CSDN 為什麼會用明文存儲密碼?是意外還是故意的?
使用明文存儲密碼有什麼好處嗎?
應該是故意的。
事實上,在註冊階段,將密碼進行加密後發送或存儲,是舉手之勞。別說簡單的MD5加密,哪怕是雙重MD5或者是採用其他不可逆的方式進行加密,都只是一兩個函數的事兒。
如果連這一兩行代碼都不願意加,只能是別有目的了。使用明文存儲密碼絕對是故意的.
無論怎麼樣明文存儲密碼的壞處一定大於好處, 雖然可以在數據遷移時方便, 但最起碼也要 md5 加密一次, 很顯然這是故意的.
個人觀點: 1、csdn屬於資訊類網站,用戶賬戶在csdn沒有實質性的應用,即使取得密碼也危害不大。(除非csdn賬戶跟其它賬戶是同一密碼,導致黑客猜解) 2、媒體類網站很少關心賬戶的安全性,各大站經常被拖庫,這次不過是揭開了而已。 3、安全性跟投入跟正比,現在的媒體環境下,感覺國內公司沒有動力提升賬戶的安全性。
前段時間多玩論壇的YY的庫被爆了。 庫中包含的全部是明文密碼。 暫時沒有得到任何官方解釋 O,O 所以基本就是兩點。 1.官方自己故意弄的(很不穩定的因素,因為官方應該不會這麼WC)
2.攻擊者搞了web系統,修改了關鍵登陸或者註冊的環節代碼,額外(以增加新功能 webkit)寫入新的明文密碼欄位(這個推測還靠譜點,當然不排除有各種WC不考慮用戶感受的XX )
各位說不是故意的同學不要太單純了,國內明文存儲(至少另存一份明文)的絕對是占多數的。
具體證據可以回想之前的新浪、QQ 密碼找回等事件。有哪個你知道的知名網站可以直起腰板站出來說:我們沒有明文存儲用戶密碼?請問你們到底想幹什麼?
據說有以下理由:
1.不用明文密碼沒法應付檢查。大家知道互聯網審查,有時往往會一個電話過來,要XX用戶的密碼。如果你沒法給出,上頭就認為你不配合,事情各種難搞。作為審查機構的老闆,當然沒必要知道明文密碼的危害。他們只知道,我要密碼,為什麼不行。所以,悲崔的程序員們就往往會得到一條死命令,保存明文密碼。2.壓根不知道明文密碼有什麼問題。中國的互聯網有太多的沒基礎的新人,從石頭的縫隙中頑強的生長出來。這不是壞事,壞事的是這些人往往會在一些基礎問題上出現奇怪的毛病。例如有些程序員,寫程序很快,但是居然從來不知道密碼明文存放會導致什麼問題。更神奇的是,這些人中,有一家銀行…3.自信暴棚的混帳。有些人的自信總比別人強,而且強在莫名其妙的地方。例如:我的伺服器肯定是沒問題的,所以我的密碼一定要明文存放。如果不,就是質疑我的技術。實話說,這種人真是少數中的少數。
4.遺留系統。很多系統設計的時候因為某個其他理由,使用了明文密碼。等後來這個理由不存在了,密碼系統升級成了一個困難。因為密碼系統太重要了,所以在沒有太大利益的情況下,總是傾向於不修改系統。但是有什麼足夠利益來推動系統修改呢?用戶安全問題在發現前不是一個問題——好比這次的CSDN,不是被暴出來的話就根本不會被當作一個問題。系統的管理者,每個人都沒有足夠的動力去修改系統。5.世界的陰暗角落。有的時候,程序員/老闆明文存放的理由,是為了方便盜竊用戶其他網站資料。例如我所知的某釣魚案例,你註冊網站,就提供很多免費服務,網站看起來也很靠譜——除了後來突然爆出這家網站其實暗地中用你的生日/密碼猜解信用卡/銀行卡密碼,大家才突然發現,這家網站其實根本沒有在美國註冊,而是一個聽都沒聽說過的國家。而且很多網站提供從其他網站導入之類的功能,更加的危險。以前經常爆出twitter密碼被竊取,主要就是因為OAuth開放以前,twitter上的第三方應用需要提供原生密碼,導致很多小應用的目的其實就是收集密碼…6.為了給用戶提供方便。這個理由和上一個很類似,不過不是為了某些險惡的目的。而是客戶經常要求——為什麼我不能做XX事,為什麼我不能blahblah。好吧,為了讓你能,我們就必須保存明文密碼。詳情請見:http://www.36kr.com/p/71020.html
應該是故意的 范凱,JavaEye創辦者,CSDN產品總監 的解釋 「CSDN網站早期使用明文是因為和一個第三方chat程序整合驗證帶來的,後來的程序員始終未對此進行處理。一直到2009年4月當時的程序員修改了密碼保存方式,改成了加密密碼。 」 其實意思就是當時太懶不想改,一直拖到09年4月,當然他們也不想搞成今天這個局面
不太明白為什麼有這麼多程序員來質疑明文。
其實很多老闆都是有這個要求,我們要明文保存。程序員問他為什麼?
老闆說,到時候有用,你先存著吧。就這樣。
「大家知道互聯網審查,有時往往會一個電話過來,要XX用戶的密碼。如果你沒法給出,上頭就認為你不配合,事情各種難搞。作為審查機構的老闆,當然沒必要知道明文密碼的危害。他們只知道,我要密碼,為什麼不行。所以,悲崔的程序員們就往往會得到一條死命令,保存明文密碼。」
我聽說是這樣的,是嗎?求證。
update: 恩。很多內行人士在評論中指出了這個傳言的不靠譜性。大家可以多看看我的答案內的評論,看完後再點「贊同」不遲。
以後的網站別TMD要註冊了,煩死了,現在對要註冊的網站直接無視,直接用OpenID登錄就好了,每個網站搞一個累不累啊,又不能保證安全。
作為一個資深程序員,不知道csdn號能用來幹嗎?
居然把用戶的密碼存成明文, 居心何在啊, 看來CSDN是一家對用戶很不負責任的公司
應該是故意存儲的明文密碼,但凡出於一點安全考慮,都應該加密。
我大膽估計即使現在csdn還在存儲明文密碼,我查了一下,發現在csdn泄密的文件中,有關於我的三份賬號,我自己都不太記得了,最新的一個小號是在10年之後申請的
好處是: 可以少些一點代碼!
壞處是:體現了該程序員的無知與愚昧.一個由懶惰而起的事件,卻可以給國內信息安全界一個大大的案例,以後再推訪問控制軟體的時候還可以順便強調一下密碼的控制機制。。。
中國的隱私保護,需要感謝CSDN
最近發現不少著名的互聯網公司都有部分是明文密碼,大家可以陰謀推測一下誰會需要這些用戶的隱私。
明文密碼的存儲或者明文備份,很容易理解,人性的自私面,以備不時之需,還有什麼資料庫比這種更適合用來做分析。
詳情請見官方公告,【公告】致CSDN會員的公開道歉信http://news.csdn.net/a/20111221/309505.html
應該不是故意的,以前的很多的系統都是明文,但是作為"全球最大的技術...."就有點諷刺了 這件事情發生後,CSDN(包括JavaEye)明顯推脫責任,引導輿論,刪除不同意見的帖子,范凱真不應該加盟CSDN,本來JavaEye還是一個不錯的選擇,現在不是了,跟CSDN一家人了
受邀題。 其實我也想不通這個問題。 因為這事兒操作起來沒啥難度,而且也是業界默認的原則。 為什麼沒做? 也許有歷史原因,比如最早的時候網站規模沒這麼大,技術開發馬馬虎虎搞一下,根本懶得去做加密傳輸或者加密儲存,等到規模大了之後,或者技術人員已經換了,前者的東西後者不敢改或者懶得改或者優先順序不高,再加上沒有料到CSDN這麼大的IT站點也能被菊爆或者也有人敢來爆菊花,導致了今天的局面。 當然,我非常相信,除了國內安全級別非常高的支付網站和電商網站,很多站點都依然有各種可能是明文密碼,呵呵。所以,大家還是別用一個密碼註冊所有的網站比較好。
最初設計的人偷懶,後面的人又懶得改。就是這樣。
最新更新。[公告]CSDN passport升級通知尊敬的各位網友:
為了給您提供更加滿意的服務。CSDN passport系統將進行一次升級。在CSDN passport升級過程中,您可以訪問CSDN其他頻道,您也可以玩玩『看你能堅持幾秒』的小遊戲。 或者玩玩由CSDN網友 wujinjian2008n 提供的遊戲:無名遊戲
感謝您一如既往地支持CSDN!
CSDN 返回論壇首頁推薦閱讀:
※為什麼晶元卡要比磁條卡安全?
※國內個人架設使用VPN來保護自己的數據安全有哪些法律障礙?
※如何看待「聯盟哥哥」平台的賬號租借功能?有安全隱患嗎?
※軟體公司要如何保障源代碼的安全不會被外泄,不會被員工泄漏?
※英特爾這樣的老牌公司為什麼會出現晶片級漏洞?