登錄 注冊
開源問答 技術問答
正文

在瀏覽器端進行用戶密碼加密后再傳輸的缺點!

紅薯 發布于 2014/10/20 08:39
閱讀 3K+
收藏 7
答案 18

從數據到大模型應用,11 月 25 日,杭州源創會,共享開發小技巧

目前 OSC 的登錄可謂是武裝到牙齒,首先是 HTTPS 登錄,其次登錄時在瀏覽器端對密碼進行 SHA1 加密后再傳遞到 OSC 的服務器。也就是說連我們也無法得知你的密碼是什么!

很安全是嗎?但是這樣做有缺點!

這兩天有不少 OSC 的賬號被撞庫,這些賬號被用來發布各種小姐、毒品、詐騙等信息。

我昨晚半夜被同事電話 call 醒的時候再想一個解決辦法:

用戶登錄的時候,我直接在服務器端判斷其密碼是否過于簡單(例如純數字或者純字母),如果過于簡單則強制要求通過 Email 重置密碼。

但是在著手開始寫代碼的時候我發現,尼瑪,我怎么知道用戶的密碼啊,過來是 SHA1 過的哈希值!

擦擦擦!只好作罷?。?!

收藏 (7)
舉報
加載中
最多投票 最新
3
天天-_-
天天-_-
2014/10/20 08:50  Windows Phone
可以把一些常見的簡單密碼的sha1值放一張表里,用戶在注冊或修改密碼時去匹配一次,如果匹配到了就要求改密碼。當然這增加了成本
評論 (2) 引用此答案 舉報
黑狗
黑狗
2014/10/20 16:54
靠譜
回復 舉報
苗哥
苗哥
2014/10/20 15:48
我覺得這個方法靠譜,直接把常見的簡單密碼的加密后的值做成壹個字典,匹配加密后的字符串,如果相同給出提示,強制修改……
回復 舉報
0
鈦元素
鈦元素
2014/10/20 09:07

你的意思是先是在客戶端用js加密,然后到服務器上再進行二次加密?


評論 (0) 引用此答案 舉報
0
DavidWTF
DavidWTF
2014/10/20 09:21  Android
可是我看登錄的網頁是http 的呀,中間人直接修改了網頁,后面的措施都是扯淡! @紅薯
評論 (0) 引用此答案 舉報
0
DavidWTF
DavidWTF
2014/10/20 09:25  Android
撞庫的問題,我相信你已經加鹽了吧,應該不怕撞。應該是用戶在其它網站使用了相同的帳號密碼。
評論 (3) 引用此答案 舉報
DavidWTF
DavidWTF
2014/10/20 09:29
以為是撞hash 后的
回復 舉報
DavidWTF
DavidWTF
2014/10/20 09:29
噢,理解錯了。
回復 舉報
紅薯
紅薯
2014/10/20 09:27
裝酷跟加鹽沒關系,兄弟
回復 舉報
0
DavidWTF
DavidWTF
2014/10/20 09:42  Android
密碼判斷可以在登錄時的網頁中判斷,給后臺發個標志,然后你就能發郵件讓它改密碼了。
評論 (0) 引用此答案 舉報
0
愛思考的People
愛思考的People
2014/10/20 10:09
為何不在用戶輸入時進行判斷?
評論 (1) 引用此答案 舉報
黑狗
黑狗
2014/10/20 16:56
不從服務端做驗證,都會被有人破戒掉,畢竟代碼用戶是可以看到的,也是可以修改的
回復 舉報
0
Arrowing
Arrowing
2014/10/20 11:12
在前端加密前判斷密碼是否簡單就好啦,然后付個參數傳給后臺
評論 (0) 引用此答案 舉報
0
Canrz
Canrz
2014/10/20 11:25
為嘛不先正則判斷下再傳?
評論 (0) 引用此答案 舉報
0
jininij
jininij
2014/10/20 11:29  Android
把密碼的復雜度分析寫到前端里?。。?!
評論 (0) 引用此答案 舉報
0
黑狗
黑狗
2014/10/20 16:58

