工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
这是一个创建于 2454 天前的主题,其中的信息可能已经有所发展或是发生改变。
如果使用“忘记密码”功能,他会根据你留的是邮箱还是手机号,通过邮件 /短信的方式把你原来的密码发过来……给跪了
第 1 条附言 · 2018-03-07 16:43:57 +08:00
首先,我不是为黑而黑,只是在客观地描述这件事,可能有点标题党(能发送明文不能说明就是以明文存储),这点我道歉。
可是不管怎样,能发出来你的明文密码就已经是很严重的一件事了。退一万步,就算是用了对称加密或者对称加密那又怎样,中间的密钥至少是没有掌握在用户手里的。
有的人把这个和 chrome 明文保存密码来相提并论,完全没有可比性好吗,Chrome 的密码是被你的系统密码保护着的,其他密码管理软件也是一样的原理,没见过哪个没有主密码的密码管理软件。扯这个的人不是在混淆视听就是犯了事实谬误。这是一个统一回复。
可是不管怎样,能发出来你的明文密码就已经是很严重的一件事了。退一万步,就算是用了对称加密或者对称加密那又怎样,中间的密钥至少是没有掌握在用户手里的。
有的人把这个和 chrome 明文保存密码来相提并论,完全没有可比性好吗,Chrome 的密码是被你的系统密码保护着的,其他密码管理软件也是一样的原理,没见过哪个没有主密码的密码管理软件。扯这个的人不是在混淆视听就是犯了事实谬误。这是一个统一回复。
 |
1
0915240 2018-03-06 23:11:01 +08:00
厉...厉害~
|
 |
2
oreoiot 2018-03-06 23:12:06 +08:00 via Android  4
果然进体制要求不高。。
|
 |
3
Willjim 2018-03-06 23:16:28 +08:00 via Android 37
国家图书馆管理员:说出来怕你不相信,你们的密码都用一本册子记录着,你点了忘记密码我才去找的。(doge)
|
 |
4
dfly0603 2018-03-06 23:25:18 +08:00 via Android
这逻辑真是失了智
|
 |
5
feverzsj 2018-03-06 23:31:35 +08:00
这种连全站 https 都没启用的网站,你还敢注册?
|
 |
6
kkzxak47 2018-03-06 23:31:42 +08:00 via Android
自主研发精神可嘉
|
 |
7
nfroot 2018-03-06 23:39:08 +08:00 17
你忘记密码,它告诉你密码……好像没什么不对……(滑稽)
|
 |
8
hst001 2018-03-06 23:45:08 +08:00 2
这种项目估计就是层层包下来,最后找了几个在校大学生,学了两个月开始做项目
|
 |
9
flyingHagan OP @feverzsj #5 我倒是想找一个上了 HTTPS 的替代品。。。
|
 |
11
pythlo 2018-03-07 00:01:09 +08:00 1
我居然大笑了 20 秒!
|
 |
12
iVeego 2018-03-07 00:02:25 +08:00 via Android
哈哈哈哈,真-找回密码功能。
|
 |
13
likuku 2018-03-07 00:02:31 +08:00
看到 #10 我居然大笑了 3 秒!
|
 |
14
Maltazard 2018-03-07 00:24:14 +08:00
原来乌云网上有这条的吧?
|
 |
15
yiran7324 2018-03-07 00:44:11 +08:00 via Android
哈哈哈,正准备学做项目呢~看了 10#
|
 |
16
dingtian 2018-03-07 00:45:55 +08:00 2
这个网站 的表单 是在前端 校验的。。。后端直接存储了。。。我注册的时候 偶然发现的 http://photo.weibo.com/2956268242/wbphotos/large/mid/4214735073639378/pid/b03512d2gy1fp3kq8kc6pj216m11egqx
|
 |
17
densuc 2018-03-07 07:53:45 +08:00 via iPhone
我还发现我们学校本科教务系统 登录后密码明文保存在 cookies 里面 而且还没有 HTTPS
|
 |
18
yingfengi 2018-03-07 08:18:34 +08:00 via Android
忘记密码,没毛病 (逃
|
 |
19
etc 2018-03-07 09:18:49 +08:00
印象中我注册过好几个网站都是明文保存,注册之后就直接把密码发到我的邮箱来备忘。
|
 |
20
xiaodongus 2018-03-07 09:37:05 +08:00
@Willjim #3 国家图书馆管理员。。。细思恐极
|
 |
21
zjsxwc 2018-03-07 09:45:59 +08:00
真-找回密码
|
 |
22
paragon 2018-03-07 10:06:46 +08:00
重置成随机密码发到你邮箱也是一种野路子逻辑哇
|
 |
23
Les1ie 2018-03-07 10:07:46 +08:00
我们学校的无线网 captive portal 的账户和密码也是写在 cookie 的,而且提供了并没有 auth 的查询接口直接查询本机登录账户的包括密码在内的所有信息
|
 |
24
wlh 2018-03-07 10:10:28 +08:00
图书馆管理员惹不起啊
|
 |
25
ioth 2018-03-07 10:34:54 +08:00 1
迷信“国家”的。
21 世纪大约只有我朝和朝鲜吧。 |
 |
26
Oo0 2018-03-07 10:51:29 +08:00 1
当不了图书管理员的我,只好去当程序员了,,
|
 |
27
jy02534655 2018-03-07 11:17:05 +08:00
10 楼亮了
|
 |
28
HuangLibo 2018-03-07 11:20:12 +08:00 1
体制内的这些系统大部分是外包公司干的, 所以没法指望他质量高.
|
 |
30
johnj 2018-03-07 11:51:56 +08:00
58 同城也这么发过短信 害我要换所有密码
|
 |
31
THP301 2018-03-07 12:38:57 +08:00 via Android 1
某些地方成本 2000 的项目,层层外包出去就是 2 个亿,你说呢
|
 |
32
Phariel 2018-03-07 12:51:24 +08:00 via Android
如果你给他们提白帽子工单 他们就来解决掉你 ^ω^
|
 |
33
royliu 2018-03-07 12:54:14 +08:00
如非本人操作,请忽略此信息才是最骚的
|
 |
34
klii 2018-03-07 12:58:38 +08:00 via iPhone
按道理来说没毛病啊。你不是要找回密码嘛😏
|
 |
35
GuuJiang 2018-03-07 13:18:59 +08:00 1
能够把你的密码发送给你 != 明文保存
|
 |
36
dakb 2018-03-07 13:22:44 +08:00
人本来就是给所有大众提供内容的,安全性要求不高。也没啥好乐的。
|
 |
37
realpg 2018-03-07 13:27:01 +08:00 4
其实这都不算啥……
曾经有个神奇的网站 如果你输入密码错误 并查看源代码(那时候没有 F12 要不早被人看出来了) 会有一个调试信息 <!-- [你输入的密码] [正确密码] --> |
 |
38
3a3Mp112 2018-03-07 13:28:09 +08:00
能够把你的密码发送给你 != 明文保存
这才是正确的说法啊。 |
|
40
flyingHagan OP |
 |
41
duan602728596 2018-03-07 13:35:43 +08:00 via iPhone
说外包公司干的,这可能是外包公司被黑的最惨的一次了......
|
 |
42
Amayadream 2018-03-07 13:38:11 +08:00
路子太野, 仅次于随机给你生成新密码了.
|
 |
43
gam2046 2018-03-07 13:45:30 +08:00
@flyingHagan 可逆加密 == 明文
我感觉你说的是信息摘要算法。 按这么说,那不是一竿子把对称密钥 /非对称密钥算法都给打翻了? 信息摘要算法从来都不是用来加密的。不可逆算哪门子的加密,原来的信息都没了,这加密毫无意义。 |
 |
44
z1154505909 2018-03-07 14:02:10 +08:00
@GuuJiang 对头,这个确实,它可以是重新生成一个发给你
|
|
45
flyingHagan OP @gam2046 #43 谁都知道密码加密中的“加密”是信息摘要。
所以你觉得服务端会用对称 /非对称加密来保存密码吗,有什么好处,这么大工作量就为了可以解析出来明文然后给用户发短信吗? |
 |
46
koebehshian 2018-03-07 14:35:57 +08:00 1
正因为是国家图书馆,敢盗密码警察叔叔直接找上门
|
 |
47
jadec0der 2018-03-07 14:39:41 +08:00
给跪了
|
 |
48
cnbobolee 2018-03-07 14:56:16 +08:00
那又怎样,你们想干嘛?
|
 |
49
zxiso 2018-03-07 15:04:24 +08:00 via Android
短信由于本身是明文的问题。。是可以通过伪基站去抓的 233 就看有人会不会这样搞咯
|
 |
50
jy02201949 2018-03-07 15:07:58 +08:00
发密码给你就是明文保存?
|
|
51
GuuJiang 2018-03-07 16:05:38 +08:00 via iPhone
@flyingHagan 虽说我理解黑政府做的东西算是政治正确,然而也不能改变“能获取密码!=明文保存”这个事实
震惊! lastpass 居然明文保存用户的密码,在我打开登陆网页时自动填充了,并且还可以查看保存的密码 震惊! chrome 居然明文保存用户的密码,在我打开登陆网页时自动填充了,并且还可以查看保存的密码 震惊! windows 域服务器居然明文保存用户的密码,在我修改密码时居然提示不能包含最近使用过的密码 |
 |
52
pabupa 2018-03-07 16:06:14 +08:00
ASE 呀~
|
 |
54
mlhorizon 2018-03-07 16:42:39 +08:00
几乎每一个科班计算机专业的学生都做过的『 xxx 图书管理系统』,你以为都跑哪去了?
  |
 |
55
blackjar 2018-03-07 16:43:33 +08:00
|
 |
58
ColaBear0001 2018-03-07 17:09:42 +08:00 via iPhone
在校大学生不背这锅😂
|
 |
60
Tony2ee 2018-03-07 17:28:24 +08:00 via Android
懒到家了
|
 |
61
tankb52 2018-03-07 17:47:44 +08:00
如果你经历过 CSDN 的拖库事件,怎么还会惊诧呢?
这种非互联网企业的密码,我账号+密码都是用 keepass 随机生成的。 |
 |
62
dbfox 2018-03-07 17:55:12 +08:00
我想说,不觉得是什么大问题,
也没有法律规定不能这样 |
 |
63
flynaj 2018-03-07 19:41:48 +08:00 via Android
好像好多大企业都是明文,不知道是不是国家要求的,看看以前的托库事件
|
 |
64
ashong 2018-03-07 20:28:01 +08:00
很多大国企的 app 通讯都还没用 https 呢, 比如电网某 app
|
 |
65
mol310 2018-03-07 20:31:28 +08:00
楼主是来搞笑的
|
Select Language