一个网站,用明文保存用户的密码,并在一个权限控制极弱的页面明文输出用户密码,更改个数字就能看到其他用户的密码,这是什么心态?

2013-08-08 12:40:04 +08:00
 gracece
帮同学在某个考试的网站打印准考证,网站只允许IE登陆,这个就懒得吐槽了。打印准考证的页面,有个参数是准考证的ID,随便更改一下就可以看到别人的准考证了。查看源代码,是XML文件,有一个字段就是密码!明文的...

我想不通的是:每种语言应该都有现成的加密函数,为什么就不能稍微用一下把密码加密储存;以及,没事把密码输出来干啥呀

感觉对用户太不负责了。
6301 次点击
所在节点    程序员
43 条回复
PotatoBrother
2013-08-09 08:35:14 +08:00
技术是硬伤
undeadking
2013-08-09 11:59:33 +08:00
@feihu 都是本机程序,对称加密了之后密钥也是浏览器可读写的,和明文保存的安全性差不多
jetbillwin
2013-08-09 12:02:59 +08:00
@lqs 不是已经被脱过了么,CSDN,万恶的csdn
feihu
2013-08-09 12:39:54 +08:00
@undeadking 密钥本身也要加密,至少不能通过string直接的到,放keychain也可以。keychain貌似也不怎么安全,但是不能随便一个人就能破解阿。这至少要一个破解成本在。零成本的话只能说是在鼓励
justfindu
2013-08-09 12:47:49 +08:00
@feihu 有一个关于chrome 记住密码的加密, 他是通过你的登陆计算机的密钥等手段进行加密的, 也就是如果数据被别人获取了~ 也是无法解开的来着~ 所以chrome对多用户都有一个自己的配置. firefox貌似也是这样~
wy315700
2013-08-09 12:48:42 +08:00
很简单啊 学生做的网站 坨坨的没用session
undeadking
2013-08-09 12:50:42 +08:00
@feihu 自己的电脑/手机被别人直接使用其实就已经谈不上什么破解不破解了.任何对称加密在单机环境下都是摆设,火狐的代码是开源的,搞个三方工具来看密码没难度.想用技术手段来解决这个层面上的安全是搞错方向了
sharmy
2013-08-09 13:17:54 +08:00
@vietor 确实,我也遇到过这样的项目,当时之无语
feihu
2013-08-09 21:38:15 +08:00
@undeadking 那按google的做法来说,pc是否需要密码登陆?应该只要能物理接触都是不安全的,要了也是白要,keychain也是一个无用的设计。http://www.ifanr.com/328760 这篇文章最后说了一个观点:如果我家大门被贼开了,那么里面的东西都是任意拿的,因为就算是最牛的保险柜也能被最牛的窃贼打开
Kvm
2013-08-10 09:39:15 +08:00
web层应用还是需要加验证的。。。。
楼上的好几位把其他的扯远了没意思,要是登陆个v2ex能随便等别人的号和获取密码就泪奔吧
shunai
2013-08-10 09:54:08 +08:00
@c742435 大学生、工作在外的人都有人这么干,大学生也有nb的
belin520
2013-08-10 10:10:06 +08:00
额,我想省钱也应该找个靠谱点的吧。。而且,完全没必要把密码输出
loveminds
2013-08-10 13:37:47 +08:00
@feihu Base64至少靠谱些
undeadking
2013-08-10 18:20:31 +08:00
@feihu 实际上chrome的密码并不是明文保存的,那文章喧哗取众而已.搞不清楚什么是明文保存,和通过程序能看到密码区别的小白用户的确不值得浪费时间去沟通.

一部已经解锁的PC,别人在上面能干的坏事太多了,先养成随手锁门关门的习惯再去考虑买保险柜吧,把保险柜顺手打包带走其实没多大成本
feihu
2013-08-10 20:46:43 +08:00
@loveminds base64貌似是有特征的,特定长度的会以特定字符结尾。没记错的话是这样的
weakish
2013-08-11 01:06:44 +08:00
@feihu 如果妳設置了Windows的登錄密碼,那麼google chrome的密碼是加密儲存的。關機以後,如果把妳的硬盤拆下來,是讀不到妳的密碼的。同樣,如果重置了妳的Windows密碼,那也無法解密了。要知道密碼,她或者要知道妳的Windows登錄密碼,或者是設法讓你在自己的機器上安裝木馬偷窺密碼。
liuhang0077
2013-08-11 08:05:15 +08:00
我觉得这是大学生与大学生之间的话题
binyuJ
2013-08-11 12:01:27 +08:00
黑大学生什么心态,难道大学生一定做这种事情?其他人就不可能做这种事情?而且谁不是从大学生过来的吗?
feihu
2013-08-11 17:56:48 +08:00
@weakish 你们是对的,我说我工作中的场景吧,我是一个比较容易着急的程序员,一般有人问我一个问题的时候,我会直接拿他的电脑直接调试了。这个时候如果他去喝喝水之类的。我顺便就能看些东西了。ifanr的评论里面也说了一些场景,挺有意思的。
why
2013-08-11 19:56:47 +08:00
这几天有什么考试?如果考生忘记密码不好办啊,要看面向的人群

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/78399

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX