為什麼現在還有網站在使用明文保存密碼?
01-02
測試了一下,華爾街日報網站和順風快遞網站,仍然可以通過找回密碼的方式,直接將密碼明文發送到你郵箱。
請問,是什麼原因造成網站仍然採用明文保存密碼呢?
看了這個圖你應該懂了(需要翻qi ang)
https://www.dropbox.com/s/wq4znahv4o14fjh/screencapture-www-v2ex-com-t-159093.png?dl=0翻不了的,看著個鏈接吧(如果沒有被和諧的話)大家有沒有收到公安部的要求發送網站數據到他們介面的?程序員偷懶了吧。。
我想應該是:1,網站安全意識不夠,注重系統安全的程序員極少,所有明文密碼找回實現起來比較簡單2,有的是使用salt進行加密,再存入資料庫,找回密碼的時候再使用salt進行解密,只要salt不被破解,基本上不會出現問題3,沒有相應的法律法規
4,用戶的權益意識不夠
5,用戶密碼被盜後,網站不需要負任何責任,比如CSDN、天涯等,只需要簡單地說一聲道歉,沒有任何其他成本,也沒有用戶發起訴訟網管安全意識的問題唄。。。
即使用了高強度加密,資料庫只保存一大堆類似"admin,e10adc3949ba59abbe56e057f20f883e""user,ee11cbb19052e40b07aac0ca060c23ee"的加密信息,這又對安全有什麼幫助呢。。。有的時候是因為業務問題。比如,你所服務的用戶只是針對一部分人,而這部分人並不是對互聯網或者要用到的產品十分熟悉,於是就有了這樣的對話:某某某,我忘記密碼了,你幫我找一下密碼。 什麼?電子郵件? 我註冊的時候沒有填啊。。。。。
並不只是安全意識不夠,而是這其中有很大的利益驅使。 對用戶進行深度的信息挖掘可以提高產出,所以明文密碼當然也屬於有價值的信息了。
用明文保存密碼的網站本身就是要親切地告訴大家:我們提供的服務根本不可靠,你們其實沒必要信賴我,我提供的內容也比較沒意思,無需安全保護,密碼就是走個形式。所以,這樣很多網站就沒有用密文傳輸和保存用戶隱私了。lol..
想了一下,好像html??加密不能??即使說,從網頁到伺服器的這段路上幾乎就是毫無保護的,只要在這段路上截取了密碼,在後端怎麼加密也是無用的。
其實我對網路這塊一點都不熟,求拍磚。
推薦閱讀:
※網站突發大流量怎麼做預警?
※鐵路客戶服務中心網站 12306.cn 有哪些地方要改進?
※為什麼很多網站的內容儲存用別的域名?有什麼好處?