DCloud_heavensoft
DCloud_heavensoft
  • 发布:2019-06-11 18:23
  • 更新:2019-07-08 17:16
  • 阅读:5282

公告:关于HBuilder运行基座发送测试push信息的问题

分类:HTML5+

6月11日傍晚6点,HBuilder运行基座弹出了测试推送消息,说明如下:

  1. 只影响HBuilder手机运行基座,因为是HBuilder运行基座的appkey信息泄露。和打包发行后的app无关,打包的app的key信息是开发者自己去个推申请的。
  2. 目前我司已经重置了HBuilder运行基座的appkey信息,已经泄露的appkey不会继续危害HBuilder运行基座。
  3. HBuilder运行基座是内置了所有三方sdk的,包括推送sdk,否则Hello H5+、hello uni-app等测试应用将无法在运行基座上运行。这和开发者的app是否开通了push没有关系,这个运行基座并不是开发者的app。开发者配置sdk信息后,必须打包后才能生效。

经过调查,已经找到了发送push的当事人,也联合个推方搞明白了事情原委。
2019年6月11日傍晚,DCloud的一名开发者,qq号951740***,第一次开发推送,向个推联系获取技术支持。
在qq群中,个推技术支持向开发者询问ccid,开发者在HBuilder基座里打印出了基座的ccid,在qq群里发给了个推技术支持。
个推技术支持在未核实开发者身份的情况下,把HBuilder基座的key信息发给了该开发者。
开发者使用HBuilder基座的key信息进行推送测试,发送了4次推送消息。他以为是自己在测试,完全没有想到是群发给了所有HBuilder基座用户。

事发后,我们第一时间联系个推,清空了待发送队列,但仍然有4千多台设备被推送出去。

个推方已经向DCloud书面道歉,并为HBuilder基座的push发送制定了特殊的使用规则,防止以后类似事情再发生。
同时个推内部也封死了mastersecret的获取方式,开发者想获取mastersecret,必须使用注册邮箱来申请重置。杜绝人员泄露mastersecret的可能。

对于懂技术的人,看完经过描述就明白怎么回事了。但仍有不懂技术原理的人,有各种莫名其妙的担忧。
再次强调,此事与DCloud无关,发送行为不是DCloud所为、泄露key信息不是DCloud所为,不是什么实习生或离职员工,也不是系统或产品漏洞,完全不影响开发者对DCloud产品或运营服务的信任。
开发者即使使用原生或其他跨平台开发工具做app,只要使用三方sdk,当三方sdk厂商泄露了你的key信息,就会遇到一样的问题。

开发者也不必担心个推是否会泄露自己的key信息给三方:

  1. HBuilder基座是公开的、可调试的app,这是一个特殊情况。开发者自己做的app,别人拿不到你的ccid,自然无法通过ccid查其他key信息。
  2. 个推内部已经封死了mastersecret的获取方式,开发者想获取mastersecret,必须使用注册邮箱来申请重置。杜绝技术支持人员泄露mastersecret的可能。

不管怎么样,各位开发者一定要保护好自己的各种sdk的账户和key信息,减少泄露的可能。

8 关注 分享
skysowe 段长发 追梦随想 夏虫亦可语冰 5***@qq.com 3***@qq.com kong_kong 阿澡惜

要回复文章请先登录注册

段长发

段长发

回复 hhyang :
第一次的时候,想着说没搞过推送啊,第二次,嘴嗨哥给信息里加了料,咋会事呢马上反应过来应该是测试基座的推送,遇到过缺乏模块的老哥就应该知道,在基座测试没问题,发布出来使用某些功能时提示模块缺失,但是在测试基座弄就没问题,大概是因为测试基座可能把所有模块都添加了,所以即时你没用推送,其实测试基座也添加了。明白过来后,就想者要不是公司测试人员搞出乌龙,要不就是被有心人搞了。
2019-06-12 10:20
握瑾怀瑜

握瑾怀瑜

那么多的群,感觉uni真用上项目的好像很少
2019-06-12 09:45
SimpleJalon

SimpleJalon

回复 1***@qq.com :
你银行卡密码泄露了 你不能说银行不靠谱吧? 你把银行卡密码给我 我给你钱取了 你去找银行 你看人家理你不?
2019-06-12 09:38
hhyang

hhyang

回复 段长发 :
一愣一愣的 哈哈
2019-06-12 09:23
喜欢技术的前端

喜欢技术的前端

回复 蝌蚪 :
哦哦
2019-06-12 09:02
skysowe

skysowe

公告的很及时,今天早上一大早收到若干条推送,正疑惑呢,就看到公告了,稳定军心
2019-06-12 08:38
uniapp棒棒的

uniapp棒棒的

回复 1***@qq.com :
作者的意思是只影响开发环境,不影响正式运营的环境
2019-06-12 07:49
DCloud_heavensoft

DCloud_heavensoft (作者)

回复 1***@qq.com :
你怎么就看不懂呢?你打包的app不会收到这个推送,这个推送是HBuilder运行基座发的!
2019-06-12 00:55
1***@qq.com

1***@qq.com

回复 DCloud_heavensoft :
但我打包时没选个推 也没勾选任何推送 ,而且我根本就没有推送SDK帐号。为什么会出现这样的辱骂推送信息?
2019-06-12 00:43
DCloud_heavensoft

DCloud_heavensoft (作者)

回复 1***@qq.com :
这个和HBuilder没有关系,你换react native也好、原生写也好,只要你用推送sdk,并且key泄露了,就可能出现这个问题
2019-06-12 00:00