DCloud_heavensoft
DCloud_heavensoft
  • 发布:2019-06-11 18:23
  • 更新:2019-07-08 17:16
  • 阅读:5281

公告:关于HBuilder运行基座发送测试push信息的问题

分类:HTML5+

6月11日傍晚6点,HBuilder运行基座弹出了测试推送消息,说明如下:

  1. 只影响HBuilder手机运行基座,因为是HBuilder运行基座的appkey信息泄露。和打包发行后的app无关,打包的app的key信息是开发者自己去个推申请的。
  2. 目前我司已经重置了HBuilder运行基座的appkey信息,已经泄露的appkey不会继续危害HBuilder运行基座。
  3. HBuilder运行基座是内置了所有三方sdk的,包括推送sdk,否则Hello H5+、hello uni-app等测试应用将无法在运行基座上运行。这和开发者的app是否开通了push没有关系,这个运行基座并不是开发者的app。开发者配置sdk信息后,必须打包后才能生效。

经过调查,已经找到了发送push的当事人,也联合个推方搞明白了事情原委。
2019年6月11日傍晚,DCloud的一名开发者,qq号951740***,第一次开发推送,向个推联系获取技术支持。
在qq群中,个推技术支持向开发者询问ccid,开发者在HBuilder基座里打印出了基座的ccid,在qq群里发给了个推技术支持。
个推技术支持在未核实开发者身份的情况下,把HBuilder基座的key信息发给了该开发者。
开发者使用HBuilder基座的key信息进行推送测试,发送了4次推送消息。他以为是自己在测试,完全没有想到是群发给了所有HBuilder基座用户。

事发后,我们第一时间联系个推,清空了待发送队列,但仍然有4千多台设备被推送出去。

个推方已经向DCloud书面道歉,并为HBuilder基座的push发送制定了特殊的使用规则,防止以后类似事情再发生。
同时个推内部也封死了mastersecret的获取方式,开发者想获取mastersecret,必须使用注册邮箱来申请重置。杜绝人员泄露mastersecret的可能。

对于懂技术的人,看完经过描述就明白怎么回事了。但仍有不懂技术原理的人,有各种莫名其妙的担忧。
再次强调,此事与DCloud无关,发送行为不是DCloud所为、泄露key信息不是DCloud所为,不是什么实习生或离职员工,也不是系统或产品漏洞,完全不影响开发者对DCloud产品或运营服务的信任。
开发者即使使用原生或其他跨平台开发工具做app,只要使用三方sdk,当三方sdk厂商泄露了你的key信息,就会遇到一样的问题。

开发者也不必担心个推是否会泄露自己的key信息给三方:

  1. HBuilder基座是公开的、可调试的app,这是一个特殊情况。开发者自己做的app,别人拿不到你的ccid,自然无法通过ccid查其他key信息。
  2. 个推内部已经封死了mastersecret的获取方式,开发者想获取mastersecret,必须使用注册邮箱来申请重置。杜绝技术支持人员泄露mastersecret的可能。

不管怎么样,各位开发者一定要保护好自己的各种sdk的账户和key信息,减少泄露的可能。

8 关注 分享
skysowe 段长发 追梦随想 夏虫亦可语冰 5***@qq.com 3***@qq.com kong_kong 阿澡惜

要回复文章请先登录注册

3***@qq.com

3***@qq.com

回复 5***@qq.com :
https://uniapp.dcloud.io/collocation/pages 左下边有35个群,喜欢加哪个?
2019-07-08 17:16
5***@qq.com

5***@qq.com

回复 3***@qq.com :
dcloud有什么群吗?可以 发我下吗?
2019-07-08 13:42
5***@qq.com

5***@qq.com

理解,理解,这开发者自己调试都不知道重新 注册一个个推账号,哈~
2019-07-08 13:42
5***@qq.com

5***@qq.com

请问下什么时候恢复使用官方的H5+demo 和 HelloH5+APP 的PUSH功能
2019-06-18 09:41
3***@qq.com

3***@qq.com

回复 握瑾怀瑜 :
在群聊的观望和学习比较多,实际开发都不说话的比如我哈哈哈,准备Android上线了,后面再搞 ios/H5/微信3个端(๑•ㅂ•́)و✧
2019-06-13 16:48
8***@qq.com

8***@qq.com

嗦嘎,我还以为之前配置的推送在没有用了之后还自动给我推送了,弄得我一愣一愣的.后面想想,自己根本没有用推送,懒得管了.反正是基座的
2019-06-12 17:01
DCloud_heavensoft

DCloud_heavensoft (作者)

回复 1***@qq.com :
说了几遍了,HBuilder基座不是你的app,是DCloud打包的app,DCloud打包这个app时已经包含了个推的推送,不然真机运行就会有问题。公告也更新了,你再仔细学习下技术原理吧
2019-06-12 16:36
SimpleJalon

SimpleJalon

回复 1***@qq.com :
这是2个问题: 很好理解的哟
1.这个调试基座是官方的 你只要不拿官方的基座去推广给客户, 你的客户就收不到这个提示,只有用官方的这个调试基座才会收到 也就是 hbuilder 这个APK(IOS是收不到的) 说白了 就是hbuilder的 个推推送 密钥信息泄漏导致。

2.为啥说银行卡密码?
密钥信息泄漏就好比你的银行卡密码 我知道了你的银行卡密码 我是不是可以拿你的卡取钱? 就跟这个密钥泄漏一样 我把我的推送的密钥给你了 你是不是就可以给我推送消息了?

## 很好理解的。。 就是官方的密钥泄漏 但是不会影响我们自己正式发布的APP。 因为我几个客户发布的正式版都没收到。
2019-06-12 15:21
hhyang

hhyang

回复 1***@qq.com :
不懂就干一架
2019-06-12 12:03
1***@qq.com

1***@qq.com

回复 SimpleJalon :
感觉你理解错我意思了,楼下也有说了 没配置过推送 ,也收到了,跟我一样,我也没配置过推送,我连推送SDK都没,谈何泄露? 首先我承认 我开始以为是漏洞被人黑了导致,尽管不影响打包的程序只影响基座。但向没有配置推送的基座发送信息,这应该就是漏洞了吧。而且我不相信官方会发这样的辱骂信息吧。

哪么请问,我使用基座,不是我个人问题(包括泄露推送KEY),我没配置过推送,也没有什么推送的APPKEY,何来泄露,哪就是基座的问题。哪么基座发这些推送给我,辱骂的应该不会出自官方吧。哪不被黑是什么?反正我是完全不懂
2019-06-12 12:00