希望并建议大家以后都绑定QQ,感觉改密码和安全提问不是根本方法.

菩提祖师

陌上~烟雨遥 发表于 2012-10-13 11:04
对头！所以论坛密码还是要改的

只要密码强度足够强,没有和其它网站ID通用,并且安全加密传输,卡饭服务器也是以安全的加密形式存储

现在感觉卡饭就缺加密传输这道环节了,密码强度可以由用户实现,卡饭服务器端也已经实现加密存储,只有登录信息传输环节还是直接明文,而使用QQ绑定论坛账号,然后用QQ登录被绑定账论坛账号可以避免这个问题.

2012年10月13日13:50:00补充:
就算安全提问也是可以被截包,所以感觉在抓包面前,目前只有通过QQ绑定登录的方法,避免直接和卡饭服务器进行明文登录信息传输,让对方抓不到包.

就是不知道登录之后,用户进行发帖等cookie验证环节时,用户的论坛账号密码会不会被泄露.

a8181811

乐活 发表于 2012-10-13 09:35
还是还是很麻烦啊！
对了，你那个是什么群啊？

浏览器交流群

levibeta

不用QQ的路过。

菩提祖师

levibeta 发表于 2012-10-13 20:29
不用QQ的路过。

嗯,其实用QQ登录主要是防止账户密码被盗取,但如果从伪造用户身份的角度来说,这个不能说不管用,但效果也很弱,因为cookie被抓到之后就可以伪造用户的sessionid.

一个相对不是办法的办法是,如果你打算不上网,一段使用不使用卡饭账号的时候,不要直接关闭浏览器,而是先点击退出,这样对方抓到的sessionid就失效了,但是如果你正在使用论坛账号的同时,对方也利用你的账号发广告等,我目前还不知道有什么有效地方法来防御,只能是多看几眼自己的账号发帖列表,看是不是有不是自己发的帖子之类.

不知道这是剑

a8181811 发表于 2012-10-13 12:47
你新注册一个论坛就知道了。
用QQ登录的账号还是要和论坛账号绑定的。
只用QQ登录而不注册论坛账号就不 ...

拖库的话，还是问题比较大的

菩提祖师

不知道这是剑 发表于 2012-10-14 00:50
拖库的话，还是问题比较大的

貌似卡饭不怕拖库,因为卡饭服务器上的库是加密的,只是传输过程中是明文.
只要用户密码设置强度高,卡饭服务器仅仅被拖库是无法被盗的.

2012年10月14日6:37:26补充:
我貌似没弄错的话目前卡饭账号被盗主要是两个原因:
1.弱密码被扫号机猜对密码,然后登录发广告等,此问题只要设置强密码即可解决,个人感觉只要密码强度足够,安全提问是可有可无的东西.
2.抓包盗取论坛账号和密码,这个问题就是我主题帖说的,用QQ绑定登录论坛账号就可以防范.
3.现在最头疼的,就是抓包者虽然截取不到你的明文账号密码,但是你的cookie却可以被截取,cookie不是通过验证用户名和密码来确认身份,而是通过验证sessionid来确认用户身份,所以本身不会存储用户和密码,也不会导致用户账号密码被盗,但抓包者可以用截取到的cookie在失效之前伪造用户身份发广告什么的,这个问题仅从客户端想办法的话,没有什么有效的方法,只能说你频繁的点击论坛网页上的"退出",这样退出之后,服务器就不认之前的cookie了,重新登录之后sessionid会重新生成,当然频繁退出显然不太现实,顶多闲着没事的时候点退出然后重新用绑定论坛账号的QQ登录,但有一点,如果你打算下线,一定要通过点击论坛网页上的"退出"功能来通知服务器你已经退出,这样服务器端就不会认之前的cookie了,如果你只是关闭浏览器,关机的话,服务器不会收到你退出的通知,之前的cookie依然在一段时间(由服务器设定)内有效,可以被用来恶意伪造身份.

2012年10月15日16:27:13补充:
发现就算手动点击退出,也无法防止cookie被伪造.
详见:http://bbs.kafan.cn/thread-1390800-1-1.html

乐活

a8181811 发表于 2012-10-13 19:17
浏览器交流群

看来高人很多啊，呵呵