今天发现在阿里内网有同学说微信虽然仍在屏蔽淘宝链接,但是屏蔽的描述却发生了变化。
之前是这样的:
现在却变成了下面这个样子:
微信之前的那番描述,让很多人认为是阿里巴巴出于商业目的屏蔽了微信;然而现在微信突然改变了原来的描述,让很多人产生了困惑。考虑连很多阿里内部的同学都不了解当年的真实情况,作为在阿里全程参与并见证屏蔽事件的技术男,我想谈谈我所经历的屏蔽事件,把这真实的历史还原给大家,谁是谁非,自有大家评说。
大概在2013年,正是微信电商初起的时候,也正是阿里和微信谁都没有“屏蔽”谁的时候。但我们收到了一些关于安全问题的用户反馈,经过分析,我们发现这些信息犯罪的手段是标准的钓鱼。
具体来说是这样的:把阿里的页面代码copy过去,搭建一个跟阿里毫无关系的网站,然后把链接放到微信上,打开以后就像下面这样:
这个页面跟手机淘宝登录页面没有任何区别,但是其实呢,它是我自己搭建的一个页面。
微信中没有办法区分真正的淘宝页面和钓鱼页面,尽管现在的微信有了查看网页主域名的功能,这是一个非常有意义的进步,但是这仍然只有少数非常谨慎的用户才会留意到。
当下拉这个钓鱼页面时,会出现一行小字,网页由 10.2.43.130 提供。假如你在这个钓鱼页面输入了用户名和密码,这些数据都会被钓鱼网站获取到,那么你的账户和密码就会被人盗走。
尽管当时微商量不大钓鱼的量也不大,但是对于单个用户来说,被盗号是不可接受的损失,当然也出于避免微商逐渐把淘宝变成纯货架的入口商业竞争考虑,当时的产品总监和我们技术团队一起做了一个方案,在内部叫做杜鹃计划。
杜鹃计划当然不是屏蔽微信访问,而是当用户在微信中打开淘宝链接,就直接利用唤起协议唤起淘宝客户端,让用户在淘宝客户端中打开相应的页面。
可是没过多久,我想应该是微信出于入口竞争因素考虑,做出了回应:他们在微信webview中屏蔽了唤起协议,导致用户仍然能看到手机淘宝登录页面,却不能通过手机淘宝客户端访问宝贝。
在微信的安全问题未能解决,又屏蔽了唤起手机淘宝应用的功能的情况下,手机淘宝只好采取了服务端逻辑,就是把所有来自微信访问的请求重定向到了下载页。
而对用户而言,他们的体验就是在微信点击淘宝链接,只能止步于手机淘宝下载页面,而不能进入淘宝客户端去访问宝贝,购物行为只能被迫中止。只有去手机淘宝客户端才能进行购物。所以在用户看来,这基本上就是被判定为“淘宝屏蔽了微信”。
那么现在再来看13年出现的这个文章就能看的明白背后的原因了。其实我们也是挺无奈的。我们宁愿让用户无法从微信直接跳转到淘宝访问商品和店铺,也不能让用户的账户密码被盗。
然而因为下载页面仍然会把一部分用户带向淘宝,所以微信又屏蔽了手机淘宝下载页中的下载链接,手机淘宝前端团队试图使用短链的方式绕开微信的屏蔽,不料绕开几个小时后,还是被微信屏蔽了。
之后微信团队可能是玩腻了猫捉老鼠的游戏,干脆拦截了所有阿里域名的请求,直接不予访问阿里的服务器了。其实本来作为一家商业公司,尤其是微信并非浏览器这样的开放性产品(这一点上,还是很佩服腾讯,虽然微信屏蔽了手机淘宝,同一家公司的腾讯浏览器还是跟手淘合作的非常紧密),屏蔽淘宝访问也无可厚非。但是我们发现了一件非常掉节操的事情,微信竟然自己做了一个页面,冒充阿里巴巴屏蔽了微信,也就是他们这次改变描述之前的页面:
http://support.weixin.qq.com/cgi-bin/mmsupport-bin/readtemplate?t=w_redirect_taobao&url=http%3A%2F%2Fh5.m.taobao.com
但请注意看,“网页由 support.weixin.qq.com 提供”这几个字。从这个域名我们可以很清楚地知道,这个页面来自微信团队。用户的请求甚至完全没有到达过阿里巴巴的任何服务器,所以这个阿里巴巴“屏蔽”的罪名实在是被判得非常无奈。
实际上,对用户最好的选择是微信打开阿里的页面,允许用户在微信里安全地完成淘宝购物。但是,微信现在对网站域名安全的处置仍然太弱,如果微信能解决安全问题,我们非常乐意让用户在微信中完成交易流程。
我们公司的法务已经正式与腾讯书面交涉,请微信改变之前的不实描述,并解除对我们阿里的屏蔽,微信收到交涉以后改了屏蔽描述,但没有其它动作。我个人还是希望微信方面能够多以用户安全和用户感受出发,解决这个问题。
最后再提醒各位用户一句,你在网页中输入任何用户名和密码之前,请务必确认您使用的软件和网页链接的提供者双方都可信,莫给任何钓鱼网站可乘之机。