法国教育署药丸! 密码明文储存! 邮件不加密!

2015-09-05 12:13:55 +08:00
 orancho
3889 次点击
所在节点    互联网
18 条回复
oott123
2015-09-05 12:17:13 +08:00
哦……
ivmm
2015-09-05 12:24:44 +08:00
so?
spencerqiu
2015-09-05 12:29:33 +08:00
扯淡,能够解密明文就一定没加密?
nikoukou
2015-09-05 12:45:28 +08:00
露珠这截图透出来的信息够别人玩一阵的了
Kilerd
2015-09-05 12:49:23 +08:00
前排围观。
LZ 不要认出我是谁
hemingway
2015-09-05 12:55:08 +08:00
可能只是发邮件给你的时候是明文,存储的时候还是密文,国内某些期刊网站之类的也这样。
orancho
2015-09-05 13:37:38 +08:00
@nikoukou 玩吧,这些在 fb 上都是公开的
Tuccuay
2015-09-05 16:33:10 +08:00
@Kilerd 前排+1
Laforet
2015-09-05 18:56:35 +08:00
@hemingway

能看到明文就说明保存了明文或者对称加密的密文,后者在密钥泄露的情况下和明文一样。

最要命的是 email 传输过程中很多步骤是不加密的....
loading
2015-09-05 18:58:17 +08:00
aa45942
2015-09-05 19:03:07 +08:00
LZ 不遮下名字么 2333
密码明文储存,数据库一被爆就是大事
zdkmygod
2015-09-05 19:27:08 +08:00
zdkmygod
2015-09-05 19:30:05 +08:00
楼主邮件的标题是 registered 呀,不是找回密码呀。大家不要搞错了。
你注册的时候完全可以给你先发明文密码再加密保存到数据库呀。
可能的问题是邮件协议应该没有加密,相当于明文传输密码,但是不代表是明文保存密码。
est
2015-09-05 19:32:28 +08:00
@Laforet 谁说的?


比如 form 提交的时候逻辑是这样:

password = POST.get ('pwd')
send_email ('blah@foo.bar', 'your password is' + password )
save_user (password=encrypt (password ))

这样密码也是加密保存了的。
aa45942
2015-09-05 19:35:02 +08:00
@zdkmygod 不管是不是注册,明文密码在邮件传输过程中有被截获的可能。
一旦邮件被截获,不管最后是不是用密文储存,别人的目的已经达到了,可以拿着你的密码去社工、去充实字典等等
zdkmygod
2015-09-05 19:41:30 +08:00
@aa45942 是的,我在回复中也提到了。
但是楼主说的密码明文存储应该是不存在的,除非这网站是上个世纪搭建的。
lightening
2015-09-05 19:56:48 +08:00
注册的时候确实有可能邮件发出来然后再加密……不过这样就把密码写在邮件里,安全意识实在太低了,估计 99% 是明文储存的。
Laforet
2015-09-06 05:41:46 +08:00
@est

不会法语,仔细看了一下这个是注册后的确认信。我理解成找回密码的回信了。那么你说的也有可能。

但是敢在明文邮件里放密码的服务,还真的不能断言后台不是明文储存的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/218371

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX