V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
This topic created in 2980 days ago, the information mentioned may be changed or developed.
如果使用“忘记密码”功能,他会根据你留的是邮箱还是手机号,通过邮件 /短信的方式把你原来的密码发过来……给跪了
Supplement 1 · Mar 7, 2018
首先,我不是为黑而黑,只是在客观地描述这件事,可能有点标题党(能发送明文不能说明就是以明文存储),这点我道歉。
可是不管怎样,能发出来你的明文密码就已经是很严重的一件事了。退一万步,就算是用了对称加密或者对称加密那又怎样,中间的密钥至少是没有掌握在用户手里的。
有的人把这个和 chrome 明文保存密码来相提并论,完全没有可比性好吗,Chrome 的密码是被你的系统密码保护着的,其他密码管理软件也是一样的原理,没见过哪个没有主密码的密码管理软件。扯这个的人不是在混淆视听就是犯了事实谬误。这是一个统一回复。
可是不管怎样,能发出来你的明文密码就已经是很严重的一件事了。退一万步,就算是用了对称加密或者对称加密那又怎样,中间的密钥至少是没有掌握在用户手里的。
有的人把这个和 chrome 明文保存密码来相提并论,完全没有可比性好吗,Chrome 的密码是被你的系统密码保护着的,其他密码管理软件也是一样的原理,没见过哪个没有主密码的密码管理软件。扯这个的人不是在混淆视听就是犯了事实谬误。这是一个统一回复。
 |
1
0915240 Mar 6, 2018
厉...厉害~
|
 |
2
oreoiot Mar 6, 2018 via Android  4
果然进体制要求不高。。
|
 |
3
Willjim Mar 6, 2018 via Android 37
国家图书馆管理员:说出来怕你不相信,你们的密码都用一本册子记录着,你点了忘记密码我才去找的。(doge)
|
 |
4
dfly0603 Mar 6, 2018 via Android
这逻辑真是失了智
|
 |
5
feverzsj Mar 6, 2018
这种连全站 https 都没启用的网站,你还敢注册?
|
 |
6
kkzxak47 Mar 6, 2018 via Android
自主研发精神可嘉
|
 |
7
nfroot Mar 6, 2018 17
你忘记密码,它告诉你密码……好像没什么不对……(滑稽)
|
 |
8
hst001 Mar 6, 2018 2
这种项目估计就是层层包下来,最后找了几个在校大学生,学了两个月开始做项目
|
 |
9
flyingHagan OP @feverzsj #5 我倒是想找一个上了 HTTPS 的替代品。。。
|
 |
11
pythlo Mar 7, 2018 1
我居然大笑了 20 秒!
|
 |
12
iVeego Mar 7, 2018 via Android
哈哈哈哈,真-找回密码功能。
|
 |
13
likuku Mar 7, 2018
看到 #10 我居然大笑了 3 秒!
|
 |
14
Maltazard Mar 7, 2018
原来乌云网上有这条的吧?
|
 |
15
yiran7324 Mar 7, 2018 via Android
哈哈哈,正准备学做项目呢~看了 10#
|
 |
16
dingtian Mar 7, 2018 2
这个网站 的表单 是在前端 校验的。。。后端直接存储了。。。我注册的时候 偶然发现的 http://photo.weibo.com/2956268242/wbphotos/large/mid/4214735073639378/pid/b03512d2gy1fp3kq8kc6pj216m11egqx
|
 |
17
densuc Mar 7, 2018 via iPhone
我还发现我们学校本科教务系统 登录后密码明文保存在 cookies 里面 而且还没有 HTTPS
|
 |
18
yingfengi Mar 7, 2018 via Android
忘记密码,没毛病 (逃
|
 |
19
etc Mar 7, 2018
印象中我注册过好几个网站都是明文保存,注册之后就直接把密码发到我的邮箱来备忘。
|
 |
20
xiaodongus Mar 7, 2018
@Willjim #3 国家图书馆管理员。。。细思恐极
|
 |
21
zjsxwc Mar 7, 2018
真-找回密码
|
 |
22
paragon Mar 7, 2018
重置成随机密码发到你邮箱也是一种野路子逻辑哇
|
 |
23
Les1ie Mar 7, 2018
我们学校的无线网 captive portal 的账户和密码也是写在 cookie 的,而且提供了并没有 auth 的查询接口直接查询本机登录账户的包括密码在内的所有信息
|
 |
24
wlh Mar 7, 2018
图书馆管理员惹不起啊
|
 |
25
ioth Mar 7, 2018 1
迷信“国家”的。
21 世纪大约只有我朝和朝鲜吧。 |
 |
26
Oo0 Mar 7, 2018 1
当不了图书管理员的我,只好去当程序员了,,
|
 |
27
jy02534655 Mar 7, 2018
10 楼亮了
|
 |
28
HuangLibo Mar 7, 2018 1
体制内的这些系统大部分是外包公司干的, 所以没法指望他质量高.
|
 |
30
johnj Mar 7, 2018
58 同城也这么发过短信 害我要换所有密码
|
 |
31
THP301 Mar 7, 2018 via Android 1
某些地方成本 2000 的项目,层层外包出去就是 2 个亿,你说呢
|
 |
32
Phariel Mar 7, 2018 via Android
如果你给他们提白帽子工单 他们就来解决掉你 ^ω^
|
 |
33
royliu Mar 7, 2018
如非本人操作,请忽略此信息才是最骚的
|
 |
34
klii Mar 7, 2018 via iPhone
按道理来说没毛病啊。你不是要找回密码嘛😏
|
 |
35
GuuJiang Mar 7, 2018 1
能够把你的密码发送给你 != 明文保存
|
 |
36
dakb Mar 7, 2018
人本来就是给所有大众提供内容的,安全性要求不高。也没啥好乐的。
|
 |
37
realpg PRO 4
其实这都不算啥……
曾经有个神奇的网站 如果你输入密码错误 并查看源代码(那时候没有 F12 要不早被人看出来了) 会有一个调试信息 <!-- [你输入的密码] [正确密码] --> |
 |
38
3a3Mp112 Mar 7, 2018
能够把你的密码发送给你 != 明文保存
这才是正确的说法啊。 |
|
40
flyingHagan OP |
 |
41
duan602728596 Mar 7, 2018 via iPhone
说外包公司干的,这可能是外包公司被黑的最惨的一次了......
|
 |
42
Amayadream Mar 7, 2018
路子太野, 仅次于随机给你生成新密码了.
|
 |
43
ntdll Mar 7, 2018
@flyingHagan 可逆加密 == 明文
我感觉你说的是信息摘要算法。 按这么说,那不是一竿子把对称密钥 /非对称密钥算法都给打翻了? 信息摘要算法从来都不是用来加密的。不可逆算哪门子的加密,原来的信息都没了,这加密毫无意义。 |
 |
44
z1154505909 Mar 7, 2018
@GuuJiang 对头,这个确实,它可以是重新生成一个发给你
|
|
45
flyingHagan OP @gam2046 #43 谁都知道密码加密中的“加密”是信息摘要。
所以你觉得服务端会用对称 /非对称加密来保存密码吗,有什么好处,这么大工作量就为了可以解析出来明文然后给用户发短信吗? |
 |
46
koebehshian Mar 7, 2018 1
正因为是国家图书馆,敢盗密码警察叔叔直接找上门
|
 |
47
jadec0der Mar 7, 2018
给跪了
|
 |
48
cnbobolee Mar 7, 2018
那又怎样,你们想干嘛?
|
 |
49
zxiso Mar 7, 2018 via Android
短信由于本身是明文的问题。。是可以通过伪基站去抓的 233 就看有人会不会这样搞咯
|
 |
50
jy02201949 Mar 7, 2018
发密码给你就是明文保存?
|
|
51
GuuJiang Mar 7, 2018 via iPhone
@flyingHagan 虽说我理解黑政府做的东西算是政治正确,然而也不能改变“能获取密码!=明文保存”这个事实
震惊! lastpass 居然明文保存用户的密码,在我打开登陆网页时自动填充了,并且还可以查看保存的密码 震惊! chrome 居然明文保存用户的密码,在我打开登陆网页时自动填充了,并且还可以查看保存的密码 震惊! windows 域服务器居然明文保存用户的密码,在我修改密码时居然提示不能包含最近使用过的密码 |
 |
52
pabupa Mar 7, 2018
ASE 呀~
|
 |
54
mlhorizon Mar 7, 2018
几乎每一个科班计算机专业的学生都做过的『 xxx 图书管理系统』,你以为都跑哪去了?
  |
 |
55
blackjar Mar 7, 2018
|
 |
58
ColaBear0001 Mar 7, 2018 via iPhone
在校大学生不背这锅😂
|
 |
60
Tony2ee Mar 7, 2018 via Android
懒到家了
|
 |
61
tankb52 Mar 7, 2018
如果你经历过 CSDN 的拖库事件,怎么还会惊诧呢?
这种非互联网企业的密码,我账号+密码都是用 keepass 随机生成的。 |
 |
62
aidevs Mar 7, 2018
我想说,不觉得是什么大问题,
也没有法律规定不能这样 |
 |
63
flynaj Mar 7, 2018 via Android
好像好多大企业都是明文,不知道是不是国家要求的,看看以前的托库事件
|
 |
64
ashong Mar 7, 2018
很多大国企的 app 通讯都还没用 https 呢, 比如电网某 app
|
 |
65
mol310 Mar 7, 2018
楼主是来搞笑的
|
Select Language