一个网站,用明文保存用户的密码,并在一个权限控制极弱的页面明文输出用户密码,更改个数字就能看到其他用户的密码,这是什么心态?
gracece · gracece · 2013-08-08 12:40:04 +08:00 · 6418 次点击这是一个创建于 4126 天前的主题,其中的信息可能已经有所发展或是发生改变。
帮同学在某个考试的网站打印准考证,网站只允许IE登陆,这个就懒得吐槽了。打印准考证的页面,有个参数是准考证的ID,随便更改一下就可以看到别人的准考证了。查看源代码,是XML文件,有一个字段就是密码!明文的...
我想不通的是:每种语言应该都有现成的加密函数,为什么就不能稍微用一下把密码加密储存;以及,没事把密码输出来干啥呀
感觉对用户太不负责了。
我想不通的是:每种语言应该都有现成的加密函数,为什么就不能稍微用一下把密码加密储存;以及,没事把密码输出来干啥呀
感觉对用户太不负责了。
第 1 条附言 · 2013-08-08 13:28:18 +08:00
另外一个发现:有相当大一部分用户的密码是姓名与生日的组合。
 |
1
master 2013-08-08 12:44:45 +08:00 via iPhone
突然就想到当年的CCF。。。
|
 |
2
airyland 2013-08-08 12:48:53 +08:00
不是技术原因,而是态度问题
|
 |
3
forest520 2013-08-08 12:50:24 +08:00 via Android  1
脱裤吧
|
 |
5
zhttty 2013-08-08 12:52:34 +08:00
中国就掌握在这些人手里,呵呵...
跟技术无关,管理员没有基本的责任心就是这个样子... |
 |
6
vietor 2013-08-08 13:04:22 +08:00 1
有些政府项目网站,明确要求就是“明文保存密码”,原因也很简单:1)领导不想那么麻烦重置密码;2)看某人的内容,直接用他的密码登录即可,不需要复杂步骤。
|
 |
7
c742435 2013-08-08 13:24:01 +08:00
大学生做的网站吧。
|
 |
9
xdyl 2013-08-08 13:58:59 +08:00
楼主太年轻了
|
 |
11
lqs 2013-08-08 14:31:15 +08:00
当年的QQ也是明文保存密码,忘记密码申述后会把原密码明文发到邮箱;
当年的校内网也是明文保存密码,忘记密码后把原密码明文发到邮箱; 不过幸好这两个网站没被脱裤。 |
 |
12
lichao 2013-08-08 14:34:54 +08:00
因为态度不严谨 + 水平不济
|
 |
13
colincat 2013-08-08 14:59:50 +08:00 via iPhone
懒
|
 |
14
feihu 2013-08-09 00:41:12 +08:00
怎么越看越想描述chrome浏览器了?我今天才知道chrome浏览器的记住密码功能是明文保存的.....
|
 |
16
DreaMQ 2013-08-09 00:55:08 +08:00 via Android
先上梯子+tor,然后直接爆所有人的密码
|
|
17
DreaMQ 2013-08-09 00:55:34 +08:00 via Android
然后他们就能重视了
|
 |
21
PotatoBrother 2013-08-09 08:35:14 +08:00 via iPad
技术是硬伤
|
 |
22
undeadking 2013-08-09 11:59:33 +08:00
@feihu 都是本机程序,对称加密了之后密钥也是浏览器可读写的,和明文保存的安全性差不多
|
 |
23
jetbillwin 2013-08-09 12:02:59 +08:00
@lqs 不是已经被脱过了么,CSDN,万恶的csdn
|
|
24
feihu 2013-08-09 12:39:54 +08:00 via iPhone
@undeadking 密钥本身也要加密,至少不能通过string直接的到,放keychain也可以。keychain貌似也不怎么安全,但是不能随便一个人就能破解阿。这至少要一个破解成本在。零成本的话只能说是在鼓励
|
 |
25
justfindu 2013-08-09 12:47:49 +08:00
