一个网站,用明文保存用户的密码,并在一个权限控制极弱的页面明文输出用户密码,更改个数字就能看到其他用户的密码,这是什么心态?
gracece gracece 2013-08-08 12:40:04 +08:00 6937 次点击这是一个创建于 4497 天前的主题,其中的信息可能已经有所发展或是发生改变。
帮同学在某个考试的网站打印准考证,网站只允许IE登陆,这个就懒得吐槽了。打印准考证的页面,有个参数是准考证的ID,随便更改一下就可以看到别人的准考证了。查看源代码,是XML文件,有一个字段就是密码!明文的...
我想不通的是:每种语言应该都有现成的加密函数,为什么就不能稍微用一下把密码加密储存;以及,没事把密码输出来干啥呀
感觉对用户太不负责了。
我想不通的是:每种语言应该都有现成的加密函数,为什么就不能稍微用一下把密码加密储存;以及,没事把密码输出来干啥呀
感觉对用户太不负责了。
第 1 条附言 2013-08-08 13:28:18 +08:00
另外一个发现:有相当大一部分用户的密码是姓名与生日的组合。
 | 1 master 2013-08-08 12:44:45 +08:00 via iPhone 突然就想到当年的CCF。。。 |
 | 2 airyland 2013-08-08 12:48:53 +08:00 不是技术原因,而是态度问题 |
 | 3 forest520 2013-08-08 12:50:24 +08:00 via Android  1 脱裤吧 |
 | 5 zhttty 2013-08-08 12:52:34 +08:00 中国就掌握在这些人手里,呵呵... 跟技术无关,管理员没有基本的责任心就是这个样子... |
 | 6 vietor 2013-08-08 13:04:22 +08:00 1 有些政府项目网站,明确要求就是“明文保存密码”,原因也很简单:1)领导不想那么麻烦重置密码;2)看某人的内容,直接用他的密码登录即可,不需要复杂步骤。 |
 | 7 c742435 2013-08-08 13:24:01 +08:00 大学生做的网站吧。 |
 | 9 xdyl 2013-08-08 13:58:59 +08:00 楼主太年轻了 |
 | 11 lqs 2013-08-08 14:31:15 +08:00 当年的QQ也是明文保存密码,忘记密码申述后会把原密码明文发到邮箱; 当年的校内网也是明文保存密码,忘记密码后把原密码明文发到邮箱; 不过幸好这两个网站没被脱裤。 |
 | 12 lichao 2013-08-08 14:34:54 +08:00 因为态度不严谨 + 水平不济 |
 | 13 colincat 2013-08-08 14:59:50 +08:00 via iPhone 懒 |
 | 14 feihu 2013-08-09 00:41:12 +08:00 怎么越看越想描述chrome浏览器了?我今天才知道chrome浏览器的记住密码功能是明文保存的..... |
 | 16 DreaMQ 2013-08-09 00:55:08 +08:00 via Android 先上梯子+tor,然后直接爆所有人的密码 |
| 17 DreaMQ 2013-08-09 00:55:34 +08:00 via Android 然后他们就能重视了 |
 | 21 PotatoBrother 2013-08-09 08:35:14 +08:00 via iPad 技术是硬伤 |
 | 22 undeadking 2013-08-09 11:59:33 +08:00 @feihu 都是本机程序,对称加密了之后密钥也是浏览器可读写的,和明文保存的安全性差不多 |
 | 23 jetbillwin 2013-08-09 12:02:59 +08:00 @lqs 不是已经被脱过了么,CSDN,万恶的csdn |
| 24 feihu 2013-08-09 12:39:54 +08:00 via iPhone @undeadking 密钥本身也要加密,至少不能通过string直接的到,放keychain也可以。keychain貌似也不怎么安全,但是不能随便一个人就能破解阿。这至少要一个破解成本在。零成本的话只能说是在鼓励 |
 | 25 justfindu 2013-08-09 12:47:49 +08:00 @feihu 有一个关于chrome 记住密码的加密, 他是通过你的登陆计算机的密钥等手段进行加密的, 也就是如果数据被别人获取了~ 也是无法解开的来着~ 所以chrome对多用户都有一个自己的配置. firefox貌似也是这样~ |
