刚刚登录试了下,果真提示了。。乖乖改密码吧。。
1
neosfung 2018-05-04 10:21:45 +08:00
今天是 World Password Day,Twitter 给我们开个玩笑提醒我们更新密码吧?
[参考这里]( https://www.mirror.co.uk/tech/happy-world-password-day-worrying-12472421) |
2
mozutaba 2018-05-04 10:25:06 +08:00
“我们近日发现了一个 bug,该 bug 导致密码无遮掩地被存储在一个内部日志上。我们已经修复了这个 bug,没有迹象表明密码被任何人盗取或滥用。作为预防措施,用户应考虑在所有使用过同一密码的服务上更改密码。”
大胆推测,修复过程是注释掉输出密码日志的代码。 |
3
soarscnu 2018-05-04 10:30:33 +08:00 via iPhone
喷子呢
|
5
jadec0der 2018-05-04 11:07:58 +08:00 via Android
为什么不在前端 hash 了再传?
|
6
SingeeKing 2018-05-04 11:15:15 +08:00
没收到通知……
|
7
Macolor21 2018-05-04 11:21:50 +08:00 via Android
我们通过所谓的哈希转换流程,使用一个名为 bcrypt 的函数对密码进行掩码处理,即用随机的一系列数字和字母替代实际密码,存储在 Twitter 系统内。 这让我们的系统可以在不显示你的密码的前提下核实帐号身份。 这是行业标准做法。
有一个问题导致密码在完成哈希转换前被写入一个内部日志。 我们自己发现了这个错误,移除了密码信息,并且正在部署计划以防这个问题再度发生 |
9
windcode 2018-05-04 11:41:09 +08:00
登陆了一下,果然提示了……
|
11
mozutaba 2018-05-04 11:56:14 +08:00
|
12
wintercoder 2018-05-04 12:20:33 +08:00
输出到内部日志 难道还会被人黑入么.
|
13
orangeade 2018-05-04 12:30:35 +08:00 via Android
@wintercoder 防内鬼
|
14
ryd994 2018-05-04 12:48:31 +08:00 via Android 1
|
15
cairnechen 2018-05-04 12:55:15 +08:00 2
@wintercoder 如果糟糕的事情可能发生,那它一定会发生
|
17
yangyaofei 2018-05-04 12:57:49 +08:00 via Android 1
@ryd994 hash 的作用应该是防止你丢了这个网站的密码,结果用了同样密码的别的网站不被盗吧
|
19
leafleave 2018-05-04 13:01:33 +08:00 via iPhone
@ryd994 而且有些人喜欢拿 QQ 号或者手机号加上两个字母做密码,不 hash 一下会泄露更多信息
|
20
ryd994 2018-05-04 13:13:02 +08:00 via Android 1
@leafleave 加盐 hash 是在服务端做的
前端 hash 凑什么热闹 @ctsed @yangyaofei 前端 hash 一次后端再 hash 一次的结果就是值域变小 本来需要穷举所有可能明文的,现在全变成定长字母数字串了 |
21
timwei 2018-05-04 13:32:19 +08:00
刚好跟上这阵子 PPv2 密码字典的话题
大部分的用户在各网站密码都是单一且重复性高的 明文密码的日志数据有作为字典的价值,被内鬼泄漏出去可能会给公司带来法律风险。 |
22
lsyk 2018-05-04 13:36:15 +08:00
这水平也是搞笑了。应该是最开始调试用的代码。那么多年就没人发现问题???、
|
24
leafleave 2018-05-04 14:31:05 +08:00 via iPhone
@ryd994 我想的是如果大家在前端 hash 的时候都不加盐,那就可以在其他同密码的网站重放 hash 了
值域变小确实是个问题,不过只要不是百度 QQ 这种用户数的应该没事 |
26
ZombieMisaka 2018-05-04 17:08:14 +08:00
在加上全局 https 的前提下,实在想不出前端 hash 的意义在哪
|
27
redsonic 2018-05-04 20:14:56 +08:00
我这里三个帐号都没有提示要更新密码
|
29
Building 2018-05-04 22:00:42 +08:00 via iPhone
...很多账号密码我第一次输进去的时候都点了记住账号,完全不记得密码是什么,全靠自动登录。
|
31
BearD01001 2018-05-05 07:06:50 +08:00 via iPhone
@ryd994 敏感信息 hash 之后再进行网络传输基本是前端行业的一个基础安全知识。
|
32
wenzhoou 2018-05-05 07:42:10 +08:00 via Android
@BearD01001 这句话有出处吗?
|
33
BearD01001 2018-05-05 08:36:50 +08:00 via iPhone
@wenzhoou 出处不清楚。不过窃以为敏感数据在进行网络传输前应该进行 hash。
|
34
yangyaofei 2018-05-05 10:03:26 +08:00
@ryd994 还这个讲过很多次了...大家在讨论问题不是听你讲课,你也不是什么权威大神.很讨厌这种语气
|
36
ryd994 2018-05-05 11:19:27 +08:00 via Android
@yangyaofei 并不是我讲过很多次了,而是很多地方很多大神讲过很多次了
@BearD01001 我上面讲过了,前端 hash 了,后端不可能不 hash,实际上就是两遍 hash,两遍 hash 比一遍 hash 更不安全。你需要的是 TLS,而不是拍脑袋自创的安全方案。 换个说法,如果这是安全常识,你要不要看看国外各大银行有没有这样做?自己签个 CA,浏览器里忽略强制 hsts,中间人一下自己还是很简单的。 |
37
yangyaofei 2018-05-05 11:41:01 +08:00
@ryd994 谁说过?在哪儿?不可能一句我记得吧? 看看你给我的回复下面回复别人的吧,还是我上面讲过了,一副我肯定对我是来科普你们都是辣鸡的语气,2333
|
38
wenzhoou 2018-05-05 12:09:41 +08:00 via Android
ryd994 说的对,就该认。别管语气。又不是跟女盆友吵架。如果认语气的话,那你们是不是看着 error 信息不爽就不用调查 bug 了啊。
|
39
ryd994 2018-05-05 12:20:15 +08:00 via Android
@yangyaofei 你自己被害妄想吧杠精
(书上 /网上 /大神)已经讲过很多次了 非要理解成 (我)已经讲过很多次了 你自己脑补成什么语气关我屁事 非要问谁说的,给你两个: https://crackstation.net/hashing-security.htm https://security.stackexchange.com/questions/110948/password-hashing-on-frontend-or-backend 又不是对你说的,你高潮个什么劲啊? |
40
ryd994 2018-05-05 12:28:25 +08:00 via Android 1
@leafleave 加密、hash 的安全性之一,就是输出的随机性。理论上完美的加密结果应该和纯随机数据一样。如果和纯随机不一致,不一致的部分就是泄露的信息熵。
值域很重要,如果值域变小了,我完全可以用更短的数据代替它(压缩)。你看以前所谓王小云破解 md5,说的就是把原本 2^n 的碰撞难度,降低到 2^m。 hash 两边,不也是一样么?值域就是难度啊。 |
41
yangyaofei 2018-05-05 20:03:34 +08:00 via Android
@ryd994 呵呵,跟你好好说话,什么玩意儿啊
|