社交網(wǎng)絡(luò)應(yīng)用 Discord 最近比較煩，將擊各件因?yàn)榘踩景l(fā)現(xiàn)有不少黑客使用 Discord 的不再永久文件托管功能來分發(fā)惡意軟件，對 Discord 來說自己不收錢結(jié)果現(xiàn)在還被惡意利用，支持珠海外圍(外圍聯(lián)系方式)(微信181-8279-1445)全國1-2線熱門城市高端外圍預(yù)約快速安排30分鐘到達(dá)簡直是永久意軟煩的不得了。

原本 Discord 的文件 CDN / 內(nèi)容分發(fā)網(wǎng)絡(luò)的設(shè)計是不存在校驗(yàn)的，因此任何人都可以在 Discord 里發(fā)送文件然后再提取鏈接放在別的托管題藍(lán)地方分發(fā)，比如提供軟件下載。此打持久

黑客也看中了這個功能，類惡黑客把自己做好的化問惡意軟件也通過 Discord 中轉(zhuǎn)然后拿去分發(fā)，結(jié)果安全公司發(fā)現(xiàn) Discord CDN 至少被 10,點(diǎn)網(wǎng)000 個惡意軟件利用拿來分發(fā)惡意軟件攻擊用戶。

黑客喜歡 Discord CDN 還有個原因是將擊各件珠海外圍(外圍聯(lián)系方式)(微信181-8279-1445)全國1-2線熱門城市高端外圍預(yù)約快速安排30分鐘到達(dá) Discord 提供 Webhooks，黑客甚至可以使用 Discord Webhooks 來從受感染的不再設(shè)備里偷數(shù)據(jù)、偷憑證、支持偷 cookies 等。永久意軟

Discord：心累，直接掀桌子吧

針對這個問題 Discord 此前有過措施嘗試解決，但效果并不好，所以又被安全公司點(diǎn)名后 Discord 決定掀桌子，既然你們不仁那也別怪我不義了。

Discord 將在近期升級安全策略，不再提供 CDN 的永久文件托管，而是為每一個 CDN URL 加上參數(shù)，校驗(yàn)身份的同時還會自動過期，因此基本沒法再持久化。

Discord 準(zhǔn)備添加的參數(shù)包括 ex、is 和 hm：

其中 ex 指的是 expire 也就是釋放時間，所有上傳到 Discord 的文件生成的 URL 都將在 24 小時后過期，過期后無法再訪問，必須生成新鏈接；

hm 指的是給定簽名，這個是用來驗(yàn)證身份的，沒有有效簽名的鏈接即便在 24 小時有效期內(nèi)也無法訪問；

is 這個參數(shù)暫時沒看到具體說明；

以上 URL 在 Discord 客戶端或者第三方 API 調(diào)用中是可以自動刷新和生成的，因此對正常使用的開發(fā)者來說影響比較小。

但這些措施有效嗎？

有效但可能還不夠，因?yàn)?URL 過期時間是 24 小時還是比較長，黑客可以利用腳本定期獲取新 URL 然后利用新 URL 繼續(xù)投放。

盡管這樣效率比較低，因?yàn)榕f鏈接過期后就得更新鏈接，但還可以使用短連接的方式配合腳本自動刷新 URL 實(shí)現(xiàn)持久化，當(dāng)然想要利用的話方法總是有的。

估計后續(xù) Discord 還會繼續(xù)針對這個問題進(jìn)行安全改進(jìn)來打擊惡意軟件，另外 Discord 強(qiáng)調(diào)取消永久文件托管后，如果用戶或開發(fā)者還有類似需求，建議出門左轉(zhuǎn)找其他服務(wù)去。