#1 - 2014-2-7 03:20
烈之斩 (V1046-R MAHORO)
更严重的说,甚至可能是明文保存密码?
#2 - 2014-2-7 03:39
(Loitering is a crime, punishable by death.)
反正密码强度不够的话就算用MD5保存一旦泄露之后不也随便就能破解= =
#2-1 - 2014-2-7 03:47
BinotaLIU
看準弱口令用戶即可。
#2-2 - 2014-2-7 03:56
BinotaLIU
MD5 的話,類似 Discuz 的做法就不錯:md5( 隨機字串1 . md5( 用戶密碼 . 隨機字串2 ) )
#2-3 - 2014-2-7 06:09
upsuper
MD5 只要加盐就可以了,而且密码强度够的对此表示毫不担心
#2-4 - 2014-2-7 06:35
BinotaLIU
upsuper 说: MD5 只要加盐就可以了,而且密码强度够的对此表示毫不担心
Bingo ~ 密码强度什么的我对此非常自豪的(bgm38)
#3 - 2014-2-7 03:47
(Viro kaj virino. Popolo distingas ni en du tipoj.)
明文傳輸很常見…… 明文傳輸不代表明文保存…… 雖然我不清楚 Bangumi 怎麼做就是了…
#3-1 - 2014-2-7 06:29
烈之斩
你说的没错,但是至少服务器可以获得我的明文密码,这已经很糟了;
而且还不是https传输的,任何中间人都可以从header里获取我的密码,这是更糟的部分。
#3-2 - 2014-2-7 06:39
BinotaLIU
烈之斩 说: 你说的没错,但是至少服务器可以获得我的明文密码,这已经很糟了;
而且还不是https传输的,任何中间人都可以从header里获取我的密码,这是更糟的部分。
难道服务器不该获取明文密码吗……就算先加密后传输,那至少加密是在本地端进行的吧,那么我也可以很轻易地获取加密方式,然后依然可以暴力猜测。
#3-3 - 2014-2-7 06:48
BinotaLIU
BinotaLiu 说: 难道服务器不该获取明文密码吗……就算先加密后传输,那至少加密是在本地端进行的吧,那么我也可以很轻易地获取加密方式,然后依然可以暴力猜测。
看看 Discuz 官方站,密码也是明文传输的,Discuz 官方站也没有用 HTTPS ,既然如此何必挑 Bangumi 问这个问题呢?
#3-4 - 2014-2-7 07:22
烈之斩
BinotaLiu 说:  看看 Discuz 官方站,密码也是明文传输的,Discuz 官方站也没有用 HTTPS ,既然如此何必挑 Bangumi 问这个问题呢?
比烂有意思吗?

另外关于“难道服务器不该获取明文密码吗”,当然不该。凡是这么做的网站都无法撇清可能是明文保存密码的嫌疑。而且即使是最简单加密配合强密码都不是可以随便暴力破解的,别动不动就那这个开脱。
#3-5 - 2014-2-7 07:53
upsuper
烈之斩 说: 比烂有意思吗?

另外关于“难道服务器不该获取明文密码吗”,当然不该。凡是这么做的网站都无法撇清可能是明文保存密码的嫌疑。而且即使是最简单加密配合强密码都不是可以随便暴力破解的,别动不动就那这个开脱。
实际上没有差别,如果服务器获得的是一个客户端加密后的密文,你就把它当做明文就可以了,任何人截获这个所谓的密文也可以登入了
#3-6 - 2014-2-7 08:09
烈之斩
upsuper 说: 实际上没有差别,如果服务器获得的是一个客户端加密后的密文,你就把它当做明文就可以了,任何人截获这个所谓的密文也可以登入了
至少密码的文字本身不会泄露,这不就是差别吗?
#3-7 - 2014-2-7 08:39
BinotaLIU
烈之斩 说: 至少密码的文字本身不会泄露,这不就是差别吗?
你還不懂客戶端加密有加密跟沒加密一樣嗎……而且我不是在比爛,要不你隨便舉個不是明文傳輸的網站出來
#3-8 - 2014-2-7 08:40
upsuper
烈之斩 说: 至少密码的文字本身不会泄露,这不就是差别吗?
对于网站自身来说没有差别,而且不配合使用 https 的话这样做依然毫无疑义
#3-9 - 2014-2-7 08:46
烈之斩
BinotaLiu 说: 你還不懂客戶端加密有加密跟沒加密一樣嗎……而且我不是在比爛,要不你隨便舉個不是明文傳輸的網站出來
Google不对当我没说,因为google肯定是用https的所以无论如何根本都无所谓……(bgm38)
#3-10 - 2014-2-7 09:14
upsuper
烈之斩 说: 怎么就没有区别了,你拖一个全是明文密码的库和拖一个全是md5码的库在社会工程学上的差距是巨大的
拖库是储存问题,我们在讨论的是客户端加密吧
#3-11 - 2014-2-7 09:24
BinotaLIU
upsuper 说: 拖库是储存问题,我们在讨论的是客户端加密吧
LZ 發現說錯話所以刪文了嗎~ 是說即使是HTTPS ,客戶端被黑也是沒用的哦~
#3-12 - 2014-2-7 09:25
BinotaLIU
BinotaLiu 说: LZ 發現說錯話所以刪文了嗎~ 是說即使是HTTPS ,客戶端被黑也是沒用的哦~
另外我想問服務器端不獲取明文密碼要怎麼檢測密碼正確性?
#3-13 - 2014-2-7 09:28
烈之斩
upsuper 说: 拖库是储存问题,我们在讨论的是客户端加密吧
我的意思就是如果一个网站采用客户端先加密再传送,可以保证服务器上没有存储明文密码。
#3-14 - 2014-2-7 09:28
烈之斩
BinotaLiu 说: 另外我想問服務器端不獲取明文密碼要怎麼檢測密碼正確性?
举个例子,本地md5一下,服务器上存的也是md5,这俩一样就是正确,这不是很简单吗?
#3-15 - 2014-2-7 09:31
BinotaLIU
烈之斩 说: 举个例子,本地md5一下,服务器上存的也是md5,这俩一样就是正确,这不是很简单吗?
嗯,那差別是?
#3-16 - 2014-2-7 09:36
BinotaLIU
烈之斩 说: 举个例子,本地md5一下,服务器上存的也是md5,这俩一样就是正确,这不是很简单吗?
詳細說一下(因為用手機懶得打字,抱歉。。),當密碼是用 MD5, SHA1 這類簡單的加密且沒有加 salt 字串時,用你說的先加密後傳輸當然沒問題,但是你要想過在客戶端要怎麼加密嗎? 如果是複雜的算法,這麼做反而是在告訴想破解的人密碼是用什麼方式加密的,所以我說有加密跟沒加密一樣,當然這只是我的想法。
#3-17 - 2014-2-7 09:36
烈之斩
BinotaLiu 说: 嗯,那差別是?
这是要让我囫囵话来回说啊……差别就在于服务器上不会保存甚至根本不会接触到我的明文密码
#3-18 - 2014-2-7 09:37
若卡
BinotaLiu 说: 嗯,那差別是?
我想楼主的意思是采用两次md5+盐加密,这样即使在传输中间被截取,获取的密码也只能使用在这一个服务上,因为已经单向加密,你无法拿着这个密码去上别的网站

现在很少有人这么做是因为:

1.大多数服务考虑到用户在没有JS支持下也应该可以登录 (比如……Google,咳咳,所以它才不会本地加密呢……服务器获取的也是你的明文密码让你失望了……)

2.不如买个Https

综上所述,还是催sai买个https比较实在。
#3-19 - 2014-2-7 09:38
烈之斩
BinotaLiu 说: 詳細說一下(因為用手機懶得打字,抱歉。。),當密碼是用 MD5, SHA1 這類簡單的加密且沒有加 salt 字串時,用你說的先加密後傳輸當然沒問題,但是你要想過在客戶端要怎麼加密嗎? 如果是複雜的算...
是这样,你客户端上先进行简单的初步加密,服务器端再进行进一步的复杂加密后进行存储/验证
#3-20 - 2014-2-7 09:41
烈之斩
若卡 说: 我想楼主的意思是采用两次md5+盐加密,这样即使在传输中间被截取,获取的密码也只能使用在这一个服务上。(虽然他下面的解释已经完全被你绕进去了,我都不知道他最初是不是这个意思了………)

现在很少有人这...
原来如此,我就说为啥这么多网站都用明文post。不过特例倒是也有,刚才发现qq邮箱登录时,发送的密码确实是加密过的(外加还是https),不知道是不是通过JS实现就是了。
#3-21 - 2014-2-7 09:43
BinotaLIU
烈之斩 说: 是这样,你客户端上先进行简单的初步加密,服务器端再进行进一步的复杂加密后进行存储/验证
「但是你有想過在客戶端要怎麼加密嗎?」嗯,同 #4-18 ,我會這麼說就是因為加密方式的關系~ 畢竟要在客戶端實現加密也麻煩,到頭來還不如用 HTTPS 安全~
#3-22 - 2014-2-7 09:45
BinotaLIU
烈之斩 说: 原来如此,我就说为啥这么多网站都用明文post。不过特例倒是也有,刚才发现qq邮箱登录时,发送的密码确实是加密过的(外加还是https),不知道是不是通过JS实现就是了。
我在火車上訊號不穩好麻煩啊=。= 回家拆解QQ 郵箱研究研究,是說估計到了服務器會做一次解密(大誤,好啦我隨便說說),看Discuz 的密碼加密傳輸功能便是
#3-23 - 2014-2-7 09:48
Sai
若卡 说: 我想楼主的意思是采用两次md5+盐加密,这样即使在传输中间被截取,获取的密码也只能使用在这一个服务上,因为已经单向加密,你无法拿着这个密码去上别的网站

现在很少有人这么做是因为:

1.大多数服务考...
Multi Domain 的证书太贵了……
#3-24 - 2014-2-7 09:53
BinotaLIU
Sai 说: Multi Domain 的证书太贵了……
SAI 老闆看起來很有錢的樣子(誤
其實看統計然後只啟用其中最多人用的 Domain 就好了吧?
至於API 還是OAuth 好啦~
#3-25 - 2014-2-7 09:56
upsuper
Sai 说: Multi Domain 的证书太贵了……
像B站一样把登入和注册独立域名就好了嘛,其他部分不用 https 也无妨,或者干脆你自签一个给大家也可以(
#3-26 - 2014-2-7 10:00
若卡
Sai 说: Multi Domain 的证书太贵了……
开VIP呀,只有vip6才能使用尊贵的https绿色安全通道!(bgm38)
#3-27 - 2014-2-7 10:09
BinotaLIU
upsuper 说: 像B站一样把登入和注册独立域名就好了嘛,其他部分不用 https 也无妨,或者干脆你自签一个给大家也可以(
自己簽一個(bgm38)
#3-28 - 2014-2-7 11:26
upsuper
烈之斩 说: 我的意思就是如果一个网站采用客户端先加密再传送,可以保证服务器上没有存储明文密码。
保证这种事情... 网站要是想干的话照样可以偷到,你要绝对安全还是自己做一站一密最靠谱,期待网站都是毫无意义的
#3-29 - 2014-2-7 12:24
Venusxx
upsuper 说: 保证这种事情... 网站要是想干的话照样可以偷到,你要绝对安全还是自己做一站一密最靠谱,期待网站都是毫无意义的
很有意思,可以分享一下怎么管理……一站一密怎么搞比较在安全和易用性之间取得平衡嘛?

谢谢~
#3-30 - 2014-2-7 12:44
upsuper
Venusxx 说: 很有意思,可以分享一下怎么管理……一站一密怎么搞比较在安全和易用性之间取得平衡嘛?

谢谢~
我是用自制密码生成器(
#3-31 - 2014-2-7 13:39
名雪
Venusxx 说: 很有意思,可以分享一下怎么管理……一站一密怎么搞比较在安全和易用性之间取得平衡嘛?

谢谢~
我用自制密码生成器(
#3-32 - 2014-2-7 13:54
Venusxx
upsuper 说: 我是用自制密码生成器(
生成之后呢,怎么对应……总会忘记的啊。
#3-33 - 2014-2-7 15:43
upsuper
Venusxx 说: 生成之后呢,怎么对应……总会忘记的啊。
每次输入的时候都让它生成不就好了……
#3-34 - 2014-2-7 16:14
lhb5883-污喵王VIP⑩
BinotaLiu 说: 你還不懂客戶端加密有加密跟沒加密一樣嗎……而且我不是在比爛,要不你隨便舉個不是明文傳輸的網站出來
gmail全程加密
#3-35 - 2014-2-8 01:14
fantasy
若卡(id: ruocaled) 说: 开VIP呀,只有vip6才能使用尊贵的https绿色安全通道!(bgm38)
我突然想到了昨天的IPv9……
#3-36 - 2014-2-9 02:47
BinotaLIU
Hiro haku sumomo 说: gmail全程加密
因為Google 已經超越一般人的境界了 '_>`""
#3-37 - 2017-12-5 12:07
喵鱼
Venusxx 说: 很有意思,可以分享一下怎么管理……一站一密怎么搞比较在安全和易用性之间取得平衡嘛?

谢谢~
固定密码结尾加标识。
每个网站标识不一样,但只有自己知道。
#3-38 - 2017-12-5 12:08
Venusxx
喵鱼 说: 固定密码结尾加标识。
每个网站标识不一样,但只有自己知道。
是谁,在用洛阳铲……
#4 - 2014-2-7 04:38
(平行)
以前有说不是明文保存,不过是年糕说的(bgm29)
#4-1 - 2014-2-7 05:31
時計坂しぐれ
不过是年糕说的(bgm29)
#5 - 2014-2-7 06:10
因为是一站一密,所以对我来说泄露了也没太大关系就是了(
#5-1 - 2014-2-7 13:36
低端小乖
请教一下一站一密的话怎么记住啊?我现在用个小本子记的,这么过去几年之后我发现这个本子的价值已经远超过所有设备+手办的总和了!
#5-2 - 2014-2-7 13:41
upsuper
Genius、小乖 说: 请教一下一站一密的话怎么记住啊?我现在用个小本子记的,这么过去几年之后我发现这个本子的价值已经远超过所有设备+手办的总和了!
一般人的话有很多软件可以做这件事情……我是自制密码生成器然后各平台自己移植……
#5-3 - 2014-2-8 01:15
fantasy
Genius、小乖(id: wattlebird) 说: 请教一下一站一密的话怎么记住啊?我现在用个小本子记的,这么过去几年之后我发现这个本子的价值已经远超过所有设备+手办的总和了!
LastPass
#6 - 2014-2-7 08:25
(✨️VIP 8✨️)
天了撸,楼主你的博客也是明文传输呢!赶快不要用wordpress了,妈妈好可怕呀……(bgm38)

#6-1 - 2014-2-7 08:42
.
(bgm38)
#6-2 - 2014-2-7 08:47
烈之斩
我啥时候说过因为bangumi是明文传输密码我就不用了?我提出建议希望改进,你们这样冷嘲热讽很有意思?
#6-3 - 2014-2-7 08:59
yzyzsun
烈之斩 说: 我啥时候说过因为bangumi是明文传输密码我就不用了?我提出建议希望改进,你们这样冷嘲热讽很有意思?
谁比谁烂的逻辑已经出现了,下面可能就是 You can you up 的论调了 (bgm38)
#6-4 - 2014-2-7 11:28
upsuper
烈之斩 说: 我啥时候说过因为bangumi是明文传输密码我就不用了?我提出建议希望改进,你们这样冷嘲热讽很有意思?
密码系统的改进好像比较麻烦,除非一开始存的是明文,否则转算法会比较麻烦... 特别是要加上客户端加密的话...
#7 - 2014-2-7 09:12
(Awesome!)
不是明文保存,使用的也不是 MD5、SHA1 这类简单 hash 算法。
#7-1 - 2014-2-7 09:12
烈之斩
多谢回复。
#7-2 - 2014-2-7 11:26
upsuper
这类 hash 一点都不简单 (bgm38)
#7-3 - 2014-2-7 13:39
名雪
upsuper 说: 这类 hash 一点都不简单
不不不用的人多=简单(bgm38)
#7-4 - 2014-2-8 01:17
fantasy
Sai換頭像了?
#7-5 - 2014-2-8 01:33
林卯
也是在经典头像上加工=_,=
#8 - 2014-2-7 12:01
(この身はそなたの“剣”──そう誓ったはずだ。 ... . ...)
这楼最喜感的是............................某id展示自己的bgm真实明文密码 毫无违和感(bgm38)
#8-1 - 2014-2-7 12:58
糯米团子
3-3是 Discuz 官方站的密码吧(bgm38)
#8-2 - 2014-2-7 12:59
leins=pallange
四叠半糯米团子 说: 3-3是 Discuz 官方站的密码吧
啦啦啦啦 不是那个 果然毫无违和感(bgm38)
#8-3 - 2014-2-7 15:46
Venusxx
谁把树洞的回复删掉了,站出来!
#8-4 - 2014-2-7 15:51
leins=pallange
Venusxx 说: 谁把树洞的回复删掉了,站出来!
...早知道截个图(bgm33)
#8-5 - 2014-2-9 02:44
BinotaLIU
四疊半糯米糰子 说: 3-3是 Discuz 官方站的密码吧
腦洞還沒大到用這麼簡單的密碼…………
#9 - 2014-2-7 13:44
我在想我是不是可以把我的密码生成器换掉密码生成算法然后开源……
不过因为没有 windows 版和带图形界面的 linux 版,android 版也相当不完善只是勉强能用,ios 版也只支持 ipad,其实开源了对大家也没什么用就是了……
#9-1 - 2014-2-7 16:52
鱼尾Swing
为什么不做成web app呢。
#9-2 - 2014-2-7 18:03
名雪
鱼尾Swing 说: 为什么不做成web app呢。
#9-3 - 2014-2-7 18:24
upsuper
鱼尾Swing 说: 为什么不做成web app呢。
web app 用起来很麻烦的……我现在最满意的也就只有一个 mac 版,快捷键唤出,直接发送键盘事件输入生成结果……
web 的话,如果不依靠 flash,连剪贴板都操控不了,还要自己手动复制再手动粘贴……
#9-4 - 2014-2-8 01:18
fantasy
Qt
#9-5 - 2014-2-8 16:11
Venusxx
MAC新手伸手~
#9-6 - 2014-2-8 16:19
upsuper
Venusxx 说: MAC新手伸手~
你在其他平台上输入的时候会累死的 - -
#9-7 - 2014-2-8 16:47
Venusxx
upsuper 说: 你在其他平台上输入的时候会累死的 - -
也对- -
#10 - 2014-2-7 17:12
这贴好强的即视感
#11 - 2014-2-7 17:47
(狡兔三窟)
不表其他态度,观望一下。
#12 - 2014-2-7 23:04
(拖延症无救。)
(bgm38)谁会来盗BGM众的号啊
#13 - 2014-2-7 23:05
(>w<)
自从两年前为了课程写app演示用改了简单密码后一直懒得改回来…… bgm的密码丢了也没事吧……
#14 - 2014-2-8 03:40
(この勝利を、近所のおばさんに捧げる! ... ... ... ... ...)
蛤蛤蛤蛤蛤蛤蛤我就来路过一下(bgm85)(bgm85)(bgm85)
#14-1 - 2014-2-8 16:47
Venusxx
“觉醒”
#14-2 - 2014-2-9 11:32
望想世界的兔子
lol
KANE你已经标签化了。以后相关文章是不是前面可以加个[Kane]w
#15 - 2017-12-5 11:16
刚才研究这个问题在google上搜到这个帖子
我想了想还是挖一下坟给后来者提个醒好了:

——用这网站的时候不要用自己的常用密码,登陆时密码都是明文传输的,没有HTTPS(是不是明文保存我就不知道了)

另外客户端加密做hash确实没用,最好的办法只能是加HTTPS
https://bgm.tv测试的时候看到了有有效的证书,但是不知道为什么会302到无HTTPS的版面)

虽然这里的账号确实价值不太大,确实很多人也知道一个网站一个密码什么的安全常识,但是要是真有那种很多网站都用同一个密码的,对他们来说这就是个安全漏洞,没什么可说的。
我个人是不喜欢这种很多人用的网站没有HTTPS的状况,感觉有点不负责任,说实话。
不过HTTPS要钱倒确实没办法,所以用这个网站的时候自己注意一下好了 ╮(╯▽╰)╭
#15-1 - 2017-12-5 11:21
豆沙包罐头
bgm.tv这个域名用的cloudflare所以可以免费使用他们的ssl服务。
#15-2 - 2017-12-5 13:04
Xlfdll
豆沙包罐头 说: bgm.tv这个域名用的cloudflare所以可以免费使用他们的ssl服务。
但是跳转到了非https所以……╮(╯▽╰)╭
#15-3 - 2017-12-5 13:25
豆沙包罐头
Xlfdll 说: 但是跳转到了非https所以……╮(╯▽╰)╭
302我没见到,301倒是会出现在某个情况下(没有照片/头像的条目出现的时候)
#15-4 - 2017-12-5 15:32
烈之斩
Xlfdll 说: 但是跳转到了非https所以……╮(╯▽╰)╭
呃,怎么把我这羞耻的帖顶出来了……

bangumi.tv没有https,试试https://bgm.tv
#15-5 - 2017-12-5 15:38
Rくん
烈之斩 说: 呃,怎么把我这羞耻的帖顶出来了……

bangumi.tv没有https,试试https://bgm.tv
【https保平安】(bgm38)