S1密码是明文的啊
15:34:20.631851 IP 192.168.44.207.53324 > 220.192332.170.80: P 839:923(84) ack 1 win 58400x0000:0050 56f2 c610 000c 2967 d82a 0800 4500 .PV.....)g.*..E.
0x0010:007c 1659 4000 4006 2f3d c0a8 2ccf dcc4 .|.Y@.@./=..,...
0x0020:2aaa d04c 0050 cc8a e41b 500e 39e7 5018 *..L.P....P.9.P.
0x0030:16d0 d6f1 0000 666f 726d 6861 7368 3d37 ......formhash=7
0x0040:6530 6532 3666 6326 6c6f 6769 6e66 6965 e0e26fc&loginfie
0x0050:6c64 3d75 6964 2675 7365 726e 616d 653dld=uid&username=
0x0060:打码 3331 2670 6173 7377 6f72 643d 打码 打码&password=11
0x0070:打码 打码 3126 7175 6573 7469 6f6e 6964 打码&questionid
0x0080:3d30 2661 6e73 7765 723d =0&answer=
囧,Discuz! 7.0.0没加密还是没打开加密哈-_-,之间没指定Snaplen字节数没看见密码还以为加密了,指定了200字节密码就出来鸟orz 偷个论坛的密码有个鸟用 没可信证书的话搞个MIM就完蛋 DZ7本来就是这样的 DZ 太 混了
囧 http 明文 dz7没有做混淆或者啥的,这就是结果 囧,还真有不用HASH代码传送密码的啊…… 怪不得最近有人被盗号了 求国内非明文登陆论坛 论坛不都这个鸟样 Discuz有加密功能吧? 本帖最后由 大场香 于 2010-1-13 21:18 编辑
论坛程序只在服务器后台加密密码而已
数据传输加密需要用到证书
另,至少相比phpwind, discuz的加密要安全的多(有些人知道的…… 啥证书不证书的,代码里可是实现传输的密码变换吧。 13# 赤色彗星SEXY
只要是http post方法传输,就没有加密可言,传输的数据全都可以被嗅探到(所以在国内这么多人极力推销https)
代码是在服务器端运行的,跟你的数据发送端无关 13# 赤色彗星SEXY
只要是http post方法传输,就没有加密可言,传输的数据全都可以被嗅探到(所以在国内这么多人极力推销https)
代码是在服务器端运行的,跟你的数据发送端无关 ...
大场香 发表于 2010/1/13 22:41 http://bbs.saraba1st.com/images/common/back.gif
不用证书也可以
但是和自签证书一样,防不了MIM 13# 赤色彗星SEXY
只要是http post方法传输,就没有加密可言,传输的数据全都可以被嗅探到(所以在国内这么多人极力推销https)
代码是在服务器端运行的,跟你的数据发送端无关 ...
大场香 发表于 2010-1-13 22:41 http://bbs.saraba1st.com/images/common/back.gif
嗅探就嗅探,起码密码可以不是明文发送
嗅探就嗅探,起码密码可以不是明文发送
赤色彗星SEXY 发表于 2010/1/13 23:36 http://bbs.saraba1st.com/images/common/back.gif
学点密码学和安全的基本知识再去考虑这个问题吧 本帖最后由 赤色彗星SEXY 于 2010-1-14 00:39 编辑
你们想多了吧,数据包没加密能被嗅探http的东西自然都看得见
我只是想说好歹把账号密码加个密不要给人随便一抓包就看得见
username=xxxx
password=xxx
这样的内容
不是考虑数据是不是被窃听,不是考虑有没有MIM这类的安全问题OK? 能想出来有效的post前加密办法的人不应该对不加密直接post大惊小怪。 一般密码不是都以MD5形式存放的么?校验是用用户输入的密码的MD5与数据库中的MD5比对吧? 一般密码不是都以MD5形式存放的么?校验是用用户输入的密码的MD5与数据库中的MD5比对吧?
hzqiji 发表于 2010-1-14 09:12 http://bbs.saraba1st.com/images/common/back.gif
单一的md5已经是无数年前的事了,现在主流是盐化md5或者盐化sha1。 mark一记
页:
[1]