谁用搜狗输入法和搜狗浏览器？有中招的没？

shrek_munich

zpvip 发表于 2013-11-6 21:40
1
你就算要上传明文密码到搜狗服务器，也要登录搜狗吧，比如用户名  密码dfsdfafsd，这个登录用的密码 d ...

你修改密码的同时，会把本地的密码用新密码加密一次
你的意思是老密码么？你的老密码在服务器端并没有保存，请问你如何decode？

漫游性你可以无视，我和你对本地密码的理解有点不一样，但是如果你指的是老密码，请回答上面的问题

2 你根本没看懂我说的，既然你加密需要当前密码，如果你忘了密码，你所有在服务器保存的加密数据将永远无法解密。

数据如果解密了再加密的效率地球人都知道好吧，你如果是对文科生得瑟下也就罢了

zpvip

shrek_munich 发表于 2013-11-6 21:51
你修改密码的同时，会把本地的密码用新密码加密一次
你的意思是老密码么？你的老密码在服务器端并没有保 ...

如果做网站的有找回密码这个功能，那他一定在服务器存了用户的密码，这个网站的程序员一定要拉出去枪毙10分钟。csdn 早期的明文密码就有这种找回密码的可行性。

如果有重设密码这个功能，那网站管理员不知道用户密码是什么，但其他信息一般是可见的，比如 discuz，也就是说管理员就像 live 除了不知道你登录密码，其它的信息他都知道。

但搜狗浏览器的表单数据不是 discuz 的数据类型，而是敏感数据，不能用做论坛的思路。所以只能做成那种不能找回密码，也不能重设密码的类型。不然，任何一个搜狗的相关员工都可以得到用户的表单数据，这是只有在大清国才会发生的事。

lastpass 的字面意思，就是你的最后一个密码，其它的密码它帮你记。如果你仅有的一个密码都记不住，那还谈什么其它的，安全从此与你无关。

shrek_munich

zpvip 发表于 2013-11-6 22:37
如果做网站的有找回密码这个功能，那他一定在服务器存了用户的密码，这个网站的程序员一定要拉出去枪毙10 ...

找你这么说，绝大多数网站都只需要一个密码，你连一个密码都记不住，安全与你无关

zpvip

shrek_munich 发表于 2013-11-6 21:51
数据如果解密了再加密的效率地球人都知道好吧，你如果是对文科生得瑟下也就罢了

这句话单独拿出来，我可以清楚地告诉你，lastpass 就是用chrome extension的方式实现的，你添加几千个表单到lastpass，再改改你的master key，看看效率你满不满意。

mymy365

shrek_munich 发表于 2013-11-6 22:39
找你这么说，绝大多数网站都只需要一个密码，你连一个密码都记不住，安全与你无关

我猜测他估计最近接触到了Lastpass这么个玩意，然后，哎呀，强大啊，神奇啊，于是干嘛都得扯上这个
唉，孰不知哪有绝对的安全啊，曾经有些人得意的说128位的AES，个人计算机得几亿年才能破解，然后就被打脸了。
DES，RSA，AES都一个个的阵亡，尤其一旦量子计算机有了突破，有些问题更不是问题。更可怕的是，无论中外，从破解到公开，中间还会隔很久的，所以你永远都不会在第一时间知道你的数据是否真的安全。

zpvip

mymy365 发表于 2013-11-7 00:43
我猜测他估计最近接触到了Lastpass这么个玩意，然后，哎呀，强大啊，神奇啊，于是干嘛都得扯上 ...

你在这个帖子对我进行了太多的猜测，或者说鄙视，很抱歉，方向都反了。

我到现在还不确定 shrek_munich 搞明白了 lastpass 是怎么运作的，虽然他跟我打赌说他是读 info的。他一直在问一些我解释了很多次的问题，比如怎么改密码，是不是要全部重新加密一次，这效率将会不可接受之类的。

您在帖子里最大的特点就是骄傲，可能因为做过几个项目，曾经提出过自以为得意的想法，结果在客户那碰了钉子，落下了伤痕。所以现在还觉得不必要像 lastpass 这样为用户着想。

虽然AES 128位现在摆地摊的都不提了，但你说得也对，安全是相对的，但不能因为没有破不了的门就让门敞着。

就像小马过河的故事，每个动物对水的深浅看法都不一样，水的深度是不变的。

zpvip

shrek_munich 发表于 2013-11-6 22:39
找你这么说，绝大多数网站都只需要一个密码，你连一个密码都记不住，安全与你无关

这句话什么意思啊？

是说我登录绝大多数网站都用一个相同的密码，并且记住这个密码，这样就跟安全相关了？你确定这是你看了我 92 楼的帖子之后发表的感慨？你想帮助我审视我的语文水平吗？

shrek_munich

zpvip 发表于 2013-11-7 08:48
你在这个帖子对我进行了太多的猜测，或者说鄙视，很抱歉，方向都反了。

我到现在还不确定 shrek_mun ...

我觉得你应该去好好补习一下语文
我从来没说过加密效率问题，我一直问的是如果客户丢失了密码以后，所有加密数据是否可以还原，如果可以，能否在可接受时间内解决，如果不可以，那就是信息丢失
你一直在“解释”文不对题的东西，当然只能“一直”“重复”

客人：xxx，你们餐馆有什么招牌菜吗
xxx： 我们餐馆自酿的酒可好了
客人：xxx， 我问的是菜
xxx： 我们餐馆自酿的酒可好了
客人： 。。。
xxx： 我们餐馆自酿的酒可好了
客人：。。。
xxx： 我们餐馆自酿的酒可好了
。。。。

shrek_munich

zpvip 发表于 2013-11-7 08:52
这句话什么意思啊？

是说我登录绝大多数网站都用一个相同的密码，并且记住这个密码，这样就跟安全相 ...

对任何一个个体网站而言，我只要求你记一个密码，它并不知道也不对别的网站密码负责

至于你说插件形式解决，那就是我一开始说的第三方解决
如果你要对方解决，你的意思是sogou提供类似服务，以后各家网站的密码都要通过souguo encode和decode以后才能用么？souguo会很高兴提供这样的服务的，只不过你确定别家都愿意买它帐么

另外，如果你再无端揣测我的学科而又没种赌一把的话，我只能揣测你也许不是人，哪里有这么没种又这么喜欢揣测的，一般猴子才喜欢这么干的吧

zpvip

shrek_munich 发表于 2013-11-7 09:02
我觉得你应该去好好补习一下语文
我从来没说过加密效率问题，我一直问的是如果客户丢失了密码以后，所有 ...

LOOK:

1. 数据如果解密了再加密的效率地球人都知道好吧，你如果是对文科生得瑟下也就罢了

复制代码

zpvip

shrek_munich 发表于 2013-11-7 09:04
对任何一个个体网站而言，我只要求你记一个密码，它并不知道也不对别的网站密码负责

至于你说插件形 ...

我没耐心了，看了一下，你是 2012 年注册的小朋友，不跟你玩了，你的确到现在还不明白 lastpass 是怎么运作的，也不知道我想让搜狗变成什么样的，也许 2005年注册的 mymy365 理解，但他只是不屑而已。

mymy365 你要是给 shrek_munich 解释清楚了 lastpass 怎么运作的，还有我对搜狗的建议，我请你当语文老师，我不行了，要休息一下。

zhnde

zpvip 发表于 2013-11-6 22:37
如果做网站的有找回密码这个功能，那他一定在服务器存了用户的密码，这个网站的程序员一定要拉出去枪毙10 ...

到现在还没见过有找回密码功能的网站，这种网站一定没人敢用。一般都是给你发个新的临时密码，然后可以重新设置新密码。

shrek_munich

zpvip 发表于 2013-11-7 09:07
LOOK:

你先不知道怎么扯出来的
“你说的那些改个密码就要把数据全部重新加密，这真是太容易了，以你保存的那点表单数据，真用不了几秒钟。”

这就好像

客人：xxx，你们餐馆有什么招牌菜吗
xxx： 我们餐馆自酿的酒可好了
客人：xxx， 我问的是菜
xxx： 我们餐馆自酿的酒可好了
客人： 我知道你们酒好，我问的是菜

xxx和另一个同事说，那个sb客人一直问我酒，我和他说了好多次我们的酒，他怎么就是听不懂呢，难道第一次上餐馆吗，连酒都不知道

shrek_munich

zpvip 发表于 2013-11-7 09:12
我没耐心了，看了一下，你是 2012 年注册的小朋友，不跟你玩了，你的确到现在还不明白 lastpass 是怎么 ...

你又开始无端揣测人家看不懂了

原来你所谓的自信都是源于，你看你们不懂酒吧嘛(观众：你妹，我问的是菜！！)

shrek_munich

zhnde 发表于 2013-11-7 09:14
到现在还没见过有找回密码功能的网站，这种网站一定没人敢用。一般都是给你发个新的临时密码，然后可以重 ...

在一般网站的情况下是无所谓的
不过在这位"牛人"的网站不行哦，他所有的数据都是用老密码加密的
我刚才问他，如果一个被未知老密码加密的数据如何decode再用新密码encode
他就在扯我们encode很快的
（你妹啊，地球人都知道encode很快，是你decode怎么办）

zpvip

shrek_munich 发表于 2013-11-7 09:04
对任何一个个体网站而言，我只要求你记一个密码，它并不知道也不对别的网站密码负责

至于你说插件形 ...

另外，如果你再无端揣测我的学科而又没种赌一把的话，我只能揣测你也许不是人，哪里有这么没种又这么喜欢揣测的，一般猴子才喜欢这么干的吧

刚看到前两句就看不下去了，回头才看到这句。你看一下为什么我猜测你不是学info的，在坛子里其它不是info的讨论info的问题也是很平常的事，哪知道你这么敏感，现在居然出言不逊，真是枉费我打这么多字。

zpvip

zhnde 发表于 2013-11-7 09:14
到现在还没见过有找回密码功能的网站，这种网站一定没人敢用。一般都是给你发个新的临时密码，然后可以重 ...

请正确理解什么是找回密码 和 重设密码， 你混在一起了。

这只是我举的两个不提供找回也不提供重设密码的例子，当然你知道老密码可以重设新密码：
https://lastpass.com/
http://wuala.com/
这两个网站日子过得相当好。

很多为 dropbox 提供数据加密服务器的软件也不提供密码找回和密码重设服务，同样，你如果知道老密码可以重设新密码。

zpvip

shrek_munich 发表于 2013-11-7 09:04
对任何一个个体网站而言，我只要求你记一个密码，它并不知道也不对别的网站密码负责

至于你说插件形式解决，那就是我一开始说的第三方解决
如果你要对方解决，你的意思是sogou提供类似服务，以后各家网站的密码都要通过souguo encode和decode以后才能用么？souguo会很高兴提供这样的服务的，只不过你确定别家都愿意买它帐么

呼唤 mymy365，这就叫理解我说的意思了。

而且还用些比喻骂人，这就是技术圈的悲哀

mymy365

zpvip 发表于 2013-11-7 09:36
呼唤 mymy365，这就叫理解我说的意思了。

而且还用些比喻骂人，这就是技术圈的悲哀

。。。。。。
别扯我，再说我早就说了，不是谁都是学Info的，我再揣度一下，估计你也不是学Info的，你肯定学的也是计算机

zhnde

zpvip 发表于 2013-11-7 09:29
请正确理解什么是找回密码 和 重设密码， 你混在一起了。

这只是我举的两个不提供找回也不提供重设密 ...