前段校驗密碼這種低級手段,對于搞破壞的人來說沒有一點點作用的。

就像現在的網游,只能把所有東西都放到服務器上,才不會被破解掉。不然,你代碼都在別人那里,別人直接改你前端代碼,或者直接發請求道你服務端就ok了

評論 (1) 引用此答案 舉報
臺階
臺階
2014/10/22 01:17
不對啊,這本是對正常用戶的善意!
回復 舉報
當前問題已關閉評論

熱門評論

水支一
水支一 2023-11-20 19:40
思來想去,還是電信比較踏實。移動為了提前部署5G,現在連累著4G信號也時斷時續。聯通是不再用了。
kakai
kakai 2023-11-20 18:13
任何ZD所擬定的條文都是利國利民的,主要是執行人,你在一個普通職位上都追求高薪水高回報,何況是那些掌控權利的人呢,有人的地方就有斗爭,這本就是思想和欲望的斗爭。
雙重否定表肯定
雙重否定表肯定 2023-11-20 17:42
《權游》第一季
有害健康
有害健康 2023-11-17 15:56
我作為一個Java系開發,對此表示祝賀。不知道你們爭論個什么,java和.NET又不是你們做出來的,它們牛逼你們自豪個啥?熟悉哪個就用哪個,公司要求哪個就用哪個,項目要求用哪個就用哪個?;ハ噢D一下很難嗎?FaLv禁止Javaer轉.NET了嗎?禁止.NET轉Java了嗎?大把雙修的人。
sunday12345
sunday12345 2023-11-09 15:55
所以國內廠家,還是得學學人家~看看華為一個閃存門事件被干成什么樣了,看看人家,把消費者馴化得~
Ahoo-Wang
Ahoo-Wang 2023-11-20 17:29
目前還沒有提供 java版 的 example,不過使用方式是一樣的。Kotlin 會更簡潔。
-SORA-
-SORA- 2023-11-18 22:15
害,原來米國人也愛搞癥治斗爭呀,怎么跟某些網民說的不一樣呀
A
AaronJiang 2023-11-13 16:32
這都能觸發關鍵詞……
osc_04614705
osc_04614705 2023-11-07 15:18
貴陽本地IT圈的,剛聽到這個項目消息的時候確實比較驚訝,還特地去看了貴陽銀行的公告,4.27億不只是數據庫的,還有核心應用和其他應用、服務器、操作系統等等,這種扭曲事實、掐頭去尾的報到,想必是別有用心的人所為。還有就是這張“預祝海報”,自始至終人銀行官方都沒有發過,居然冒用銀行的logo和署名發布虛假海報,并且高調宣傳國外數據庫產品,我看“刑”。坐等官方消息吧,不信謠不傳謠!由此可見國產化道路充滿荊棘,衷心的祝愿國產技術越來越好!??
Ahoo-Wang
Ahoo-Wang 2023-11-20 17:30
是的,All IN 響應式編程模型。
CheckStyle
CheckStyle 2023-11-20 18:43
木馬被識破
noyugo
noyugo 2023-11-15 12:21
各位天天呼牛皮的,java 1.5w起, .net 6千,這個國內怎么破!別來談個例,絕大多數就是這樣
J
Jason909 2023-11-20 19:33
用C#寫CRUD完全不需要知道指針的概念,不像用C語言那樣不懂指針寸步難行。
Credo-Zhao
Credo-Zhao 2023-11-12 20:19
接到電話,多個項目出問題,就順手就查是不是阿里云出問題了....果然...然后就是大群通知所有項目組排查,熱線/實施組跟進.網絡硬件組已經在考慮如何賠付的事兒了...??
swingcoder
swingcoder 2023-11-14 11:43
現在大部分APP在后臺活躍狀態恢復時都會再彈一個廣告,這種行為也非常的惡心
Ai東
Ai東 2023-11-20 20:42
更新了1.1.3 操作更加絲滑了
t
troika 2023-11-12 18:09
我早就預言以后肯定國產app商店將會全面過渡到鴻蒙,安卓將會慢慢禁止使用,只要慢慢要求國行手機如果要賣,必須發布功能版本手機,然后幾年后各種軟件不再發布安卓版本只發布鴻蒙版本,連走私的水貨安卓手機也沒用了。
OSC反詐中心
OSC反詐中心 2023-11-20 10:52
為什么文章下面的 “熱門評論” 是全站的熱門,這是什么糟糕設計,驢頭不對馬嘴。
簡單代碼
簡單代碼 2023-11-16 12:25
能增加不少研發崗位,建議大家都去買華為,這華為可以快速提升鴻蒙系統,小米vela就有更高的對標目標,就能擴大就業需求。
k
kowhi 2023-11-20 17:29
沒有懲罰嗎?還是懲罰太輕了,導致肆無忌憚
fx443
fx443 2023-11-16 12:22
讀取異常(不可避免的), 錯誤未正確處理(測試鍋), 結果無校驗(產品設計鍋), 恢復不及時(運維鍋).
Mars2006
Mars2006 2023-11-20 17:41
java21有了虛擬線程,并發性能基本上能趕上響應式編程模型,用webflux還有其他方面的考量嗎
Yokesily
Yokesily 2023-11-14 13:52
而且降低編程語言可讀成本才是正確道路,而不是代碼花里胡哨,各種亂七八糟的語法糖,你看不懂我看不懂,如果更多人和實際使用者一看就懂,就很容易發現問題,當場就能“你這個不對,不是我想要的結果”
talent-tan
talent-tan 2023-11-09 14:31
牛逼的產品都是用訂單展示實力,我在遙遠的江蘇都能聽到陳總企業微信收款的聲音。實力不允許你低調了,韜光養晦已經韜不住了??
大后鋒
大后鋒 2023-11-13 09:52
一樣,之前有家公司經歷過華為云接近8個小時宕機
聞宇
聞宇 2023-11-20 17:46
第二個喬布斯
y
yondor 2023-11-20 20:51
界面挺好看的
白鹿洞書院
白鹿洞書院 2023-11-20 20:29
已更新
fasiondog
fasiondog 2023-11-16 15:00
