如果一个网站后台能有机会接触到用户的明文密码,那就是流氓行为!
2017-09-23 21:27
477 查看
在早几年, 很多网站都用明文来存用户的密码, 结果被拖库了, 裤子脱了, 用户密码被泄漏, 然后就洗库、撞库, 黑产富得流油。 呵呵哒。
后来, 开发人员学学乖了, 传输和存储都不用密码的额明文, 而采用md5值, 这样似乎就解决了问题。 网站后台也不知道用户的密码。
可是, 有一种表, 叫彩虹表, 能根据md5的值反解密码, 于是, 开发人员又学乖了, 采用加盐方式, 让彩虹表几乎无法破解。 这里必须要用随机盐!
在如上方式下, 网站的开发人员也没有办法知道密码, good
但是呢? 有的网站想了另外一个方法: 传输的时候, 还是用明文密码, 不过用https进行传输, 然后在后台服务端仍然能获取用户的明文密码, 然后对这个密码进行哈希或者加密, 存储在数据库中。 我就问一句: 不怕内部人员泄密吗? 不怕内外勾结吗?
所以, 我还是那个观点:如果一个网站后台能有机会接触到用户的明文密码,那就是流氓行为!
不说了。
后来, 开发人员学学乖了, 传输和存储都不用密码的额明文, 而采用md5值, 这样似乎就解决了问题。 网站后台也不知道用户的密码。
可是, 有一种表, 叫彩虹表, 能根据md5的值反解密码, 于是, 开发人员又学乖了, 采用加盐方式, 让彩虹表几乎无法破解。 这里必须要用随机盐!
在如上方式下, 网站的开发人员也没有办法知道密码, good
但是呢? 有的网站想了另外一个方法: 传输的时候, 还是用明文密码, 不过用https进行传输, 然后在后台服务端仍然能获取用户的明文密码, 然后对这个密码进行哈希或者加密, 存储在数据库中。 我就问一句: 不怕内部人员泄密吗? 不怕内外勾结吗?
所以, 我还是那个观点:如果一个网站后台能有机会接触到用户的明文密码,那就是流氓行为!
不说了。
相关文章推荐
- 如果后台不知道数据库密码的请打开数据库用469e80d32c0559f8 替换,那么密码就是admin888
- 【C语言】输入一个密码如果密码正确,登录成功,否则重新输入密码一共有三次机会
- 天涯4000W用户明文密码泄露——知名互联网网站再爆漏洞
- 网站后台用户体验一个容易被遗忘的策划
- ios如果写一个提示带动画的View,可以来引导用户行为
- 4.设计一个Email邮箱注册应用程序。要求:用户输入完成单击“立即注册”按,判断“密码”和“确认密码”文本框内容是否一致,如果一致在立即注册按钮上方显示用户输入的邮件地址,运行结果如图所示。
- 网站用户行为分析在用户市场领域的应用
- 从字符中随机获取一个字符,提示用户输入数字,或是大写字母,或是小写字母,如果用户猜的数字正确,提示用户,恭喜你猜对了,否则提示输入大了或者输入小了
- 隐式挖掘网站用户行为
- 我所衷爱的京东,如果有一天你倒下,原因只有一个,那就是你的售后服务!
- 如果忘记了oracle10g sys用户密码
- 一个国外特色的国外网站,就是简洁,可以学习一下,没看懂文字
- 用户用浏览器访问一个网站的时候具体的过程与步骤
- 如果sln文件和网站不在同一个文件夹下,如何统一到一个文件夹下?
- mycncart使用教程 - 如何修改网站后台用户名密码
- ASP.NET MVC5 网站开发实践(二) Member区域 - 用户部分(3)修改资料、修改密码
- 一个优秀的企业网站就是核心元素足够简洁突出
- 一步一步SharePoint 2007之十六:注册并配置一个网站用户
- ,WordPress需要访问您网页服务器的权限。 请输入您的FTP登录凭据以继续。 如果您忘记了您的登录凭据(如用户名、密码),请联系您的网站托管商。
- 如果一个箱子里面有100个球,有两个玩家,1和2,他们都很聪明,可以随机从箱子里面拿出2或6个球,箱子是透明的并且箱子里面有多少个球他们也可以看得到 ,如果算最后一个球能被谁拿到,谁就是