#程序员
支持微信扫码登录的应用经常会有这个漏洞:你可以将当前页面的二维码发送给其他人,被扫码之后,对方的账号就是你的了。原理很简单:
1)如果你接入的是微信开放平台,扫码登录的时候,你的手机会收到一条通知,提醒你正在登录 xx 应用,相对是安全的。
2)但很多应用为了引导用户关注自己的公众号,会采用「关注了公众号就自动登录」的方式完成接入,大致过程:用户扫码(携带 uuid)→ 微信关注 → 回调给服务器(透传 uuid) → 前端轮训服务器状态 → 完成登录,这个过程是不需要用户确认的。也就是说,拿着微信扫个码,网页就直接自动完成登录了。
那如何避免这个问题呢?其实非常简单,在用户完成扫码关注后,先通过公众号接口给当前用户发送一条消息,让用户回复「确认」后才允许登录。
但是让用户打字很麻烦啊,怎么简化这个过程呢?其实公众号是支持通过这种方式来交互的,通过接口发送的消息体采用如下格式:
确认登录 (
那么,当用户点击这个链接后,就会自动回复「确认登录」这个文本了,服务端在收到用户的确认文本后,再执行接下来的动作,那这种方式的交互就跟接入微信开放平台的安全水位一致了。
快去看看自己写的代码是不是也有这个风险,赶紧去改!
支持微信扫码登录的应用经常会有这个漏洞:你可以将当前页面的二维码发送给其他人,被扫码之后,对方的账号就是你的了。原理很简单:
1)如果你接入的是微信开放平台,扫码登录的时候,你的手机会收到一条通知,提醒你正在登录 xx 应用,相对是安全的。
2)但很多应用为了引导用户关注自己的公众号,会采用「关注了公众号就自动登录」的方式完成接入,大致过程:用户扫码(携带 uuid)→ 微信关注 → 回调给服务器(透传 uuid) → 前端轮训服务器状态 → 完成登录,这个过程是不需要用户确认的。也就是说,拿着微信扫个码,网页就直接自动完成登录了。
那如何避免这个问题呢?其实非常简单,在用户完成扫码关注后,先通过公众号接口给当前用户发送一条消息,让用户回复「确认」后才允许登录。
但是让用户打字很麻烦啊,怎么简化这个过程呢?其实公众号是支持通过这种方式来交互的,通过接口发送的消息体采用如下格式:
确认登录 (
weixin://bizmsgmenu?msgmenucontent=%E7%A1%AE%E8%AE%A4%E7%99%BB%E5%BD%95&msgmenuid=1)那么,当用户点击这个链接后,就会自动回复「确认登录」这个文本了,服务端在收到用户的确认文本后,再执行接下来的动作,那这种方式的交互就跟接入微信开放平台的安全水位一致了。
快去看看自己写的代码是不是也有这个风险,赶紧去改!
很多时候,我无法理解,一个糟糕的决策是怎么做出来的。
比如,蔚来车都卖不出去,还在做手机。
比如,某个朋友的公司,规定他们必须要用电脑双屏。
之前王晶的一个采访,说他看一些电影,看了几分钟就知道这个电影不用看了,导演自己也知道,但只能硬着头皮拍下去(大意,非原话)。比如张艺谋的《三枪》。
有些奇怪的东西,好像一开始,就会被推动着往前走,然后越来越多的人被牵扯进来,各方的付出越来越多,已经没法停下。
那些搞笑的决策大概就是这样做出来的。
也印证了那句话,这个世界就是个草台班子。
比如,蔚来车都卖不出去,还在做手机。
比如,某个朋友的公司,规定他们必须要用电脑双屏。
之前王晶的一个采访,说他看一些电影,看了几分钟就知道这个电影不用看了,导演自己也知道,但只能硬着头皮拍下去(大意,非原话)。比如张艺谋的《三枪》。
有些奇怪的东西,好像一开始,就会被推动着往前走,然后越来越多的人被牵扯进来,各方的付出越来越多,已经没法停下。
那些搞笑的决策大概就是这样做出来的。
也印证了那句话,这个世界就是个草台班子。
#产品知识库
社区是一个不够健康的阶段,它是复杂需求综合体的复杂解决方案,既挖不穿用户单点需求,也难以迭代出极致的商业化变现效率。
最好的归宿有两条路,向下做社交,或向上做内容,在中间停滞久了就容易被新陈代谢拖垮衰老渐渐死去,垂直行业切交易也只能苟延残喘。
