对搜狐视频弹幕地域黑问题的一次社工经历

背景

写这篇文章的起因是我在搜狐视频看美剧 “越狱” 时, 在弹幕中遇到了大量出现的地域黑言论, 非常影响观感.

地域黑的弹幕经常无缘无由地出现, 且得益于搜狐的一键复制弹幕功能, 形成了非常可观的 “弹幕洪流”. 比如在第二季第11集14分钟时的画面:

(注: 弹幕过于暴力不予展示)

由于搜狐没有弹幕举报功能, 于是尝试自己动手, 挖掘这些地域黑的背后究竟是谁在发布言论.

过程

以 越狱第二季第11集 为例, 打开网页以及开发者模式, 切换到 network 选项卡, 调到视频14分钟处开始观看, 并捕捉到 network 会话中出现 “dmlist” 开头的请求.

查看它的内容, 字段如下所示:

{
    msg: "ok",
    status: 1,
    ver: "201707",
    info: {
        count: 0,
        dfd: 1546327240.714,
        dfopt: {c: "16777215", s: "m", m: "l", p: "t", l: "n"},
        dg: "db",
        end: 300,
        pct: 2,
        pg: false,
        th: 5350,
        time_interval: 5,
        tt: 487,
        vid: 1278474,
    	begin: 0,
    	comments: [
    		...
		]
    }
}

其中, comments 是重点. 一个 comments 里面包含有上百条字幕 item, 数据结构如下:

comments: [
	{
		c: "刚才那个杀手第二职业是个厨子吧，为什么会有一把菜刀"
        created: "1556259634.039"
        fcount: 0
        i: 335826782978573200
        name: ""
        photo: ""
        roleId: 0
        roleType: 0
        star: 0
        t: "df"
        tt: 1556259634.039
        uid: "340686321"
        v: 0
	},
	{
		c: "大家第一次的经历啊，当年追剧追的辛苦"
        created: "1544819883.888"
        fcount: 9
        i: 335826546956697660
        name: ""
        photo: ""
        roleId: 0
        roleType: 0
        star: 0
        t: "df"
        tt: 1544819883.888
        uid: "297232894"
        v: 1
	},
	...

]

其中, c 是弹幕文字内容, uid 则有两种可能: 要么是指这条弹幕的唯一编号, 要么是指发这条弹幕的用户的 id.

因此 uid 是本次社工的关键点, 当它确实是表示 user id 的话, 那么就意味着我们极有可能顺着这条 uid 找到这个搜狐用户的主页.

为了认证我的想法, 做了一个实验:

考虑到, 如果 uid 指的是弹幕的唯一编号, 则在整个 comments 中, 每条弹幕的 uid 必定是不同的; 如果 uid 指用户 id, 则可能会有同一用户发了多条弹幕的情况.

根据此特征, 我将 comments 拷贝到测试文本里, 并用 Python 写了一个小脚本统计 uid 的出现次数, 结果印证了后者的猜想.

因此, uid 初步认定是用户的 id.

有了 uid 之后可以做什么呢? 那就是找这个 uid 对应的用户个人主页.

这一步骤比较顺利, 观察一下自己的个人主页的链接, 就能了解到搜狐视频的用户主页的链接格式为: https://tv.sohu.com/user/{uid}#t0.

来到他的个人主页, 下一步就遇到了困难: 用户主页能反映的信息非常少, 如果这个用户没有投稿过视频, 则这个用户的空间看起来空空荡荡的, 像这样:

除了 “私信” 按钮和 “TA的粉丝” 列表比较能够进一步接近此人的隐私外, 几乎没有其他内容. 比如我们比较关心的 “动态”, “最后一次的活跃时间”, “个人简介”, “评论记录” 或者 “弹幕记录” 等都是没有的.

当然 “私信” 功能其实一定程度上已经让地域黑们有了一些 “软肋”, 在他们散布民族仇恨和地域歧视的同时, 也要考虑被人私信轰炸的后果. 如果用户名不慎涉及了 QQ 号, 邮箱等信息, 就更不是闹着玩的了 (在此也给大家提个醒, 千万不要在用户名中透露私人信息).

结尾

除了 “私信” 以外, 我也查了一些关于 “搜狐通行证” 的资料. 起初的假想是, 如果搜狐通行证是一证通行的, 那么搜狐的其他产品可能也在共用同一套 uid 标识系统, 这就有可能通过此 uid 发现该用户在搜狐其他产品上的活动轨迹.

当然很快这个想法就被证伪了, 比如搜狐新闻的个人主页链接是没有 uid 元素的, 以及通过某些评论的用户的用户名中的 id 来反搜他的搜狐视频主页, 一般也找不到地址 (从格式上来看也不太可能是 uid).

总之, 对 uid 的调查到此告一段落.

写这篇文章最初也是因为被弹幕中的语言暴力惹怒了, 但当冷静下来以后, 也对以暴制暴的想法感到后怕.

最后, 还是希望搜狐能够重视起弹幕的功能和体验, 一方面加强自审自查, 一方面为公众提供正规地举报低俗弹幕的途径, 以及宣传弹幕礼仪等等措施吧. 另外就是 uid 的安全问题也要重视起来. 以仇恨对抗仇恨可能是一种天性, 但不应以这种非正规的方法来实现.

, 还是希望搜狐能够重视起弹幕的功能和体验, 一方面加强自审自查, 一方面为公众提供正规地举报低俗弹幕的途径, 以及宣传弹幕礼仪等等措施吧. 另外就是 uid 的安全问题也要重视起来. 以仇恨对抗仇恨可能是一种天性, 但不应以这种非正规的方法来实现.