X3.5登陸方式直接用明文了嗎？

hopejyb

印象中之前是md5加密之后傳遞的，現(xiàn)在X3.5直接明文傳遞了嗎？

1 貢獻(xiàn)

最佳答案

原有的md5加密后傳輸?shù)卿浀姆绞揭虼嬖谝欢ǖ陌踩[患(如撞庫攻擊)，已在3.5版本移除
3.5版本使用了業(yè)界公認(rèn)的安全實(shí)踐方案來保存密碼。

順帶一提：明文傳輸密碼并不會(huì)降低安全性，前提是論壇需要使用https加密。

雖然也有少量業(yè)界實(shí)現(xiàn)會(huì)考慮在網(wǎng)頁內(nèi)使用非對(duì)稱加密的方式再加密一次，但由于沒有基于操作系統(tǒng)底層支持的公鑰體系，這樣的加密約等于掩耳盜鈴，除了應(yīng)付安全部門檢查以外沒有什么實(shí)際作用。

• cornersoft
• 發(fā)表于2023-1-28 17:27:58
• 詳細(xì)答案 >

cornersoft

原有的md5加密后傳輸?shù)卿浀姆绞揭虼嬖谝欢ǖ陌踩[患(如撞庫攻擊)，已在3.5版本移除
3.5版本使用了業(yè)界公認(rèn)的安全實(shí)踐方案來保存密碼。

順帶一提：明文傳輸密碼并不會(huì)降低安全性，前提是論壇需要使用https加密。

雖然也有少量業(yè)界實(shí)現(xiàn)會(huì)考慮在網(wǎng)頁內(nèi)使用非對(duì)稱加密的方式再加密一次，但由于沒有基于操作系統(tǒng)底層支持的公鑰體系，這樣的加密約等于掩耳盜鈴，除了應(yīng)付安全部門檢查以外沒有什么實(shí)際作用。

hopejyb

cornersoft 發(fā)表于 2023-1-28 17:27
原有的md5加密后傳輸?shù)卿浀姆绞揭虼嬖谝欢ǖ陌踩[患(如撞庫攻擊)，已在3.5版本移除
3.5版本使用了業(yè)界公認(rèn) ...

多謝答疑。

jacky9595

cornersoft 發(fā)表于 2023-1-28 17:27
原有的md5加密后傳輸?shù)卿浀姆绞揭虼嬖谝欢ǖ陌踩[患(如撞庫攻擊)，已在3.5版本移除
3.5版本使用了業(yè)界公認(rèn) ...

搭個(gè)帖問一下，請(qǐng)問閣下的reCAPTCHA云驗(yàn)證碼什么時(shí)候支持x3.5？非常感謝

老周部落

cornersoft 發(fā)表于 2023-1-28 17:27
原有的md5加密后傳輸?shù)卿浀姆绞揭虼嬖谝欢ǖ陌踩[患(如撞庫攻擊)，已在3.5版本移除
3.5版本使用了業(yè)界公認(rèn) ...

另外從安全角度補(bǔ)充一點(diǎn)具體的隱患（以下都是基本常識(shí)或者公開內(nèi)容，不涉及秘密）。

撞庫攻擊指的是因?yàn)?MD5 哈希實(shí)現(xiàn)在前端，程序無法區(qū)分是用戶輸入明文密碼被哈希還是攻擊者直接從其他使用 md5(password) 密碼存儲(chǔ)方式的其他網(wǎng)站獲取的數(shù)據(jù)庫進(jìn)行嘗試，因此是存在安全隱患的。
非對(duì)稱加密的問題是無法抵御中間人攻擊，中間人可以在服務(wù)器和客戶端之間建設(shè)服務(wù)器，將服務(wù)器下發(fā)的公鑰替換為自己的公鑰實(shí)現(xiàn)截取密碼數(shù)據(jù)，也可以在解密之后重新用服務(wù)器下發(fā)的公鑰加密讓用戶無感知泄露密碼。解決中間人攻擊的唯一手段就是使用操作系統(tǒng)內(nèi)置的根證書對(duì)服務(wù)器下發(fā)的公鑰進(jìn)行簽名，也就是 HTTPS 使用的 CA 證書體系。

cornersoft

jacky9595 發(fā)表于 2023-1-28 18:18
搭個(gè)帖問一下，請(qǐng)問閣下的reCAPTCHA云驗(yàn)證碼什么時(shí)候支持x3.5？非常感謝

仍然在開發(fā)當(dāng)中，預(yù)計(jì)會(huì)支持X3.5，以及提供一些全新的功能。
時(shí)間無法確定。
另外可以嘗試將X3.4版本的本插件直接復(fù)制至X3.5當(dāng)中使用。理論上電腦端應(yīng)該不會(huì)有不兼容的問題出現(xiàn)。手機(jī)端目前無法確定。

TeCHiScy

前端 md5 也不是完全沒用吧。

假定 A 站沒有 https 且使用明文，有人在 A 站上實(shí)施 MITM，這樣就可以拿到 A 站用戶的明文密碼，這時(shí)候它可以直接用明文密碼去撞 B、C、D 等其它站。
如果有前端 md5，MITM 拿到的就是 hash，雖然這時(shí)候攻擊者還是能用 hash 直接登錄 A 站，但是應(yīng)該沒辦法撞 B、C、D，因?yàn)橥粋€(gè)用戶即使明文密碼一樣，但是在別的站的 salt 各不相同，用從 A 拿到的 hash 在別的站不能使用。

感覺，這里實(shí)際上要不就是明文密碼撞，要不就是 hash 值撞，感覺用戶設(shè)置相同的明文密碼的可能性很高，這樣明文撞是不是更危險(xiǎn)一些？

當(dāng)然，如果 A 站有 https 那肯定沒問題，但是實(shí)際是不是都正確配置了 https 就難說了，全部用明文感覺有點(diǎn)一刀切了。

老周部落

TeCHiScy 發(fā)表于 2023-2-4 11:46
前端 md5 也不是完全沒用吧。

假定 A 站沒有 https 且使用明文，有人在 A 站上實(shí)施 MITM，這樣就可以拿到  ...

1. 如果 BCD 也是同樣的 md5(password) 做前端上傳，那這個(gè) hash 就可以通用。salt 是應(yīng)用和數(shù)據(jù)庫之間的交互，前端登錄不涉及 salt 。
2. 如果不選用 HTTPS ，那任何其他方式包括公私鑰都解決不了 MITM 的問題。現(xiàn)在黑客普遍也逐步具備解 md5(md5(password)+salt) 的能力了，而 MITM 的實(shí)施難度又遠(yuǎn)高于拖數(shù)據(jù)庫，這么看來反倒是現(xiàn)狀更合理。
3. 我覺得要加最多也就是套一層公私鑰，對(duì)于只能監(jiān)聽不能 MITM 的場景會(huì)好于現(xiàn)狀。

pcyi

老周部落 發(fā)表于 2023-2-4 12:53
1. 如果 BCD 也是同樣的 md5(password) 做前端上傳，那這個(gè) hash 就可以通用。salt 是應(yīng)用和數(shù)據(jù)庫之間的 ...

看了下上下文討論內(nèi)容
針對(duì)密碼安全性方面，X3.5是不是必須要配置Https呢？

TeCHiScy

老周部落 發(fā)表于 2023-2-4 12:53
1. 如果 BCD 也是同樣的 md5(password) 做前端上傳，那這個(gè) hash 就可以通用。salt 是應(yīng)用和數(shù)據(jù)庫之間的 ...

如果前端不是簡單 md5(password) 而是 md5(md5(password)+salt) 呢？

考慮到 md5 的碰撞和彩虹表等已知問題，這里甚至可讓用戶自由選擇一種 hash 和具體拼接算法

這樣至少在無 https 的情況下還能提供一些安全性