大公司怎么还在犯这种低级的错误。我说的是tumblr

2013-07-19 10:57:37 +08:00

neodreamer

用户登录的密码是明文传输的。

小公司犯错还可以理解。大公司还犯这种低级错误就有点搞笑了。

http://m.newyorker.com/online/blogs/elements/2013/07/tumblr-vulnerability-how-to-secure-your-passwords.html

8471 次点击

所在节点

26 条回复

11138

2013-07-19 18:15:59 +08:00

$password_hash = md5_hex("密码+当前小时");

这样一个密码的hash有效期是一个小时，还有其它类似的办法，加上验证码等等其它条件再MD5一次。

birds7

2013-07-19 18:57:02 +08:00

研究人员将在Blackhat 2013上讲解如何30秒破解SSL
http://www.freebuf.com/news/10883.html

luikore

2013-07-19 20:47:50 +08:00

@11138 还在用 md5 的都是高危网站

sharpnk

2013-07-19 20:57:10 +08:00

这跟明文不明文没有关系. plain text over https完全没有任何问题.

tumblr的问题是用http传输了. 而且这个不是登陆页面, 是client朝authorization server要access token的request, 影响的是首次登陆的用户.

zebinary

2013-07-19 22:16:52 +08:00

现在登陆这块的最佳实践是什么样的？有人出来分享下么？

neodreamer

2013-07-19 23:20:47 +08:00

@sharpnk

http://regmedia.co.uk/2013/07/16/tumblr_plain_text_password.png
客户端用公钥加密，服务端私钥解密，貌似可以避免用户密码明文被暴露，虽然不能阻止密文被截获，不能阻止别人拿这密文伪造客户登录请求，获取用户访问权限。

第 2 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.