zpvip 发表于 2013-11-6 15:47
如果服务器上存的是用户的密码加密后的数据,用户的密码又没存在服务器上,那就不可能在服务器上把用户的 ...
泄漏的信息在客户端解密过了
我依然觉得你没看懂到底泄漏是怎么发生的
mymy365 发表于 2013-11-6 15:47
哦,那这么说吧,你懂一点PHP,加一点mysql,可能有一些实践经验,但是理论部分还欠缺,你可能知道现在一 ...
我说了啊,他典型的是学生的思维....实际操作收到很多限制的
如果我做一个产品,提供这个功能我找客户要1m,而客户觉得这玩意不值这个价,那么再好也不会有人要的
shrek_munich 发表于 2013-11-6 15:50
我说了啊,他典型的是学生的思维....实际操作收到很多限制的
如果我做一个产品,提供这个功能我找客户要 ...
有时候不是值不值,而是客户根本没兴趣,不想要。。。这种情况遇到太多了
比如分步验证,我解释短信发送二次密码怎么怎么安全性高,然后客户问:短信费用要多少。。。。太贵了,一条短信得3ct,不用这么麻烦,这个功能我不需要。
mymy365 发表于 2013-11-6 15:47
哦,那这么说吧,你懂一点PHP,加一点mysql,可能有一些实践经验,但是理论部分还欠缺,你可能知道现在一 ...
搜狗做的保存表单数据的事和 lastpass 是一件事,只是lastpass不做浏览器。
chrome也作浏览器,也保存表单数据,但也会用google的用户密码加密后同步到服务器。
https://support.google.com/chrome/answer/95606
你说的保险柜的比喻很好,但如果业界只剩你一家把用户的数据不当回事,那些概率的解释也是苍白的。
本帖最后由 moudy 于 2013-11-6 16:04 编辑
mymy365 发表于 2013-11-6 15:08
同学,我猜测你是不是这学期刚开了一门课叫做《Einführung in die Kryptologie》?
这都是很简单的东 ...
md5一下传送意义还是很大的。因为你不知道用户电脑到底处于一个什么环境中。有可能是wpa2加密的个人网,也可能是public随便抓包的hotel wifi。
大型网站基本都是 md5( md5(passcode+salt) + challenge)形式验证也是怕这个啊
本帖最后由 zpvip 于 2013-11-6 16:05 编辑
shrek_munich 发表于 2013-11-6 15:50
我说了啊,他典型的是学生的思维....实际操作收到很多限制的
如果我做一个产品,提供这个功能我找客户要 ...
你这种活跟搜狗比起来根本不是一个数量级,我上帖说了,这种加密上传的方式不是一件只有我才想要做的事,而是业界标配。作为一个浏览器工程的管理者,不能因为用户不关心就不做这个工作,这是他们想抓住用户的拳头产品,是作为互联网入口产品来做的。
zpvip 发表于 2013-11-6 15:55
搜狗做的保存表单数据的事和 lastpass 是一件事,只是lastpass不做浏览器。
chrome也作浏览器,也保存 ...
你要面对客户,要面对需求,而不是纸上谈兵。。。
每个人一听到说google怎么不安全,黑客啦,窃听啦,偷看你的Email啦,你上传到google drive的文件都不安全啊,之类的,都会说,google怎么这样啊,破公司!
但一旦客户忘了密码,google如果提示:“你的密码将被重置,你的邮件和文件都将会丢失,无法再恢复”,估计每个人都会骂娘,果然是个破公司!
客户只会关注自己的需求的,你不让他爽,他不会需要你,你捅出了篓子,他会第一个跳出来骂你
如果你不知道,那么可以提醒你,google曾经也有过数次因为升级导致的小范围bug,用户登录邮箱,发现里面的邮件都是另外一个用户的,哎哟,调情,哎哟,裸照~~~Postbank升级也导致过用户登录后看到其他用户的账户信息。
你不能说这些开发人员都是笨蛋,安全是个复杂的话题,bug也是无法避免的,我们或许已经尽力去降低遇到bug时候的风险,但是永远没有一劳永逸的100%可靠的解决方案。
moudy 发表于 2013-11-6 15:57
md5一下传送意义还是很大的。因为你不知道用户电脑到底处于一个什么环境中。有可能是wpa2加密的个人网 ...
今年开始已经不流行了,原因很简单:
1、如果是https传输,那么不需要md5,一样是安全的
2、如果是http,那么md5也阻挡不了比如replay攻击,该抓包的一样抓包
3、客户端多样化,有的不支持,有的各种禁用script,md5不一定能够成功运算,那么最终还是得明文传递。
所以,与其md5,不如强制https了。
本帖最后由 zpvip 于 2013-11-6 16:12 编辑
mymy365 发表于 2013-11-6 16:03
你要面对客户,要面对需求,而不是纸上谈兵。。。
每个人一听到说google怎么不安全,黑客啦,窃听啦, ...
调情,裸照 不是密码!!! 照你这么说 lastpass 不让“找回密码”怎么还能活下来,还把活不下去的 xmarks 收购了?
mymy365 发表于 2013-11-6 16:07
今年开始已经不流行了,原因很简单:
1、如果是https传输,那么不需要md5,一样是安全的
2、如果是http ...
嗯 ssl 比这些山寨安全手段规范多了。但是问题也多。我现在看到https证书不匹配警告都不当回事了。