V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
gracece
V2EX  ›  程序员

一个网站,用明文保存用户的密码,并在一个权限控制极弱的页面明文输出用户密码,更改个数字就能看到其他用户的密码,这是什么心态?

  •  
  •   gracece ·
    gracece · 2013-08-08 12:40:04 +08:00 · 6445 次点击
    这是一个创建于 4144 天前的主题,其中的信息可能已经有所发展或是发生改变。
    帮同学在某个考试的网站打印准考证,网站只允许IE登陆,这个就懒得吐槽了。打印准考证的页面,有个参数是准考证的ID,随便更改一下就可以看到别人的准考证了。查看源代码,是XML文件,有一个字段就是密码!明文的...

    我想不通的是:每种语言应该都有现成的加密函数,为什么就不能稍微用一下把密码加密储存;以及,没事把密码输出来干啥呀

    感觉对用户太不负责了。
    第 1 条附言  ·  2013-08-08 13:28:18 +08:00
    另外一个发现:有相当大一部分用户的密码是姓名与生日的组合。
    43 条回复    1970-01-01 08:00:00 +08:00
    master
        1
    master  
       2013-08-08 12:44:45 +08:00 via iPhone
    突然就想到当年的CCF。。。
    airyland
        2
    airyland  
       2013-08-08 12:48:53 +08:00
    不是技术原因,而是态度问题
    forest520
        3
    forest520  
       2013-08-08 12:50:24 +08:00 via Android   ❤️ 1
    脱裤吧
    gracece
        4
    gracece  
    OP
       2013-08-08 12:51:33 +08:00
    @forest520 脱裤会不会抄水表...
    zhttty
        5
    zhttty  
       2013-08-08 12:52:34 +08:00
    中国就掌握在这些人手里,呵呵...

    跟技术无关,管理员没有基本的责任心就是这个样子...
    vietor
        6
    vietor  
       2013-08-08 13:04:22 +08:00   ❤️ 1
    有些政府项目网站,明确要求就是“明文保存密码”,原因也很简单:1)领导不想那么麻烦重置密码;2)看某人的内容,直接用他的密码登录即可,不需要复杂步骤。
    c742435
        7
    c742435  
       2013-08-08 13:24:01 +08:00
    大学生做的网站吧。
    123123
        8
    123123  
       2013-08-08 13:40:27 +08:00
    @vietor 就算真这样,也不能让前台看到
    xdyl
        9
    xdyl  
       2013-08-08 13:58:59 +08:00
    楼主太年轻了
    gracece
        10
    gracece  
    OP
       2013-08-08 14:10:50 +08:00
    @vietor 原来还有这么一出

    @xdyl 确实年轻,所以发出来请教一下。
    lqs
        11
    lqs  
       2013-08-08 14:31:15 +08:00
    当年的QQ也是明文保存密码,忘记密码申述后会把原密码明文发到邮箱;

    当年的校内网也是明文保存密码,忘记密码后把原密码明文发到邮箱;

    不过幸好这两个网站没被脱裤。
    lichao
        12
    lichao  
       2013-08-08 14:34:54 +08:00
    因为态度不严谨 + 水平不济
    colincat
        13
    colincat  
       2013-08-08 14:59:50 +08:00 via iPhone
    feihu
        14
    feihu  
       2013-08-09 00:41:12 +08:00
    怎么越看越想描述chrome浏览器了?我今天才知道chrome浏览器的记住密码功能是明文保存的.....
    likuku
        15
    likuku  
       2013-08-09 00:49:43 +08:00
    @feihu 不明文就没法记住并自动重新输入密码呀...
    DreaMQ
        16
    DreaMQ  
       2013-08-09 00:55:08 +08:00 via Android
    先上梯子+tor,然后直接爆所有人的密码
    DreaMQ
        17
    DreaMQ  
       2013-08-09 00:55:34 +08:00 via Android
    然后他们就能重视了
    breeswish
        18
    breeswish  
       2013-08-09 01:34:05 +08:00
    @master 哈哈哈CCF那事情
    chilaoqi
        19
    chilaoqi  
       2013-08-09 08:12:49 +08:00
    @feihu
    @likuku

    火狐这些都是明文保存密码
    feihu
        20
    feihu  
       2013-08-09 08:28:57 +08:00
    @likuku 可以使用一些对称加密算法的,什么DES之类的,
    @chilaoqi 我只能说我再也不用记住密码的功能了。
    PotatoBrother
        21
    PotatoBrother  
       2013-08-09 08:35:14 +08:00 via iPad
    技术是硬伤
    undeadking
        22
    undeadking  
       2013-08-09 11:59:33 +08:00
    @feihu 都是本机程序,对称加密了之后密钥也是浏览器可读写的,和明文保存的安全性差不多
    jetbillwin
        23
    jetbillwin  
       2013-08-09 12:02:59 +08:00
    @lqs 不是已经被脱过了么,CSDN,万恶的csdn
    feihu
        24
    feihu  
       2013-08-09 12:39:54 +08:00 via iPhone
    @undeadking 密钥本身也要加密,至少不能通过string直接的到,放keychain也可以。keychain貌似也不怎么安全,但是不能随便一个人就能破解阿。这至少要一个破解成本在。零成本的话只能说是在鼓励
    justfindu
        25
    justfindu  
       2013-08-09 12:47:49 +08:00
    @feihu 有一个关于chrome 记住密码的加密, 他是通过你的登陆计算机的密钥等手段进行加密的, 也就是如果数据被别人获取了~ 也是无法解开的来着~ 所以chrome对多用户都有一个自己的配置. firefox貌似也是这样~
    wy315700
        26
    wy315700  
       2013-08-09 12:48:42 +08:00
    很简单啊 学生做的网站 坨坨的没用session
    undeadking
        27
    undeadking  
       2013-08-09 12:50:42 +08:00
    @feihu 自己的电脑/手机被别人直接使用其实就已经谈不上什么破解不破解了.任何对称加密在单机环境下都是摆设,火狐的代码是开源的,搞个三方工具来看密码没难度.想用技术手段来解决这个层面上的安全是搞错方向了
    sharmy
        28
    sharmy  
       2013-08-09 13:17:54 +08:00
    @vietor 确实,我也遇到过这样的项目,当时之无语
    feihu
        29
    feihu  
       2013-08-09 21:38:15 +08:00 via iPhone
    @undeadking 那按google的做法来说,pc是否需要密码登陆?应该只要能物理接触都是不安全的,要了也是白要,keychain也是一个无用的设计。http://www.ifanr.com/328760 这篇文章最后说了一个观点:如果我家大门被贼开了,那么里面的东西都是任意拿的,因为就算是最牛的保险柜也能被最牛的窃贼打开
    Kvm
        30
    Kvm  
       2013-08-10 09:39:15 +08:00
    web层应用还是需要加验证的。。。。
    楼上的好几位把其他的扯远了没意思,要是登陆个v2ex能随便等别人的号和获取密码就泪奔吧
    shunai
        31
    shunai  
       2013-08-10 09:54:08 +08:00
    @c742435 大学生、工作在外的人都有人这么干,大学生也有nb的
    belin520
        32
    belin520  
       2013-08-10 10:10:06 +08:00
    额,我想省钱也应该找个靠谱点的吧。。而且,完全没必要把密码输出
    loveminds
        33
    loveminds  
       2013-08-10 13:37:47 +08:00
    @feihu Base64至少靠谱些
    undeadking
        34
    undeadking  
       2013-08-10 18:20:31 +08:00
    @feihu 实际上chrome的密码并不是明文保存的,那文章喧哗取众而已.搞不清楚什么是明文保存,和通过程序能看到密码区别的小白用户的确不值得浪费时间去沟通.

    一部已经解锁的PC,别人在上面能干的坏事太多了,先养成随手锁门关门的习惯再去考虑买保险柜吧,把保险柜顺手打包带走其实没多大成本
    feihu
        35
    feihu  
       2013-08-10 20:46:43 +08:00 via iPad
    @loveminds base64貌似是有特征的,特定长度的会以特定字符结尾。没记错的话是这样的
    weakish
        36
    weakish  
       2013-08-11 01:06:44 +08:00
    @feihu 如果妳設置了Windows的登錄密碼,那麼google chrome的密碼是加密儲存的。關機以後,如果把妳的硬盤拆下來,是讀不到妳的密碼的。同樣,如果重置了妳的Windows密碼,那也無法解密了。要知道密碼,她或者要知道妳的Windows登錄密碼,或者是設法讓你在自己的機器上安裝木馬偷窺密碼。
    liuhang0077
        37
    liuhang0077  
       2013-08-11 08:05:15 +08:00 via Android
    我觉得这是大学生与大学生之间的话题
    binyuJ
        38
    binyuJ  
       2013-08-11 12:01:27 +08:00
    黑大学生什么心态,难道大学生一定做这种事情?其他人就不可能做这种事情?而且谁不是从大学生过来的吗?
    feihu
        39
    feihu  
       2013-08-11 17:56:48 +08:00 via iPhone
    @weakish 你们是对的,我说我工作中的场景吧,我是一个比较容易着急的程序员,一般有人问我一个问题的时候,我会直接拿他的电脑直接调试了。这个时候如果他去喝喝水之类的。我顺便就能看些东西了。ifanr的评论里面也说了一些场景,挺有意思的。
    why
        40
    why  
       2013-08-11 19:56:47 +08:00
    这几天有什么考试?如果考生忘记密码不好办啊,要看面向的人群
    weakish
        41
    weakish  
       2013-08-11 22:45:19 +08:00
    @feihu google chrome支持多用戶賬戶,這種情況可以登出。
    feihu
        42
    feihu  
       2013-08-12 08:59:33 +08:00
    @weakish 是可以登出,但是在我实际碰到的情况上,我都没有碰到有人登出的。有些东西安装完整的流程中走是安全的,但是实际情况是人不知道有那种情况,直接忽略了。早期一些骇客还会通过社会工程学来入侵系统,这些也能防止,但是是需要专门培训才知道了。不说的话,自然也成为隐患了。成为木桶的短板。

    Google这样做有他的理由,但是我不想那么麻烦:每次别人用我的电脑的时候我都要去登出。我的安全防范做的不够好,所以只能不用。以后也尽量少用别人的电脑,不然有什么账号丢失的事情我也说不清。

    最后在说个跟主题无关的东西:Google的多账号切换这个功能慎用。我用了一次,现在我的书签已经乱七八糟了。突然多了几百个一样的书签。也不知道是怎么冒出来的。很是无奈。
    yuhu
        43
    yuhu  
       2013-08-12 09:12:22 +08:00
    求网址,多好的社工库啊~
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4615 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 03:49 · PVG 11:49 · LAX 19:49 · JFK 22:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.