本帖最后由 zpvip 于 2013-11-6 14:29 编辑
shrek_munich 发表于 2013-11-6 14:26
你的假设是用户密码“必须”用户自己记住而且不得修改
我还没敢设计这样的网站给用户
你不是赌徒就可 ...
从来没说不可修改,你设计 discuz 这样的网站当然可以重设密码,如果你要用明文保存用户的敏感信息,我不得不置疑你的出发点。
zpvip 发表于 2013-11-6 14:24
你真没看我的文字,或者真不懂。
你把密码 adfsdfa 通过 post的方式传到服务器,用个函数 md5('adfsdf ...
请问salt就不是数据么,还是这个数据真特别啊,别的数据都会泄漏,唯有这个数据金刚不坏,永远不会泄漏滴
zpvip 发表于 2013-11-6 14:26
https://www.google.com/search?q=md5+salt&rlz=1C1CHFX_deDE515DE515&oq=md5+salt&aqs=chrome..69i57j ...
人家在说服务器泄漏,你在说密码robust,你是让我揣测你的语文或者逻辑的下限么
zpvip 发表于 2013-11-6 14:27
从来没说不可修改,你设计 discuz 这样的网站当然可以重设密码,如果你要用明文保存用户的敏感信息,我 ...
我从来没有说明文保存,但是只要你服务器有bug,注意,我们一直说的是bug,不是黑客攻击,泄漏就是有可能的,这是程序本身的代码质量问题,不是算法或者架构问题
shrek_munich 发表于 2013-11-6 14:28
请问salt就不是数据么,还是这个数据真特别啊,别的数据都会泄漏,唯有这个数据金刚不坏,永远不会泄漏滴
我今天真是耐心好,这么说吧,我把服务器放到你家去,你有服务器所有权限,但你通过 salt 和 那串 hash 值得不到我的密码,这下明白了吧?
salt的作用是防暴力解密的。
你真是学info的?哪个学校?
shrek_munich 发表于 2013-11-6 14:29
人家在说服务器泄漏,你在说密码robust,你是让我揣测你的语文或者逻辑的下限么
我在回答你的问题,你看引文。
zpvip 发表于 2013-11-6 14:31
我今天真是耐心好,这么说吧,我把服务器放到你家去,你有服务器所有权限,但你通过 salt 和 那串 hash...
我是暴力得不到密码,但是如果你的服务器自己告诉我了,我需要salt和hash么
你不但语文有问题,眼神问题更大,
@人家在说服务器泄漏,你在说密码robust@
至于info,你赌不赌嘛,你掏的出钱我也不怕自曝的,反正我也没干啥见不得人的事
本帖最后由 zpvip 于 2013-11-6 14:36 编辑
shrek_munich 发表于 2013-11-6 14:29
人家在说服务器泄漏,你在说密码robust,你是让我揣测你的语文或者逻辑的下限么
再多说一句,如果以我那种方式设计数据库, 就算把服务器抱到你家里去,你有所有的权限,也得不到用户的敏感信息。唯一的缺点是不能找回密码。
如果用户在某台机器还是登录状态,那还有希望,就像这个页面说的:
https://lastpass.com/support.php?cmd=showfaq&id=375
zpvip 发表于 2013-11-6 14:34
再多说一句,如果以我那种方式设计数据库, 就算把服务器抱到你家里去,你有所有的权限,也得不到用户的 ...
你这一切都是基于防暴力破解
谁要和你暴力破解了?
另外,我顺便怀疑一下你的工作经验.....典型的在校学生的思维....
本帖最后由 zpvip 于 2013-11-6 14:40 编辑
shrek_munich 发表于 2013-11-6 14:33
我是暴力得不到密码,但是如果你的服务器自己告诉我了,我需要salt和hash么
你不但语文有问题,眼神问题 ...
@人家在说服务器泄漏,你在说密码robust@
我的意思是就算不泄漏,程序和数据库的设计上也有问题。之所以说密码的事,是因为你觉得黑客是可能得到用户密码的,我告诉你,用我的方式,把服务器搬到黑客家里,他也得不到密码。就算程序出bug,用户信息也不会泄漏。