缺乏回溯,缺陷何時被引入,單元測試是否可發現,靜態檢測是否可發現,代碼review是否可發現,測試是否可發現
Mars2006
Mars2006 2023-11-20 17:28
這個是依賴webflux嗎
F
Francesca 2023-11-20 19:57
對手機鴻蒙是鴻蒙A,然后Open鴻蒙是鴻蒙B,兩個不同的版本,鴻蒙B才是真鴻蒙,手機版鴻蒙是鴻蒙B掛在AOSP上,無論是手機設置還是ADB調試等系統核心功能與其他AZ手機無異啊,哈哈
F
Francesca 2023-11-20 19:54
微軟現在真的越來越開放了,越來越好了,吸收各路大神和人才,python之父也在微軟,微軟還有delphi、C#之父
Ahoo-Wang
Ahoo-Wang 2023-11-20 19:54
這是一個非常棒的問題?。?! 建議你可以先看一下《響應式宣言》(https://reactivemanifesto.org/zh-CN)來了解響應式編程模型,以及其要解決的問題。 最晚下周我會發布《有了虛擬線程還需要響應式編程模型嗎?》專題文章來回答你的問題。
h4cd
h4cd 2023-11-07 16:08
問題問得真真實。
J
Jason909 2023-11-20 19:44
OpenELA才是未來
高排量低炭燒
高排量低炭燒 2023-11-12 18:49
幾年后鴻蒙搞不好就沒了
會哭的鱷魚
會哭的鱷魚 2023-11-20 17:27
天下烏鴉一般黑
y
yh2216 2023-11-20 22:28
真丟人
A
AsukaQua 2023-11-13 08:42
華為云:全靠友商襯托
foobra
foobra 2023-11-08 11:58
不錯,重新定義了《可能》《實際體驗》
依然藏鋒
依然藏鋒 2023-11-12 19:56
阿里云,哈哈,最坑的就是阿里云,又貴又坑,騰訊云都比它強!
F
Francesca 2023-11-20 19:54
就是這兩人名字有點搞笑,一個叫奧特曼,一個叫布雷克曼
小xu中年
小xu中年 2023-11-20 17:29
曾經有用過您這個admin,贊
白鹿洞書院
白鹿洞書院 2023-11-20 20:28
已更新
西迷島主
西迷島主 2023-11-14 09:12
好煩這個評論功能,動不動就敏感詞,直接倒閉好了
F
Francesca 2023-11-20 20:02
這些外國人名字都喜歡叫什么曼的嗎?GPT之父叫奧特曼,這又來個哈特曼
小石頭2016
小石頭2016 2023-11-14 08:52
規則很重要!不然什么都可以無下限!
無盡的拉格朗日
無盡的拉格朗日 2023-11-15 12:25
直接rust走起,一步到位,性能杠杠的。 操作系統也能干,上層也能干,前端也能干。
雙重否定表肯定
雙重否定表肯定 2023-11-20 17:40
《董事會內訌CEO被逐出公司》 -> 《總裁辭職》-> 《董事會與Altman討論重返CEO崗位事宜》-> 《Altman以訪客身份回到 OpenAI和公司高管會面談判》-> 《Altman 回歸失敗OpenAI 董事會聘請Twitch前高管擔任 CEO》-> 《OpenAI前CEO和總裁加入微軟》。你們在這里演《權力的游戲》是吧
屮殖
屮殖 2023-11-07 15:40
防御性注冊而已。一幫不搞技術只能搞點web搞點應用搞點服務的所謂碼農,連真正的搞核心技術的軟件工程師都算不上的,不知道在高潮啥?劣幣驅逐良幣的地方,評論區沒有干貨,只有噴子。
undef1ned
undef1ned 2023-11-20 17:46
微軟今晚漲不漲
是不是玩不起啊
是不是玩不起啊 2023-11-15 08:57
最完美的全棧語言,比C++簡單,比Java底層,比Python寫更快!
漫步海邊小路
漫步海邊小路 2023-11-16 13:22
IT管理松散(領導層鍋),阿里系接連出現重大事故(阿里高層鍋)
jiujiii
jiujiii 2023-11-20 19:26
這個要結合產品云原生才有用吧。在一個操作系統里面多個服務進程的不就有沖突了。
Mars2006
Mars2006 2023-11-20 17:28
有java版嗎
infoworld
infoworld 2023-11-20 18:05
Windows用VS Community夠用,不用微軟系可以用Eclipse C++. macOS可以用xcode足夠。
依然藏鋒
依然藏鋒 2023-11-13 12:59
這就是996福報,帶頭優化35+ 以后的老技術員工的企業--阿里,35+的技術員工正是經驗豐富的時候,卻因為有了家庭,不能經常加班,不能卷,不能996,就"優化"掉,搞一群畢業才3-5年的,能加班的小年輕去搞,美其名曰"降本增效",你看這下好了,"香港區事故"還沒多久,這又來了個大面積P0事故,這就是國內這些大互聯網公司帶壞的風氣。這下好了,反噬到自己了。
鈦元素
鈦元素 2023-11-15 12:44
那就太可怕了,我用百度AI生成的代碼,80%無法運行
雙重否定表肯定
雙重否定表肯定 2023-11-20 17:52
不想著怎么提高網絡和服務質量,天天請年輕漂亮的客服在短視頻平臺搔首弄姿。之前開過聯通的網絡,后來成功讓我把王者給戒了
雙重否定表肯定
雙重否定表肯定 2023-11-14 11:33
發明這個功能的天才,是芒果TV的平臺運營中心副總經理陳超,曾榮獲金芒年度員工一等獎。他的兩項主要功績,第一是帶領團隊推出“互動廣告”系統,當時政策對開屏廣告點擊區域,做了嚴格限制,點擊率和填充率迅速下降。陳超帶領團隊通過產品“創新”,推出“搖一搖”“滑動”等交互方式,不僅維持住了原先的點擊率,更是開行業先河,引得互聯網平臺紛紛效仿。第二大成就是開發出“超級暫?!惫δ堋谝曨l播放的任意位置點擊暫停,視頻會快速縮小,大幅廣告頁面會占據整個畫面。該功能在2018年申請了專利,并得到了客戶的充分認可,競品平臺爭相模仿。
紅薯
紅薯
最近登錄:11/10 15:43
全部

