天道不仁,侠当做仗键而起! 强烈谴责CSDN明文保存用户密码!!!
2011-12-27 10:43
288 查看
如徐克所说,我们这一代人,大抵都有一个侠客梦。侠是什么,鄙以为侠是人们对于公平公正,有情有义的一种人际氛围(社会)的追求的一种思想寄托,他也许并不存在,也许存在的侠没有高强的武功,绝顶聪明的头脑,可能被坏人杀掉,可能被官府抓去砍头……不过这些并没有妨碍侠在人们心中的位置,这是因为世间总有不平事,总有需要“侠”的地方。
扯远了,最近这次大规模泄密事件给了我太大的震撼,依稀记得在05年,我第一次做一个用户相关系统的时候,我很自然的使用了md5对用户的密码进行摘要处理(MD5: 一种摘要算法可以使"abc"变成"112833a32ef3d..."这种加密字符,它是单向的,至少在目前的计算条件下想要还原abc非常有难度)。对用户密码加密有多重的好处:
1. 为用户保密 即使网站被攻破,别人拿到加密串仍然没有可能知道你的真实密码。
2. 免除法律责任 我不清楚我国到目前有没有相关的法律法规,但至少在法庭举证时,你能提供未保存用户密码的证据(源代码)。
3. 其它(技术上的好处)
然而我真的很难理解CSDN这类的网站为什么要保存密码明文!
难道你们这些网站的技术人员,架构师没有一个初学者的常识? 我认为不是这样的,我所能想到的目的无非有2:分析用,分析用户密码的构成,研究用户密码使用习惯,可能可以做安全相关的产品也可能把分析结果卖给安全类公司。2. 非法目的,这个不详谈。
针对第一个目的,我认为网站经营者太狭隘了,这点蝇头小利值得你去冒牺牲用户信任的风险么?至少我不再信息你们!我确实已经改了密码,而且是我新想的。如果网站能提供给我删除账户的功能,我一定删除!
如果你们出于第二个目的,我只能说我希望侠出现。。。
PS:本篇与侠并无太大关系,只是心中愤懑而面对强大势力的时候,我们能想到啥呢?侠,你在哪?
扯远了,最近这次大规模泄密事件给了我太大的震撼,依稀记得在05年,我第一次做一个用户相关系统的时候,我很自然的使用了md5对用户的密码进行摘要处理(MD5: 一种摘要算法可以使"abc"变成"112833a32ef3d..."这种加密字符,它是单向的,至少在目前的计算条件下想要还原abc非常有难度)。对用户密码加密有多重的好处:
1. 为用户保密 即使网站被攻破,别人拿到加密串仍然没有可能知道你的真实密码。
2. 免除法律责任 我不清楚我国到目前有没有相关的法律法规,但至少在法庭举证时,你能提供未保存用户密码的证据(源代码)。
3. 其它(技术上的好处)
然而我真的很难理解CSDN这类的网站为什么要保存密码明文!
难道你们这些网站的技术人员,架构师没有一个初学者的常识? 我认为不是这样的,我所能想到的目的无非有2:分析用,分析用户密码的构成,研究用户密码使用习惯,可能可以做安全相关的产品也可能把分析结果卖给安全类公司。2. 非法目的,这个不详谈。
针对第一个目的,我认为网站经营者太狭隘了,这点蝇头小利值得你去冒牺牲用户信任的风险么?至少我不再信息你们!我确实已经改了密码,而且是我新想的。如果网站能提供给我删除账户的功能,我一定删除!
如果你们出于第二个目的,我只能说我希望侠出现。。。
PS:本篇与侠并无太大关系,只是心中愤懑而面对强大势力的时候,我们能想到啥呢?侠,你在哪?
相关文章推荐
- 号称全球最大中文it社区的csdn保存用户密码竟然用明文
- 避免明文保存用户密码
- 移动App该如何保存用户密码
- 推特用户密码被明文泄漏
- Web项目中用户密码保存方式
- MD5 单向加密,为保存用户密码
- 案例:把用户的用户名和密码保存到手机内存中.
- 移动App该如何保存用户密码
- 利用钥匙串,在应用里保存用户密码的方法
- 使用SharedPreferences来保存用户登录帐号密码
- 一段小代码的开源HetaoblogMd5Util(有加盐的java的md5代码),避免类似csdn的密码明文存储
- CSDN 泄露用户密码给我们什么启示
- CSDN用户 新设密码的几种情况。
- 将用户密码变为md5值保存在数据库
- 从CSDN用户密码泄露谈一些非技术安全对策
- Openfire3.6.4用户密码的保存及加密、解密
- 解决Centos 6使用svn时本地使用明文密码的问题,保存密文密码
- 推特用户密码被明文泄漏
- CSDN数据库被爆 统计CSDN用户都喜欢哪些密码
- CSDN 600万用户密码公布之后,人人网、世纪佳缘、猫扑等网站大量数据库被泄露