【建议】轻拍一下：金山新版上报系统的大问题

显示全部楼层 · 发表于 2010-4-23 21:19:39

本帖最后由 htm123 于 2010-4-23 21:23 编辑

金山在pc120那边上了一个新版的上报系统http://www.pc120.com/fileident/，在这个系统中可以通过md5查询文件，这本是一大进步，但有一个问题，不知是不是金山害怕自己手中的信息较少，将没有分析过的md5也显示为分析中。
为了确认这一问题的存在，我做了一个实验，并截取了一部分图片。
首先，查询贝壳的md5，系统显示是安全文件。然后，我多次改动了这一md5值，但是只要位数是正确的，金山一律显示为分析中（其实试了很多，截图只是一部分）。
在目前安软竞争态势下，金山的这一做法极易成为别人攻击的靶子，希望金山不要聪明反被聪明误！

显示全部楼层 · 发表于 2010-4-23 21:24:33

本帖最后由 htm123 于 2010-4-23 21:40 编辑

原帖2010-4-23 21:23最后一次修改，以后用此楼解释

update1：刚在卡饭看到新版上线的时候，我就发现了这一问题，并反馈给了金山，但直到今天依然存在，我才发帖的
update2:其实金山并非没有考虑文件不存在的情形，如果我们查询的md5值位数不正确，会出现附件中的情形

显示全部楼层 · 发表于 2010-4-23 21:26:15

大概是bug……

显示全部楼层 · 发表于 2010-4-23 21:31:40

我觉得更重要的是，为什么还在用MD5这个已经被攻破了的算法？难道用SHA-2就有什么困难么？

一般网站用md5也就算了，但既然本身就是安全产业，自然应该用安全性有保障的SHA-2吧？

显示全部楼层 · 发表于 2010-4-23 21:45:06

等待官方人员进入……

显示全部楼层 · 发表于 2010-4-23 22:54:44

关注一下~

显示全部楼层 · 发表于 2010-4-24 09:34:51

今天官方人员都跑哪去了？

显示全部楼层 · 发表于 2010-4-24 09:51:49

我貌似看到一个金山**的帖子

【建议】轻拍一下：金山新版上报系统的大问题

浏览过的版块