紅薯的其他提問

Java 17 的 sealed 的使用場景是什么呢?
5 回答
1K+ 閱讀
討論:樹狀結構數據分頁顯示的方案?
3 回答
1K+ 閱讀
賬號被屏蔽或注銷?
0 回答
597 閱讀
碼云項目搜索的一個問題
1 回答
1K+ 閱讀
吐槽一下百度的垃圾文本檢測 API ,還是太弱了
1 回答
2K+ 閱讀

熱門資訊

1
微軟推出全新“Windows App”
2
.NET 8 正式 GA,最新 LTS 版本
3
小米官宣 Xiaomi Vela 全面開源,底層內核為 NuttX
4
阿里云 11.12 故障原因曝光:訪問密鑰服務 (Access Key) 異常
5
Vite 5 正式發布
6
GitHub 報告:TypeScript 取代 Java 成為第三受歡迎語言
7
2023 年收入最高的 10 種編程語言
8
指針“爆雷”導致公司損失上億資金
9
懸賞十幾萬元以用 Rust 重寫 Prettier
10
向開源作者提問“項目還活著嗎”非常粗魯且無禮

熱門軟件

OpenSnitch - Linux 防火墻工具
MiniGPT-4 - 使用 LLM 增強視覺語言理解
Auto-GPT - GPT-4 自動化工作項目
Lemmy - 高性能自托管仿 Reddit 社區
CalculiX - 三維結構有限元處理程序
mojo.js - Node.js 實時 Web 框架
TencentOS Tiny - 物聯網終端操作系統
Apache Iceberg - 跟蹤超大規模表的新格式
Real-Time Voice Cloning - 克隆語音并實時生成任意語音
人工生命 - 開源項目初稿
BRCC - 分布式配置中心
EVM - 超輕量級物聯網虛擬機
DeepSpeed - 基于 PyTorch 的深度學習優化庫
TarsGo - Go 語言實現的高性能微服務框架
Visual Python - 可視化代碼生成器
DevDocs - API 文檔瀏覽器
TeamCat - 高效的軟件項目管理和協作工具
Earthly - CI/CD 框架
Ruvy - 轉換 Ruby 代碼為 WebAssembly?的工具鏈
MegEngine(天元) - 深度學習框架
OSCHINA
登錄后可查看更多優質內容
使用微信快捷登錄
返回頂部
頂部
一本久久综合亚洲鲁鲁五月天,无翼乌口工全彩无遮挡H全彩,英语老师解开裙子坐我腿中间