切换到窄版

 找回密码
 立即注册
搜索
Stage1st»论坛 主论坛 PC数码 S1密码是明文的啊
返回列表 发新帖
查看: 2648|回复: 21

S1密码是明文的啊

[复制链接]
赤色彗星SE
     
发表于 2010-1-13 15:50 | 显示全部楼层 |阅读模式
15:34:20.631851 IP 192.168.44.207.53324 > 220.192332.170.80: P 839:923(84) ack 1 win 5840
        0x0000:  0050 56f2 c610 000c 2967 d82a 0800 4500    .PV.....)g.*..E.
        0x0010:  007c 1659 4000 4006 2f3d c0a8 2ccf dcc4       .|.Y@.@./=..,...
        0x0020:  2aaa d04c 0050 cc8a e41b 500e 39e7 5018   *..L.P....P.9.P.
        0x0030:  16d0 d6f1 0000 666f 726d 6861 7368 3d37    ......formhash=7
        0x0040:  6530 6532 3666 6326 6c6f 6769 6e66 6965   e0e26fc&loginfie
        0x0050:  6c64 3d75 6964 2675 7365 726e 616d 653d  ld=uid&username=
        0x0060:  打码 3331 2670 6173 7377 6f72 643d 打码    打码&password=11
        0x0070:  打码 打码 3126 7175 6573 7469 6f6e 6964     打码&questionid
        0x0080:  3d30 2661 6e73 7765 723d                            =0&answer=

囧,Discuz! 7.0.0没加密还是没打开加密哈-_-,之间没指定Snaplen字节数没看见密码还以为加密了,指定了200字节密码就出来鸟orz
回复

使用道具 举报

chronicle
     
发表于 2010-1-13 17:06 | 显示全部楼层
偷个论坛的密码有个鸟用
回复

使用道具 举报

鸡蛋灌饼
发表于 2010-1-13 17:31 | 显示全部楼层
没可信证书的话搞个MIM就完蛋
回复

使用道具 举报

大场香
发表于 2010-1-13 18:19 | 显示全部楼层
DZ7本来就是这样的
回复

使用道具 举报

ov_efly
发表于 2010-1-13 18:35 | 显示全部楼层
DZ 太 混了
回复

使用道具 举报

拥挤的屋顶
     
发表于 2010-1-13 18:39 | 显示全部楼层
http 明文 dz7没有做混淆或者啥的,这就是结果
回复

使用道具 举报

touhouproject
发表于 2010-1-13 20:06 | 显示全部楼层
囧,还真有不用HASH代码传送密码的啊……
回复

使用道具 举报

mocnsm
     
发表于 2010-1-13 20:12 | 显示全部楼层
怪不得最近有人被盗号了
回复

使用道具 举报

糊状物
     
发表于 2010-1-13 20:28 | 显示全部楼层
求国内非明文登陆论坛
回复

使用道具 举报

逍遥虫
     
发表于 2010-1-13 20:30 | 显示全部楼层
论坛不都这个鸟样
回复

使用道具 举报

赤色彗星SE
     
 楼主| 发表于 2010-1-13 20:40 | 显示全部楼层
Discuz有加密功能吧?
回复

使用道具 举报

大场香
发表于 2010-1-13 21:17 | 显示全部楼层
本帖最后由 大场香 于 2010-1-13 21:18 编辑

论坛程序只在服务器后台加密密码而已

数据传输加密需要用到证书

另,至少相比phpwind, discuz的加密要安全的多(有些人知道的……
回复

使用道具 举报

赤色彗星SE
     
 楼主| 发表于 2010-1-13 22:29 | 显示全部楼层
啥证书不证书的,代码里可是实现传输的密码变换吧。
回复

使用道具 举报

大场香
发表于 2010-1-13 22:41 | 显示全部楼层
13# 赤色彗星SEXY

只要是http post方法传输,就没有加密可言,传输的数据全都可以被嗅探到(所以在国内这么多人极力推销https)

代码是在服务器端运行的,跟你的数据发送端无关
回复

使用道具 举报

鸡蛋灌饼
发表于 2010-1-13 22:47 | 显示全部楼层
13# 赤色彗星SEXY

只要是http post方法传输,就没有加密可言,传输的数据全都可以被嗅探到(所以在国内这么多人极力推销https)

代码是在服务器端运行的,跟你的数据发送端无关 ...
大场香 发表于 2010/1/13 22:41

不用证书也可以
但是和自签证书一样,防不了MIM
回复

使用道具 举报

赤色彗星SE
     
 楼主| 发表于 2010-1-13 23:36 | 显示全部楼层
13# 赤色彗星SEXY

只要是http post方法传输,就没有加密可言,传输的数据全都可以被嗅探到(所以在国内这么多人极力推销https)

代码是在服务器端运行的,跟你的数据发送端无关 ...
大场香 发表于 2010-1-13 22:41


嗅探就嗅探,起码密码可以不是明文发送
回复

使用道具 举报

鸡蛋灌饼
发表于 2010-1-13 23:45 | 显示全部楼层
嗅探就嗅探,起码密码可以不是明文发送
赤色彗星SEXY 发表于 2010/1/13 23:36

学点密码学和安全的基本知识再去考虑这个问题吧
回复

使用道具 举报

赤色彗星SE
     
 楼主| 发表于 2010-1-14 00:35 | 显示全部楼层
本帖最后由 赤色彗星SEXY 于 2010-1-14 00:39 编辑

你们想多了吧,数据包没加密能被嗅探http的东西自然都看得见

我只是想说好歹把账号密码加个密不要给人随便一抓包就看得见
username=xxxx
password=xxx
这样的内容
不是考虑数据是不是被窃听,不是考虑有没有MIM这类的安全问题OK?
回复

使用道具 举报

Kaiyuki
发表于 2010-1-14 08:55 | 显示全部楼层
能想出来有效的post前加密办法的人不应该对不加密直接post大惊小怪。
回复

使用道具 举报

hzqiji
     
发表于 2010-1-14 09:12 | 显示全部楼层
一般密码不是都以MD5形式存放的么?校验是用用户输入的密码的MD5与数据库中的MD5比对吧?
回复

使用道具 举报

Kaiyuki
发表于 2010-1-14 09:13 | 显示全部楼层
一般密码不是都以MD5形式存放的么?校验是用用户输入的密码的MD5与数据库中的MD5比对吧?
hzqiji 发表于 2010-1-14 09:12

单一的md5已经是无数年前的事了,现在主流是盐化md5或者盐化sha1。
回复

使用道具 举报

nimabi
发表于 2010-1-14 13:30 | 显示全部楼层
mark一记
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|上海互联网违法和不良信息举报中心|网上有害信息举报专区|962110 反电信诈骗|举报电话 021-62035905|Stage1st ( 沪ICP备13020230号-1|沪公网安备 31010702007642号 )

GMT+8, 2025-9-19 05:17 , Processed in 0.174447 second(s), 7 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表