 | 26 wy315700 2013-08-09 12:48:42 +08:00 很简单啊 学生做的网站 坨坨的没用session |
| 27 undeadking 2013-08-09 12:50:42 +08:00 @feihu 自己的电脑/手机被别人直接使用其实就已经谈不上什么破解不破解了.任何对称加密在单机环境下都是摆设,火狐的代码是开源的,搞个三方工具来看密码没难度.想用技术手段来解决这个层面上的安全是搞错方向了 |
| 29 feihu 2013-08-09 21:38:15 +08:00 via iPhone @undeadking 那按google的做法来说,pc是否需要密码登陆?应该只要能物理接触都是不安全的,要了也是白要,keychain也是一个无用的设计。http://www.ifanr.com/328760 这篇文章最后说了一个观点:如果我家大门被贼开了,那么里面的东西都是任意拿的,因为就算是最牛的保险柜也能被最牛的窃贼打开 |
 | 30 Kvm 2013-08-10 09:39:15 +08:00 web层应用还是需要加验证的。。。。 楼上的好几位把其他的扯远了没意思,要是登陆个v2ex能随便等别人的号和获取密码就泪奔吧 |
 | 32 icanfork 2013-08-10 10:10:06 +08:00 额,我想省钱也应该找个靠谱点的吧。。而且,完全没必要把密码输出 |
| 34 undeadking 2013-08-10 18:20:31 +08:00 @feihu 实际上chrome的密码并不是明文保存的,那文章喧哗取众而已.搞不清楚什么是明文保存,和通过程序能看到密码区别的小白用户的确不值得浪费时间去沟通. 一部已经解锁的PC,别人在上面能干的坏事太多了,先养成随手锁门关门的习惯再去考虑买保险柜吧,把保险柜顺手打包带走其实没多大成本 |
 | 36 weakish 2013-08-11 01:06:44 +08:00 @feihu 如果置了Windows的登密,那google chrome的密是加密存的。以後,如果把的硬拆下,是不到的密的。同,如果重置了的Windows密,那也法解密了。要知道密,她或者要知道的Windows登密,或者是法你在自己的器上安木偷密。 |
 | 37 liuhang0077 2013-08-11 08:05:15 +08:00 via Android 我觉得这是大学生与大学生之间的话题 |
 | 38 binyuJ 2013-08-11 12:01:27 +08:00 黑大学生什么心态,难道大学生一定做这种事情?其他人就不可能做这种事情?而且谁不是从大学生过来的吗? |
| 39 feihu 2013-08-11 17:56:48 +08:00 via iPhone @weakish 你们是对的,我说我工作中的场景吧,我是一个比较容易着急的程序员,一般有人问我一个问题的时候,我会直接拿他的电脑直接调试了。这个时候如果他去喝喝水之类的。我顺便就能看些东西了。ifanr的评论里面也说了一些场景,挺有意思的。 |
 | 40 why 2013-08-11 19:56:47 +08:00 这几天有什么考试?如果考生忘记密码不好办啊,要看面向的人群 |
| 42 feihu 2013-08-12 08:59:33 +08:00 @weakish 是可以登出,但是在我实际碰到的情况上,我都没有碰到有人登出的。有些东西安装完整的流程中走是安全的,但是实际情况是人不知道有那种情况,直接忽略了。早期一些骇客还会通过社会工程学来入侵系统,这些也能防止,但是是需要专门培训才知道了。不说的话,自然也成为隐患了。成为木桶的短板。 Google这样做有他的理由,但是我不想那么麻烦:每次别人用我的电脑的时候我都要去登出。我的安全防范做的不够好,所以只能不用。以后也尽量少用别人的电脑,不然有什么账号丢失的事情我也说不清。 最后在说个跟主题无关的东西:Google的多账号切换这个功能慎用。我用了一次,现在我的书签已经乱七八糟了。突然多了几百个一样的书签。也不知道是怎么冒出来的。很是无奈。 |
 | 43 yuhu 2013-08-12 09:12:22 +08:00 求网址,多好的社工库啊~ |
Select Language