关于论坛和网站一直有一个问题纠结着我

别跟我认真

914525753 发表于 2014-8-25 08:37
好恐怖啊，不过卡饭那么多高人在，想拿走数据库不太可能
而且，你的个人资料不填真实姓名和身份证 ...

csdn号称中国最大的开发者社区,数据泄露之后大家才知道竟然是明文存密码,脸都不知道往哪里搁.
技术水平高不一定就保护的好啊.
真实姓名反倒不是重点,QQ邮箱大家用的很多吧?注册论坛用QQ邮箱的很多吧?密码经常用的同一个的人很多吧?
论坛密码跟QQ密码是同一个的很多吧?
能进到你的邮箱,后果不用我说了吧.

100lj

据我所知，密码是加密的，消息是不加密的，因此IP和消息应该在后台可以看到，但仅限有此查询权限的核心论坛管理人员。

随风而行lulu

914525753 发表于 2014-8-24 21:07
lz，这个问题根本不存在。如果管理员或者是版主能看到我们的短信息和id、密码的话，卡饭论坛那么多会员，岂 ...

典型的you can you up逻辑。。

随便注册

别跟我认真 发表于 2014-8-24 23:57
你可以去了解下互联网的黑色产业链,你敢把卡饭的数据库拿出来,绝对有一大堆人问你要,就怕你不够多不够大, ...

跟你正相反，那次事件后我把大部分密码统一了
不是https的，哈希保存大概只能防止拖库后被拿去碰其它网站的密码。防截取本地哈希也没什么用，http就是明信片。115这个奇葩，甚至可以不用原密码，而用本地哈希后的40位值直接登录，包括1.1.0版客户端。说它奇葩还因为它之前强制过https，一年改6回登录地址的也就见过这一个。网易邮箱可以通过网址里加账号和密码做参数的方式直接登录。
卡饭cookies里有一个saltkey，不知道是不是传说中的盐？一直不知道盐究竟放哪了，怎么保证下次能找到？

随风而行lulu

我也有过疑问

别跟我认真

随便注册 发表于 2014-8-25 20:09
跟你正相反，那次事件后我把大部分密码统一了
不是https的，哈希保存大概只能防止拖库后被拿去碰 ...

确实只是为了防范拖库,除了网银,淘宝支付宝,微软google之类的少数几个网站,其他的我已经完全没有信任感了.
全部独立密码+临时邮箱,爱怎么搞怎么搞,明文存都随你.

mifanu

cis 发表于 2014-8-25 08:50
你的资料都存在数据库里，理论上管理员可以查看你的所有资料，包括密码和ip，但是为了用户隐私，管理员一般 ...

如果是托管的。那么机房管理员是不是也有机会偷看别人论坛的隐私。

mifanu

随便注册 发表于 2014-8-25 20:09
跟你正相反，那次事件后我把大部分密码统一了
不是https的，哈希保存大概只能防止拖库后被拿去碰 ...

你为什么要统一呢。那很不安全啊。我都是一个站一个密码。

mifanu

别跟我认真 发表于 2014-8-24 23:47
短消息能不能看要问卡饭的管理在后台是不是加密存储了,没加密就是明文,想看就看.
至于密码,一个正常的合格 ...

用户的站内消息管理员是有办法看的。直接到数据库里面看，里面就是明文的，如果这样觉得不直观不过瘾。
最简单的就是改用户密码。然后进去明目张胆的看，看完了再改回来。
管理员可以根据用户的登陆规律，找到用户通常不在论坛的时间段，趁这段之间抓紧看，不会被用户发现。

回楼主，用户的密码只要不是太复杂，一般都可以根据哈西值在网上匹配到明文。

如果网站是虚拟空间的话，那么主机商也有机会看这些内容。
如果网站是机房托管的话，那么机房管理员也有机会看到这些内容。
除非自己家里弄个主机，别人就没有机会看了。

mifanu

所以楼主不要就结了。你在论坛管理员面前是全裸的。包括你所使用的浏览器版本号，操作系统类型。都是明文的。前段时间还推出了类似于就是说，你即使不登陆qq，网站也能知道你的qq是多少。

最悲催的不是会员而是版主，因为会员的操作频度是有限的，而版主的一举一动都在管理员的监视下，比如几点几分，某某版主在某某ip上给某某加了一分，或者是改了一个标签。

而且管理员不仅可以看你当下的ip，还能生成ip串联表，就是弄一个列表，直观地看到你所有登陆ip，今天去北京了，明天去上海了，什么时候又回来了，这样管理员一眼就看出来了。管理员也很清楚地知道你什么时候换浏览器了，什么时候换系统了。