discuz3.4登陸頁面輸入賬戶密碼后，網頁能明文分析出賬戶密碼

klo

discuz從3.4升級到3.5了，問題一樣存在

也從http到https了，問題還是存在。

我知道答案 回答被采納將會獲得1 貢獻 + 5 金幣 已有14人回答

crx349

F12 后 自己看到自己提交的明文密碼 邏輯沒毛病 何來安全問題？

forte88

登錄密碼加密

專家

哈哈哈哈6 發表于 2023-8-4 16:59
找不到了，本來X3.4里面站點功能有這個。登錄密碼加密。X3.5好像沒了。

移除了，因為這個功能不但起不到安全作用，反而可能造成安全隱患。

專家

klo 發表于 2023-8-4 15:06
做個滲透賬號密碼都明文顯示出來了，這種安全隱患很大啊

安全隱患很大？
這么做完全沒有安全問題。你說的控制臺那是你自己的電腦，只有你自己能看見。
開啟https以后，除了你自己和網站服務器以外的任何第三方都看不見你的密碼。

不要嘗試使用掩耳盜鈴的方法對密碼進行所謂的加密，你的防護目標不是已經知道密碼的自己本人。
如果想了解技術細節，可以嘗試翻翻以前的帖子，到目前為止本站還沒有人成功提出一種具備防護作用的前端加密方案。

https就是解決安全加密問題的，全世界的安全專家合力打造的解決方案，留一個普通人都能一眼看出來的安全隱患在里面，你覺得可能么？放心用就是了。

哈哈哈哈6

klo 發表于 2023-8-4 15:06
做個滲透賬號密碼都明文顯示出來了，這種安全隱患很大啊

一般滲透都會去滲透服務端吧，客戶端如果被干了也沒用的。比如某臺電腦上有啥木馬，然后在上面輸密碼導致號被盜掉，這不能怪網站的。

哈哈哈哈6

klo 發表于 2023-8-4 14:35
請問具體在哪個地方設置的呢？

找不到了，本來X3.4里面站點功能有這個。登錄密碼加密。X3.5好像沒了。

湖中沉

klo 發表于 2023-8-4 15:06
做個滲透賬號密碼都明文顯示出來了，這種安全隱患很大啊

當你的客戶端瀏覽器是不安全的時候，任何加密與否都無濟于事了，客戶端處輸入的時候的前端加密，實際上就是糊弄鬼

klo

湖中沉 發表于 2023-8-4 14:25
如果你的瀏覽器客戶端已經被攻陷了，無論明文還是密文，都是毫無意義的。這本身沒有毛病 ...

做個滲透賬號密碼都明文顯示出來了，這種安全隱患很大啊

klo

我理解的意思是，前端的賬號密碼沒有做加密操作，導致賬號密碼明文顯示，如果discuz網頁內不能設置對賬號密碼做加密操作的話，是不是只能修改后臺php的程序了