Photobucket很可能是明文保存密码的

2011-06-16 17:55:13 +08:00
 ayanamist
http://img.ly/563V
看以上img.ly的截图。居然很挑剔密码,还不能包含一些特殊字符以及以0开头。非常怀疑是明文保存密码的,否则这么多要求干嘛。
大家注册的时候小心点啊
5350 次点击
所在节点    分享发现
13 条回复
statm
2011-06-16 20:41:57 +08:00
有点矛盾...
明文保存,防止注入->禁止特殊字符
加密保存,防止暴力破解->禁止以0开头
ayanamist
2011-06-16 20:56:08 +08:00
@statm 禁止以0开头和明文保存并不冲突,例如给这个列加了索引。
9hills
2011-06-16 21:19:47 +08:00
这个推论很不靠谱阿。。。

你说是加个md5()方便呢,还是写个js来判断特殊字符方便呢。。。
lainuo
2011-06-16 22:17:45 +08:00
这....如果不是前端JS做的验证; 在后端也是很容易的...

比如, 在Rails里, 只要在用户的那个model里的加个"validates_format_of"到密码上就可以了...
lainuo
2011-06-17 00:57:59 +08:00
额...我应该是理解错楼主要表达的意思了...囧...

不过应该不会用明文保存, 百害而无一利. 不允许空格大概是因为没有密码确认, 要防止用户多打空格; 禁用特殊字符就有些没必要了. 至于0开头...难道真是为了防止暴力破解...
ayanamist
2011-06-17 11:48:08 +08:00
@9hills 是啊,问题是他们为什么调了复杂的方法呢?除了保存明文还有什么解释呢?
@lainuo 你们解释不出来吧。拿到用户密码好处很多的哦~
9hills
2011-06-17 12:36:24 +08:00
@ayanamist 就算要拿用户密码。。。为啥非要设不允许特殊字符?
直接存一份不就完了。。。难道你以为用户数据库用md5保存就拿不到密码了?md5之前把密码copy一份很难么。。
ayanamist
2011-06-17 12:37:45 +08:00
@9hills 那你给个合理解释,为什么禁用那么多特殊字符?
lainuo
2011-06-17 12:52:38 +08:00
合理解释就是做这网站的这帮人一知半解. 拿用户密码干嘛还费这个劲...
istef
2011-06-17 13:08:33 +08:00
@ayanamist 合理解释就是,美国类似的二网站多的是,比如 bank of america, 比如 AT&T。。。。。既然二过了也就习惯了
ayanamist
2011-06-17 13:11:51 +08:00
@istef @lainuo 我本来是用LastPass自动生成密码的,选了12位包含全部特殊字符的方式,结果居然通不过……
istef
2011-06-17 13:14:39 +08:00
@ayanamist 同 LastPass 纠结。。。只能给它弄个简单的密码了。。。。
当然有个听起来略微合理的解释,早期开展互联网业务的这些公司的网站通常有这个问题,photobucket 其实起步也是很早了。。。。
ayanamist
2011-06-17 17:28:44 +08:00
@istef 比它早但没这个设定的网站多的去了……

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/14542

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX