upsuper 说: MD5 只要加盐就可以了,而且密码强度够的对此表示毫不担心
烈之斩 说: 你说的没错,但是至少服务器可以获得我的明文密码,这已经很糟了; 而且还不是https传输的,任何中间人都可以从header里获取我的密码,这是更糟的部分。
BinotaLiu 说: 难道服务器不该获取明文密码吗……就算先加密后传输,那至少加密是在本地端进行的吧,那么我也可以很轻易地获取加密方式,然后依然可以暴力猜测。
BinotaLiu 说: 看看 Discuz 官方站,密码也是明文传输的,Discuz 官方站也没有用 HTTPS ,既然如此何必挑 Bangumi 问这个问题呢?
烈之斩 说: 比烂有意思吗? 另外关于“难道服务器不该获取明文密码吗”,当然不该。凡是这么做的网站都无法撇清可能是明文保存密码的嫌疑。而且即使是最简单加密配合强密码都不是可以随便暴力破解的,别动不动就那这个开脱。
upsuper 说: 实际上没有差别,如果服务器获得的是一个客户端加密后的密文,你就把它当做明文就可以了,任何人截获这个所谓的密文也可以登入了
烈之斩 说: 至少密码的文字本身不会泄露,这不就是差别吗?
BinotaLiu 说: 你還不懂客戶端加密有加密跟沒加密一樣嗎……而且我不是在比爛,要不你隨便舉個不是明文傳輸的網站出來
烈之斩 说: 怎么就没有区别了,你拖一个全是明文密码的库和拖一个全是md5码的库在社会工程学上的差距是巨大的
upsuper 说: 拖库是储存问题,我们在讨论的是客户端加密吧
BinotaLiu 说: LZ 發現說錯話所以刪文了嗎~ 是說即使是HTTPS ,客戶端被黑也是沒用的哦~
BinotaLiu 说: 另外我想問服務器端不獲取明文密碼要怎麼檢測密碼正確性?
烈之斩 说: 举个例子,本地md5一下,服务器上存的也是md5,这俩一样就是正确,这不是很简单吗?
BinotaLiu 说: 嗯,那差別是?
BinotaLiu 说: 詳細說一下(因為用手機懶得打字,抱歉。。),當密碼是用 MD5, SHA1 這類簡單的加密且沒有加 salt 字串時,用你說的先加密後傳輸當然沒問題,但是你要想過在客戶端要怎麼加密嗎? 如果是複雜的算...
若卡 说: 我想楼主的意思是采用两次md5+盐加密,这样即使在传输中间被截取,获取的密码也只能使用在这一个服务上。(虽然他下面的解释已经完全被你绕进去了,我都不知道他最初是不是这个意思了………) 现在很少有人这...
烈之斩 说: 是这样,你客户端上先进行简单的初步加密,服务器端再进行进一步的复杂加密后进行存储/验证
烈之斩 说: 原来如此,我就说为啥这么多网站都用明文post。不过特例倒是也有,刚才发现qq邮箱登录时,发送的密码确实是加密过的(外加还是https),不知道是不是通过JS实现就是了。
若卡 说: 我想楼主的意思是采用两次md5+盐加密,这样即使在传输中间被截取,获取的密码也只能使用在这一个服务上,因为已经单向加密,你无法拿着这个密码去上别的网站 现在很少有人这么做是因为: 1.大多数服务考...
Sai 说: Multi Domain 的证书太贵了……
upsuper 说: 像B站一样把登入和注册独立域名就好了嘛,其他部分不用 https 也无妨,或者干脆你自签一个给大家也可以(
烈之斩 说: 我的意思就是如果一个网站采用客户端先加密再传送,可以保证服务器上没有存储明文密码。
upsuper 说: 保证这种事情... 网站要是想干的话照样可以偷到,你要绝对安全还是自己做一站一密最靠谱,期待网站都是毫无意义的
Venusxx 说: 很有意思,可以分享一下怎么管理……一站一密怎么搞比较在安全和易用性之间取得平衡嘛? 谢谢~
upsuper 说: 我是用自制密码生成器(
Venusxx 说: 生成之后呢,怎么对应……总会忘记的啊。
若卡(id: ruocaled) 说: 开VIP呀,只有vip6才能使用尊贵的https绿色安全通道!(bgm38)
Hiro haku sumomo 说: gmail全程加密
喵鱼 说: 固定密码结尾加标识。 每个网站标识不一样,但只有自己知道。
Genius、小乖 说: 请教一下一站一密的话怎么记住啊?我现在用个小本子记的,这么过去几年之后我发现这个本子的价值已经远超过所有设备+手办的总和了!
Genius、小乖(id: wattlebird) 说: 请教一下一站一密的话怎么记住啊?我现在用个小本子记的,这么过去几年之后我发现这个本子的价值已经远超过所有设备+手办的总和了!
烈之斩 说: 我啥时候说过因为bangumi是明文传输密码我就不用了?我提出建议希望改进,你们这样冷嘲热讽很有意思?
upsuper 说: 这类 hash 一点都不简单
四叠半糯米团子 说: 3-3是 Discuz 官方站的密码吧
Venusxx 说: 谁把树洞的回复删掉了,站出来!
四疊半糯米糰子 说: 3-3是 Discuz 官方站的密码吧
鱼尾Swing 说: 为什么不做成web app呢。
Venusxx 说: MAC新手伸手~
upsuper 说: 你在其他平台上输入的时候会累死的 - -
豆沙包罐头 说: bgm.tv这个域名用的cloudflare所以可以免费使用他们的ssl服务。
Xlfdll 说: 但是跳转到了非https所以……╮(╯▽╰)╭
烈之斩 说: 呃,怎么把我这羞耻的帖顶出来了…… bangumi.tv没有https,试试https://bgm.tv
而且还不是https传输的,任何中间人都可以从header里获取我的密码,这是更糟的部分。
另外关于“难道服务器不该获取明文密码吗”,当然不该。凡是这么做的网站都无法撇清可能是明文保存密码的嫌疑。而且即使是最简单加密配合强密码都不是可以随便暴力破解的,别动不动就那这个开脱。
现在很少有人这么做是因为:
1.大多数服务考虑到用户在没有JS支持下也应该可以登录 (比如……Google,咳咳,所以它才不会本地加密呢……服务器获取的也是你的明文密码让你失望了……)
2.不如买个Https
综上所述,还是催sai买个https比较实在。
其實看統計然後只啟用其中最多人用的 Domain 就好了吧?
至於API 還是OAuth 好啦~
谢谢~
每个网站标识不一样,但只有自己知道。
web 的话,如果不依靠 flash,连剪贴板都操控不了,还要自己手动复制再手动粘贴……
KANE你已经标签化了。以后相关文章是不是前面可以加个[Kane]w
bangumi.tv没有https,试试https://bgm.tv