mymy365 发表于 2013-11-6 12:30
你的fdasfsdaf丢了怎么办?你自己都找不回来了。这在某个意义上就不是一个好的数据备份方式了。。。
如果仅有的一个密码都忘记了,那还同步什么,你自己都登录不了搜狗的服务器了。
如果一开始就告诉用户密码是不可找回的,用户自然记得住。在这讨论的不是数据备份,而是密码保存到云。
zpvip 发表于 2013-11-6 14:07
除了密码忘记没办法,其它的都是没问题的啊。
换台机器直接从服务器上下载数据,密码从你登录的那一刻就 ...
你登陆那一刻,请问你如何验证密码?你还是要在服务器有一份的吧,同样面临泄漏的问题。
如果你只纠结在“假设”只有个人信息会泄漏,密码是“不会泄漏”的,那我请问你这两个难道不都是私有数据?
服务器是否加密并不影响结论,我才是觉得你确定你设计过网站么
zpvip 发表于 2013-11-6 14:08
如果仅有的一个密码都忘记了,那还同步什么,你自己都登录不了搜狗的服务器了。
如果一开始就告诉用 ...
那个网站有这样的约定,用户密码不可找回??!!
mymy365 发表于 2013-11-6 12:28
立足之本?同学,你想的太天真了,这样一个东西,可能对有些人需要,但是大多数人并不care,而且这两个理 ...
一点都不天真,lastpass的用户群不是小众,他们就不提供找回密码服务的,你的master key不会存在他们的服务器上。
https://lastpass.com/support.php?cmd=showfaq&id=375
数据随便同步,但密码不行。
如果服务商还提供服务,数据都能还原,如果服务商不见了,什么都白搭。两种不同的处理方式,区别就只有一个,就是用户的 master key
本帖最后由 zpvip 于 2013-11-6 14:19 编辑
shrek_munich 发表于 2013-11-6 14:14
那个网站有这样的约定,用户密码不可找回??!!
你应该不是学info的
https://lastpass.com/support.php?cmd=showfaq&id=375
https://support.wuala.com/knowledgebase/creating-an-account/
zpvip 发表于 2013-11-6 14:16
你应该不是学info的
https://lastpass.com/support.php?cmd=showfaq&id=375
咱们赌1m 欧元怎么样?
shrek_munich 发表于 2013-11-6 14:16
咱们赌1m 欧元怎么样?
我又不是赌徒,
如果你是学info的,这些加密之类的是常识,如何处理用户的密码也是常识,就算老师不教,自己也应该了解一下。
shrek_munich 发表于 2013-11-6 14:14
你登陆那一刻,请问你如何验证密码?你还是要在服务器有一份的吧,同样面临泄漏的问题。
如果你只纠结在 ...
你真没看我的文字,或者真不懂。
你把密码 adfsdfa 通过 post的方式传到服务器,用个函数 md5('adfsdfa ' + salt) 就到一串字符,和数据库的一对比就行了。服务器不会保存我的 'adfsdfa ' ,salt 是存在数据库的,每个用户都有不同的salt,是随机生成的。
你拿到这串字条反过来得不到我的 'adfsdfa ' + salt
shrek_munich 发表于 2013-11-6 14:14
你登陆那一刻,请问你如何验证密码?你还是要在服务器有一份的吧,同样面临泄漏的问题。
如果你只纠结在 ...
https://www.google.com/search?q=md5+salt&rlz=1C1CHFX_deDE515DE515&oq=md5+salt&aqs=chrome..69i57j0l5.6026j0j4&sourceid=chrome&espv=210&es_sm=93&ie=UTF-8
不多说了,自己补课吧。
这只是其中一种方法。
zpvip 发表于 2013-11-6 14:20
我又不是赌徒,
如果你是学info的,这些加密之类的是常识,如何处理用户的密码也是常识,就算老师不教, ...
你的假设是用户密码“必须”用户自己记住而且不得修改
我还没敢设计这样的网站给用户
你不是赌徒就可以大放厥词了?是不是我不是赌徒我就可以揣测,你估计不是中国人?
本帖最后由 zpvip 于 2013-11-6 14:29 编辑
shrek_munich 发表于 2013-11-6 14:26
你的假设是用户密码“必须”用户自己记住而且不得修改
我还没敢设计这样的网站给用户
你不是赌徒就可 ...
从来没说不可修改,你设计 discuz 这样的网站当然可以重设密码,如果你要用明文保存用户的敏感信息,我不得不置疑你的出发点。
zpvip 发表于 2013-11-6 14:24
你真没看我的文字,或者真不懂。
你把密码 adfsdfa 通过 post的方式传到服务器,用个函数 md5('adfsdf ...
请问salt就不是数据么,还是这个数据真特别啊,别的数据都会泄漏,唯有这个数据金刚不坏,永远不会泄漏滴
zpvip 发表于 2013-11-6 14:26
https://www.google.com/search?q=md5+salt&rlz=1C1CHFX_deDE515DE515&oq=md5+salt&aqs=chrome..69i57j ...
人家在说服务器泄漏,你在说密码robust,你是让我揣测你的语文或者逻辑的下限么
zpvip 发表于 2013-11-6 14:27
从来没说不可修改,你设计 discuz 这样的网站当然可以重设密码,如果你要用明文保存用户的敏感信息,我 ...
我从来没有说明文保存,但是只要你服务器有bug,注意,我们一直说的是bug,不是黑客攻击,泄漏就是有可能的,这是程序本身的代码质量问题,不是算法或者架构问题
shrek_munich 发表于 2013-11-6 14:28
请问salt就不是数据么,还是这个数据真特别啊,别的数据都会泄漏,唯有这个数据金刚不坏,永远不会泄漏滴
我今天真是耐心好,这么说吧,我把服务器放到你家去,你有服务器所有权限,但你通过 salt 和 那串 hash 值得不到我的密码,这下明白了吧?
salt的作用是防暴力解密的。
你真是学info的?哪个学校?
shrek_munich 发表于 2013-11-6 14:29
人家在说服务器泄漏,你在说密码robust,你是让我揣测你的语文或者逻辑的下限么
我在回答你的问题,你看引文。
zpvip 发表于 2013-11-6 14:31
我今天真是耐心好,这么说吧,我把服务器放到你家去,你有服务器所有权限,但你通过 salt 和 那串 hash...
我是暴力得不到密码,但是如果你的服务器自己告诉我了,我需要salt和hash么
你不但语文有问题,眼神问题更大,
@人家在说服务器泄漏,你在说密码robust@
至于info,你赌不赌嘛,你掏的出钱我也不怕自曝的,反正我也没干啥见不得人的事
本帖最后由 zpvip 于 2013-11-6 14:36 编辑
shrek_munich 发表于 2013-11-6 14:29
人家在说服务器泄漏,你在说密码robust,你是让我揣测你的语文或者逻辑的下限么
再多说一句,如果以我那种方式设计数据库, 就算把服务器抱到你家里去,你有所有的权限,也得不到用户的敏感信息。唯一的缺点是不能找回密码。
如果用户在某台机器还是登录状态,那还有希望,就像这个页面说的:
https://lastpass.com/support.php?cmd=showfaq&id=375
zpvip 发表于 2013-11-6 14:34
再多说一句,如果以我那种方式设计数据库, 就算把服务器抱到你家里去,你有所有的权限,也得不到用户的 ...
你这一切都是基于防暴力破解
谁要和你暴力破解了?
另外,我顺便怀疑一下你的工作经验.....典型的在校学生的思维....
本帖最后由 zpvip 于 2013-11-6 14:40 编辑
shrek_munich 发表于 2013-11-6 14:33
我是暴力得不到密码,但是如果你的服务器自己告诉我了,我需要salt和hash么
你不但语文有问题,眼神问题 ...
@人家在说服务器泄漏,你在说密码robust@
我的意思是就算不泄漏,程序和数据库的设计上也有问题。之所以说密码的事,是因为你觉得黑客是可能得到用户密码的,我告诉你,用我的方式,把服务器搬到黑客家里,他也得不到密码。就算程序出bug,用户信息也不会泄漏。
本帖最后由 shrek_munich 于 2013-11-6 14:42 编辑
zpvip 发表于 2013-11-6 14:39
@人家在说服务器泄漏,你在说密码robust@
我的意思是就算不泄漏,程序和数据库的设计上也有问题。之所 ...
客户:xxx,你的程序有问题,自己把其他客户的信息发错人了
xxx:没关系,只要用我的算法,黑客破解不了的
客户: xxx,你的算法还是发错人了
xxx:不可能啊,我的算法是不会被破解的
boss: xxx,你丫赶紧把你的bug修好,别发错人不就完了,哪来那么多话
shrek_munich 发表于 2013-11-6 14:40
客户:xxx,你的程序有问题,自己把其他客户的信息发错人了
xxx:没关系,只要用我的算法,黑客破解不 ...
这是安全问题。
程序要没有bug,这是正确的,但不能有bug就造成不可挽回的损失。这是一开始就要注意的。
作为一个管理者,要知道员工一定会犯错,没有哪个大程序没bug, 还要注意减少员式的诱惑。如果 dolc 用明文存密码,我觉得 管理员就有可能哪天无聊用你的 email + 密码登录一下facebook 试一试
zpvip 发表于 2013-11-6 14:46
这是安全问题。
程序要没有bug,这是正确的,但不能有bug就造成不可挽回的损失。这是一开始就要注意的 ...
即使你加密了,你要发错人还是依然发错
既然你要说犯错,那么你的hash和salt一样有泄漏的可能
shrek_munich 发表于 2013-11-6 14:48
即使你加密了,你要发错人还是依然发错
既然你要说犯错,那么你的hash和salt一样有泄漏的可能
可以啊,我都说了,服务器都可以搬到你家里去,但绝对不会给用户造成任何损失。
现在大家可以拿用户的信息去淘宝买东西了,这就是区别。
zpvip 发表于 2013-11-6 14:49
可以啊,我都说了,服务器都可以搬到你家里去,但绝对不会给用户造成任何损失。
现在大家可以拿用户的 ...
服务器搬到我家去又不会造成泄漏
服务器搬到我家去只是提供了我暴力破解的可能,这里并不涉及暴力破解的问题
shrek_munich 发表于 2013-11-6 14:50
服务器搬到我家去又不会造成泄漏
服务器搬到我家去只是提供了我暴力破解的可能,这里并不涉及暴力破解的 ...
我说很明白了,服务器搬到你家去是泄漏的极限。
如果我是搜狗管理员,昨天小王写程序出了个bug,结果其它用户的 salt hash,还有加密后的淘宝帐号都同步到张三,李四电脑去了。
我只要训一顿小王就行了,张三李四顶多抱怨一下就行了,但其它用户的信息是安全的,张三李四得不到。
我估计看帖子的人要崩溃了。这么点事写到6页了。
shrek_munich 发表于 2013-11-6 14:50
服务器搬到我家去又不会造成泄漏
服务器搬到我家去只是提供了我暴力破解的可能,这里并不涉及暴力破解的 ...
你写什么网站的,可以发个网址吗?
一般的网站当然要提供找回密码功能,只是在德国很少遇到做网站的人,想了解一下。
这次泄露的密码是明文的吗?我很感兴趣。sogou到底是不是把用户信息加密后上传的?
loewez 发表于 2013-11-6 15:00
这次泄露的密码是明文的吗?我很感兴趣。sogou到底是不是把用户信息加密后上传的?
不是sogou的用户密码泄漏,而是用户用搜狗浏览器保存的表单数据泄漏,这些数据里面有密码。
zpvip 发表于 2013-11-6 14:58
你写什么网站的,可以发个网址吗?
一般的网站当然要提供找回密码功能,只是在德国很少遇到做网站的人 ...
同学,我猜测你是不是这学期刚开了一门课叫做《Einführung in die Kryptologie》?
这都是很简单的东西了,包括你说的那些MD5之类的,我可能现在开始说话语气不是很好了,请谅解。
你做网站要知道需求,你一直在说Hash,Hash,你也一直在说密码,对于密码的保存当然是Hash加salt更科学,但这仅仅对于密码,因为密码的需求是验证,而不是重现。
但搜狗这些服务的要求是重现,而不仅仅是验证。
我开始就说过了,对于此种需求,除了加强服务器的安全维护,没有其他任何办法。
安全的定义有很多种,需求也有很多种,并不是你想得那么简单的。打个比方,如果你现在学习做网站,你一定知道,有的网站喜欢把登录密码先在客户端用js先md5一遍再发送,但实际上这是前两年的一种流行,从安全的角度,对于一个http协议传输的请求,这种过程意义并非很大。
或者,我再问你个简单的,你知道为什么保存密码的时候需要一个salt么?你知道最早网站开发刚引入md5保存密码的时候,是不流行写个salt的么?
或者我也问问你,你是学Info或者学数学的么?还是仅仅是computertechnik专业的?