Twitter:我们刚发现我们把所有推特用户密码明文存了……你们改密码吧
FindHao 2018-05-04 10:05:55 +08:00 via Android 25167 次点击这是一个创建于 2792 天前的主题,其中的信息可能已经有所发展或是发生改变。
刚刚登录试了下,果真提示了。。乖乖改密码吧。。
 | 1 neosfung 2018-05-04 10:21:45 +08:00 今天是 World Password Day,Twitter 给我们开个玩笑提醒我们更新密码吧? [参考这里]( https://www.mirror.co.uk/tech/happy-world-password-day-worrying-12472421) |
 | 2 mozutaba 2018-05-04 10:25:06 +08:00 “我们近日发现了一个 bug,该 bug 导致密码无遮掩地被存储在一个内部日志上。我们已经修复了这个 bug,没有迹象表明密码被任何人盗取或滥用。作为预防措施,用户应考虑在所有使用过同一密码的服务上更改密码。” 大胆推测,修复过程是注释掉输出密码日志的代码。 |
 | 3 soarscnu 2018-05-04 10:30:33 +08:00 via iPhone 喷子呢 |
 | 5 jadec0der 2018-05-04 11:07:58 +08:00 via Android 为什么不在前端 hash 了再传? |
 | 6 SingeeKing PRO 没收到通知…… |
 | 7 Macolor21 2018-05-04 11:21:50 +08:00 via Android 我们通过所谓的哈希转换流程,使用一个名为 bcrypt 的函数对密码进行掩码处理,即用随机的一系列数字和字母替代实际密码,存储在 Twitter 系统内。 这让我们的系统可以在不显示你的密码的前提下核实帐号身份。 这是行业标准做法 有一个问题导致密码在完成哈希转换前被写入一个内部日志。 我们自己发现了这个错误,移除了密码信息,并且正在部署计划以防这个问题再度发生 |
 | 9 windcode 2018-05-04 11:41:09 +08:00 登陆了一下,果然提示了…… |
| 11 mozutaba 2018-05-04 11:56:14 +08:00 |
 | 12 wintercoder 2018-05-04 12:20:33 +08:00 输出到内部日志 难道还会被人黑入么. |
 | 13 orangeade 2018-05-04 12:30:35 +08:00 via Android @wintercoder 防内鬼 |
 | 14 ryd994 2018-05-04 12:48:31 +08:00 via Android  1 |
 | 15 cairnechen 2018-05-04 12:55:15 +08:00 2 @wintercoder 如果糟糕的事情可能发生,那它一定会发生 |
 | 17 yangyaofei 2018-05-04 12:57:49 +08:00 via Android 1 @ryd994 hash 的作用应该是防止你丢了这个网站的密码,结果用了同样密码的别的网站不被盗吧 |
 | 19 leafleave 2018-05-04 13:01:33 +08:00 via iPhone @ryd994 而且有些人喜欢拿 QQ 号或者手机号加上两个字母做密码,不 hash 一下会泄露更多信息 |
| 20 ryd994 2018-05-04 13:13:02 +08:00 via Android 1 @leafleave 加盐 hash 是在服务端做的 前端 hash 凑什么热闹 @ctsed @yangyaofei 前端 hash 一次后端再 hash 一次的结果就是值域变小 本来需要穷举所有可能明文的,现在全变成定长字母数字串了 |
 | 21 timwei 2018-05-04 13:32:19 +08:00 刚好跟上这阵子 PPv2 密码字典的话题 大部分的用户在各网站密码都是单一且重复性高的 明文密码的日志数据有作为字典的价值,被内鬼泄漏出去可能会给公司带来法律风险。 |
 | 22 lsyk 2018-05-04 13:36:15 +08:00 这水平也是搞笑了。应该是最开始调试用的代码。那么多年就没人发现问题???、 |
| 24 leafleave 2018-05-04 14:31:05 +08:00 via iPhone @ryd994 我想的是如果大家在前端 hash 的时候都不加盐,那就可以在其他同密码的网站重放 hash 了 值域变小确实是个问题,不过只要不是百度 QQ 这种用户数的应该没事 |
 | 26 d2D5Cc 2018-05-04 17:08:14 +08:00 在加上全局 https 的前提下,实在想不出前端 hash 的意义在哪 |
 | 27 redsonic 2018-05-04 20:14:56 +08:00 我这里三个帐号都没有提示要更新密码 |
 | 29 Building ...很多账号密码我第一次输进去的时候都点了记住账号,完全不记得密码是什么,全靠自动登录。 |
 | 31 BearD01001 2018-05-05 07:06:50 +08:00 via iPhone @ryd994 敏感信息 hash 之后再进行网络传输基本是前端行业的一个基础安全知识。 |
 | 32 wenzhoou 2018-05-05 07:42:10 +08:00 via Android @BearD01001 这句话有出处吗? |
| 33 BearD01001 2018-05-05 08:36:50 +08:00 via iPhone @wenzhoou 出处不清楚。不过窃以为敏感数据在进行网络传输前应该进行 hash。 |
| 34 yangyaofei 2018-05-05 10:03:26 +08:00 @ryd994 还这个讲过很多次了...大家在讨论问题不是听你讲课,你也不是什么权威大神.很讨厌这种语气 |
| 36 ryd994 2018-05-05 11:19:27 +08:00 via Android @yangyaofei 并不是我讲过很多次了,而是很多地方很多大神讲过很多次了 @BearD01001 我上面讲过了,前端 hash 了,后端不可能不 hash,实际上就是两遍 hash,两遍 hash 比一遍 hash 更不安全。你需要的是 TLS,而不是拍脑袋自创的安全方案。 换个说法,如果这是安全常识,你要不要看看国外各大银行有没有这样做?自己签个 CA,浏览器里忽略强制 hsts,中间人一下自己还是很简单的。 |
| 37 yangyaofei 2018-05-05 11:41:01 +08:00 @ryd994 谁说过?在哪儿?不可能一句我记得吧? 看看你给我的回复下面回复别人的吧,还是我上面讲过了,一副我肯定对我是来科普你们都是辣鸡的语气,2333 |
| 38 wenzhoou 2018-05-05 12:09:41 +08:00 via Android ryd994 说的对,就该认。别管语气。又不是跟女盆友吵架。如果认语气的话,那你们是不是看着 error 信息不爽就不用调查 bug 了啊。 |
| 39 ryd994 2018-05-05 12:20:15 +08:00 via Android @yangyaofei 你自己被害妄想吧杠精 (书上 /网上 /大神)已经讲过很多次了 非要理解成 (我)已经讲过很多次了 你自己脑补成什么语气关我屁事 非要问谁说的,给你两个: https://crackstation.net/hashing-security.htm https://security.stackexchange.com/questions/110948/password-hashing-on-frontend-or-backend 又不是对你说的,你高潮个什么劲啊? |
| 40 ryd994 2018-05-05 12:28:25 +08:00 via Android 1 @leafleave 加密、hash 的安全性之一,就是输出的随机性。理论上完美的加密结果应该和纯随机数据一样。如果和纯随机不一致,不一致的部分就是泄露的信息熵。 值域很重要,如果值域变小了,我完全可以用更短的数据代替它(压缩)。你看以前所谓王小云破解 md5,说的就是把原本 2^n 的碰撞难度,降低到 2^m。 hash 两边,不也是一样么?值域就是难度啊。 |
| 41 yangyaofei 2018-05-05 20:03:34 +08:00 via Android @ryd994 呵呵,跟你好好说话,什么玩意儿啊 |
Select Language