DCloud_heavensoft
DCloud_heavensoft
  • 发布:2019-06-11 18:23
  • 更新:2019-06-18 09:41
  • 阅读:1247

公告:关于HBuilder运行基座发送测试push信息的问题

分类:HTML5+

6月11日傍晚6点,HBuilder运行基座弹出了测试推送消息,说明如下:

  1. 只影响HBuilder手机运行基座,因为是HBuilder运行基座的appkey信息泄露。和打包发行后的app无关,打包的app的key信息是开发者自己去个推申请的。
  2. 目前我司已经重置了HBuilder运行基座的appkey信息,已经泄露的appkey不会继续危害HBuilder运行基座。
  3. HBuilder运行基座是内置了所有三方sdk的,包括推送sdk,否则Hello H5+、hello uni-app等测试应用将无法在运行基座上运行。这和开发者的app是否开通了push没有关系,这个运行基座并不是开发者的app。开发者配置sdk信息后,必须打包后才能生效。

经过调查,已经找到了发送push的当事人,也联合个推方搞明白了事情原委。
2019年6月11日傍晚,DCloud的一名开发者,qq号951740***,第一次开发推送,向个推联系获取技术支持。
在qq群中,个推技术支持向开发者询问ccid,开发者在HBuilder基座里打印出了基座的ccid,在qq群里发给了个推技术支持。
个推技术支持在未核实开发者身份的情况下,把HBuilder基座的key信息发给了该开发者。
开发者使用HBuilder基座的key信息进行推送测试,发送了4次推送消息。他以为是自己在测试,完全没有想到是群发给了所有HBuilder基座用户。

事发后,我们第一时间联系个推,清空了待发送队列,但仍然有4千多台设备被推送出去。

个推方已经向DCloud书面道歉,并为HBuilder基座的push发送制定了特殊的使用规则,防止以后类似事情再发生。
同时个推内部也封死了mastersecret的获取方式,开发者想获取mastersecret,必须使用注册邮箱来申请重置。杜绝人员泄露mastersecret的可能。

对于懂技术的人,看完经过描述就明白怎么回事了。但仍有不懂技术原理的人,有各种莫名其妙的担忧。
再次强调,此事与DCloud无关,发送行为不是DCloud所为、泄露key信息不是DCloud所为,不是什么实习生或离职员工,也不是系统或产品漏洞,完全不影响开发者对DCloud产品或运营服务的信任。
开发者即使使用原生或其他跨平台开发工具做app,只要使用三方sdk,当三方sdk厂商泄露了你的key信息,就会遇到一样的问题。

开发者也不必担心个推是否会泄露自己的key信息给三方:

  1. HBuilder基座是公开的、可调试的app,这是一个特殊情况。开发者自己做的app,别人拿不到你的ccid,自然无法通过ccid查其他key信息。
  2. 个推内部已经封死了mastersecret的获取方式,开发者想获取mastersecret,必须使用注册邮箱来申请重置。杜绝技术支持人员泄露mastersecret的可能。

不管怎么样,各位开发者一定要保护好自己的各种sdk的账户和key信息,减少泄露的可能。

7 关注 分享
skysowe 段长发 追梦随想 1169707035@qq.com 568417418@qq.com 306816224@qq.com kong_kong

要回复文章请先登录注册

574317128@qq.com

574317128@qq.com

请问下什么时候恢复使用官方的H5+demo 和 HelloH5+APP 的PUSH功能
2019-06-18 09:41
306816224@qq.com

306816224@qq.com

回复 398927951@qq.com:
在群聊的观望和学习比较多,实际开发都不说话的比如我哈哈哈,准备Android上线了,后面再搞 ios/H5/微信3个端(๑•ㅂ•́)و✧
2019-06-13 16:48
849019060@qq.com

849019060@qq.com

嗦嘎,我还以为之前配置的推送在没有用了之后还自动给我推送了,弄得我一愣一愣的.后面想想,自己根本没有用推送,懒得管了.反正是基座的
2019-06-12 17:01
DCloud_heavensoft

DCloud_heavensoft (作者)

回复 1720036678@qq.com:
说了几遍了,HBuilder基座不是你的app,是DCloud打包的app,DCloud打包这个app时已经包含了个推的推送,不然真机运行就会有问题。公告也更新了,你再仔细学习下技术原理吧
2019-06-12 16:36
SimpleJalon

SimpleJalon

回复 1720036678@qq.com:
这是2个问题: 很好理解的哟
1.这个调试基座是官方的 你只要不拿官方的基座去推广给客户, 你的客户就收不到这个提示,只有用官方的这个调试基座才会收到 也就是 hbuilder 这个APK(IOS是收不到的) 说白了 就是hbuilder的 个推推送 密钥信息泄漏导致。

2.为啥说银行卡密码?
密钥信息泄漏就好比你的银行卡密码 我知道了你的银行卡密码 我是不是可以拿你的卡取钱? 就跟这个密钥泄漏一样 我把我的推送的密钥给你了 你是不是就可以给我推送消息了?

