是啊 <- 中国开发网

CNDEV.ORG

当前在线

论坛

CBD
- 程序员情感CBD
- 程序员见面交流会
CBD开发区
- Java/J2ME
- .NET/C#
- 数据库
- Delphi/BCB
- Visual C
其它
情感
游戏
- CNDEV-CS/WOW
- 浩宇长空
生活
论坛系统

中国开发网: 论坛: 程序员情感CBD: 贴子 213445

JoJo：

是啊

[阅读: 384] 2005-10-13 05:14:35

内部攻击一般都是这样的

相关信息:

dearbook真的不是一般的差阿，电子商务网站居然还是用明码保存密码 (49字) (Water-E [675] 2005-10-13 09:59)
- 不要在网上付帐就行了。 (空) (pcplayer [439] 2005-10-13 10:00)
- 好多网站都是这样，这个指示通知你初始密码让你去修改。 (空) (老玉米 [395] 2005-10-13 10:00)
  - 不是初始密码，就是俺自己输入的密码。 (空) (Water-E [378] 2005-10-13 10:04)
    - 问问grhunter怎么弄得？ (空) (老玉米 [422] 2005-10-13 10:15)
      - grhunter 在 dearbook 的干活？ (空) (pcplayer [345] 2005-10-13 10:24)
        是一家公司... (空) (Water-E [366] 2005-10-13 12:57)
      - grhunter说他管不了 (18字) (Water-E [447] 2005-10-13 12:57)
        韩磊还真找曾登高说了。 (42字) (Water-E [480] 2005-10-13 16:04)
        中国软件开发,缺乏的是常识 (空) (sealw [429] 2005-10-13 16:57)
- 电子邮件能做为法律证据么？可能要请教一下花花才行！ (空) (fogbound [591] 2005-10-13 10:01)
- 呵呵……，人家密码怎么存无所谓呀，密码汇露怎么能证明是人家泄露的。 (空) (没脾气2x [377] 2005-10-13 10:15)
  - 很多用户就是想让你告诉他以前什么密码，你给人家重置一个新的，人家还觉得不方便呢。 (空) (没脾气2x [453] 2005-10-13 10:15)
    - org的密码是明文存的不？ (空) (Water-E [421] 2005-10-13 10:22)
      - 嘎嘎，你试试 (空) (没脾气2x [354] 2005-10-13 10:23)
        过2天俺就把密码改成这个 (11字) (Water-E [485] 2005-10-13 10:27)
        好密码。 (4字) (ycm0263 [402] 2005-10-13 11:20)
  - 差别可大了，商务网站有义务保护用户私密信息。 (69字) (Water-E [460] 2005-10-13 10:22)
    - 我弄电子商务会考虑这个，不考虑这个的有大人在。 (空) (没脾气2x [431] 2005-10-13 10:24)
- 它倒不一定保存是明文。它给你的可能是人家解密后的呢。 (空) (pcplayer [481] 2005-10-13 10:25)
  - 那和明文有啥区别，能得到数据库的话算法不是小菜。保存密码一定要是hash过的 (空) (Water-E [511] 2005-10-13 10:28)
    - 那是。这样的加密，防不了内部人偷。 (空) (pcplayer [403] 2005-10-13 11:19)
    - 那是古老的做法 (26字) (JoJo [433] 2005-10-13 13:05)
      - 哦？说说用hash不能解决啥问题？ (空) (Water-E [378] 2005-10-13 13:07)
        可以改啊 (46字) (JoJo [463] 2005-10-13 13:09)
        你的意思是攻击者把保存在数据库里的密码改掉？ (空) (pcplayer [399] 2005-10-13 13:12)
        是啊 (11字) (JoJo [383] 2005-10-13 13:14)
        那他也可以把密码改掉后再做非对称加密，再把证书都换掉。 (空) (pcplayer [352] 2005-10-13 13:16)
        换掉证书时间戳就不一致了 (15字) (JoJo [460] 2005-10-13 13:18)
        如果假设能拿到数据的控制权，也能假设得到系统的控制权。 (13字) (GoodHope [463] 2005-10-13 13:46)
        还是不行 (31字) (JoJo [387] 2005-10-13 14:02)
        这还不容易 (21字) (GoodHope [425] 2005-10-13 14:05)
        这个问题我早就解决了 (6字) (haitao [417] 2005-10-13 13:17)
        说出来听听 (9字) (JoJo [423] 2005-10-13 13:19)
        先看看其他人有没有想到的吧。。。 (38字) (haitao [408] 2005-10-13 13:21)
        不过要说明的是，我排除的是这种行为 (106字) (haitao [495] 2005-10-13 13:59)
        替换攻击都不防，还搞什么啊 (空) (JoJo [429] 2005-10-13 14:08)
        防的就是拿其他人现成的hash值来替换啊 (空) (haitao [387] 2005-10-13 14:12)
        如果是非对称加密，加密解密过程是可逆的，如果得到密钥以后仍然可以密码的明文。 (24字) (Water-E [611] 2005-10-13 13:24)
        如果应用这种系统 (23字) (JoJo [412] 2005-10-13 13:27)
        蛋又扯远了，俺说的是保护用户密码的私密性。 (空) (Water-E [430] 2005-10-13 13:41)
        那就只对管理员做这一重处理即可 (20字) (JoJo [384] 2005-10-13 14:06)
- 没准人家给你的是一次性的。。。 (空) (MaoMao [380] 2005-10-13 11:18)
- 记得以前刚毕业的时候把公司的数据库的记录用户的表用delphi写了个工具把所有的密码明文都转化成了2进制代码 (19字) (fogbound [695] 2005-10-13 13:58)
  - 你们领导也太容易目瞪口呆了 (空) (zengr [423] 2005-10-13 15:11)
    - 在重庆的时候的那家公司的领导，比较会吹侉侉而已！ (空) (fogbound [399] 2005-10-13 16:07)

欢迎光临本社区，您还没有登录，不能发贴子。请在这里登录

页面内容处理时间: 0.008 - 519912

CNDEV.ORG 2003-2014 | 贴子列表 | 捐助 | | -ICP -IDC -ISP |