V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
orancho
V2EX  ›  互联网

法国教育署药丸! 密码明文储存! 邮件不加密!

  •  
  •   orancho · 2015-09-05 12:13:55 +08:00 · 3894 次点击
    这是一个创建于 3366 天前的主题,其中的信息可能已经有所发展或是发生改变。
    18 条回复    2015-09-06 05:41:46 +08:00
    oott123
        1
    oott123  
       2015-09-05 12:17:13 +08:00
    哦……
    ivmm
        2
    ivmm  
       2015-09-05 12:24:44 +08:00
    so?
    spencerqiu
        3
    spencerqiu  
       2015-09-05 12:29:33 +08:00
    扯淡,能够解密明文就一定没加密?
    nikoukou
        4
    nikoukou  
       2015-09-05 12:45:28 +08:00
    露珠这截图透出来的信息够别人玩一阵的了
    Kilerd
        5
    Kilerd  
       2015-09-05 12:49:23 +08:00
    前排围观。
    LZ 不要认出我是谁
    hemingway
        6
    hemingway  
       2015-09-05 12:55:08 +08:00
    可能只是发邮件给你的时候是明文,存储的时候还是密文,国内某些期刊网站之类的也这样。
    orancho
        7
    orancho  
    OP
       2015-09-05 13:37:38 +08:00 via Android
    @nikoukou 玩吧,这些在 fb 上都是公开的
    Tuccuay
        8
    Tuccuay  
       2015-09-05 16:33:10 +08:00
    @Kilerd 前排+1
    Laforet
        9
    Laforet  
       2015-09-05 18:56:35 +08:00
    @hemingway

    能看到明文就说明保存了明文或者对称加密的密文,后者在密钥泄露的情况下和明文一样。

    最要命的是 email 传输过程中很多步骤是不加密的....
    loading
        10
    loading  
       2015-09-05 18:58:17 +08:00 via iPhone
    aa45942
        11
    aa45942  
       2015-09-05 19:03:07 +08:00
    LZ 不遮下名字么 2333
    密码明文储存,数据库一被爆就是大事
    zdkmygod
        12
    zdkmygod  
       2015-09-05 19:27:08 +08:00
    zdkmygod
        13
    zdkmygod  
       2015-09-05 19:30:05 +08:00
    楼主邮件的标题是 registered 呀,不是找回密码呀。大家不要搞错了。
    你注册的时候完全可以给你先发明文密码再加密保存到数据库呀。
    可能的问题是邮件协议应该没有加密,相当于明文传输密码,但是不代表是明文保存密码。
    est
        14
    est  
       2015-09-05 19:32:28 +08:00   ❤️ 2
    @Laforet 谁说的?


    比如 form 提交的时候逻辑是这样:

    password = POST.get ('pwd')
    send_email ('[email protected]', 'your password is' + password )
    save_user (password=encrypt (password ))

    这样密码也是加密保存了的。
    aa45942
        15
    aa45942  
       2015-09-05 19:35:02 +08:00
    @zdkmygod 不管是不是注册,明文密码在邮件传输过程中有被截获的可能。
    一旦邮件被截获,不管最后是不是用密文储存,别人的目的已经达到了,可以拿着你的密码去社工、去充实字典等等
    zdkmygod
        16
    zdkmygod  
       2015-09-05 19:41:30 +08:00
    @aa45942 是的,我在回复中也提到了。
    但是楼主说的密码明文存储应该是不存在的,除非这网站是上个世纪搭建的。
    lightening
        17
    lightening  
       2015-09-05 19:56:48 +08:00
    注册的时候确实有可能邮件发出来然后再加密……不过这样就把密码写在邮件里,安全意识实在太低了,估计 99% 是明文储存的。
    Laforet
        18
    Laforet  
       2015-09-06 05:41:46 +08:00
    @est

    不会法语,仔细看了一下这个是注册后的确认信。我理解成找回密码的回信了。那么你说的也有可能。

    但是敢在明文邮件里放密码的服务,还真的不能断言后台不是明文储存的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4044 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 05:30 · PVG 13:30 · LAX 21:30 · JFK 00:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.