mymy365 发表于 2013-11-5 16:01

谁用搜狗输入法和搜狗浏览器?有中招的没?

http://www.js.xinhuanet.com/2013-11/05/c_118010465.htm

在国内,只要还没被扒光衣服,就应该可以满足了

kaihumuc 发表于 2013-11-7 11:25

zpvip 发表于 2013-11-7 10:18
这是我在本论坛对你的最后一次回复,跟你讨论没意思,也没意义,带脏话骂人,还有各种令人不悦的比喻。

令人不悦且不找边际的比喻是他的专长,别在意,哈哈

moudy 发表于 2013-11-7 12:53

shrek_munich 发表于 2013-11-7 11:37
这就是我说他这个看起来很美好但是不实用
他非要固执的认为,别人不支持他一定是没看懂,一定不是学info ...

他说的比你这里写的还要复杂。

用户输入 pw, 服务器提供固定salt和随机challenge。本地计算 H2(H1(pw, salt), challenge) = token, 发送token。
服务器存储的是H1(pw, salt), 配合之前生成的随机challenge,也计算token,然后检查用户发送的token是否匹配,如匹配则设置登录。

然后用户上传的敏感数据info都是 G(info, pw)加密的。服务器从头到尾都不知道pw是什么。登陆后原封不动发送G(info, pw).
本地用 ~G( G(info,pw), pw ) 解码使用。

firefox就是这样的架构。

如果出现sogou这样的服务器bug,导致G(info, pw)发给了不相干的用户,其它用户没有pw,就无法解码

moudy 发表于 2013-11-7 11:26

shrek_munich 发表于 2013-11-7 10:10
sogou这是不是不地道,就是最基本的bug
只不过这种初级错误,难道他们没有unittest和压力测试么...

这是你跟zpvip根本观点上的分歧。你觉的是impl时的问题,他觉得是design时的问题,我觉得是req时故意而为。

就像国内的电动自行车,都装了限速器,但是一根线虚了就能让限速失效。你说这是质量问题还是设计问题还是故意的{:5_387:}

moudy 发表于 2013-11-7 10:50

zpvip 发表于 2013-11-7 09:29
请正确理解什么是找回密码 和 重设密码, 你混在一起了。

这只是我举的两个不提供找回也不提供重设密 ...

你跟mymy同志出发点都不一样。你盯着信息敏感应用讨论,他是看着普通网站讲。你俩要是能讲到一块去就怪了{:5_387:}

其实极端的敏感服务岂止是不上传密码,连challenge都是用usbkey发放的。

sogou这个事情还是sogou不地道,最轻了也是不知道自己掌管的数据值多少钱,说严重了就是蓄意偷窥。

521125 发表于 2013-11-5 23:02

我是基本上不下任何输入法,用系统自带的就好。觉得打字也占据不了多少时间,慢慢打就得,真要打字快估计也用五笔了。每次看到我送给我姐夫的电脑上被装了什么360杀毒,什么百度,搜狗输入法,以及IE菜单拦被安装了超级多的插件,就头疼 。

劈马甲 发表于 2013-11-5 16:07

没用搜狗浏览器。
但安卓手机用了它的输入法了,真是个流氓软件,浏览联系人、信息、地理位置等权限强制关闭后,不到一分钟又自己恢复权限
只能不在这个平台上用网银,炒股票……减少敏感信息咯

蝴蝶的语言 发表于 2013-11-5 16:21

从来没用过搜狗的输入法 。现在电脑上和平板上用的是讯飞输入法,就目前来说,阿勒四硬奥得侬{:5_346:}

zpvip 发表于 2013-11-5 17:04

程序员设计思路有问题。

既然要上传用户的表单信息到服务器,那肯定要加密的啊,服务器被爆的机会很大的,特别是公众目标。

上传的时候拿用户的密码把信息加密一下,浏览器登录的时候拿用户的密码解密一下,就两个函数的事。

除非是他们存心的。管这事的员工一定可以看到所有人的信息。

shrek_munich 发表于 2013-11-5 19:13

zpvip 发表于 2013-11-5 16:04
程序员设计思路有问题。

既然要上传用户的表单信息到服务器,那肯定要加密的啊,服务器被爆的机会很大的 ...

难道你本地收藏夹还得加密么....
这个不是服务器端泄漏,是客户端“错误”的下载了不属于你的东西,在客户端so wie so要解密的好哇
本身上传用户资料就很流氓

xxxyyy 发表于 2013-11-5 19:22

链接打不开,出什么事啦?
电脑和手机都用的搜狗输入法,要不要换?

samzhao 发表于 2013-11-5 20:57

我搜狐的输入法来着,想换,但是不知道哪个好?
最二的设置,打词组,习惯按空格,但是,空格默认是的选第一个,结果需要的词组在第二个,删除,在重新打,下意识的按第二个选择,结果,要选的词组又跑到第一个去了。这种设置不是一般的弱呀,大大降低了我的打字速度。

moudy 发表于 2013-11-5 20:59

samzhao 发表于 2013-11-5 19:57
我搜狐的输入法来着,想换,但是不知道哪个好?
最二的设置,打词组,习惯按空格,但是,空格默认是的选第 ...

安卓用谷歌,win用微软即可

samzhao 发表于 2013-11-5 21:00

moudy 发表于 2013-11-5 19:59
安卓用谷歌,win用微软即可

微软词好像不多似得,油漆一些新词。真的好用?

费沙的白狐 发表于 2013-11-5 21:26

samzhao 发表于 2013-11-5 20:00
微软词好像不多似得,油漆一些新词。真的好用?

windows phone里,微软自带的输入法还真就是最好的……

zpvip 发表于 2013-11-5 21:37

shrek_munich 发表于 2013-11-5 18:13
难道你本地收藏夹还得加密么....
这个不是服务器端泄漏,是客户端“错误”的下载了不属于你的东西,在客 ...

我说的是用户自动填表的信息,我用的是lastpass,

如果自己的信息是用自己的密码加密后上传,就算别的用户“错误”地下载了我的信息,用别的用户的密码也解密不了我的内容。

lastpass就是用的加密后上传的方式 ,所以就算 lastpass 服务器被爆,我的信息还是不会被暴露的。

shrek_munich 发表于 2013-11-5 21:48

zpvip 发表于 2013-11-5 20:37
我说的是用户自动填表的信息,我用的是lastpass,

如果自己的信息是用自己的密码加密后上传,就算别 ...

他们的服务器没有被爆,完全是自己程序的漏洞....服务器端“认为”下载的是“正确”的信息,既然连密码都下来了,你拿密码加密不是一样的么
注意,这里不是第三方通过漏洞攻击服务器,是自己服务器犯蠢

loewez 发表于 2013-11-6 00:24

这次搜狗事情大条了
国内真是黑客天堂啊
还好已经不用windows十几年

zpvip 发表于 2013-11-6 11:55

shrek_munich 发表于 2013-11-5 20:48
他们的服务器没有被爆,完全是自己程序的漏洞....服务器端“认为”下载的是“正确”的信息,既然连密码都 ...

可能你没做过网站,简单说下,密码加密有双向和单向之分,单向加密学名是 hash

双向加密:
用户的密码假如是abcde,这样在本地用abcde加密所有内容,上传到服务器,以后再从服务器上把加密过的内容下载下来,用户输入abcde解密

单向加密:
用户密码abcde经md5+salt之类的方法加密后是一串乱码,比如说:fafd23Fedfsw2RTV5ty,服务器上应该保存这个密码 fafd23Fedfsw2RTV5ty,而不是用户的 abcde。单向的意思就是从 abcde 可以变成 fafd23Fedfsw2RTV5ty,但反过来是得不到 abcde 的。

所以用户登录时,服务器上保存的是单向加密的密码,保存用户信息应该是双向加密,比如 AES加密法

tkkk3 发表于 2013-11-6 12:08

很早就有传闻,中国的“NSA”压根就不允许大服务商对敏感信息用任何加密,简单粗暴有效,一旦服务商的服务被爆或者自己有漏洞,就是搜狗事件的结局,这事情已经无数次重演了。

shrek_munich 发表于 2013-11-6 12:10

本帖最后由 shrek_munich 于 2013-11-6 11:21 编辑

zpvip 发表于 2013-11-6 10:55
可能你没做过网站,简单说下,密码加密有双向和单向之分,单向加密学名是 hash

双向加密:


不要太武断好不
你能仔细阅读一下人家的漏洞是啥么
如果密钥是内置的,那么问题同上
如果密钥需要用时输入的,那你保存用户信息有意义么?用自己给自己加密,解密的时候还需要再输入一次密钥?你还不如不保存得了

看了一下你说的lastpass,其实无非是本地额外的加了一个密钥,把应该由浏览器负责的加密/解密推给了第三方
但是你设计浏览器的时候还需要“假设”用户有第三方加密程序??

tkkk3 发表于 2013-11-6 12:14

zpvip 发表于 2013-11-5 20:37
我说的是用户自动填表的信息,我用的是lastpass,

如果自己的信息是用自己的密码加密后上传,就算别 ...

虽然LastPass宣称各种安全,但是,他毕竟是商业软件,源代码不开放,没法接受公众审查,后门啥的没人知道到底有没有,所以,我个人只用KeePass。

zpvip 发表于 2013-11-6 12:54

本帖最后由 zpvip 于 2013-11-6 11:56 编辑

shrek_munich 发表于 2013-11-6 11:10
不要太武断好不
你能仔细阅读一下人家的漏洞是啥么
如果密钥是内置的,那么问题同上


我从一开始就知道漏洞是什么,带截图的还看不清楚吗?

我的意思是,既然搜狗要把用户信息传到服务器,就应该做好加密工作。像chrome和FF人家也保存明文的表单数据,但人家不上传到服务器。

如果你用过lastpass就知道,这个解密的密码是可以保存在你信任的电脑上的,使用的时候根本不用输入密码。只要不中木马,你保存在本地的密码就是安全的。你也可以使用浏览器的时候再登录,关闭浏览器的时候清除密码。

他们做浏览器的就应该把lastpass这种特性集成在浏览器中再玩“上传”。其实很简单,登录用的就是abcde 用 md5+salt或类似的方法处理之后的密码,用户信息就用用户存在本地的密码加密,密码是一个就行。本地数据和服务器同步就好了。这样就算把我的数据同步到另外一个人的机器上,但也不能解密。

这次是bug,但爆服务器又不是什么难事。只有搜狗的员工也无法解密的东西,才能算得上安全。


劈马甲 发表于 2013-11-6 13:01

安卓手机搜狗输入法拆了今天,安了个触宝,发现更好用挖,hiahia

shrek_munich 发表于 2013-11-6 13:03

zpvip 发表于 2013-11-6 11:54
我从一开始就知道漏洞是什么,带截图的还看不清楚吗?

我的意思是,既然搜狗要把用户信息传到服务器 ...

sougou不一定不加密,但是你看到的时候,即使加密也是解密以后的数据
上传不上传就是另一个策略层面的问题,而且chrome肯定有上传,我可以在不同机器上登录同一个帐号得到同样的表单

laspass相当于第三方在传数据之前加了一个壳,这个问题不应该由浏览器来假设和负责

至于你说集成,同样的问题并不会被集成所解决,除非你把密码分离,必须本地保存一个密钥,但是这样移动性就彻底没有了,你只有在特定的机器上才有用。如果说你采用本地用户名的策略,那么请问你更新了用户密码要不要上传到服务器?只要上传就有同样的泄漏问题。

还是那句话,你就这么确信搜狗服务器端密码保存数据?最简单的,拿个数据库来管理都不是明码的。


mymy365 发表于 2013-11-6 13:12

zpvip 发表于 2013-11-6 11:54
我从一开始就知道漏洞是什么,带截图的还看不清楚吗?

我的意思是,既然搜狗要把用户信息传到服务器 ...

你说的这种在实际应用当中是没有任何意义的。
云端同步,那么就必须对服务器的信任,除此之外,没有其他办法。
从安全的角度来说,在服务器端加密保存和明文保存,并没有多大的区别,所以从节约开销的角度,明文更简单方便。除非只是做验证,否则不可能使用单向加密。
你说的各种无论什么工具,一个重要前提就是:一旦用户的凭证比如密码丢失,所有信息将无法再重现。但对于国内普通的用户来说,这是不可能的。为什么?这没有道理啊。你服务器都保存了我的信息了,为什么一旦我忘记密码重置了,所有之前的备份都无法获得了?那你这个工具不好,我不用你了。

zpvip 发表于 2013-11-6 13:20

本帖最后由 zpvip 于 2013-11-6 12:24 编辑

shrek_munich 发表于 2013-11-6 12:03
sougou不一定不加密,但是你看到的时候,即使加密也是解密以后的数据
上传不上传就是另一个策略层面的问 ...

这么简单一事,我再打点字吧。


用户名: zpvip@dolc.de,
密码:fdasfsdaf,
salt:dfsw(每个用户都不一样)
最后保存的密码:md5('fdasfsdaf' + 'dfsw') => 1f3870be274f6c49b3e31a0c6728957f

表单:
淘宝用户: Leo Otto用fdasfsdaf加密后=> b04b7e103a0cd8b54763051ce
淘宝密码: 1423dfswe 用fdasfsdaf加密后=> be029fdebae5e1d417e2ffb2a

=================
搜狗服务器
user 表

idusernamepassword
25zpvip@dolc.de1f3870be274f6c49b3e31a0c6728957f


表单表

user_id淘宝用户淘宝密码
25b04b7e103a0cd8b54763051cebe029fdebae5e1d417e2ffb2a


如果用户把他的密码从fdasfsdaf改成 1212554,那在本地用1212554把淘宝的数据再加密一下,同步到搜狐服务器就好了。

如果我的淘宝信息,也就是 b04b7e103a0cd8b54763051ce be029fdebae5e1d417e2ffb2a 不管被谁找到了,包括搜狗的员工,如果没有我的 fdasfsdaf ,理论上谁也不能解密。这个fdasfsdaf可以存在本地,当我要登录淘宝的时候,直接把我加密的信息解密了就行。

zpvip 发表于 2013-11-6 13:21

mymy365 发表于 2013-11-6 12:12
你说的这种在实际应用当中是没有任何意义的。
云端同步,那么就必须对服务器的信任,除此之外,没有其他 ...

这种不能找回密码的事,就是这个公司的立足之本:
http://wuala.com/

mymy365 发表于 2013-11-6 13:28

zpvip 发表于 2013-11-6 12:21
这种不能找回密码的事,就是这个公司的立足之本:
http://wuala.com/

立足之本?同学,你想的太天真了,这样一个东西,可能对有些人需要,但是大多数人并不care,而且这两个理念本身就是冲突。
用户需要云端同步,就是为了可靠长久的保存,这种可靠可以通过对服务器的信任实现。而长久,就必须要保证,在任何情况下,数据能够还原。如果你希望一个并非在所有情况下都能还原的情景,那么你也可以找到相应的服务或者创建私有服务,但这并不主流。

mymy365 发表于 2013-11-6 13:30

zpvip 发表于 2013-11-6 12:20
这么简单一事,我再打点字吧。




你的fdasfsdaf丢了怎么办?你自己都找不回来了。这在某个意义上就不是一个好的数据备份方式了。。。

shrek_munich 发表于 2013-11-6 14:09

zpvip 发表于 2013-11-6 12:20
这么简单一事,我再打点字吧。




你换台机器怎么办?你这个密钥需要修改怎么办?你这个密钥自己忘记了怎么办?

FBICIA 发表于 2013-11-6 14:12

自打google出了输入法,一直用它。

chocomoo 发表于 2013-11-6 14:14

我iMAC用的搜狗输入法。。。不会中招吧{:5_334:}

zpvip 发表于 2013-11-6 15:07

shrek_munich 发表于 2013-11-6 13:09
你换台机器怎么办?你这个密钥需要修改怎么办?你这个密钥自己忘记了怎么办?

除了密码忘记没办法,其它的都是没问题的啊。
换台机器直接从服务器上下载数据,密码从你登录的那一刻就存在机器上了,解密一点也不复杂。
我写了那么一堆,如果你看不明白怎么修改密码,那我也就不陪你玩了。

把没加密的密码保存在别人服务器上,这从来就是不应该发生的事,不管是从程序员还是从用户的角度。就算程序没bug,就算服务器没有被攻破,如果搜狗员工监守自盗怎么办?

要么别把密码同步到云,要么加密后同步到云,密码可改不能忘,除此之外的都不靠谱。
页: [1] 2 3 4 5 6 7
查看完整版本: 谁用搜狗输入法和搜狗浏览器?有中招的没?