一点点关于BD秒传方案的研究

BD网盘在过去一直都在试图修改自己的文件验证方式,但是实际上从最早的标准码到后来的游侠码到再后来的新版标准码(长链格式),验证方式都是MD5,区别是自4月开始,文件上传除了会验证MD5和文件大小,新增了鉴权,还会强制验证文件头256KB切片的MD5。(之前也会验证,但是不会强制)

总的来说,生成一个文件识别码是很容易的,生成毕竟作为一个运行了快十年的服务,存储了无法计数的文件,基本上也不太可能彻底迁移它的底层算法。

会有问题的地方反而是如何让别人保存,毕竟如果想通过模拟上传的方式把文件保存在别人的账号上,首先你得获得别人的登录信息。一般来说开发者都会通过bdusstoken来验证,但是最近似乎bduss已经无法单独验证了(403),于是,前几天在研究一个五六年前的BD音乐第三方客户端的时候发现,BD的wap登录接口至今还是能用的。

于是乎,方案上可行,但是理论上不行。不行的地方在于,想实现这玩意必须得要求用户登录,但是这玩意必不可能申请到第三方登录。

一方面,百度这wap登录这个接口它是明文提交的,让用户把自己的账号密码提交到例如我这种个人维护的小服务器上本身就不安全,另一方面,无论是计算MD5和获取其他必要信息,按我的前端水平来说,确实不太现实……

而这就属于是一个敏感话题了,虽然bduss这个token能做的事情非常多,除了查看你的文件,最多也就是偷偷摸摸记录svip用户cookie然后卖给别人用(目前全部的满速下载脚本都是这么干的,例如最近某其中一个复活版PanDown)。

但是直接获取了账号能干的事情就更多了,直接能连手机号都给你换喽……

对于开发者来说,向别人证明自己做坏事就得公开源码,但是你无法保证源码不会被人拿去做坏事,但是不公开源码就无法证明自己没干坏事。

这件事从本身来说就是无解的。何况这玩意如果真想划拉你,高低也能划拉一个入侵计算机……

EMMMMM……

夜华子酱我知道你很急,但你先别急