谁用搜狗输入法和搜狗浏览器？有中招的没？

zpvip

mymy365 发表于 2013-11-6 12:30
你的fdasfsdaf丢了怎么办？你自己都找不回来了。这在某个意义上就不是一个好的数据备份方式了。。。

如果仅有的一个密码都忘记了，那还同步什么，你自己都登录不了搜狗的服务器了。

如果一开始就告诉用户密码是不可找回的，用户自然记得住。在这讨论的不是数据备份，而是密码保存到云。

shrek_munich

zpvip 发表于 2013-11-6 14:07
除了密码忘记没办法，其它的都是没问题的啊。
换台机器直接从服务器上下载数据，密码从你登录的那一刻就 ...

你登陆那一刻，请问你如何验证密码？你还是要在服务器有一份的吧，同样面临泄漏的问题。
如果你只纠结在“假设”只有个人信息会泄漏，密码是“不会泄漏”的，那我请问你这两个难道不都是私有数据？
服务器是否加密并不影响结论，我才是觉得你确定你设计过网站么

shrek_munich

zpvip 发表于 2013-11-6 14:08
如果仅有的一个密码都忘记了，那还同步什么，你自己都登录不了搜狗的服务器了。

如果一开始就告诉用 ...

那个网站有这样的约定，用户密码不可找回？？！！

zpvip

mymy365 发表于 2013-11-6 12:28
立足之本？同学，你想的太天真了，这样一个东西，可能对有些人需要，但是大多数人并不care，而且这两个理 ...

一点都不天真，lastpass的用户群不是小众，他们就不提供找回密码服务的，你的master key不会存在他们的服务器上。
https://lastpass.com/support.php?cmd=showfaq&id=375


数据随便同步，但密码不行。

如果服务商还提供服务，数据都能还原，如果服务商不见了，什么都白搭。两种不同的处理方式，区别就只有一个，就是用户的 master key

zpvip

shrek_munich 发表于 2013-11-6 14:14
那个网站有这样的约定，用户密码不可找回？？！！

你应该不是学info的
https://lastpass.com/support.php?cmd=showfaq&id=375
https://support.wuala.com/knowledgebase/creating-an-account/

shrek_munich

zpvip 发表于 2013-11-6 14:16
你应该不是学info的
https://lastpass.com/support.php?cmd=showfaq&id=375

咱们赌1m 欧元怎么样？

zpvip

shrek_munich 发表于 2013-11-6 14:16
咱们赌1m 欧元怎么样？

我又不是赌徒，
如果你是学info的，这些加密之类的是常识，如何处理用户的密码也是常识，就算老师不教，自己也应该了解一下。

zpvip

shrek_munich 发表于 2013-11-6 14:14
你登陆那一刻，请问你如何验证密码？你还是要在服务器有一份的吧，同样面临泄漏的问题。
如果你只纠结在 ...

你真没看我的文字，或者真不懂。

你把密码 adfsdfa 通过 post的方式传到服务器，用个函数 md5('adfsdfa ' + salt) 就到一串字符，和数据库的一对比就行了。服务器不会保存我的 'adfsdfa ' ，salt 是存在数据库的，每个用户都有不同的salt，是随机生成的。

你拿到这串字条反过来得不到我的 'adfsdfa ' + salt

zpvip

shrek_munich 发表于 2013-11-6 14:14
你登陆那一刻，请问你如何验证密码？你还是要在服务器有一份的吧，同样面临泄漏的问题。
如果你只纠结在 ...

https://www.google.com/search?q= ... _sm=93&ie=UTF-8

不多说了，自己补课吧。

这只是其中一种方法。

shrek_munich

zpvip 发表于 2013-11-6 14:20
我又不是赌徒，
如果你是学info的，这些加密之类的是常识，如何处理用户的密码也是常识，就算老师不教， ...

你的假设是用户密码“必须”用户自己记住而且不得修改
我还没敢设计这样的网站给用户
你不是赌徒就可以大放厥词了？是不是我不是赌徒我就可以揣测，你估计不是中国人？

zpvip

shrek_munich 发表于 2013-11-6 14:26
你的假设是用户密码“必须”用户自己记住而且不得修改
我还没敢设计这样的网站给用户
你不是赌徒就可 ...

从来没说不可修改，你设计 discuz 这样的网站当然可以重设密码，如果你要用明文保存用户的敏感信息，我不得不置疑你的出发点。

shrek_munich

zpvip 发表于 2013-11-6 14:24
你真没看我的文字，或者真不懂。

你把密码 adfsdfa 通过 post的方式传到服务器，用个函数 md5('adfsdf ...

请问salt就不是数据么，还是这个数据真特别啊，别的数据都会泄漏，唯有这个数据金刚不坏，永远不会泄漏滴

shrek_munich

zpvip 发表于 2013-11-6 14:26
https://www.google.com/search?q=md5+salt&rlz=1C1CHFX_deDE515DE515&oq=md5+salt&aqs=chrome..69i57j ...

人家在说服务器泄漏，你在说密码robust，你是让我揣测你的语文或者逻辑的下限么

shrek_munich

zpvip 发表于 2013-11-6 14:27
从来没说不可修改，你设计 discuz 这样的网站当然可以重设密码，如果你要用明文保存用户的敏感信息，我 ...

我从来没有说明文保存，但是只要你服务器有bug，注意，我们一直说的是bug，不是黑客攻击，泄漏就是有可能的，这是程序本身的代码质量问题，不是算法或者架构问题

zpvip

shrek_munich 发表于 2013-11-6 14:28
请问salt就不是数据么，还是这个数据真特别啊，别的数据都会泄漏，唯有这个数据金刚不坏，永远不会泄漏滴

我今天真是耐心好，这么说吧，我把服务器放到你家去，你有服务器所有权限，但你通过 salt 和 那串 hash 值得不到我的密码，这下明白了吧？

salt的作用是防暴力解密的。

你真是学info的？哪个学校？

zpvip

shrek_munich 发表于 2013-11-6 14:29
人家在说服务器泄漏，你在说密码robust，你是让我揣测你的语文或者逻辑的下限么

我在回答你的问题，你看引文。

shrek_munich

zpvip 发表于 2013-11-6 14:31
我今天真是耐心好，这么说吧，我把服务器放到你家去，你有服务器所有权限，但你通过 salt 和 那串 hash  ...

我是暴力得不到密码，但是如果你的服务器自己告诉我了，我需要salt和hash么
你不但语文有问题，眼神问题更大，
@人家在说服务器泄漏，你在说密码robust@
至于info，你赌不赌嘛，你掏的出钱我也不怕自曝的，反正我也没干啥见不得人的事

zpvip

shrek_munich 发表于 2013-11-6 14:29
人家在说服务器泄漏，你在说密码robust，你是让我揣测你的语文或者逻辑的下限么

再多说一句，如果以我那种方式设计数据库， 就算把服务器抱到你家里去，你有所有的权限，也得不到用户的敏感信息。唯一的缺点是不能找回密码。

如果用户在某台机器还是登录状态，那还有希望，就像这个页面说的：
https://lastpass.com/support.php?cmd=showfaq&id=375

shrek_munich

zpvip 发表于 2013-11-6 14:34
再多说一句，如果以我那种方式设计数据库， 就算把服务器抱到你家里去，你有所有的权限，也得不到用户的 ...

你这一切都是基于防暴力破解
谁要和你暴力破解了？
另外，我顺便怀疑一下你的工作经验.....典型的在校学生的思维....

zpvip

shrek_munich 发表于 2013-11-6 14:33
我是暴力得不到密码，但是如果你的服务器自己告诉我了，我需要salt和hash么
你不但语文有问题，眼神问题 ...

@人家在说服务器泄漏，你在说密码robust@

我的意思是就算不泄漏，程序和数据库的设计上也有问题。之所以说密码的事，是因为你觉得黑客是可能得到用户密码的，我告诉你，用我的方式，把服务器搬到黑客家里，他也得不到密码。就算程序出bug，用户信息也不会泄漏。

shrek_munich

zpvip 发表于 2013-11-6 14:39
@人家在说服务器泄漏，你在说密码robust@

我的意思是就算不泄漏，程序和数据库的设计上也有问题。之所 ...

客户：xxx，你的程序有问题，自己把其他客户的信息发错人了
xxx：没关系，只要用我的算法，黑客破解不了的
客户: xxx，你的算法还是发错人了
xxx：不可能啊，我的算法是不会被破解的
boss： xxx，你丫赶紧把你的bug修好，别发错人不就完了，哪来那么多话

zpvip

shrek_munich 发表于 2013-11-6 14:40
客户：xxx，你的程序有问题，自己把其他客户的信息发错人了
xxx：没关系，只要用我的算法，黑客破解不 ...

