微時代

阿里技術喊冤:阿里是真的屏蔽了來自微信的請求嗎?

2015/5/11 16:55:52 / 來源: / 點擊: 0

今天發現在阿里內網有同學說微信雖然仍在屏蔽淘寶鏈接,但是屏蔽的描述卻發生了變化。 之前是這樣的: 現在卻變成了下面這個樣子: 微信之前的那番描述,讓很多人認為是阿里巴巴出于商業目的屏蔽了微信;然而現在微信突然改變了原來的描述,讓很多人產生了困惑。考慮連很多阿里內部的同學都不了解當年的真實情況,作為在阿里全程參與并見證屏蔽事件的技術男,我想談談我所經歷的屏蔽事件,把這真實的歷史還原給大家,誰是誰非,自有大家評說。 大概在2013年,正是微信電商初起的時候,也正是阿里和微信誰都沒有“屏蔽”誰的時候。但我們收到了一些關于安全問題的用戶反饋,經過分析,我們發現這些信息犯罪的手段是標準的釣魚。 具體來說是這樣的:把阿里的頁面代碼copy過去,搭建一個跟阿里毫無關系的網站,然后把鏈接放到微信上,打開以后就像下面這樣: 這個頁面跟手機淘寶登錄頁面沒有任何區別,但是其實呢,它是我自己搭建的一個頁面。微信中沒有辦法區分真正的淘寶頁面和釣魚頁面,盡管現在的微信有了查看網頁主域名的功能,這是一個非常有意義的進步,但是這仍然只有少數非常謹慎的用戶才會留意到。 當下拉這個釣魚頁面時,會出現一行小字,網頁由 10.2.43.130 提供。假如你在這個釣魚頁面輸入了用戶名和密碼,這些數據都會被釣魚網站獲取到,那么你的賬戶和密碼就會被人盜走。 盡管當時微商量不大釣魚的量也不大,但是對于單個用戶來說,被盜號是不可接受的損失,當然也出于避免微商逐漸把淘寶變成純貨架的入口商業競爭考慮,當時的產品總監和我們技術團隊一起做了一個方案,在內部叫做杜鵑計劃。 杜鵑計劃當然不是屏蔽微信訪問,而是當用戶在微信中打開淘寶鏈接,就直接利用喚起協議喚起淘寶客戶端,讓用戶在淘寶客戶端中打開相應的頁面。 可是沒過多久,我想應該是微信出于入口競爭因素考慮,做出了回應:他們在微信webview中屏蔽了喚起協議,導致用戶仍然能看到手機淘寶登錄頁面,卻不能通過手機淘寶客戶端訪問寶貝。 在微信的安全問題未能解決,又屏蔽了喚起手機淘寶應用的功能的情況下,手機淘寶只好采取了服務端邏輯,就是把所有來自微信訪問的請求重定向到了下載頁。而對用戶而言,他們的體驗就是在微信點擊淘寶鏈接,只能止步于手機淘寶下載頁面,而不能進入淘寶客戶端去訪問寶貝,購物行為只能被迫中止。只有去手機淘寶客戶端才能進行購物。所以在用戶看來,這基本上就是被判定為“淘寶屏蔽了微信”。 那么現在再來看13年出現的這個文章就能看的明白背后的原因了。其實我們也是挺無奈的。我們寧愿讓用戶無法從微信直接跳轉到淘寶訪問商品和店鋪,也不能讓用戶的賬戶密碼被盜。 然而因為下載頁面仍然會把一部分用戶帶向淘寶,所以微信又屏蔽了手機淘寶下載頁中的下載鏈接,手機淘寶前端團隊試圖使用短鏈的方式繞開微信的屏蔽,不料繞開幾個小時后,還是被微信屏蔽了。 之后微信團隊可能是玩膩了貓捉老鼠的游戲,干脆攔截了所有阿里域名的請求,直接不予訪問阿里的服務器了。其實本來作為一家商業公司,尤其是微信并非瀏覽器這樣的開放性產品(這一點上,還是很佩服騰訊,雖然微信屏蔽了手機淘寶,同一家公司的騰訊瀏覽器還是跟手淘合作的非常緊密),屏蔽淘寶訪問也無可厚非。但是我們發現了一件非常掉節操的事情,微信竟然自己做了一個頁面,冒充阿里巴巴屏蔽了微信,也就是他們這次改變描述之前的頁面。 但請注意看,“網頁由 support.weixin.qq.com 提供”這幾個字。從這個域名我們可以很清楚地知道,這個頁面來自微信團隊。用戶的請求甚至完全沒有到達過阿里巴巴的任何服務器,所以這個阿里巴巴“屏蔽”的罪名實在是被判得非常無奈。 實際上,對用戶最好的選擇是微信打開阿里的頁面,允許用戶在微信里安全地完成淘寶購物。但是,微信現在對網站域名安全的處置仍然太弱,如果微信能解決安全問題,我們非常樂意讓用戶在微信中完成交易流程。 我們公司的法務已經正式與騰訊書面交涉,請微信改變之前的不實描述,并解除對我們阿里的屏蔽,微信收到交涉以后改了屏蔽描述,但沒有其它動作。我個人還是希望微信方面能夠多以用戶安全和用戶感受出發,解決這個問題。 最后再提醒各位用戶一句,你在網頁中輸入任何用戶名和密碼之前,請務必確認您使用的軟件和網頁鏈接的提供者雙方都可信,莫給任何釣魚網站可乘之機。

上一篇:從微信產品邏輯,看58為何選錯靠山
下一篇:“微信十條”正式頒布:微信自媒體迎來政府首輪嚴管

分享到: 0
辉柏嘉和酷喜乐