clientkey
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ClientKey基于目前微软公司流行的ACTIVEX技术开发,是专门用来增强网站会员帐号安全性的ACTIVEX控件。
当您的网站使用ClientKey控件后,网站会员的帐号将会与他们所使用的机器相互绑定,绑定后的帐号将不能在非绑定的机器上登陆网站,从而加强了会员帐号的安全性,同时也保护了网站的利益,避免了同一帐号被多人使用。
ClientKey支持Microsoft公司的WINDOWS系列操作系统(Windows 98、Windows 2000家族、Windows XP家族以及Windows 2003家族)。同时应装有Microsoft Internet Explorer 6.0 SP1以上版本的浏览器,在安装了Microsoft Internet Explorer 6.0 SP1后,ClientKey也将同时支持其他使用Microsoft Internet Explorer 内核的第三方浏览器,如MYIE2、腾讯TT等。
由于ClientKey是基于Microsoft公司的ACTIVEX技术开发的WEB前台控件,故使用ClientKey 对网站的后台开发环境没有特殊要求,支持ASP、PHP、JSP、、CGI 等各种开发语言。您可以非常方便的将ClientKey应用到您的网站中。
如果你的QQ是在线状态,那么你用IE内核的浏览器打开腾讯的相关产品登录页面(/或者等),那么会看到如下情况:
它会自动检测登录,这种神奇的技术是clientkey,基于ACTIVEX技术开发(所以说必须在IE内核的浏览器上才能看见上面的效果)。
ClientKey是什么?
ClientKey基于目前微软公司流行的ACTIVEX技术开发,是专门用来增强网站会员帐号安全性的ACTIVEX控件。
当您的网站使用ClientKey控件后,网站会员的帐号将会与他们所使用的机器相互绑定,绑定后的帐号将不能在非绑定的机器上登陆网站,从而加强了会员帐号的安全性,同时也保护了网站的利益,避免了同一帐号被多人使用。
腾讯产品的ClientKey,就是当你在客户端上点击如腾讯朋友,扣扣空间,腾讯微博之类的东西,会跳转到一个网页,在这跳转过程中,链接中的值包含用户账号以及Clientkey,例
如点击腾讯朋友图标,打开的链接会是:
/xiaoyou_clienttop?clientuin=523627970&clientkey=5912599 7A79E9E70969E799F610978708
9636X2D7357124B9EF754**********F,这个ClienyKey就相当于密码,它不是密码,但它的密码的作用一样。
如何拿到ClientKey?
很简单,登录QQ后断掉网,点击腾讯朋友的图标(其它的也行),弹出的网页地址栏的东西就是。
上面说的是拿到自己的ClientKey,要拿到别人的Clientkey就得你自己想办法了。由于腾讯的大部分产品都没有使用SSL加密,你在中间用各种高端的嗅探技术是可以拿到的;趁别人不在,在她的电脑上点两下,拿到那个key也可以;花言巧语骗美女把那个地址复制粘贴给你也行。总之只要你想,绝对拿的到。
拿到ClientKey能干什么?
ClientKey和密码的作用一样,你说能干什么?能看加密QQ空间,加密的相册,能看QQMail (设置二次登录密码就不行了),腾讯朋友,腾讯微博,反正绝大多数腾讯的网页都可以以她的身份登录进去。
当然Tenpay是不行的,财付通应该和它没有共用一套鉴权。
再谈腾讯Clientkey
腾讯服务器针对一个账号,一次分发一个Clientkey,但可以同时接收不同的Clientkey,处理方式都是当作合法用户登录。
Clientkey的有效时间应该在30分钟以上(我自己就测试了那么长时间),反正我觉得这么长时间是很危险的。
如果此Clientkey能够用到腾讯的手机财付通上面,那么你Tenpay里的余额与一点通绑定的银行卡里的钱消失,绝对不是没有可能。你如果跟我提有个支付短信验证码的问题,那就多说几句,只要能够登录你的账户,短信验证码都是云。
具体操作如下:为手机里面放一个同步软件(s60的蜡笔同步,不要说这个很难,网秦飞流当年也上过好多手机),即时同步收到的短信,你的短信铃声还没响完,短信早已经同步网页上,人家输完验证码,估计你才打开短信,等你看完,钱已经没了。关于财付通的安全问题,请看我昨天的文章《财付通安全性问题》。
当然这一块也是自己瞎想的,如果要真的操作起来,也得费点功夫。但这些问题如果你真的忽视了,后果会很严重的。毕竟很多人是想要搞死你腾讯。
要想解决这个问题,对于腾讯来讲真费不了多少。花钱买平安,所有登录服务全部启用https;要不你就把那个ClientKey有效时间再放小一点或者干脆使用一次性ClientKey,我个人觉得这一点可能不好操作,时间太短或者使用一次性的ClientKey会严重影响用户体验,最直接的结果就是导致用户需要频繁登录。不过腾讯是全中国人才储备最多的企业,发射个探月飞船都不是个小case,解决这个问题嘛,自然也不验。
PS:对于腾讯在微博和说说上的小动作,你的地盘你作主,我没什么好说的。但作为国内最大的互联网企业,你丫肚量太小了。
盗取clientkey 破解QQ加密空间,QQ加密相册。
对于别人加密的QQ空间及相册,我们都十分有好奇心,也想尝试去破解,无奈网络上的那些办法都已过时,现在想破解出密码真是比登天还难。那么现在有什么办法可以破解加密
的QQ空间和相册呢?其实我们完全没必要去破解出密码,因为我们可以绕过加密,直接观看对方的QQ空间及相册里的内容。
我们只需要拿到对方的clientkey就可以了,在已经运行QQ的电脑上,运行自己的盗取clientkey程序,就会取clientkey发送到我们的邮箱里。
我们把整个网址复制到IE浏览器中打开,是不是已经绕过对方的密码直接进入到了空间中?OK,现在我们的权限和对方自己登录是一样的,我们可以删除、修改空间中的任意文章或
图片。此外,用这种方法我们还可以登录对方的QQ校友、MYQQ等服务,只要得到访问网址就可以了
/showaccount?ptlang=2052&clientuin=(QQ号码)&clientkey=(clientkey) (QQ邮箱)
/qqshow?clientuin=(QQ号码)&clientkey=(clientkey)&opuin=(QQ号码)&ptlang=2052&ADUIN=(QQ号码)
&ADSESSION=1254209494&ADTAG=CLIENT.QQ.2515_MyTip.0 (QQ秀)
/jump?ptlang=2052&clientuin=(QQ号码)&clientkey=(clientkey)&u1=http%3A%2F%%2F(QQ号码)%3FADUIN=(QQ号码)%26ADSESSION=1254209494%26ADTAG=CLIENT.QQ.2515_MyTip.0 (QQ空间)
/client_jump?clickid=3&clientuin=(QQ号码)&touin=(QQ号码)&clientkey=(clientkey)&ADUIN=(QQ号码)
&ADSESSION=1254209494&ADTAG=CLIENT.QQ.2515_MyTip.0 (拍拍卖家)
/client_jump?clickid=6&clientuin=(QQ号码)&touin=(QQ号码)&clientkey=(clientkey)&ADUIN=(QQ号码)
&ADSESSION=1254209494&ADTAG=CLIENT.QQ.2515_MyTip.0 (拍拍买家)
/qqmail?Fun=clientread&ADUIN=(QQ号码)
&ADSESSION=iii&ADTAG=jjj&clientuin=(QQ号码)&clientkey=(clientkey)