网易继续补刀。。。修改密码后竟然还是登录状态。。。

改了 gmail 的密码，也依然在登陆状态
但是 chrome 让重新登陆了~~~

@mapleth 我当时也觉得诧异，不管怎么样，用户只要改密了，用户之前的不管是登陆 token 还是 cookie 等都应该重置掉，并且提示用户重新登陆，这应该是基本常识吧

网易有将军令这个东西，然而两步验证不支持……我就只能呵呵了，况且它的两步还能被绕过，真是够了

百度最长只能 14 位

大概在 04 年那段时间，网易邮箱很容易收到垃圾邮件，同时网页改版，充值 VIP 更方便的时候，我就决定停用已经使用 5 年了得网易 2 个主邮箱了

现在主要就是用 Gmail ，辅助用 QQ 邮箱
Gmail 别看翻墙这么多年麻烦，但始终坚挺

应该是修改了密码，清除原来的 cookie 然后自动下发了新的 cookie 吧

老的 cookie 已经没有了，省去你再次登录的步骤，现在很多网站都是这样的。

还好有了 Gmail 就换过去了……现在有个残留的网易邮箱账号，昨天废了好大劲才修改密码成功。

第一次尝试修改密码时，网易判定我的账号处于高危状态，不给我改。然后我小时候密保问题也是完全乱设的（因为我相信自己永远不会忘记密码），完全回答不出来，网易就不给我改密码。

还好他们的系统有漏洞。我发现还没有绑定过 QQ 号，就尝试临时绑一个。出乎我意料的是，在账户高危状态时，不能修改密码，却可以再绑定 QQ 号！然后绑定完居然可以用新绑定的 QQ 号重设密码！真是醉了！

今天中午看到消息后，把几个邮箱密码都改了一遍。。。论体验 论安全 和 outlook gmai 怎么比。
我重要的账号注册都是用的这两个。

看了下我的密码，撞库的话直接躺了 1/3 的帐号，一百多个，改到什么时候。。。。

@LazyZhu 强烈同意，我想改成强密码，结果告诉我位数太多。

@chenwen 这个确实应该是常识，难道他们工程师都偷懒到这地步了。。

@Winny 关键是木有清除

@czrdzj 哎 改了好久才把部分账号的邮箱换成 gmail ，还有一部分不知道用的哪个邮箱呢，醉了

@pheyer 这个 bug 还在吗？我想修改密码，但网易说我关联了手机号，非要我验证手机号，可是那手机号早就不用了。现在他们要我上传身份证修复密码。。。

我刚刚没事修改了一下知乎的密码,发现修改完还是处于登陆状态的.哈哈哈哈

好像很多网站都是这样，这是为啥？
@micone

@mapleth 按理来说在改了密码以后登陆验证的 token 会改变的,下一次 http 请求发送的 token 和后台的不一样的话就说明他要重新登陆获取 token 才对的.这种改了密码还处于登陆状态的网站很有可能是密码不参与 token 的验证.

我没深入参与过 web 安全的系统的设计,但是也有涉及到过一些比如 OAuth 之类的安全协议的对接.一般登陆以后会生成一个 AccessToken,这个 token 是用用户名,加密过的密码,token 超时时间,IP 地址,还有一些其他一些参数(变量)组合并哈希出来的.

每次用户登录服务器(应该)都要重新算一遍这个 AccessToken 和客户端呈上的 AccessToken 是否匹配.