这是安全问题。

程序要没有bug，这是正确的，但不能有bug就造成不可挽回的损失。这是一开始就要注意的。

作为一个管理者，要知道员工一定会犯错，没有哪个大程序没bug, 还要注意减少员式的诱惑。如果 dolc 用明文存密码，我觉得 管理员  就有可能哪天无聊用你的 email + 密码登录一下facebook 试一试

shrek_munich

zpvip 发表于 2013-11-6 14:46
这是安全问题。

程序要没有bug，这是正确的，但不能有bug就造成不可挽回的损失。这是一开始就要注意的 ...

即使你加密了，你要发错人还是依然发错
既然你要说犯错，那么你的hash和salt一样有泄漏的可能

zpvip

shrek_munich 发表于 2013-11-6 14:48
即使你加密了，你要发错人还是依然发错
既然你要说犯错，那么你的hash和salt一样有泄漏的可能

可以啊，我都说了，服务器都可以搬到你家里去，但绝对不会给用户造成任何损失。

现在大家可以拿用户的信息去淘宝买东西了，这就是区别。

shrek_munich

zpvip 发表于 2013-11-6 14:49
可以啊，我都说了，服务器都可以搬到你家里去，但绝对不会给用户造成任何损失。

现在大家可以拿用户的 ...

服务器搬到我家去又不会造成泄漏
服务器搬到我家去只是提供了我暴力破解的可能，这里并不涉及暴力破解的问题

zpvip

shrek_munich 发表于 2013-11-6 14:50
服务器搬到我家去又不会造成泄漏
服务器搬到我家去只是提供了我暴力破解的可能，这里并不涉及暴力破解的 ...

我说很明白了，服务器搬到你家去是泄漏的极限。

如果我是搜狗管理员，昨天小王写程序出了个bug，结果其它用户的 salt hash，还有加密后的淘宝帐号都同步到张三，李四电脑去了。

我只要训一顿小王就行了，张三李四顶多抱怨一下就行了，但其它用户的信息是安全的，张三李四得不到。

我估计看帖子的人要崩溃了。这么点事写到6页了。

zpvip

shrek_munich 发表于 2013-11-6 14:50
服务器搬到我家去又不会造成泄漏
服务器搬到我家去只是提供了我暴力破解的可能，这里并不涉及暴力破解的 ...

你写什么网站的，可以发个网址吗？

一般的网站当然要提供找回密码功能，只是在德国很少遇到做网站的人，想了解一下。

loewez

这次泄露的密码是明文的吗？我很感兴趣。sogou到底是不是把用户信息加密后上传的？

zpvip

loewez 发表于 2013-11-6 15:00
这次泄露的密码是明文的吗？我很感兴趣。sogou到底是不是把用户信息加密后上传的？

不是sogou的用户密码泄漏，而是用户用搜狗浏览器保存的表单数据泄漏，这些数据里面有密码。

mymy365

zpvip 发表于 2013-11-6 14:58
你写什么网站的，可以发个网址吗？

一般的网站当然要提供找回密码功能，只是在德国很少遇到做网站的人 ...

同学，我猜测你是不是这学期刚开了一门课叫做《Einführung in die Kryptologie》？

这都是很简单的东西了，包括你说的那些MD5之类的，我可能现在开始说话语气不是很好了，请谅解。
你做网站要知道需求，你一直在说Hash，Hash，你也一直在说密码，对于密码的保存当然是Hash加salt更科学，但这仅仅对于密码，因为密码的需求是验证，而不是重现。
但搜狗这些服务的要求是重现，而不仅仅是验证。
我开始就说过了，对于此种需求，除了加强服务器的安全维护，没有其他任何办法。

安全的定义有很多种，需求也有很多种，并不是你想得那么简单的。打个比方，如果你现在学习做网站，你一定知道，有的网站喜欢把登录密码先在客户端用js先md5一遍再发送，但实际上这是前两年的一种流行，从安全的角度，对于一个http协议传输的请求，这种过程意义并非很大。

或者，我再问你个简单的，你知道为什么保存密码的时候需要一个salt么？你知道最早网站开发刚引入md5保存密码的时候，是不流行写个salt的么？

或者我也问问你，你是学Info或者学数学的么？还是仅仅是computertechnik专业的？