工单节点使用指南 请用平和的语言准确描述你所遇到的问题 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
这是一个创建于 2777 天前的主题,其中的信息可能已经有所发展或是发生改变。
如果使用“忘记密码”功能,他会根据你留的是邮箱还是手机号,通过邮件 /短信的方式把你原来的密码发过来……给跪了 
第 1 条附言 2018-03-07 16:43:57 +08:00
首先,我不是为黑而黑,只是在客观地描述这件事,可能有点标题党(能发送明文不能说明就是以明文存储),这点我道歉。
可是不管怎样,能发出来你的明文密码就已经是很严重的一件事了。退一万步,就算是用了对称加密或者对称加密那又怎样,中间的密钥至少是没有掌握在用户手里的。
有的人把这个和 chrome 明文保存密码来相提并论,完全没有可比性好吗,Chrome 的密码是被你的系统密码保护着的,其他密码管理软件也是一样的原理,没见过哪个没有主密码的密码管理软件。扯这个的人不是在混淆视听就是犯了事实谬误。这是一个统一回复。
可是不管怎样,能发出来你的明文密码就已经是很严重的一件事了。退一万步,就算是用了对称加密或者对称加密那又怎样,中间的密钥至少是没有掌握在用户手里的。
有的人把这个和 chrome 明文保存密码来相提并论,完全没有可比性好吗,Chrome 的密码是被你的系统密码保护着的,其他密码管理软件也是一样的原理,没见过哪个没有主密码的密码管理软件。扯这个的人不是在混淆视听就是犯了事实谬误。这是一个统一回复。
 | 1 0915240 2018-03-06 23:11:01 +08:00 厉...厉害~ |
 | 2 oreoiot 2018-03-06 23:12:06 +08:00 via Android  4 果然进体制要求不高。。 |
 | 3 Willjim 2018-03-06 23:16:28 +08:00 via Android 37 国家图书馆管理员:说出来怕你不相信,你们的密码都用一本册子记录着,你点了忘记密码我才去找的。(doge) |
 | 4 dfly0603 2018-03-06 23:25:18 +08:00 via Android 这逻辑真是失了智 |
 | 5 feverzsj 2018-03-06 23:31:35 +08:00 这种连全站 https 都没启用的网站,你还敢注册? |
 | 6 kkzxak47 2018-03-06 23:31:42 +08:00 via Android 自主研发精神可嘉 |
 | 7 nfroot 2018-03-06 23:39:08 +08:00 17 你忘记密码,它告诉你密码……好像没什么不对……(滑稽) |
 | 8 hst001 2018-03-06 23:45:08 +08:00 2 这种项目估计就是层层包下来,最后找了几个在校大学生,学了两个月开始做项目 |
 | 9 flyingHagan OP @feverzsj #5 我倒是想找一个上了 HTTPS 的替代品。。。 |
 | 11 pythlo 2018-03-07 00:01:09 +08:00 1 我居然大笑了 20 秒! |
 | 12 iVeego 2018-03-07 00:02:25 +08:00 via Android 哈哈哈哈,真-找回密码功能。 |
 | 13 likuku 2018-03-07 00:02:31 +08:00 看到 #10 我居然大笑了 3 秒! |
 | 14 Maltazard 2018-03-07 00:24:14 +08:00 原来乌云网上有这条的吧? |
 | 15 yiran7324 2018-03-07 00:44:11 +08:00 via Android 哈哈哈,正准备学做项目呢~看了 10# |
 | 16 dingtian 2018-03-07 00:45:55 +08:00 2 这个网站 的表单 是在前端 校验的。。。后端直接存储了。。。我注册的时候 偶然发现的 http://photo.weibo.com/2956268242/wbphotos/large/mid/4214735073639378/pid/b03512d2gy1fp3kq8kc6pj216m11egqx |
 | 17 densuc 2018-03-07 07:53:45 +08:00 via iPhone 我还发现我们学校本科教务系统 登录后密码明文保存在 cookies 里面 而且还没有 HTTPS |
 | 18 yingfengi 2018-03-07 08:18:34 +08:00 via Android 忘记密码,没毛病 (逃 |
 | 19 etc 2018-03-07 09:18:49 +08:00 印象中我注册过好几个网站都是明文保存,注册之后就直接把密码发到我的邮箱来备忘。 |
 | 20 xiaodongus 2018-03-07 09:37:05 +08:00 @Willjim #3 国家图书馆管理员。。。细思恐极 |
 | 21 zjsxwc 2018-03-07 09:45:59 +08:00 真-找回密码 |
 | 22 paragon 2018-03-07 10:06:46 +08:00 重置成随机密码发到你邮箱也是一种野路子逻辑哇 |
 | 23 Les1ie 2018-03-07 10:07:46 +08:00 我们学校的无线网 captive portal 的账户和密码也是写在 cookie 的,而且提供了并没有 auth 的查询接口直接查询本机登录账户的包括密码在内的所有信息 |
 | 24 wlh 2018-03-07 10:10:28 +08:00 图书馆管理员惹不起啊 |
 | 25 ioth 2018-03-07 10:34:54 +08:00 1 迷信“国家”的。 21 世纪大约只有我朝和朝鲜吧。 |
 | 26 Oo0 2018-03-07 10:51:29 +08:00 1 当不了图书管理员的我,只好去当程序员了,, |
 | 27 jy02534655 2018-03-07 11:17:05 +08:00 10 楼亮了 |
