大公司怎么还在犯这种低级的错误。我说的是tumblr

2013-07-19 10:57:37 +08:00
 neodreamer
用户登录的密码是明文传输的。

小公司犯错还可以理解。大公司还犯这种低级错误就有点搞笑了。

http://m.newyorker.com/online/blogs/elements/2013/07/tumblr-vulnerability-how-to-secure-your-passwords.html
8574 次点击
所在节点    程序员
26 条回复
Perry
2013-07-19 10:59:51 +08:00
我只看他们犯错误后的态度
neodreamer
2013-07-19 11:03:05 +08:00
@Perry 事后态度很重要。但这么简单的措施不做是没想到日后成名,所以无所谓吗?
juntao
2013-07-19 11:20:55 +08:00
刚开始是实习生写的。后来没人改过这块代码了。。运行的好好的嘛。= =
metalbug
2013-07-19 11:51:34 +08:00
雅虎收了,应该会改吧?谁知道呢,反正也不碍事
angryz
2013-07-19 12:09:54 +08:00
感觉哪个公司都不能完全放心,还是得自己辛苦点做好安全防范。
ejin
2013-07-19 12:28:14 +08:00
大部分网站都明文传输的,另外换句话说,99.9999%的网站都是http协议,可窃听可篡改的,没几个人会https开头打网址,只要不是直接https打开,跳转也能改
hutushen222
2013-07-19 12:32:01 +08:00
除了HTTPS,怎么处理算安全的呢?

知乎上看到还有JS加密的方式,这个过程是指表单提交后,使用JS将密码变成可解密密文后传递给服务器段吗?
http://www.zhihu.com/question/20306241
lichao
2013-07-19 12:34:26 +08:00
@ejin 登陆页面强制 https 是常识
hutushen222
2013-07-19 12:36:30 +08:00
@lichao 这也分站点类型吧,比如V2EX的登陆页面就没有HTTPS。
lichao
2013-07-19 12:38:50 +08:00
@hutushen222 嗯,改一下,大型网站登陆页面强制 https 是常识
pfipdaniel
2013-07-19 12:43:22 +08:00
登录用https,登录完成后http,于是乎可以比较容易的劫持用户session
linlis
2013-07-19 13:21:54 +08:00
靠,太让人失望了,居然是 Tumblr,亏得我一直用的 Tumblr
treo
2013-07-19 14:01:13 +08:00
只要是http传输的,加密还是明文有什么区别
treo
2013-07-19 14:08:56 +08:00
@hutushen222 这个属于自欺欺人,如果攻击者可以嗅探到明文密码,那么同样也可以嗅探到js加密后传输的hash,replay一下,和拿到明文密码的效果是一样的
notedit
2013-07-19 14:21:38 +08:00
@hutushen222 不是传送的可以解密的 是hash值 所以服务端也不知道用户的密码是神马 具体的原理可以参考mysql的验证
notedit
2013-07-19 14:22:34 +08:00
@treo 参考我上条
swulling
2013-07-19 14:28:15 +08:00
@notedit 在没有https的情况下,这是一个不得已的办法,本地hash后传送
hutushen222
2013-07-19 15:08:46 +08:00
@swulling @notedit 我认同 @treo 的观点, HTTP协议下加密和明文没什么区别,嗅探到之后都可以用以登陆当前站点。

HTTP协议下加密的方式唯一的好处可能在于不能直接用hash串去登陆其他的站点。
neodreamer
2013-07-19 16:30:30 +08:00
@linlis 这次事件只影响 iPhone 和 iPad App 用户。web 登录用户不影响。
luikore
2013-07-19 17:08:40 +08:00
和公司大小没关系, 而且软件质量控制的难度是随着团队大小的指数增长的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/76276

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX