腾讯 web2.0 qq webOS 严重出格 涉嫌钓鱼

Share

前两天上线的腾讯web2.0 qq ,让我们看到了一个比较有看头的腾讯应用,里面几乎整合了腾讯的大部分应用,开始就有很多人预测,这将成为百度开放平台的杀手。

然而,里面的一个gmail应用却将这个webOS推向了道德的边缘,因为它涉嫌钓鱼!!!!

两个关键的页面:

https://web2.qq.com/cgi/gmail/gmail.html
https://web2.qq.com/cgi/gmail/gmail.js

第一个毫无疑问是一个登陆窗口,提交用户名和密码。但是当我看到里面的操作代码的时候,吃了一惊:
https://web2.qq.com/cgi/gmail/gmail.js 中 有如下代码:

var option = {retype:3,callback:”parent.qqweb.app.gmail.getListMail”};
if (u != null && p != null) {
option.u = u; // Google 帐户用户名
option.p = p; // Google 帐户密码
}

formSend( GMAIL_SERVER_DOMAIN + “cgi/qqweb/gmail.do”,{method : “POST”, data : option} );

这里的 GMAIL_SERVER_DOMAIN的值竟然是:'https://web2.qq.com/';  太不可思议了,他们放着好好的Oauth不用,把代码提交到了自己的服务器!这不得不让人联想起险恶的用心!

现在已经被firefox用户举报,进入了黑名单,证明我当时的选择不用这个应用是正确的,建议使用过这个应用的童鞋赶紧更换密码。

目前,腾讯的相关应用已经下线。以上两个地址均访问不到!