当前位置: 凤凰彩票app下载 > 新闻 > 正文

明文post密码

时间:2019-10-10 10:51来源:新闻
w           作者:余天升 链接: https://www.zhihu.com/question/20306241/answer/14696464 看到上面几位的回答,我真心觉得,当前信息安全保护的意识过于低下,连一些基本的保护措施都能够被认

w

 

凤凰彩票官网下载 1

 

凤凰彩票官网下载 2

 

 

 

作者:余天升
链接:https://www.zhihu.com/question/20306241/answer/14696464

看到上面几位的回答,我真心觉得,当前信息安全保护的意识过于低下,连一些基本的保护措施都能够被认为是「没有必要」。同意@任冬 的观点,都在偷懒,不重视安全,没有什么理由好开脱的

如同@lumin 所说,信息安全的保护确实分成两个部分,端的安全(可以具体到客户端和服务器端)和链路的安全,也就是传输过程中的安全。
一般我们可以认为,端都是可信的。对于服务器端,你愿意使用这个公司提供的服务,一个隐含的条件就是相信这个提供服务的公司,所以服务器端可以认为是比较安全的。
而客户端,你愿意使用这台电脑,也表明你认为这台电脑是比较安全的。只有对于一些安全级别更高的业务,比如在线交易,才需要额外的再对客户端的安全性做一次校验。但是,要真正的保证客户端安全是很难的,需要使用像可信计算这样的技术。常见的能够很大程度保护客户端安全的设备,比如iOS设备、PSP之类的游戏机,也是能够遭到破解,所以这个问题至今没有比较完善的解决方案。
通常我们认为,自己肯定不会给自己的电脑装上木马,网吧的老板一般不会跟黑客一伙,也不会在网吧的电脑上装木马。所以保护的焦点,应该集中在通信的链路上,而不是端上,而且,在链路上进行窃听,比在大部分时候在端上进行攻击都来得有效和难以发现。

一个很简单的例子,如果我用笔记本在一个外租房比较密集的小区,建立一个无密码的WiFi热点,保证很多试图蹭网的人连接上来,然后如果我用WireShark(或者用WinPcap写一个过滤程序),监听WiFi收到转发的数据包,那一定能截获大批的用户名和口令,至少,如果他上知乎,用户名和口令我一定能得到。这个例子也说明了,各位千万不要贪图小便宜而去蹭别人的WiFi,这是一个对自己来说很危险的行为。

实施网络窃听是如此的容易,甚至不需要额外安装什么黑客软件就可以进行。对于很多场合,我们对于传输的内容被窃取并不关心,我不怕别人知道我看了什么新闻,也不怕别人知道我在知乎回答了什么问题,但是用户名和口令这样的身份鉴别信息是绝对不可以被窃取的,因为可能会引起一系列其他的安全问题,CSDN泄漏以后大家都在改密码就能说明问题。对于关键身份鉴别信息在传输时进行加密是一种非常有必要,而且也是非常重要的事情。

至于安全成本问题,我觉得,一个开发人员的薪水一年是十万以上,一年三五千的SSL证书,对于一个网站来说,根本就是九牛一毛。

编辑于 2012-06-21

 

 

 

 

没有 HTTPS 的网站都是对用户安全不负责任的。HTTPS 当然有成本,证书只是一方面,服务器负责是另一方面。当然百度不愿意实现 HTTPS 登录,理由是服务器成本,因为 HTTPS 加解密开销是普通 HTTP 的几倍。不过你看 Gmail 和 Facebook 都默认全站 HTTPS 了,你说你只有登录做 HTTPS 也做不到,这就是基本的安全保障都不提供啦?

发布于 2014-08-04

作者:知乎用户
链接:https://www.zhihu.com/question/20306241/answer/28762147

 

 

凤凰彩票官网下载,看到答案里有人提到用 MD5 代替明文,这样做其实是没有意义的,第一可以重放,第二可以用彩虹表。

老老实实上 SSL 吧。

编辑于 2015-03-31

 

 

TPL_username:1474
TPL_password:
ncoSig:
ncoSessionid:
ncoToken:e701c7d8891d1dddee59711ac49cd3e10fd778b1
slideCodeShow:false
useMobile:false
lang:zh_CN
loginsite:0
newlogin:0
TPL_redirect_url:
from:tb
fc:default
style:default
css_style:
keyLogin:false
qrLogin:true
newMini:false
newMini2:false
tid:
loginType:3
minititle:
minipara:
pstrong:
sign:
need_sign:
isIgnore:
full_redirect:
sub_jump:
popid:
callback:
guf:
not_duplite_str:
need_user_id:
poy:
gvfdcname:
gvfdcre:
from_encoding:
sub:
TPL_password_2:02d5437c5b6cb42b7dfaf65038090a0145b26e353236f6195d94411a50caea4b5abd83222d92b8ffb2a9dbf72a950e9e45206c5fb7e32263703512bae5098e5b729d33dc9e41d211eec10a78888316966706e38244426f737b9e6eafb6841cfe8425a1681cfd0b999259090434b53678370930c05a7a74d33ff6338c2367e131
loginASR:1
loginASRSuc:1
allp:
oslanguage:en-US
sr:1280*800
osVer:windows|6.1
naviVer:chrome|57.0298711
osACN:Mozilla
osAV:5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.110 Safari/537.36
osPF:Win32
miserHardInfo:
appkey:
nickLoginLink:
mobileLoginLink:https://login.taobao.com/member/login.jhtml?useMobile=true
showAssistantLink:
um_token:HV01PAAZ0be3fb97741e069a58fd7d7601357be1
ua:090#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

 

 

前端 - http下是否有加密登陆密码的必要 - SegmentFault
https://segmentfault.com/q/1010000000926027

 

不加密的话如果HTTP请求被拦截的话就可以知道用户的原始密码了,这是一件要不得的事情。于你网站本身来说,这个问题应该不大,因为如果被拦截了,不管怎样拦截者只要查看源码,模拟请求之后都能登陆上。但是因为很多用户目前来说基本上来说不会一个网站一个密码,而是对应着多个账户的。所以如果知道了用户的原始密码,结合社会工程学,能干的事情就挺多了。 

编辑:新闻 本文来源:明文post密码

关键词:

  • 上一篇:没有了
  • 下一篇:没有了