不过要说明的是，我排除的是这种行为 <- 中国开发网

CNDEV.ORG

当前在线

论坛

CBD
- 程序员情感CBD
- 程序员见面交流会
CBD开发区
- Java/J2ME
- .NET/C#
- 数据库
- Delphi/BCB
- Visual C
其它
情感
游戏
- CNDEV-CS/WOW
- 浩宇长空
生活
论坛系统

中国开发网: 论坛: 程序员情感CBD: 贴子 213508

haitao：

不过要说明的是，我排除的是这种行为

[阅读: 441] 2005-10-13 05:59:47

那用户密码表里自己的帐号里的密码hash值，暂时替换某个人的密码hash值，然后用自己的密码登录那个人的帐号作坏事或高权限的事
事后再用原来的hash值更新回去

如果他知道系统程序的细节，那就不在考虑范围

我的blog：http://szhaitao.blog.hexun.com & http://www.hoolee.com/user/haitao

－－以上均为泛泛之谈－－不尽牛人滚滚来，无边硬伤纷纷现人在江湖飘（出来混的），哪能不挨刀（总归是要还的）
网络对话，歧义纷生；你以为明白了对方的话，其实呢？

您所在的IP暂时不能使用低版本的QQ，请到：http://im.qq.com/下载安装最新版的QQ，感谢您对QQ的支持和使用

相关信息:

dearbook真的不是一般的差阿，电子商务网站居然还是用明码保存密码 (49字) (Water-E [622] 2005-10-13 01:59)
- 不要在网上付帐就行了。 (空) (pcplayer [414] 2005-10-13 02:00)
- 好多网站都是这样，这个指示通知你初始密码让你去修改。 (空) (老玉米 [366] 2005-10-13 02:00)
  - 不是初始密码，就是俺自己输入的密码。 (空) (Water-E [348] 2005-10-13 02:04)
    - 问问grhunter怎么弄得？ (空) (老玉米 [392] 2005-10-13 02:15)
      - grhunter 在 dearbook 的干活？ (空) (pcplayer [319] 2005-10-13 02:24)
        是一家公司... (空) (Water-E [320] 2005-10-13 04:57)
      - grhunter说他管不了 (18字) (Water-E [394] 2005-10-13 04:57)
        韩磊还真找曾登高说了。 (42字) (Water-E [434] 2005-10-13 08:04)
        中国软件开发,缺乏的是常识 (空) (sealw [403] 2005-10-13 08:57)
- 电子邮件能做为法律证据么？可能要请教一下花花才行！ (空) (fogbound [565] 2005-10-13 02:01)
- 呵呵……，人家密码怎么存无所谓呀，密码汇露怎么能证明是人家泄露的。 (空) (没脾气2x [347] 2005-10-13 02:15)
  - 很多用户就是想让你告诉他以前什么密码，你给人家重置一个新的，人家还觉得不方便呢。 (空) (没脾气2x [421] 2005-10-13 02:15)
    - org的密码是明文存的不？ (空) (Water-E [379] 2005-10-13 02:22)
      - 嘎嘎，你试试 (空) (没脾气2x [324] 2005-10-13 02:23)
        过2天俺就把密码改成这个 (11字) (Water-E [421] 2005-10-13 02:27)
        好密码。 (4字) (ycm0263 [375] 2005-10-13 03:20)
  - 差别可大了，商务网站有义务保护用户私密信息。 (69字) (Water-E [418] 2005-10-13 02:22)
    - 我弄电子商务会考虑这个，不考虑这个的有大人在。 (空) (没脾气2x [386] 2005-10-13 02:24)
- 它倒不一定保存是明文。它给你的可能是人家解密后的呢。 (空) (pcplayer [448] 2005-10-13 02:25)
  - 那和明文有啥区别，能得到数据库的话算法不是小菜。保存密码一定要是hash过的 (空) (Water-E [484] 2005-10-13 02:28)
    - 那是。这样的加密，防不了内部人偷。 (空) (pcplayer [354] 2005-10-13 03:19)
    - 那是古老的做法 (26字) (JoJo [374] 2005-10-13 05:05)
      - 哦？说说用hash不能解决啥问题？ (空) (Water-E [355] 2005-10-13 05:07)
        可以改啊 (46字) (JoJo [408] 2005-10-13 05:09)
        你的意思是攻击者把保存在数据库里的密码改掉？ (空) (pcplayer [368] 2005-10-13 05:12)
        是啊 (11字) (JoJo [326] 2005-10-13 05:14)
        那他也可以把密码改掉后再做非对称加密，再把证书都换掉。 (空) (pcplayer [316] 2005-10-13 05:16)
        换掉证书时间戳就不一致了 (15字) (JoJo [414] 2005-10-13 05:18)
        如果假设能拿到数据的控制权，也能假设得到系统的控制权。 (13字) (GoodHope [416] 2005-10-13 05:46)
        还是不行 (31字) (JoJo [335] 2005-10-13 06:02)
        这还不容易 (21字) (GoodHope [387] 2005-10-13 06:05)
        这个问题我早就解决了 (6字) (haitao [386] 2005-10-13 05:17)
        说出来听听 (9字) (JoJo [364] 2005-10-13 05:19)
        先看看其他人有没有想到的吧。。。 (38字) (haitao [385] 2005-10-13 05:21)
        不过要说明的是，我排除的是这种行为 (106字) (haitao [440] 2005-10-13 05:59)
        替换攻击都不防，还搞什么啊 (空) (JoJo [401] 2005-10-13 06:08)
        防的就是拿其他人现成的hash值来替换啊 (空) (haitao [364] 2005-10-13 06:12)
        如果是非对称加密，加密解密过程是可逆的，如果得到密钥以后仍然可以密码的明文。 (24字) (Water-E [569] 2005-10-13 05:24)
        如果应用这种系统 (23字) (JoJo [383] 2005-10-13 05:27)
        蛋又扯远了，俺说的是保护用户密码的私密性。 (空) (Water-E [377] 2005-10-13 05:41)
        那就只对管理员做这一重处理即可 (20字) (JoJo [354] 2005-10-13 06:06)
- 没准人家给你的是一次性的。。。 (空) (MaoMao [348] 2005-10-13 03:18)
- 记得以前刚毕业的时候把公司的数据库的记录用户的表用delphi写了个工具把所有的密码明文都转化成了2进制代码 (19字) (fogbound [646] 2005-10-13 05:58)
  - 你们领导也太容易目瞪口呆了 (空) (zengr [379] 2005-10-13 07:11)
    - 在重庆的时候的那家公司的领导，比较会吹侉侉而已！ (空) (fogbound [371] 2005-10-13 08:07)

欢迎光临本社区，您还没有登录，不能发贴子。请在这里登录

页面内容处理时间: 0.023 - 651616