这是一个创建于 4100 天前的主题,其中的信息可能已经有所发展或是发生改变。
他自己的密码,写了个小程序来记录,放在公网服务器上,明文储存,然后他可以登录上去用关键字搜索网站名来查询相应的密码,就是他个人记录用
这台公网服务器仅开放对固定客户端访问权限(所有端口),他自己编造了一个域名,通过在客户端绑host来访问该服务器的https,https是他做的一个自签证书
也就是必须是固定IP的客户端,并且该客户端绑定了的host后,用“只有他知道”的特殊域名访问https,然后输入一个密码后,才能访问到他这套东西。服务器上除了这套东西外没其他任何应用。
我总感觉不太安全,
我跟他说:“怎么能明文储存密码?”
他说:“我自己的密码方便我记,要显示出明文给我,再说服务器别的IP也访问不了”
我说:“你用自签证书,中间人攻击偷你密码妥妥的”
他说:“我用的这个域名是我乱编的,就我自己用,没人知道”
我说:“你笔记本丢了怎么办?”
他说:“笔记本丢了他没法用固定IP上,即使通过浏览器记录进去,他也不知道进入程序的登录密码”
我又想了半天但是在说不出漏洞在哪,各位帮忙想想他这样做隐患在哪?
这台公网服务器仅开放对固定客户端访问权限(所有端口),他自己编造了一个域名,通过在客户端绑host来访问该服务器的https,https是他做的一个自签证书
也就是必须是固定IP的客户端,并且该客户端绑定了的host后,用“只有他知道”的特殊域名访问https,然后输入一个密码后,才能访问到他这套东西。服务器上除了这套东西外没其他任何应用。
我总感觉不太安全,
我跟他说:“怎么能明文储存密码?”
他说:“我自己的密码方便我记,要显示出明文给我,再说服务器别的IP也访问不了”
我说:“你用自签证书,中间人攻击偷你密码妥妥的”
他说:“我用的这个域名是我乱编的,就我自己用,没人知道”
我说:“你笔记本丢了怎么办?”
他说:“笔记本丢了他没法用固定IP上,即使通过浏览器记录进去,他也不知道进入程序的登录密码”
我又想了半天但是在说不出漏洞在哪,各位帮忙想想他这样做隐患在哪?
 |
1
fangzhzh 2013-09-01 07:56:28 +08:00
隐患在有人在背后偷看
|
 |
2
andybest OP @fangzhzh keepass ,1Password这类密码管理软件也有存在有人在背后看的隐患的吧?
只是他这套东西不像keepass这样用对称密匙储存非明文密码 |
 |
3
jybox 2013-09-01 08:03:48 +08:00  1
感觉确实没什么漏洞,自签的证书不会导致中间人攻击,如果把远端的服务器看成一个黑盒,确实没什么隐患。
更进阶一点的方案是在服务器和客户端之间使用双向的证书验证吧。 |
 |
5
sophy 2013-09-01 09:26:28 +08:00 via Android 1
很安全啊,都要绑hosts了,只要没人看到应该没事
|
 |
6
jamesxu 2013-09-01 09:49:10 +08:00
搞这么麻烦,还不如用truecrypt密码和keyfile加密,再存到Dropbox。
|
 |
7
saharabear 2013-09-01 13:35:25 +08:00
还是加密更好吧。
|
 |
8
iislong 2013-09-01 15:36:30 +08:00
常用且重要的密码使用keepass同步到dropbox(手机端使用dropbox共享出来的链接,当然这个很长的链接[缺特定字母]放在网站某处),一般的密码存到lastpass。
dropbox和lastpass均开启两步验证。 |
 |
9
zhttty 2013-09-01 15:43:39 +08:00
能接触到服务器实体的人,直接0:号登录就可以看到了。
|
Select Language