大公司怎么还在犯这种低级的错误。我说的是tumblr

2013-07-19 10:57:37 +08:00
 neodreamer
用户登录的密码是明文传输的。

小公司犯错还可以理解。大公司还犯这种低级错误就有点搞笑了。

http://m.newyorker.com/online/blogs/elements/2013/07/tumblr-vulnerability-how-to-secure-your-passwords.html
8579 次点击
所在节点    程序员
26 条回复
11138
2013-07-19 18:15:59 +08:00
$password_hash = md5_hex("密码+当前小时");

这样一个密码的hash有效期是一个小时,还有其它类似的办法,加上验证码等等其它条件再MD5一次。
birds7
2013-07-19 18:57:02 +08:00
研究人员将在Blackhat 2013上讲解如何30秒破解SSL
http://www.freebuf.com/news/10883.html
luikore
2013-07-19 20:47:50 +08:00
@11138 还在用 md5 的都是高危网站
sharpnk
2013-07-19 20:57:10 +08:00
这跟明文不明文没有关系. plain text over https完全没有任何问题.

tumblr的问题是用http传输了. 而且这个不是登陆页面, 是client朝authorization server要access token的request, 影响的是首次登陆的用户.
zebinary
2013-07-19 22:16:52 +08:00
现在登陆这块的最佳实践是什么样的?有人出来分享下么?
neodreamer
2013-07-19 23:20:47 +08:00
@sharpnk

http://regmedia.co.uk/2013/07/16/tumblr_plain_text_password.png
客户端用公钥加密,服务端私钥解密,貌似可以避免用户密码明文被暴露,虽然不能阻止密文被截获,不能阻止别人拿这密文伪造客户登录请求,获取用户访问权限。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/76276

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX