久久久久av_欧美日韩一区二区在线_国产精品三区四区_日韩中字在线

12下一頁
返回列表 發帖
查看: 3592|回復: 19

[已解決] X3.5登陸方式直接用明文了嗎?

7

主題

38

回帖

63

積分

漸入佳境

貢獻
1 點
金幣
10 個
樓主
發表于 2023-1-28 17:21:42 | 只看樓主 |只看大圖 |倒序瀏覽 |閱讀模式

印象中之前是md5加密之后傳遞的,現在X3.5直接明文傳遞了嗎?
1 貢獻

最佳答案

原有的md5加密后傳輸登錄的方式因存在一定的安全隱患(如撞庫攻擊),已在3.5版本移除
3.5版本使用了業界公認的安全實踐方案來保存密碼。

順帶一提:明文傳輸密碼并不會降低安全性,前提是論壇需要使用https加密。

雖然也有少量業界實現會考慮在網頁內使用非對稱加密的方式再加密一次,但由于沒有基于操作系統底層支持的公鑰體系,這樣的加密約等于掩耳盜鈴,除了應付安全部門檢查以外沒有什么實際作用。
回復

使用道具 舉報

5

主題

89

回帖

154

積分

版主

貢獻
2 點
金幣
45 個
沙發
發表于 2023-1-28 17:27:58 | 只看Ta
原有的md5加密后傳輸登錄的方式因存在一定的安全隱患(如撞庫攻擊),已在3.5版本移除
3.5版本使用了業界公認的安全實踐方案來保存密碼。

順帶一提:明文傳輸密碼并不會降低安全性,前提是論壇需要使用https加密。

雖然也有少量業界實現會考慮在網頁內使用非對稱加密的方式再加密一次,但由于沒有基于操作系統底層支持的公鑰體系,這樣的加密約等于掩耳盜鈴,除了應付安全部門檢查以外沒有什么實際作用。
回復

使用道具 舉報

7

主題

38

回帖

63

積分

漸入佳境

貢獻
1 點
金幣
10 個
板凳
 樓主| 發表于 2023-1-28 17:31:38 | 只看Ta
cornersoft 發表于 2023-1-28 17:27
原有的md5加密后傳輸登錄的方式因存在一定的安全隱患(如撞庫攻擊),已在3.5版本移除
3.5版本使用了業界公認 ...

多謝答疑。
回復

使用道具 舉報

16

主題

22

回帖

42

積分

初學乍練

貢獻
0 點
金幣
0 個
地板
發表于 2023-1-28 18:18:16 來自手機 | 只看Ta
cornersoft 發表于 2023-1-28 17:27
原有的md5加密后傳輸登錄的方式因存在一定的安全隱患(如撞庫攻擊),已在3.5版本移除
3.5版本使用了業界公認 ...

搭個帖問一下,請問閣下的reCAPTCHA云驗證碼什么時候支持x3.5?非常感謝
回復

使用道具 舉報

2

主題

1410

回帖

2061

積分

應用開發者

啦啦啦~

貢獻
58 點
金幣
325 個
5#
發表于 2023-1-28 18:24:47 | 只看Ta
cornersoft 發表于 2023-1-28 17:27
原有的md5加密后傳輸登錄的方式因存在一定的安全隱患(如撞庫攻擊),已在3.5版本移除
3.5版本使用了業界公認 ...

另外從安全角度補充一點具體的隱患(以下都是基本常識或者公開內容,不涉及秘密)。

撞庫攻擊指的是因為 MD5 哈希實現在前端,程序無法區分是用戶輸入明文密碼被哈希還是攻擊者直接從其他使用 md5(password) 密碼存儲方式的其他網站獲取的數據庫進行嘗試,因此是存在安全隱患的。
非對稱加密的問題是無法抵御中間人攻擊,中間人可以在服務器和客戶端之間建設服務器,將服務器下發的公鑰替換為自己的公鑰實現截取密碼數據,也可以在解密之后重新用服務器下發的公鑰加密讓用戶無感知泄露密碼。解決中間人攻擊的唯一手段就是使用操作系統內置的根證書對服務器下發的公鑰進行簽名,也就是 HTTPS 使用的 CA 證書體系。
回復

使用道具 舉報

5

主題

89

回帖

154

積分

版主

貢獻
2 點
金幣
45 個
6#
發表于 2023-1-28 21:39:02 | 只看Ta
本帖最后由 cornersoft 于 2023-1-28 21:40 編輯
jacky9595 發表于 2023-1-28 18:18
搭個帖問一下,請問閣下的reCAPTCHA云驗證碼什么時候支持x3.5?非常感謝

仍然在開發當中,預計會支持X3.5,以及提供一些全新的功能。
時間無法確定。
另外可以嘗試將X3.4版本的本插件直接復制至X3.5當中使用。理論上電腦端應該不會有不兼容的問題出現。手機端目前無法確定。
回復 1

使用道具 舉報

0

主題

4

回帖

10

積分

初學乍練

貢獻
0 點
金幣
5 個
7#
發表于 2023-2-4 11:46:23 | 只看Ta
本帖最后由 TeCHiScy 于 2023-2-4 11:49 編輯

前端 md5 也不是完全沒用吧。

假定 A 站沒有 https 且使用明文,有人在 A 站上實施 MITM,這樣就可以拿到 A 站用戶的明文密碼,這時候它可以直接用明文密碼去撞 B、C、D 等其它站。
如果有前端 md5,MITM 拿到的就是 hash,雖然這時候攻擊者還是能用 hash 直接登錄 A 站,但是應該沒辦法撞 B、C、D,因為同一個用戶即使明文密碼一樣,但是在別的站的 salt 各不相同,用從 A 拿到的 hash 在別的站不能使用。

感覺,這里實際上要不就是明文密碼撞,要不就是 hash 值撞,感覺用戶設置相同的明文密碼的可能性很高,這樣明文撞是不是更危險一些?

當然,如果 A 站有 https 那肯定沒問題,但是實際是不是都正確配置了 https 就難說了,全部用明文感覺有點一刀切了。
回復 1

使用道具 舉報

2

主題

1410

回帖

2061

積分

應用開發者

啦啦啦~

貢獻
58 點
金幣
325 個
8#
發表于 2023-2-4 12:53:14 | 只看Ta
TeCHiScy 發表于 2023-2-4 11:46
前端 md5 也不是完全沒用吧。

假定 A 站沒有 https 且使用明文,有人在 A 站上實施 MITM,這樣就可以拿到  ...

1. 如果 BCD 也是同樣的 md5(password) 做前端上傳,那這個 hash 就可以通用。salt 是應用和數據庫之間的交互,前端登錄不涉及 salt 。
2. 如果不選用 HTTPS ,那任何其他方式包括公私鑰都解決不了 MITM 的問題。現在黑客普遍也逐步具備解 md5(md5(password)+salt) 的能力了,而 MITM 的實施難度又遠高于拖數據庫,這么看來反倒是現狀更合理。
3. 我覺得要加最多也就是套一層公私鑰,對于只能監聽不能 MITM 的場景會好于現狀。
回復

使用道具 舉報

41

主題

842

回帖

1053

積分

已臻大成

貢獻
11 點
金幣
38 個
9#
發表于 2023-2-4 13:48:21 | 只看Ta
老周部落 發表于 2023-2-4 12:53
1. 如果 BCD 也是同樣的 md5(password) 做前端上傳,那這個 hash 就可以通用。salt 是應用和數據庫之間的 ...

看了下上下文討論內容
針對密碼安全性方面,X3.5是不是必須要配置Https呢?
回復

使用道具 舉報

0

主題

4

回帖

10

積分

初學乍練

貢獻
0 點
金幣
5 個
10#
發表于 2023-2-4 15:00:13 | 只看Ta
老周部落 發表于 2023-2-4 12:53
1. 如果 BCD 也是同樣的 md5(password) 做前端上傳,那這個 hash 就可以通用。salt 是應用和數據庫之間的 ...

如果前端不是簡單 md5(password) 而是 md5(md5(password)+salt) 呢?

考慮到 md5 的碰撞和彩虹表等已知問題,這里甚至可讓用戶自由選擇一種 hash 和具體拼接算法

這樣至少在無 https 的情況下還能提供一些安全性
回復

使用道具 舉報

您需要登錄后才可以回帖 登錄 | 立即注冊

本版積分規則

  • 關注公眾號
  • 有償服務微信
  • 有償服務QQ

手機版|小黑屋|Discuz! 官方交流社區 ( 皖ICP備16010102號 |皖公網安備34010302002376號 )|網站地圖|star

GMT+8, 2025-9-21 01:04 , Processed in 0.116254 second(s), 31 queries .

Powered by Discuz! W1.0 Licensed

Copyright © 2001-2025 Discuz! Team.

關燈 在本版發帖
有償服務QQ
有償服務微信
 返回頂部
快速回復 返回頂部 返回列表