirdmarket/2018-08-20/doc-ihhxaafz0581317.shtml
    jerryrib
        12
    jerryrib  
       2019-03-03 20:51:36 +08:00 via Android
    有过经历
    anyele
        13
    anyele  
       2019-03-03 20:57:44 +08:00 via Android
    要吃饭的嘛
    botian
        14
    botian  
       2019-03-03 21:01:44 +08:00 via Android
    我也被官方强制去关注和赞,恶心死了
    0o0o0
        15
    0o0o0  
       2019-03-03 21:03:19 +08:00 via Android
    一直都这样。没用过微博,只把微博当图床,登录一看关注了一堆
    jhdxr
        16
    jhdxr  
       2019-03-03 21:07:54 +08:00
    极大多数情况下是运营商线路被劫持(更多的是运营商和某个第三方合作,然后第三方在其中干了一些事情 ← 这个非常非常常见,只是没接触过的人不知道而已),少数情况下是第三方应用动的手脚(并不一定要拿到对应权限。APP 里边的 webview 可以随意操作,所以只要跳转到微博页面让你做个登录,就能顺手去做一些别的事情)

    另外上面说加密通讯的,如果完全是 HTTPS 的,运营商的确没法在用户不知情的情况下动手脚,但是如果是从 HTTP 跳到 HTTPS 就是另外一回事了,这也是为什么有 HSTS 的原因 @Ley


    v2ex 上不少人都是做技术的吧。。。居然能这么直接的下结论,是太菜又太自信吗?
    pulelt
        17
    pulelt  
    OP
       2019-03-03 21:50:07 +08:00
    我去,我把所有第三方应用的授权也取消,还有点赞。
    现在我自己换台电脑登陆都要短信验证。
    这样的还有点赞,除了内部还有什么人能做到?
    eurokingbai2
        18
    eurokingbai2  
       2019-03-03 21:52:45 +08:00
    其实吧。。我一直觉得微博自己都不知道自己有多少 CSRF bug 在被黑产在利用,还要替黑产背黑锅。
    azh7138m
        19
    azh7138m  
       2019-03-03 21:57:06 +08:00 via Android
    @jhdxr 那这么说,我觉得大家都应该安装了 https everywhere。
    一般来说问题不会出在用户侧,SSL 卸载之后出问题那不也是新浪来背这个锅嘛
    pulelt
        20
    pulelt  
    OP
       2019-03-03 21:58:26 +08:00
    @eurokingbai2
    @azh7138m 不管怎么说,微博的技术太弱了
    yingfengi
        21
    yingfengi  
       2019-03-03 22:18:40 +08:00 via Android
    很多人都说遇到过这种情况,不过很奇怪啊,我没遇到过。。。是不是授权了啥?
    guxianbang
        22
    guxianbang  
       2019-03-03 22:56:09 +08:00
    作为微博重度用户,时常会被安排自动给别人点赞。刚才按照 #4 楼的方法设置了,希望能避免点赞事件
    kindjeff
        23
    kindjeff  
       2019-03-03 23:13:21 +08:00
    不要用 PC 登录微博,不知道某个跳转会是 http 而不是 https 的。我的经验就是只要每次在公司网络下用 PC 打开了微博就会有赞和关注。

