求分析一下这个网站登录时的安全机制和实现方案

2015-06-29 10:00:10 +08:00
 luojingyaoex

网址: http://www3.firstjob.com.cn

这个网站是上海市的就业事务网。

目前已知的是每次刷新一下页面,后台就传过来一个加密的密钥(每次都不同)
然后前端用密钥把明文的输入的密码进行加密,再进行判断

请问这是什么实现方法?
只是技术研究,不是违反道德的用途。

——————————————————————————————
第一次发帖,望轻拍~~

5728 次点击
所在节点    程序员
30 条回复
wy315700
2015-06-29 15:59:16 +08:00
@OpooPages
@luojingyaoex
@rekey

没什么用,因为前台是用密码的MD5进行运算的。
所以,我只需要知道密码的MD5就可以了,不需要知道密码。
OpooPages
2015-06-29 16:06:30 +08:00
@wy315700

没错,知道MD5值跟知道原文密码其实也差不多。

但是这个机制和HTTPS一样,应对的是传输过程中被拦截被窃取的问题,不是密码是否明文和MD5存储的问题。
wy315700
2015-06-29 16:07:08 +08:00
@OpooPages 不不不,我说的是服务器被扒裤的问题,明文密码的问题在于服务器被扒裤以后可以直接用来登录。
OpooPages
2015-06-29 16:20:05 +08:00
@wy315700 被扒裤的话,https怕是也解决不了问题 :)

不过我们关注的点可能不同,我就看他那个题目“网站登录时的安全机制”了,没有仔细想过密码安全存储的问题。
wdlth
2015-06-29 16:22:33 +08:00
为了避免表单提交的时候被直接嗅探出明文密码。实现方法很多,有HMAC-MD5/SHA、3DES、RSA等,可以使用一种算法也可以使用多种算法。
wy315700
2015-06-29 16:24:30 +08:00
@OpooPages 楼主这种方法也是解决不了中间人的。。。
RecursiveG
2015-06-29 16:56:28 +08:00
@gdtv 呃...实际上它用的是密码的md5做HAMC的, 所以后台数据库应该存的是密码的md5...
不过一旦被扒库和存明文密码没什么区别...一样可以直接登录.
iyangyuan
2015-06-30 08:09:26 +08:00
前端加密都是纸老虎
fising
2015-06-30 10:10:00 +08:00
@gdtv 你很可笑 : )
fising
2015-06-30 10:10:27 +08:00
@wy315700 为什么解决不了?求解释。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/201847

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX