Discord将不再支持永久文件托管 以此打击各类恶意软件的持久化问题 – 蓝点网

社交网络应用 Discord 最近比较烦，将击各件因为安全公司发现有不少黑客使用 Discord 的不再永久文件托管功能来分发恶意软件，对 Discord 来说自己不收钱结果现在还被恶意利用，支持简直是永久意软烦的不得了。

原本 Discord 的文件 CDN / 内容分发网络的设计是不存在校验的，因此任何人都可以在 Discord 里发送文件然后再提取链接放在别的托管题蓝地方分发，比如提供软件下载。此打持久

黑客也看中了这个功能，类恶黑客把自己做好的化问恶意软件也通过 Discord 中转然后拿去分发，结果安全公司发现 Discord CDN 至少被 10,点网000 个恶意软件利用拿来分发恶意软件攻击用户。

黑客喜欢 Discord CDN 还有个原因是将击各件 Discord 提供 Webhooks，黑客甚至可以使用 Discord Webhooks 来从受感染的不再设备里偷数据、偷凭证、支持偷 cookies 等。永久意软

Discord：心累，直接掀桌子吧

针对这个问题 Discord 此前有过措施尝试解决，但效果并不好，所以又被安全公司点名后 Discord 决定掀桌子，既然你们不仁那也别怪我不义了。

Discord 将在近期升级安全策略，不再提供 CDN 的永久文件托管，而是为每一个 CDN URL 加上参数，校验身份的同时还会自动过期，因此基本没法再持久化。

Discord 准备添加的参数包括 ex、is 和 hm：

其中 ex 指的是 expire 也就是释放时间，所有上传到 Discord 的文件生成的 URL 都将在 24 小时后过期，过期后无法再访问，必须生成新链接；

hm 指的是给定签名，这个是用来验证身份的，没有有效签名的链接即便在 24 小时有效期内也无法访问；

is 这个参数暂时没看到具体说明；

以上 URL 在 Discord 客户端或者第三方 API 调用中是可以自动刷新和生成的，因此对正常使用的开发者来说影响比较小。

但这些措施有效吗？

有效但可能还不够，因为 URL 过期时间是 24 小时还是比较长，黑客可以利用脚本定期获取新 URL 然后利用新 URL 继续投放。

尽管这样效率比较低，因为旧链接过期后就得更新链接，但还可以使用短连接的方式配合脚本自动刷新 URL 实现持久化，当然想要利用的话方法总是有的。

估计后续 Discord 还会继续针对这个问题进行安全改进来打击恶意软件，另外 Discord 强调取消永久文件托管后，如果用户或开发者还有类似需求，建议出门左转找其他服务去。

最新评论