    当然最好的办法是不用微博。
    Raynard
        24
    Raynard  
       2019-03-04 00:22:26 +08:00
    @pulelt 运营商劫持,cookie
    pulelt
        25
    pulelt  
    OP
       2019-03-04 01:07:08 +08:00
    @jhdxr
    @guxianbang
    @Raynard
    @kindjeff 已经按照 4 楼的方法设置了,然后没有用!刚刚发现继续点赞!
    v2chou
        26
    v2chou  
       2019-03-04 08:21:05 +08:00
    @jhdxr 运营商线路被劫持? 升级下就不会点赞了也是运营商线路被劫持?以前我的也是自动帮别人点赞,然后升级了下就没有点赞了,注意密码没改。
    Jumper
        27
    Jumper  
       2019-03-04 08:33:53 +08:00
    微博,现在就像个号称免费的公共厕所
    echaos
        28
    echaos  
       2019-03-04 08:41:55 +08:00
    很好奇点赞了什么
    zhangxs1989
        29
    zhangxs1989  
       2019-03-04 08:51:12 +08:00 via Android
    把现在两个字去掉
    crack105
        30
    crack105  
       2019-03-04 08:59:43 +08:00
    我也是这样
    Maiiiiii
        31
    Maiiiiii  
       2019-03-04 09:10:26 +08:00
    我之前也是发现异常点赞,然后改密码开二次验证取消应用授权,也还是有点赞,和楼主一样。最后找的微博客服,按照给的链接提示做了一遍,就好了
    jdgui
        32
    jdgui  
       2019-03-04 09:29:25 +08:00
    用脑子想也知道不是微博干的,如果微博干的他需要用你的账号?一条 sql 语句就能点一个亿的赞了,关注量也是他用 sql 就能解决的。何必用你的账号呢?
    大概率是被劫持了,或者你授权的第三方干的
    ladypxy
        33
    ladypxy  
       2019-03-04 09:31:09 +08:00 via iPhone
    微博的 app,如果用左手操作,往下拉的时候很容易点到赞上……
    Jumper
        34
    Jumper  
       2019-03-04 09:32:19 +08:00
    @ladypxy 是的是的,还有知乎那个“下一篇”的快捷箭头,非常容易点广告
    freeze
        35
    freeze  
       2019-03-04 09:34:01 +08:00
    我也是自动点赞
    fcoolish
        36
    fcoolish  
       2019-03-04 09:35:09 +08:00
    微博本来就是一家垃圾公司啊
    hyyou2010
        37
    hyyou2010  
       2019-03-04 09:40:43 +08:00
    微博经常帮我关注营销号
    在法律严明的地方这可能算犯法
    hyyou2010
        38
    hyyou2010  
       2019-03-04 09:45:14 +08:00
    另外,根本不可能是劫持,而是微博有意为之,微博和知乎一样,追求的是市值估值,而不是用户想看什么
    fesky
        39
    fesky  
       2019-03-04 09:46:02 +08:00 via Android
    我也遇到过这问题,手动取消几天不对劲后查记录发现有两个未知登录设备异地登录使用。有点不解的是我居然没收到安全提示和限制,以前异地都会限制使用+强制我改密码的。删除设备+改密码+双重验证后目前正常了
    learnshare
        40
    learnshare  
       2019-03-04 09:55:17 +08:00
    微博被刷,很有可能是本地运营商干的。亲身体验过上海电信的小动作
    greatghoul
        41
    greatghoul  
       2019-03-04 09:59:44 +08:00
    一些排查的方向:

