V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
flyingHagan
V2EX  ›  全球工单系统

国家图书馆网站竟然是明文保存的密码

  •  
  •   flyingHagan · 2018-03-06 23:05:17 +08:00 · 12384 次点击
    这是一个创建于 2487 天前的主题,其中的信息可能已经有所发展或是发生改变。

    http://www.nlc.gov.cn/

    如果使用“忘记密码”功能,他会根据你留的是邮箱还是手机号,通过邮件 /短信的方式把你原来的密码发过来……给跪了

    第 1 条附言  ·  2018-03-07 16:43:57 +08:00
    首先,我不是为黑而黑,只是在客观地描述这件事,可能有点标题党(能发送明文不能说明就是以明文存储),这点我道歉。

    可是不管怎样,能发出来你的明文密码就已经是很严重的一件事了。退一万步,就算是用了对称加密或者对称加密那又怎样,中间的密钥至少是没有掌握在用户手里的。

    有的人把这个和 chrome 明文保存密码来相提并论,完全没有可比性好吗,Chrome 的密码是被你的系统密码保护着的,其他密码管理软件也是一样的原理,没见过哪个没有主密码的密码管理软件。扯这个的人不是在混淆视听就是犯了事实谬误。这是一个统一回复。
    65 条回复    2018-03-07 20:31:28 +08:00
    0915240
        1
    0915240  
       2018-03-06 23:11:01 +08:00
    厉...厉害~
    oreoiot
        2
    oreoiot  
       2018-03-06 23:12:06 +08:00 via Android   ❤️ 4
    果然进体制要求不高。。
    Willjim
        3
    Willjim  
       2018-03-06 23:16:28 +08:00 via Android   ❤️ 37
    国家图书馆管理员:说出来怕你不相信,你们的密码都用一本册子记录着,你点了忘记密码我才去找的。(doge)
    dfly0603
        4
    dfly0603  
       2018-03-06 23:25:18 +08:00 via Android
    这逻辑真是失了智
    feverzsj
        5
    feverzsj  
       2018-03-06 23:31:35 +08:00
    这种连全站 https 都没启用的网站,你还敢注册?
    kkzxak47
        6
    kkzxak47  
       2018-03-06 23:31:42 +08:00 via Android
    自主研发精神可嘉
    nfroot
        7
    nfroot  
       2018-03-06 23:39:08 +08:00   ❤️ 17
    你忘记密码,它告诉你密码……好像没什么不对……(滑稽)
    hst001
        8
    hst001  
       2018-03-06 23:45:08 +08:00   ❤️ 2
    这种项目估计就是层层包下来,最后找了几个在校大学生,学了两个月开始做项目
    flyingHagan
        9
    flyingHagan  
    OP
       2018-03-06 23:52:15 +08:00
    @feverzsj #5 我倒是想找一个上了 HTTPS 的替代品。。。
    Tianao
        10
    Tianao  
       2018-03-06 23:54:32 +08:00   ❤️ 19
    @hst001 请不要黑我们在校大学生,谢谢。😂
    pythlo
        11
    pythlo  
       2018-03-07 00:01:09 +08:00   ❤️ 1
    我居然大笑了 20 秒!
    iVeego
        12
    iVeego  
       2018-03-07 00:02:25 +08:00 via Android
    哈哈哈哈,真-找回密码功能。
    likuku
        13
    likuku  
       2018-03-07 00:02:31 +08:00
    看到 #10 我居然大笑了 3 秒!
    Maltazard
        14
    Maltazard  
       2018-03-07 00:24:14 +08:00
    原来乌云网上有这条的吧?
    yiran7324
        15
    yiran7324  
       2018-03-07 00:44:11 +08:00 via Android
    哈哈哈,正准备学做项目呢~看了 10#
    dingtian
        16
    dingtian  
       2018-03-07 00:45:55 +08:00   ❤️ 2
    这个网站 的表单 是在前端 校验的。。。后端直接存储了。。。我注册的时候 偶然发现的 http://photo.weibo.com/2956268242/wbphotos/large/mid/4214735073639378/pid/b03512d2gy1fp3kq8kc6pj216m11egqx
    densuc
        17
    densuc  
       2018-03-07 07:53:45 +08:00 via iPhone
    我还发现我们学校本科教务系统 登录后密码明文保存在 cookies 里面 而且还没有 HTTPS
    yingfengi
        18
    yingfengi  
       2018-03-07 08:18:34 +08:00 via Android
    忘记密码,没毛病 (逃
    etc
        19
    etc  
       2018-03-07 09:18:49 +08:00
    印象中我注册过好几个网站都是明文保存,注册之后就直接把密码发到我的邮箱来备忘。
    xiaodongus
        20
    xiaodongus  
       2018-03-07 09:37:05 +08:00
    @Willjim #3 国家图书馆管理员。。。细思恐极
    zjsxwc
        21
    zjsxwc  
       2018-03-07 09:45:59 +08:00
    真-找回密码
    paragon
        22
    paragon  
       2018-03-07 10:06:46 +08:00
    重置成随机密码发到你邮箱也是一种野路子逻辑哇
    Les1ie
        23
    Les1ie  
       2018-03-07 10:07:46 +08:00
    我们学校的无线网 captive portal 的账户和密码也是写在 cookie 的,而且提供了并没有 auth 的查询接口直接查询本机登录账户的包括密码在内的所有信息
    wlh
        24
    wlh  
       2018-03-07 10:10:28 +08:00
    图书馆管理员惹不起啊
    ioth
        25
    ioth  
       2018-03-07 10:34:54 +08:00   ❤️ 1
    迷信“国家”的。
    21 世纪大约只有我朝和朝鲜吧。
    Oo0
        26
    Oo0  
       2018-03-07 10:51:29 +08:00   ❤️ 1
    当不了图书管理员的我,只好去当程序员了,,
    jy02534655
        27
    jy02534655  
       2018-03-07 11:17:05 +08:00
    10 楼亮了
    HuangLibo
        28
    HuangLibo  
       2018-03-07 11:20:12 +08:00   ❤️ 1
    体制内的这些系统大部分是外包公司干的, 所以没法指望他质量高.
    8355
        29
    8355  
       2018-03-07 11:28:28 +08:00   ❤️ 1
    @Willjim #3 图书馆密码管理部 密码找回专员向你致敬
    johnj
        30
    johnj  
       2018-03-07 11:51:56 +08:00
    58 同城也这么发过短信 害我要换所有密码
    THP301
        31
    THP301  
       2018-03-07 12:38:57 +08:00 via Android   ❤️ 1
    某些地方成本 2000 的项目,层层外包出去就是 2 个亿,你说呢
    Phariel
        32
    Phariel  
       2018-03-07 12:51:24 +08:00 via Android
    如果你给他们提白帽子工单 他们就来解决掉你 ^ω^
    royliu
        33
    royliu  
       2018-03-07 12:54:14 +08:00
    如非本人操作,请忽略此信息才是最骚的
    klii
        34
    klii  
       2018-03-07 12:58:38 +08:00 via iPhone
    按道理来说没毛病啊。你不是要找回密码嘛😏
    GuuJiang
        35
    GuuJiang  
       2018-03-07 13:18:59 +08:00   ❤️ 1
    能够把你的密码发送给你 != 明文保存
    dakb
        36
    dakb  
       2018-03-07 13:22:44 +08:00
    人本来就是给所有大众提供内容的,安全性要求不高。也没啥好乐的。
    realpg
        37
    realpg  
       2018-03-07 13:27:01 +08:00   ❤️ 4
    其实这都不算啥……

    曾经有个神奇的网站 如果你输入密码错误 并查看源代码(那时候没有 F12 要不早被人看出来了) 会有一个调试信息
    <!-- [你输入的密码] [正确密码] -->
    3a3Mp112
        38
    3a3Mp112  
       2018-03-07 13:28:09 +08:00
    能够把你的密码发送给你 != 明文保存

    这才是正确的说法啊。
    johnj
        39
    johnj  
       2018-03-07 13:28:57 +08:00
    @3a3Mp112 可逆的这种 跟保存明文差不多了
    flyingHagan
        40
    flyingHagan  
    OP
       2018-03-07 13:35:15 +08:00 via Android
    @GuuJiang @3a3Mp112 起码不是不可逆加密,跟明文有啥区别
    duan602728596
        41
    duan602728596  
       2018-03-07 13:35:43 +08:00 via iPhone
    说外包公司干的,这可能是外包公司被黑的最惨的一次了......
    Amayadream
        42
    Amayadream  
       2018-03-07 13:38:11 +08:00
    路子太野, 仅次于随机给你生成新密码了.
    gam2046
        43
    gam2046  
       2018-03-07 13:45:30 +08:00
    @flyingHagan 可逆加密 == 明文
    我感觉你说的是信息摘要算法。
    按这么说,那不是一竿子把对称密钥 /非对称密钥算法都给打翻了?

    信息摘要算法从来都不是用来加密的。不可逆算哪门子的加密,原来的信息都没了,这加密毫无意义。
    z1154505909
        44
    z1154505909  
       2018-03-07 14:02:10 +08:00
    @GuuJiang 对头,这个确实,它可以是重新生成一个发给你
    flyingHagan
        45
    flyingHagan  
    OP
       2018-03-07 14:06:05 +08:00
    @gam2046 #43 谁都知道密码加密中的“加密”是信息摘要。
    所以你觉得服务端会用对称 /非对称加密来保存密码吗,有什么好处,这么大工作量就为了可以解析出来明文然后给用户发短信吗?
    koebehshian
        46
    koebehshian  
       2018-03-07 14:35:57 +08:00   ❤️ 1
    正因为是国家图书馆,敢盗密码警察叔叔直接找上门
    jadec0der
        47
    jadec0der  
       2018-03-07 14:39:41 +08:00
    给跪了
    cnbobolee
        48
    cnbobolee  
       2018-03-07 14:56:16 +08:00
    那又怎样,你们想干嘛?
    zxiso
        49
    zxiso  
       2018-03-07 15:04:24 +08:00 via Android
    短信由于本身是明文的问题。。是可以通过伪基站去抓的 233 就看有人会不会这样搞咯
    jy02201949
        50
    jy02201949  
       2018-03-07 15:07:58 +08:00
    发密码给你就是明文保存?
    GuuJiang
        51
    GuuJiang  
       2018-03-07 16:05:38 +08:00 via iPhone
    @flyingHagan 虽说我理解黑政府做的东西算是政治正确,然而也不能改变“能获取密码!=明文保存”这个事实
    震惊! lastpass 居然明文保存用户的密码,在我打开登陆网页时自动填充了,并且还可以查看保存的密码
    震惊! chrome 居然明文保存用户的密码,在我打开登陆网页时自动填充了,并且还可以查看保存的密码
    震惊! windows 域服务器居然明文保存用户的密码,在我修改密码时居然提示不能包含最近使用过的密码
    pabupa
        52
    pabupa  
       2018-03-07 16:06:14 +08:00
    ASE 呀~
    pabupa
        53
    pabupa  
       2018-03-07 16:06:46 +08:00
    @pabupa ………………尴尬 AES
    mlhorizon
        54
    mlhorizon  
       2018-03-07 16:42:39 +08:00
    几乎每一个科班计算机专业的学生都做过的『 xxx 图书管理系统』,你以为都跑哪去了?
    blackjar
        55
    blackjar  
       2018-03-07 16:43:33 +08:00
    密码要用单向 hash 这个还有疑问么

    @GuuJiang #50 还有这偷换概念的 拿有存密码功能的服务来说话 你去问问他们 你本身登陆用的密码 他们敢获取吗?
    kskdnda
        56
    kskdnda  
       2018-03-07 16:51:27 +08:00
    @Willjim 其实这样才是最安全的方法,不会被脱裤
    Willjim
        57
    Willjim  
       2018-03-07 17:02:17 +08:00 via Android
    @kskdnda 直接偷本子啊😏
    ColaBear0001
        58
    ColaBear0001  
       2018-03-07 17:09:42 +08:00 via iPhone
    在校大学生不背这锅😂
    kskdnda
        59
    kskdnda  
       2018-03-07 17:12:47 +08:00 via iPhone
    @Willjim 实物要比网络数据难度大
    Tony2ee
        60
    Tony2ee  
       2018-03-07 17:28:24 +08:00 via Android
    懒到家了
    tankb52
        61
    tankb52  
       2018-03-07 17:47:44 +08:00
    如果你经历过 CSDN 的拖库事件,怎么还会惊诧呢?

    这种非互联网企业的密码,我账号+密码都是用 keepass 随机生成的。
    dbfox
        62
    dbfox  
       2018-03-07 17:55:12 +08:00
    我想说,不觉得是什么大问题,



    也没有法律规定不能这样
    flynaj
        63
    flynaj  
       2018-03-07 19:41:48 +08:00 via Android
    好像好多大企业都是明文,不知道是不是国家要求的,看看以前的托库事件
    ashong
        64
    ashong  
       2018-03-07 20:28:01 +08:00
    很多大国企的 app 通讯都还没用 https 呢, 比如电网某 app
    mol310
        65
    mol310  
       2018-03-07 20:31:28 +08:00
    楼主是来搞笑的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5425 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 08:34 · PVG 16:34 · LAX 00:34 · JFK 03:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.