写在前面的话:
写本文只想引起足够重视,不管是开发还是用户;
关于本文提到问题也提交给京东官方,希望他们能重视.
同时也希望看到本文的用户多一个心眼
希望大家都不要达到以下的全部假设;
---------------------------
以下测试完成于2015-09-08日;
测试条件与步骤:
一手机,android系统,号码已绑定京东账户,手机有京东app,n天前已经登录过未退出,即使最后使用也强制结束过app,那么打开会自动登录的,假设你没有设定密码锁(测试了下没有找到京东app有启动屏锁?);
或不管你从手机的微信或是手机上的qq的工作群或是任意一点信息点,找到这个手机用户的全名,那么你只需要提供手机收到验证码和曾经收过货的命名(这个手机用户除非没有买过东西?);即可拿到京东登录密码;
见图
那么,你下载京东app吧,使用手机号+新密码即可登录;
京东钱包曾经绑定过信用卡(这里只测试钱包支付,不再测试其它支付方式),本手机无需安装钱包app;购买东西,支付时使用京东app中的钱包支付(注意不是微信,也不是快捷支付),输入手机号,收到发来验证码,输入,确认,提示支付成功,整个流程不需要任何密码,只要一个手机号码即可,如果你的app是一启动就自动登录的。
ok,这里没有再测试其它支付方式的支付流程设定是否足够;
下面看看你可能遇到的问题:
比如那天手机被人偷/抢/掉了,得到的人可以怎么利用,拿到别人手机,得到号码,从手机中猜到全名,输入到京东取回密码;如果这个手机已经安装京东app,且登录,取密码步骤可以省略,那么随便下单试试能不能就凭手上的手机就买单吧,可以,那么你运气足够好!
比如那天手机被人偷/抢/掉了,得到的人可以怎么利用,拿到别人手机,得到号码,从手机中猜到全名,输入到京东取回密码;如果这个手机已经安装京东app,且登录,取密码步骤可以省略,那么随便下单试试能不能就凭手上的手机就买单吧,可以,那么你运气足够好!
发现京东的这些设定很容易就可能因为手机掉到别人手中,可能就会出现损失的情况;
曾经还发现过京东快捷支付输入错误的卡年月日和3位验证码也能支付成功,一直维持n久不见改进;从此赶紧,用完立刻删除卡;
曾经还发现过京东快捷支付输入错误的卡年月日和3位验证码也能支付成功,一直维持n久不见改进;从此赶紧,用完立刻删除卡;
由此可以推断它很难确保它的支付环节是足够强健的;
就像招商银行atm机重要操作都需要验证,比如每轮取钱或是查询,你还能多少放心弃卡而去;但是对于某些银行atm机,一次密码验证,无限次操作,你敢弃卡而去吗?