## 很好理解的。。 就是官方的密钥泄漏 但是不会影响我们自己正式发布的APP。 因为我几个客户发布的正式版都没收到。
2019-06-12 15:21
1606726660@qq.com

1606726660@qq.com

回复 1720036678@qq.com:
不懂就干一架
2019-06-12 12:03
1720036678@qq.com

1720036678@qq.com

回复 SimpleJalon:
感觉你理解错我意思了,楼下也有说了 没配置过推送 ,也收到了,跟我一样,我也没配置过推送,我连推送SDK都没,谈何泄露? 首先我承认 我开始以为是漏洞被人黑了导致,尽管不影响打包的程序只影响基座。但向没有配置推送的基座发送信息,这应该就是漏洞了吧。而且我不相信官方会发这样的辱骂信息吧。

哪么请问,我使用基座,不是我个人问题(包括泄露推送KEY),我没配置过推送,也没有什么推送的APPKEY,何来泄露,哪就是基座的问题。哪么基座发这些推送给我,辱骂的应该不会出自官方吧。哪不被黑是什么?反正我是完全不懂
2019-06-12 12:00
段长发

段长发

回复 1606726660@qq.com:
第一次的时候,想着说没搞过推送啊,第二次,嘴嗨哥给信息里加了料,咋会事呢马上反应过来应该是测试基座的推送,遇到过缺乏模块的老哥就应该知道,在基座测试没问题,发布出来使用某些功能时提示模块缺失,但是在测试基座弄就没问题,大概是因为测试基座可能把所有模块都添加了,所以即时你没用推送,其实测试基座也添加了。明白过来后,就想者要不是公司测试人员搞出乌龙,要不就是被有心人搞了。
2019-06-12 10:20
398927951@qq.com

398927951@qq.com

那么多的群,感觉uni真用上项目的好像很少
2019-06-12 09:45
SimpleJalon

SimpleJalon

回复 1720036678@qq.com:
你银行卡密码泄露了 你不能说银行不靠谱吧? 你把银行卡密码给我 我给你钱取了 你去找银行 你看人家理你不?
2019-06-12 09:38
1606726660@qq.com

1606726660@qq.com

回复 段长发:
一愣一愣的 哈哈
2019-06-12 09:23
哈哈八百

哈哈八百

回复 蝌蚪:
哦哦
2019-06-12 09:02
skysowe

skysowe

公告的很及时,今天早上一大早收到若干条推送,正疑惑呢,就看到公告了,稳定军心
2019-06-12 08:38
uniapp棒棒的

uniapp棒棒的

回复 1720036678@qq.com:
作者的意思是只影响开发环境,不影响正式运营的环境
2019-06-12 07:49
DCloud_heavensoft

DCloud_heavensoft (作者)

回复 1720036678@qq.com:
你怎么就看不懂呢?你打包的app不会收到这个推送,这个推送是HBuilder运行基座发的!
2019-06-12 00:55
1720036678@qq.com

1720036678@qq.com

回复 DCloud_heavensoft:
但我打包时没选个推 也没勾选任何推送 ,而且我根本就没有推送SDK帐号。为什么会出现这样的辱骂推送信息?
2019-06-12 00:43
DCloud_heavensoft

DCloud_heavensoft (作者)

回复 1720036678@qq.com:
这个和HBuilder没有关系,你换react native也好、原生写也好,只要你用推送sdk,并且key泄露了,就可能出现这个问题
2019-06-12 00:00
1720036678@qq.com

1720036678@qq.com

回复 段长发:
不靠谱,想放弃了。就怕藏着多少未知的 类似这样的东西
2019-06-11 23:35
1720036678@qq.com

1720036678@qq.com

好害怕使用这样的产品,准备换回 react-native 我怕指不定某一天 弄个大的。做产品?你赔不起。居然还能出现辱骂的通知。
2019-06-11 23:34
aiplat点com

aiplat点com

基座今天收到推送,以为是测试发的,原来是漏洞啊。
2019-06-11 21:44
段长发

段长发

臭(。・∀・)ノ゙嗨,搞的我一愣一愣的
2019-06-11 20:58
蝌蚪

蝌蚪

回复 哈哈八百:
我的问题是想要开发者实名认证,系统提示我身份证信息已存在!
2019-06-11 18:42
哈哈八百

哈哈八百

回复 蝌蚪:
兄die,身份证个人认证,uni有接口??
2019-06-11 18:35
蝌蚪

蝌蚪

实名认证提示:身份证信息已存在, 请使用其它证件。如有疑问, 请联系管理员或发送邮件至 service@dcloud.io。
给官方发邮件发了不止3次!都不带回复的?
2019-06-11 18:33
275702298@qq.com

275702298@qq.com

没有配置个推appid等信息也收到了推送
2019-06-11 18:31
哈哈八百

哈哈八百

顶上去
2019-06-11 18:30
568417418@qq.com

568417418@qq.com

推送就算了,咋还能骂人呢,臭hai
2019-06-11 18:26
1606726660@qq.com

1606726660@qq.com

真骚气 脾气暴躁的老哥
2019-06-11 18:25