    1. 你有没有微博授权第三方登录,有些第三方会做一些恶心的事 ,比如 https://ghoulmind.com/2012/10/wiznote-sucks/
    2. 排查你浏览器的扩展,以及油猴脚本,看看有没有后台跑请求或者页面的行为,有些 Chrome 很多扩展的权限很大,偷偷拿到你淘宝的消费记录也不是问题,更别说像点赞这些小事了。
    3. 你安装的应用,点赞功能是不是容易误操作,就像楼上说的
    lavenderkissyou
        42
    lavenderkissyou  
       2019-03-04 09:59:59 +08:00
    把现在两个字去掉
    greatghoul
        43
    greatghoul  
       2019-03-04 10:02:05 +08:00
    昨天看到个朋友圈说,路由器警报说有 ip 尝试登录路由器后台密码错误次数过多,一看 ip 是家里的电视的,感觉很有意思。
    pkxutao
        44
    pkxutao  
       2019-03-04 10:04:05 +08:00
    微博不是一直在干这事么?我不用微博的原因就是他们自己“黑”自己,官方自动给用户关注一堆或点赞一堆,在其他产品没看过这么难看的吃相
    rashawn
        45
    rashawn  
       2019-03-04 10:07:01 +08:00 via iPhone
    如果是微博干的 为啥要让用户看到 让被点赞的看到就行了吧
    fengci
        46
    fengci  
       2019-03-04 10:07:32 +08:00
    用过是 cookie 没失效吧
    wolflone
        47
    wolflone  
       2019-03-04 10:10:14 +08:00 via Android
    也遇到过,当时用的 wap 版,很流畅很简洁。后来换 app 了就好很多了
    cszhiyue
        48
    cszhiyue  
       2019-03-04 10:22:06 +08:00
    大多数可能是授权过的第三方应用干的。我之前也是这样。取消全部授权之后就再没出现过了
    zhang1215
        49
    zhang1215  
       2019-03-04 10:23:22 +08:00
    虽然一直说有,但我也没碰到过,可能是我是忠实用户的原因
    youxiachai
        50
    youxiachai  
       2019-03-04 10:29:09 +08:00
    忽然,发现....还是不吐槽了..
    关于这个问题..其实...来总就有说了....知道是什么人干的..但是没法立案..
    jhdxr
        51
    jhdxr  
       2019-03-04 10:48:32 +08:00
    @v2chou 如果你说的是 APP,哪怕是微博自身的官方 APP,那么在我看来你的描述完全合理且符合上面很多人反复提到的运营商劫持。在老版本当中,可能有部分地方使用了 http 请求,导致 cookie 泄露;在新版本中讲对应的请求改到了 https。
    v2chou
        52
    v2chou  
       2019-03-04 10:53:57 +08:00
    @jhdxr 这样子啊 也就离最新版本 app 差一个版本 不知道以后还会不会有
    ily433664
        53
    ily433664  
       2019-03-04 11:31:42 +08:00
    点赞还没啥,有段时间还每天给我自动关注一堆垃圾
    montoyaf
        54
    montoyaf  
       2019-03-04 11:41:54 +08:00 via iPhone
    莫名其妙关注一堆辣鸡营销号才是神操作
    rodjerL
        55
    rodjerL  
       2019-03-04 12:47:10 +08:00 via iPhone
    就是微博干的,莫名其妙关注了一大堆不认识的
    willmok
        56
    willmok  
       2019-03-04 12:48:39 +08:00
    你是不是装了 “微博图床” 这个扩展?
    pulelt
        57
    pulelt  
    OP
       2019-03-04 12:50:34 +08:00
    @willmok 什么授权也没有,什么扩展也没有安装,微博几乎不用。
    mouyase
        58
    mouyase  
       2019-03-04 13:18:54 +08:00
    我的微博账号,无授权无插件,但是会莫名其妙自己发微博,最后发现可能是密码泄露导致的,推荐改一下密码试试。
    windowsuuy
        59
    windowsuuy  
       2019-03-04 13:27:32 +08:00
    微博被冻结,然后申请解冻,填写号码的时候微博一直提示我格式不对,我 tm 还能说什么,11 位数字我实在不知道格式哪里不对了,果断放弃
    AASW2ss
        60
    AASW2ss  
       2019-03-04 13:34:28 +08:00
    运营商的锅,改 DNS 试试
    camillo
        61
    camillo  
       2019-03-04 13:37:52 +08:00
    亲验 在那些说烂了的改密码去授权开验证的基础上 不用 PC 端登陆微博 只用微博&国际版微博 2 个官方客户端 能解决这个问题
    touxigua
        62
    touxigua  
       2019-03-04 13:59:37 +08:00
    很多冷号会变成僵尸号
    我自己的一个冷号就遇到了这个情况
    是新浪的官方僵尸吗?
    dbsquirrel
        63
    dbsquirrel  
       2019-03-04 14:20:36 +08:00 via iPhone
    改密码 解除权限
    最重要的是不要用 pc 登陆 只用手机 app 登陆 一般来讲就不会出现这种情况了
    samaxu
        64
    samaxu  
       2019-03-04 15:01:35 +08:00
    曾经一年内频繁被盗号,问题是我都绑定手机了,而且我是从来不在网页上登录,也不常用,每次都是关注了我的姐姐告诉我的
    难以理解是如何被盗号的,而且按理绑定手机没有手机验证码其他设备也登陆不了啊
    Eugene1024
        65
    Eugene1024  
       2019-03-04 15:47:34 +08:00
    WB 要吃饭的,不发广告,不让你们自动关注,不天天明星,炒八卦,咋吃饭啊
    rooftop64
        66
    rooftop64  
       2019-03-04 16:04:38 +08:00
    JCZ2MkKb5S8ZX9pq
        67
    JCZ2MkKb5S8ZX9pq  
       2019-03-04 16:20:10 +08:00
    运营商劫持吧,看来总提过。微博自己要刷量自己建点假号就完了。
    wsh1108
        68
    wsh1108  
       2019-03-04 16:24:40 +08:00 via Android
    微博啥时候不恶心
    Yoefs
        69
    Yoefs  
       2019-03-04 16:28:05 +08:00
    那不然你以为蔡徐坤、谢娜之流是哪来那么多赞和评论的
    Les1ie
        70
    Les1ie  
       2019-03-04 17:00:55 +08:00
    有没有一种可能 微博首页有 xss 打开某条微博自动点赞 /关注 更坏的可能是已经有写好的 xss 蠕虫了,顺带传染了别人的账号 :)

    毕竟 zhihu 曾经出过这个问题
    willmok
        71
    willmok  
       2019-03-04 18:33:02 +08:00
    @pulelt 我也出现过如述问题。即:在登录记录里出现未知设备,有很多莫名点赞,改密码以及双重验证皆无效。

    后来我把微博图床这个扩展删掉就好了。

    建议:1. 更改 DNS ; 2. 在一个干净(无扩展)的浏览器上登录微博,更改密码试试看。
    shenmegui
        72
    shenmegui  
       2019-03-04 18:43:06 +08:00
    PC 网页版登陆的时候注意一下,这个界面千万别点。

    点了就会给你加一堆关注。
    kinghly
        73
    kinghly  
       2019-03-04 18:45:51 +08:00 via Android
    肯定官方做的,只要是有一段时间没用的号,就会被官方拿来关注 /转发 /点赞等恶心行为
    pulelt
        74
    pulelt  
    OP
       2019-03-10 12:33:56 +08:00
    我连续登陆,取消点赞几天,现在没有了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5498 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 06:53 · PVG 14:53 · LAX 22:53 · JFK 01:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.