找回密码我理解为，网站会把你当初设置的老密码再发给你。
重设密码，是网站给你个临时密码，你就拿这个当老密码登录。当初被忘记的老密码就永远消失了。

像Dolc这种论坛，管理员是可以设置明码保存你的密码的，当然我们是相信老大的人品的。呵呵。

moudy

zpvip 发表于 2013-11-7 09:29
请正确理解什么是找回密码 和 重设密码， 你混在一起了。

这只是我举的两个不提供找回也不提供重设密 ...

你跟mymy同志出发点都不一样。你盯着信息敏感应用讨论，他是看着普通网站讲。你俩要是能讲到一块去就怪了

其实极端的敏感服务岂止是不上传密码，连challenge都是用usbkey发放的。

sogou这个事情还是sogou不地道，最轻了也是不知道自己掌管的数据值多少钱，说严重了就是蓄意偷窥。

zpvip

zhnde 发表于 2013-11-7 09:47
找回密码我理解为，网站会把你当初设置的老密码再发给你。
重设密码，是网站给你个临时密码，你就拿这个 ...

你的理解是对的，老大要想明文保存我们的密码改改程序就可以了，只是没必要。因为一旦服务器被爆，大家一定知道是从dolc这里泄漏出去的，对老大没有任何好处。

zpvip

moudy 发表于 2013-11-7 09:50
你跟mymy同志出发点都不一样。你盯着信息敏感应用讨论，他是看着普通网站讲。你俩要是能讲到一块去就怪了 ...

明白人！sogou 那段很精辟

我强调过像discuz这种论坛类型的当然没必要，只是涉及到用户密码的事，不能这么干。

moudy

zpvip 发表于 2013-11-7 09:57
明白人！sogou 那段很精辟

我强调过像discuz这种论坛类型的当然没必要，只是涉及到用户密码的事，不 ...

firefox也算样板吧，云书签随便你怎么搞，表单密码必须用masterkey加密后上传。

zpvip

moudy 发表于 2013-11-7 10:00
firefox也算样板吧，云书签随便你怎么搞，表单密码必须用masterkey加密后上传。

谢谢！我现在感觉真是久旱逢甘霖，

我一直感到很奇怪，难道我是异类？

shrek_munich

zpvip 发表于 2013-11-7 09:22
刚看到前两句就看不下去了，回头才看到这句。你看一下为什么我猜测你不是学info的，在坛子里其它不是 ...

这就好像你不是中国人，我说你不是你根本无所谓
你如果是中国人，我说你不是，你也无所谓的话，那你以后请不要自称中国人

shrek_munich

zhnde 发表于 2013-11-7 09:47
找回密码我理解为，网站会把你当初设置的老密码再发给你。
重设密码，是网站给你个临时密码，你就拿这个 ...

重设和找回是两种不同的策略，用户都能理解
不过这哥们的网站很奇葩
1. 不能找回，因为根本不保存
2. 重设以后所有私人数据丢失，那你重设来干嘛啊？直接开个新户得了

shrek_munich

moudy 发表于 2013-11-7 09:50
你跟mymy同志出发点都不一样。你盯着信息敏感应用讨论，他是看着普通网站讲。你俩要是能讲到一块去就怪了 ...

sogou这是不是不地道，就是最基本的bug
只不过这种初级错误，难道他们没有unittest和压力测试么...

moudy

shrek_munich 发表于 2013-11-7 10:08
重设和找回是两种不同的策略，用户都能理解
不过这哥们的网站很奇葩
1. 不能找回，因为根本不保存

敏感数据宁丢勿漏。保存密码的服务，丢了一份密码只有丢的那个人抱怨，漏了一份所有客户都没了。

moudy

shrek_munich 发表于 2013-11-7 10:08
重设和找回是两种不同的策略，用户都能理解
不过这哥们的网站很奇葩
1. 不能找回，因为根本不保存

不知道你看过iCloud keychain的提示没有：不设置masterkey，一旦你所有的ios设备丢失，你的密码不可能恢复。