关于此次事件的探讨

a8181811

在一个群里讨论了这次事件。
以下是一位朋友的分析：

1.如果网站所有往来的数据包都被截获，那么就可以深入截获你们的数据存储服务器里面所有的数据，包括你们的程序。假设数据是明文，那就是透明的；假设数据加密了，如果是对称加密算法那么从你们的程序里也可以获取解密程序，一样类似明文。假设数据加密，算法是非对称的，那么还算是安全。
2.截获数据包，如果不是https协议，那么谁使用用户名/密码登录，那么就被别人知道了。不需要做其他破解。
3.使用QQ登录，是因为身份验证这个步骤是发生在QQ的开发平台服务器上的，因此和你们无关。

---

1.

请大家尽量都重新设置自己的密码

为了饭友的账号安全性着想，应该是强制修改密码吧？
2.关于数据库是否加密，如果是机密问题，老大就不用答复了。如果不是，能说明是否是明文？是否是对称加密？
3.设置了安全问题的饭友可以高枕无忧么？传输数据可被截获是否意味着安全问题也不再安全了呢？

---

因为不懂，所以想问一下这方面的情况。
PS：俺觉得老大的头像还不如原来那个好看。

---

老大在11L的回复：

嗯，按照最坏的情况考虑的话，应该是要求所有人都重置密码，之所以没有这么做，是想观望下情况，是否能进一步确认截获的账号密码到底有多少，结合机房的情况来看，是通过其他机器来截获，机房方面有察觉流量异常，比如原本发到我们服务器上的数据，同时跑到另外的服务器上，机房内能监控到，所以当时机房第一时间联系了我，怀疑我们是ARP攻击源，虽然最终证明不是我们，但是这个可以说明，截包只发生机房检测到机器发包异常的情况，也就是9号夜里11点以后，之后论坛断断续续，可以被截包的时间段为9日的23点到10日的4点，10日8点到14点，及10日的13点半到15点，然后由于机房一直未能解决根源问题，就一直关闭，直到11日13点才在阿里云重新开放，抛开保留cookie记录的，那几个时间段输入账号密码进入论坛的人可能占总会员数的比例不是太大，当然，估计如果真都被截获的话，估计数量不会太小，不过根据机房的反馈，如果都截，然后从所有的传输数据中筛选符合条件的数据的话，异常会比较大，机房会切断部分异常服务器的网络，所以我判断被截获的量可能不会太大，当然，这个需要观望，最好还是修改密码。

数据库存储时加密的，进入数据库里也看不到明文。
设置了安全提问，理论如果截包的话，也是一样是明文，可以被过滤出来。
这种嗅探，只能是嗅探到传输的明文内容，服务器上存储的没有进行传输的数据都是无法获取的，除非通过截包，从中获取一些论坛高权限账号，通过这些可能的账号在论坛植入shell（除非程序有bug，理论上包括我的账号在内，都不可能直接通过dz的正常功能实现在论坛的shell植入），否则都无法直接从服务器上读取数据；
呵呵，我的头像是根据部分饭友反应好像不能上传头像，做测试的时候随便拿logo来测试的，有时间就会换回去。
阿里云有类似物理隔断的措施，也就是不同用户名下的服务器是区隔的，相当于一个用户是一个小机房，只能名下的服务器互相访问，也就不存在ARP或者嗅探之类的了。

neversayno0000

斑斑在哪里

那时、那景

neversayno0000 发表于 2012-10-12 22:23
斑斑在哪里

在这里

法外制裁者

数据库里存的是MD5，DZ使用ucenter的用户管理，ucenter中存储是MD5形式的。
传输的任何东西都有可能被抓包，所以只要传输明文被抓就能看到。https传输也能被抓包，因为是密文所以看不到真实数据而已。
但是抓数据包需要一定的环境，必须在服务器所在局域网内，因此需要首先知道服务器ip地址。有些技术手段可以隐藏服务器的真实ip地址，例如360网站卫士就提供类似服务。这次老大换到阿里云也是基于这个考虑吧。

a8181811

法外制裁者 发表于 2012-10-12 22:32
数据库里存的是MD5，DZ使用ucenter的用户管理，ucenter中存储是MD5形式的。
传输的任何东西都有可能被抓包 ...

其他网站在阿里晕效果如何？
蓝字1 2 3作何解释？

yloko

捉包是有条件限制的，，，并不是谁谁都可以随便捉的。。。。


不然全世界不乱套，，，

只有同节点下，广播式的分发数据的那段传输才有机会捉的到，，，那段距离不长，才“几米”


也就是说，外部想捉包，必须先攻下同节下的其它计算机，然后“肉鸡”它，扫描下面的其它计算机，才有机会获得

法外制裁者

a8181811 发表于 2012-10-12 22:35
其他网站在阿里晕效果如何？
蓝字1 2 3作何解释？

第一个嘛，不知道DZ有没有批量强制修改密码的功能……
第二个说过了MD5保存密码的，我在DZ官方论坛有看到相关MD5问题的贴子。
第三个也说了，只要明文被抓包，无论什么数据都是可以看到的。

https在安全方面是个好东东，不过老大说DZ X系类没有这个功能
另外我觉得就算有也有几个问题，一个系统开销来说肯定是https来的大，负载就是个问题了
还有一个没记错的话，https貌似要证书的

a8181811

法外制裁者 发表于 2012-10-12 22:42
第一个嘛，不知道DZ有没有批量强制修改密码的功能……
第二个说过了MD5保存密码的，我在DZ官方论坛有看到 ...

那这个问题必须要重视了
强制改密码是通知登录的饭友修改，而不要求DZ系统强制修改啊！

法外制裁者

a8181811 发表于 2012-10-12 22:45
那这个问题必须要重视了
强制改密码是通知登录的饭友修改，而不要求DZ系统强制修改啊！

怎么通知呢？要是DZ没有这个功能，总不能一个一个通知吧？而且PM方式通知也达不到强制效果…………
所以还是需要DZ系统支持这个……

a8181811

法外制裁者 发表于 2012-10-12 22:49
怎么通知呢？要是DZ没有这个功能，总不能一个一个通知吧？而且PM方式通知也达不到强制效果…………
所以 ...

全坛公告
暂时没想到其他好办法。
微博上也可以通知一下。