过去的平台里向下的路早早被堵死了,除巨头外的所有社交产品从此变成两性的代言词,向上做内容因为出现了推荐算法总算熬出了头。
XR时代的大C应用也必须经历社区这个阶段,而且会因为前期硬件普及率不够快,和生活场景覆盖面不够广,而显得更适合做社区,但必须要意识到社区是把双刃剑,如果要DreamBig,那就最好为社区形态提前想好未来转型的思路。
AI与AIGC并不是解决产品熵增的万能良药,一切还得是回归到需求的洞察与形态的设计上,历史上所有伟大产品能被用户牢牢记住的核心功能都不会超过3个,其中还得留一个未来给AI。
拥有更完整画像的数字娱乐生活,并且与2D社媒的主战场划清界限,或许才能在小体量市场中苟到潮水涨起的那一天。
社区是一个不够健康的阶段,它是复杂需求综合体的复杂解决方案,既挖不穿用户单点需求,也难以迭代出极致的商业化变现效率。
最好的归宿有两条路,向下做社交,或向上做内容,在中间停滞久了就容易被新陈代谢拖垮衰老渐渐死去,垂直行业切交易也只能苟延残喘。
过去的平台里向下的路早早被堵死了,除巨头外的所有社交产品从此变成两性的代言词,向上做内容因为出现了推荐算法总算熬出了头。
XR时代的大C应用也必须经历社区这个阶段,而且会因为前期硬件普及率不够快,和生活场景覆盖面不够广,而显得更适合做社区,但必须要意识到社区是把双刃剑,如果要DreamBig,那就最好为社区形态提前想好未来转型的思路。
AI与AIGC并不是解决产品熵增的万能良药,一切还得是回归到需求的洞察与形态的设计上,历史上所有伟大产品能被用户牢牢记住的核心功能都不会超过3个,其中还得留一个未来给AI。
拥有更完整画像的数字娱乐生活,并且与2D社媒的主战场划清界限,或许才能在小体量市场中苟到潮水涨起的那一天。
Fh8rw6VMC2CmIdDMZi4AK_LYc3xCv3.png
798.3 KB
#职场社畜日常
OpenAI 创始人 Sam Altman:如何提高工作效率?
今天分享的是OpenAI CEO Sam Altman的博客内容。他的建议对我来说很受用也很接地气。
正如Sam在文中所说,每天提高一点点的效率,50年后的复利增长会让你大吃一惊,因此研究提高效率是很值得的。
以下是部分精华摘要:
1、提升效率的根本是要做正确的事,这是1,其次才是后边的0。千万不要为了提高效率而提高效率,提高效率是达成目标的手段而不是目的。
2、其次是,要和正确的人一起做事,且要尽量让正确的人做他们喜欢和擅长的事。如果你发觉自己在做不喜欢的工作,请尽快转变方向,当然只为了养家糊口另谈。
3、当找到正确的方向和热爱的事情后,下一步要做的就是判断优先级;判断哪件事是重要的,优先保证重要的事,刻意减少浪费时间的事,列清单会有很大帮助。
4、身体是一切的根本,要照顾好自己的身体。尽量根据自己身体的规律和习惯来按照工作。
5、最后,就是不要为自己的低效率自责,顺其自然,再强的大佬都会有自暴自弃的时候。
OpenAI 创始人 Sam Altman:如何提高工作效率?
今天分享的是OpenAI CEO Sam Altman的博客内容。他的建议对我来说很受用也很接地气。
正如Sam在文中所说,每天提高一点点的效率,50年后的复利增长会让你大吃一惊,因此研究提高效率是很值得的。
以下是部分精华摘要:
1、提升效率的根本是要做正确的事,这是1,其次才是后边的0。千万不要为了提高效率而提高效率,提高效率是达成目标的手段而不是目的。
2、其次是,要和正确的人一起做事,且要尽量让正确的人做他们喜欢和擅长的事。如果你发觉自己在做不喜欢的工作,请尽快转变方向,当然只为了养家糊口另谈。
3、当找到正确的方向和热爱的事情后,下一步要做的就是判断优先级;判断哪件事是重要的,优先保证重要的事,刻意减少浪费时间的事,列清单会有很大帮助。
4、身体是一切的根本,要照顾好自己的身体。尽量根据自己身体的规律和习惯来按照工作。
5、最后,就是不要为自己的低效率自责,顺其自然,再强的大佬都会有自暴自弃的时候。
👍3