shrek_munich 发表于 2013-11-5 18:13
难道你本地收藏夹还得加密么....
这个不是服务器端泄漏,是客户端“错误”的下载了不属于你的东西,在客 ...
我说的是用户自动填表的信息,我用的是lastpass,
如果自己的信息是用自己的密码加密后上传,就算别的用户“错误”地下载了我的信息,用别的用户的密码也解密不了我的内容。
lastpass就是用的加密后上传的方式 ,所以就算 lastpass 服务器被爆,我的信息还是不会被暴露的。
zpvip 发表于 2013-11-5 20:37
我说的是用户自动填表的信息,我用的是lastpass,
如果自己的信息是用自己的密码加密后上传,就算别 ...
他们的服务器没有被爆,完全是自己程序的漏洞....服务器端“认为”下载的是“正确”的信息,既然连密码都下来了,你拿密码加密不是一样的么
注意,这里不是第三方通过漏洞攻击服务器,是自己服务器犯蠢
我是基本上不下任何输入法,用系统自带的就好。觉得打字也占据不了多少时间,慢慢打就得,真要打字快估计也用五笔了。每次看到我送给我姐夫的电脑上被装了什么360杀毒,什么百度,搜狗输入法,以及IE菜单拦被安装了超级多的插件,就头疼 。
这次搜狗事情大条了
国内真是黑客天堂啊
还好已经不用windows十几年
shrek_munich 发表于 2013-11-5 20:48
他们的服务器没有被爆,完全是自己程序的漏洞....服务器端“认为”下载的是“正确”的信息,既然连密码都 ...
可能你没做过网站,简单说下,密码加密有双向和单向之分,单向加密学名是 hash
双向加密:
用户的密码假如是abcde,这样在本地用abcde加密所有内容,上传到服务器,以后再从服务器上把加密过的内容下载下来,用户输入abcde解密
单向加密:
用户密码abcde经md5+salt之类的方法加密后是一串乱码,比如说:fafd23Fedfsw2RTV5ty,服务器上应该保存这个密码 fafd23Fedfsw2RTV5ty,而不是用户的 abcde。单向的意思就是从 abcde 可以变成 fafd23Fedfsw2RTV5ty,但反过来是得不到 abcde 的。
所以用户登录时,服务器上保存的是单向加密的密码,保存用户信息应该是双向加密,比如 AES加密法
很早就有传闻,中国的“NSA”压根就不允许大服务商对敏感信息用任何加密,简单粗暴有效,一旦服务商的服务被爆或者自己有漏洞,就是搜狗事件的结局,这事情已经无数次重演了。
本帖最后由 shrek_munich 于 2013-11-6 11:21 编辑
zpvip 发表于 2013-11-6 10:55
可能你没做过网站,简单说下,密码加密有双向和单向之分,单向加密学名是 hash
双向加密:
不要太武断好不
你能仔细阅读一下人家的漏洞是啥么
如果密钥是内置的,那么问题同上
如果密钥需要用时输入的,那你保存用户信息有意义么?用自己给自己加密,解密的时候还需要再输入一次密钥?你还不如不保存得了
看了一下你说的lastpass,其实无非是本地额外的加了一个密钥,把应该由浏览器负责的加密/解密推给了第三方
但是你设计浏览器的时候还需要“假设”用户有第三方加密程序??
zpvip 发表于 2013-11-5 20:37
我说的是用户自动填表的信息,我用的是lastpass,
如果自己的信息是用自己的密码加密后上传,就算别 ...
虽然LastPass宣称各种安全,但是,他毕竟是商业软件,源代码不开放,没法接受公众审查,后门啥的没人知道到底有没有,所以,我个人只用KeePass。
本帖最后由 zpvip 于 2013-11-6 11:56 编辑
shrek_munich 发表于 2013-11-6 11:10
不要太武断好不
你能仔细阅读一下人家的漏洞是啥么
如果密钥是内置的,那么问题同上
我从一开始就知道漏洞是什么,带截图的还看不清楚吗?
我的意思是,既然搜狗要把用户信息传到服务器,就应该做好加密工作。像chrome和FF人家也保存明文的表单数据,但人家不上传到服务器。
如果你用过lastpass就知道,这个解密的密码是可以保存在你信任的电脑上的,使用的时候根本不用输入密码。只要不中木马,你保存在本地的密码就是安全的。你也可以使用浏览器的时候再登录,关闭浏览器的时候清除密码。
他们做浏览器的就应该把lastpass这种特性集成在浏览器中再玩“上传”。其实很简单,登录用的就是abcde 用 md5+salt或类似的方法处理之后的密码,用户信息就用用户存在本地的密码加密,密码是一个就行。本地数据和服务器同步就好了。这样就算把我的数据同步到另外一个人的机器上,但也不能解密。
这次是bug,但爆服务器又不是什么难事。只有搜狗的员工也无法解密的东西,才能算得上安全。
安卓手机搜狗输入法拆了今天,安了个触宝,发现更好用挖,hiahia