@feihu 有一个关于chrome 记住密码的加密, 他是通过你的登陆计算机的密钥等手段进行加密的, 也就是如果数据被别人获取了~ 也是无法解开的来着~ 所以chrome对多用户都有一个自己的配置. firefox貌似也是这样~
|
 |
26
wy315700 2013-08-09 12:48:42 +08:00
很简单啊 学生做的网站 坨坨的没用session
|
|
27
undeadking 2013-08-09 12:50:42 +08:00
@feihu 自己的电脑/手机被别人直接使用其实就已经谈不上什么破解不破解了.任何对称加密在单机环境下都是摆设,火狐的代码是开源的,搞个三方工具来看密码没难度.想用技术手段来解决这个层面上的安全是搞错方向了
|
|
29
feihu 2013-08-09 21:38:15 +08:00 via iPhone
@undeadking 那按google的做法来说,pc是否需要密码登陆?应该只要能物理接触都是不安全的,要了也是白要,keychain也是一个无用的设计。http://www.ifanr.com/328760 这篇文章最后说了一个观点:如果我家大门被贼开了,那么里面的东西都是任意拿的,因为就算是最牛的保险柜也能被最牛的窃贼打开
|
 |
30
Kvm 2013-08-10 09:39:15 +08:00
web层应用还是需要加验证的。。。。
楼上的好几位把其他的扯远了没意思,要是登陆个v2ex能随便等别人的号和获取密码就泪奔吧 |
 |
32
belin520 2013-08-10 10:10:06 +08:00
额,我想省钱也应该找个靠谱点的吧。。而且,完全没必要把密码输出
|
|
34
undeadking 2013-08-10 18:20:31 +08:00
@feihu 实际上chrome的密码并不是明文保存的,那文章喧哗取众而已.搞不清楚什么是明文保存,和通过程序能看到密码区别的小白用户的确不值得浪费时间去沟通.
一部已经解锁的PC,别人在上面能干的坏事太多了,先养成随手锁门关门的习惯再去考虑买保险柜吧,把保险柜顺手打包带走其实没多大成本 |
 |
36
weakish 2013-08-11 01:06:44 +08:00
@feihu 如果妳設置了Windows的登錄密碼,那麼google chrome的密碼是加密儲存的。關機以後,如果把妳的硬盤拆下來,是讀不到妳的密碼的。同樣,如果重置了妳的Windows密碼,那也無法解密了。要知道密碼,她或者要知道妳的Windows登錄密碼,或者是設法讓你在自己的機器上安裝木馬偷窺密碼。
|
 |
37
liuhang0077 2013-08-11 08:05:15 +08:00 via Android
我觉得这是大学生与大学生之间的话题
|
 |
38
binyuJ 2013-08-11 12:01:27 +08:00
黑大学生什么心态,难道大学生一定做这种事情?其他人就不可能做这种事情?而且谁不是从大学生过来的吗?
|
|
39
feihu 2013-08-11 17:56:48 +08:00 via iPhone
@weakish 你们是对的,我说我工作中的场景吧,我是一个比较容易着急的程序员,一般有人问我一个问题的时候,我会直接拿他的电脑直接调试了。这个时候如果他去喝喝水之类的。我顺便就能看些东西了。ifanr的评论里面也说了一些场景,挺有意思的。
|
 |
40
why 2013-08-11 19:56:47 +08:00
这几天有什么考试?如果考生忘记密码不好办啊,要看面向的人群
|
|
42
feihu 2013-08-12 08:59:33 +08:00
@weakish 是可以登出,但是在我实际碰到的情况上,我都没有碰到有人登出的。有些东西安装完整的流程中走是安全的,但是实际情况是人不知道有那种情况,直接忽略了。早期一些骇客还会通过社会工程学来入侵系统,这些也能防止,但是是需要专门培训才知道了。不说的话,自然也成为隐患了。成为木桶的短板。
Google这样做有他的理由,但是我不想那么麻烦:每次别人用我的电脑的时候我都要去登出。我的安全防范做的不够好,所以只能不用。以后也尽量少用别人的电脑,不然有什么账号丢失的事情我也说不清。 最后在说个跟主题无关的东西:Google的多账号切换这个功能慎用。我用了一次,现在我的书签已经乱七八糟了。突然多了几百个一样的书签。也不知道是怎么冒出来的。很是无奈。 |
 |
43
yuhu 2013-08-12 09:12:22 +08:00
求网址,多好的社工库啊~
|
Select Language