大溪水
发帖: 9192 来自: cn
状态: 离线
精品: 2
|
于 2011-11-01 22:56 个人信息 发悄悄话 引用回复 编辑本帖 搜索发帖 复制本帖 收藏本帖 投诉该帖
顺便说一句:测试论坛导入的UT论坛用户的口令是经过加密并且经过截断 substr(md5(pass), 0, 15) 后的口令值,所以即使拿到用户口令也无法反向解出用户原明文口令。 王小云不行,网上的MD5破解网站(暴力跑key/value对应值)也不行! 所以大家不用担心口令泄漏问题。即使拿到新奇军论坛数据库中保存的用户加密口令也无法反向解出用户口令(这是UT论坛加密方式决定的),除非在程序代码上做手脚截获用户修改口令时提交到服务器的口令——如果论坛程序提交的是明文那么截获的就是明文口令,如果论坛程序在提交新口令之前做了加密处理那么后台截获到的就是加密后的口令。 测试论坛使用的Discuz程序使用的是后者,当用户修改口令后提交数据之前已经对明文口令进行了MD5散列处理,避免了网络嗅探以及后台截获明文口令。没研究UT源代码,所以新奇军当前UT程序提交修改口令的处理方式不清楚。也就是说不修改口令也许没问题,修改口令反而提供被嗅探或者截获的机会……
大溪水 编辑于 2011-11-02 00:36
|