 | 28 HuangLibo 2018-03-07 11:20:12 +08:00 1 体制内的这些系统大部分是外包公司干的, 所以没法指望他质量高. |
 | 30 johnj 2018-03-07 11:51:56 +08:00 58 同城也这么发过短信 害我要换所有密码 |
 | 31 THP301 2018-03-07 12:38:57 +08:00 via Android 1 某些地方成本 2000 的项目,层层外包出去就是 2 个亿,你说呢 |
 | 32 Phariel 2018-03-07 12:51:24 +08:00 via Android 如果你给他们提白帽子工单 他们就来解决掉你 ^ω^ |
 | 33 royliu 2018-03-07 12:54:14 +08:00 如非本人操作,请忽略此信息才是最骚的 |
 | 34 klii 2018-03-07 12:58:38 +08:00 via iPhone 按道理来说没毛病啊。你不是要找回密码嘛 |
 | 35 GuuJiang 2018-03-07 13:18:59 +08:00 1 能够把你的密码发送给你 != 明文保存 |
 | 36 dakb 2018-03-07 13:22:44 +08:00 人本来就是给所有大众提供内容的,安全性要求不高。也没啥好乐的。 |
 | 37 realpg PRO 4 其实这都不算啥…… 曾经有个神奇的网站 如果你输入密码错误 并查看源代码(那时候没有 F12 要不早被人看出来了) 会有一个调试信息 <!-- [你输入的密码] [正确密码] --> |
 | 38 3a3Mp112 2018-03-07 13:28:09 +08:00 能够把你的密码发送给你 != 明文保存 这才是正确的说法啊。 |
| 40 flyingHagan OP |
 | 41 duan602728596 2018-03-07 13:35:43 +08:00 via iPhone 说外包公司干的,这可能是外包公司被黑的最惨的一次了...... |
 | 42 Amayadream 2018-03-07 13:38:11 +08:00 路子太野, 仅次于随机给你生成新密码了. |
 | 43 gam2046 2018-03-07 13:45:30 +08:00 @flyingHagan 可逆加密 == 明文 我感觉你说的是信息摘要算法。 按这么说,那不是一竿子把对称密钥 /非对称密钥算法都给打翻了? 信息摘要算法从来都不是用来加密的。不可逆算哪门子的加密,原来的信息都没了,这加密毫无意义。 |
 | 44 z1154505909 2018-03-07 14:02:10 +08:00 @GuuJiang 对头,这个确实,它可以是重新生成一个发给你 |
| 45 flyingHagan OP @gam2046 #43 谁都知道密码加密中的“加密”是信息摘要。 所以你觉得服务端会用对称 /非对称加密来保存密码吗,有什么好处,这么大工作量就为了可以解析出来明文然后给用户发短信吗? |
 | 46 koebehshian 2018-03-07 14:35:57 +08:00 1 正因为是国家图书馆,敢盗密码警察叔叔直接找上门 |
 | 47 jadec0der 2018-03-07 14:39:41 +08:00 给跪了 |
 | 48 cnbobolee 2018-03-07 14:56:16 +08:00 那又怎样,你们想干嘛? |
 | 49 zxiso 2018-03-07 15:04:24 +08:00 via Android 短信由于本身是明文的问题。。是可以通过伪基站去抓的 233 就看有人会不会这样搞咯 |
 | 50 jy02201949 2018-03-07 15:07:58 +08:00 发密码给你就是明文保存? |
| 51 GuuJiang 2018-03-07 16:05:38 +08:00 via iPhone @flyingHagan 虽说我理解黑政府做的东西算是政治正确,然而也不能改变“能获取密码!=明文保存”这个事实 震惊! lastpass 居然明文保存用户的密码,在我打开登陆网页时自动填充了,并且还可以查看保存的密码 震惊! chrome 居然明文保存用户的密码,在我打开登陆网页时自动填充了,并且还可以查看保存的密码 震惊! windows 域服务器居然明文保存用户的密码,在我修改密码时居然提示不能包含最近使用过的密码 |
 | 52 pabupa 2018-03-07 16:06:14 +08:00 ASE 呀~ |
 | 54 mlhorizon 2018-03-07 16:42:39 +08:00 几乎每一个科班计算机专业的学生都做过的『 xxx 图书管理系统』,你以为都跑哪去了?   |
 | 55 blackjar 2018-03-07 16:43:33 +08:00 |
 | 58 ColaBear0001 2018-03-07 17:09:42 +08:00 via iPhone 在校大学生不背这锅 |
 | 60 Tony2ee 2018-03-07 17:28:24 +08:00 via Android 懒到家了 |
 | 61 tankb52 2018-03-07 17:47:44 +08:00 如果你经历过 CSDN 的拖库事件,怎么还会惊诧呢? 这种非互联网企业的密码,我账号+密码都是用 keepass 随机生成的。 |
 | 62 dbfox 2018-03-07 17:55:12 +08:00 我想说,不觉得是什么大问题, 也没有法律规定不能这样 |
 | 63 flynaj 2018-03-07 19:41:48 +08:00 via Android 好像好多大企业都是明文,不知道是不是国家要求的,看看以前的托库事件 |
 | 64 ashong 2018-03-07 20:28:01 +08:00 很多大国企的 app 通讯都还没用 https 呢, 比如电网某 app |
 | 65 mol310 2018-03-07 20:31:28 +08:00 楼主是来搞笑的 |
Select Language