Stack Overflow 明文密码?

2018-06-29 13:46:47 +08:00
 poorcai

登陆的时候没事,F12 看了下,竟然发现了表单输入的邮箱和密码?不加密的吗?

是我的姿势不对,还是真的发现了问题?

7593 次点击
所在节点    分享发现
60 条回复
runnerlee
2018-06-29 13:50:26 +08:00
有 https 啦
poorcai
2018-06-29 13:51:32 +08:00
@runnerlee #1 HTTPS 也不应该明文密码提交吧?是我没搞懂么?
jarnanchen
2018-06-29 13:51:41 +08:00
没问题,前端加密没有意义啊
chinvo
2018-06-29 13:53:14 +08:00
没问题

传输安全性由 HTTPS 保证

JS 加密没意义

至于其他可能,你看国内一票一点都不安全的“安全控件”
chinvo
2018-06-29 13:53:35 +08:00
jecshcier
2018-06-29 13:54:09 +08:00
@poorcai 你的密码只有你能看到。https 协议的非对称加密,没事的。前端加密没太大意义,如果是 http,再怎么加密,重放一波就行了。。
poorcai
2018-06-29 13:54:26 +08:00
@jarnanchen #3
@chinvo #4
好吧,是我大惊小怪了
runnerlee
2018-06-29 14:04:22 +08:00
不过能不能这样, 假如密码的哈希用这样来创建: md5(md5(password) + salt)

然后让前端处理 h1 = md5(password), 后端处理 md5(h1 + salt)

这样就算被抓包也没关系了?
yanaraika
2018-06-29 14:07:11 +08:00
@runnerlee 不能处理重放。你魔改出一个可以处理重放的版本就是 tls
footoredo
2018-06-29 14:07:19 +08:00
@runnerlee https 抓包也看不到内容,而且 md5 已经过时了
closedevice
2018-06-29 14:08:28 +08:00
问题不大~
runnerlee
2018-06-29 14:13:19 +08:00
@yanaraika 也是, 学习了! 还从来没想过重放的问题.
wxsm
2018-06-29 14:24:47 +08:00
年轻人不要总想搞大新闻,先提高姿势水平
poorcai
2018-06-29 14:27:12 +08:00
@wxsm #13 哼
poorcai
2018-06-29 14:27:42 +08:00
@runnerlee #8
@yanaraika #9
@footoredo #10
@closedevice #11
@wxsm #13
感谢各位大佬
Kilerd
2018-06-29 14:43:39 +08:00
请重修密码学

@runnerlee 你这个做法只是让别人「看不到」你的原始密码。但是对于服务器来说,你的「 Password 」只是变成了「 MD5(Password)」 ,该入侵的还是入侵,预期在这个地方折腾,还不如老老实实做好服务器方向的保护
whoami9894
2018-06-29 16:07:44 +08:00
我们教务系统是 http,然后用了 rsa 加密登录密码
throns
2018-06-29 16:13:12 +08:00
@whoami9894 我们学校也是,一登录表单就变成加密过后的,chrome 保存以后自动填充是加密过后的,每次都要重新输过,贼傻逼
whoami9894
2018-06-29 16:13:30 +08:00
@whoami9894
不过有时间戳参数
throns
2018-06-29 16:13:44 +08:00
@whoami9894 不过我们上 https 了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/466847

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX