谁用搜狗输入法和搜狗浏览器？有中招的没？

shrek_munich

zpvip 发表于 2013-11-6 11:54
我从一开始就知道漏洞是什么，带截图的还看不清楚吗？

我的意思是，既然搜狗要把用户信息传到服务器 ...

sougou不一定不加密，但是你看到的时候，即使加密也是解密以后的数据
上传不上传就是另一个策略层面的问题，而且chrome肯定有上传，我可以在不同机器上登录同一个帐号得到同样的表单

laspass相当于第三方在传数据之前加了一个壳，这个问题不应该由浏览器来假设和负责

至于你说集成，同样的问题并不会被集成所解决，除非你把密码分离，必须本地保存一个密钥，但是这样移动性就彻底没有了，你只有在特定的机器上才有用。如果说你采用本地用户名的策略，那么请问你更新了用户密码要不要上传到服务器？只要上传就有同样的泄漏问题。

还是那句话，你就这么确信搜狗服务器端密码保存数据？最简单的，拿个数据库来管理都不是明码的。

mymy365

zpvip 发表于 2013-11-6 11:54
我从一开始就知道漏洞是什么，带截图的还看不清楚吗？

我的意思是，既然搜狗要把用户信息传到服务器 ...

你说的这种在实际应用当中是没有任何意义的。
云端同步，那么就必须对服务器的信任，除此之外，没有其他办法。
从安全的角度来说，在服务器端加密保存和明文保存，并没有多大的区别，所以从节约开销的角度，明文更简单方便。除非只是做验证，否则不可能使用单向加密。
你说的各种无论什么工具，一个重要前提就是：一旦用户的凭证比如密码丢失，所有信息将无法再重现。但对于国内普通的用户来说，这是不可能的。为什么？这没有道理啊。你服务器都保存了我的信息了，为什么一旦我忘记密码重置了，所有之前的备份都无法获得了？那你这个工具不好，我不用你了。

zpvip

shrek_munich 发表于 2013-11-6 12:03
sougou不一定不加密，但是你看到的时候，即使加密也是解密以后的数据
上传不上传就是另一个策略层面的问 ...

这么简单一事，我再打点字吧。


用户名： zpvip@dolc.de，
密码：fdasfsdaf,
salt：dfsw（每个用户都不一样）
最后保存的密码：md5('fdasfsdaf' + 'dfsw') => 1f3870be274f6c49b3e31a0c6728957f

表单：
淘宝用户： Leo Otto  用fdasfsdaf加密后=> b04b7e103a0cd8b54763051ce
淘宝密码： 1423dfswe 用fdasfsdaf加密后=> be029fdebae5e1d417e2ffb2a

=================
搜狗服务器
user 表

id	username	password
25	zpvip@dolc.de	1f3870be274f6c49b3e31a0c6728957f

表单表

user_id	淘宝用户	淘宝密码
25	b04b7e103a0cd8b54763051ce	be029fdebae5e1d417e2ffb2a

如果用户把他的密码从fdasfsdaf改成 1212554，那在本地用1212554把淘宝的数据再加密一下，同步到搜狐服务器就好了。

如果我的淘宝信息，也就是 b04b7e103a0cd8b54763051ce be029fdebae5e1d417e2ffb2a 不管被谁找到了，包括搜狗的员工，如果没有我的 fdasfsdaf ，理论上谁也不能解密。这个fdasfsdaf可以存在本地，当我要登录淘宝的时候，直接把我加密的信息解密了就行。

zpvip

mymy365 发表于 2013-11-6 12:12
你说的这种在实际应用当中是没有任何意义的。
云端同步，那么就必须对服务器的信任，除此之外，没有其他 ...

这种不能找回密码的事，就是这个公司的立足之本：
http://wuala.com/

mymy365

zpvip 发表于 2013-11-6 12:21
这种不能找回密码的事，就是这个公司的立足之本：
http://wuala.com/

立足之本？同学，你想的太天真了，这样一个东西，可能对有些人需要，但是大多数人并不care，而且这两个理念本身就是冲突。
用户需要云端同步，就是为了可靠长久的保存，这种可靠可以通过对服务器的信任实现。而长久，就必须要保证，在任何情况下，数据能够还原。如果你希望一个并非在所有情况下都能还原的情景，那么你也可以找到相应的服务或者创建私有服务，但这并不主流。

mymy365

zpvip 发表于 2013-11-6 12:20
这么简单一事，我再打点字吧。

你的fdasfsdaf丢了怎么办？你自己都找不回来了。这在某个意义上就不是一个好的数据备份方式了。。。

shrek_munich

zpvip 发表于 2013-11-6 12:20
这么简单一事，我再打点字吧。

你换台机器怎么办？你这个密钥需要修改怎么办？你这个密钥自己忘记了怎么办？

FBICIA

自打google出了输入法，一直用它。

chocomoo

我iMAC用的搜狗输入法。。。不会中招吧

zpvip

shrek_munich 发表于 2013-11-6 13:09
你换台机器怎么办？你这个密钥需要修改怎么办？你这个密钥自己忘记了怎么办？

除了密码忘记没办法，其它的都是没问题的啊。
换台机器直接从服务器上下载数据，密码从你登录的那一刻就存在机器上了，解密一点也不复杂。
我写了那么一堆，如果你看不明白怎么修改密码，那我也就不陪你玩了。

把没加密的密码保存在别人服务器上，这从来就是不应该发生的事，不管是从程序员还是从用户的角度。就算程序没bug，就算服务器没有被攻破，如果搜狗员工监守自盗怎么办？

要么别把密码同步到云，要么加密后同步到云，密码可改不能忘，除此之外的都不靠谱。