| adm | Find | login register |
eliu joined: 2007-08-09 posted: 11480 promoted: 617 bookmarked: 187 新竹, 台灣 |
不過這也顯示出這個網站的問題。為什麼它的 password 沒有用 salt。所謂 salt 是,user 在設定密碼時,system 產生另外一個 random string(salt)。在 datbase 存的是與 salt + passwd 產的 md5sum 及 salt。當要驗證密碼時就把 user 輸入的 string 加上使用者的 salt,產生 md5sum 來比對。理論上用 salt 可以大幅度讓密碼更難破解,相同的密碼除非剛好salt 相同,最後存在 database 上的內容是不一樣的。 Salt 這個概念 UNIX 很早以前就開始用了。man crypt 就可以看到。Windows 不知道現在有沒有,幾年前還是沒有用 salt。 幾年前,當使用者忘記密碼時,國內某大攝影網站竟然 E-mail寄回來的是原來的密碼,顯然就是原封不動把密碼存在 database,太可怕了。 當然,如果驗證密碼的程式被偷改,被攔截紀錄,那都沒用。所以,最好 .php 等原始程式最好 owner 不要用 apache,以避免被入侵更改驗證程式的可能。 edited: 6
| |||||||||
carl_tw joined: 2008-05-04 posted: 71 promoted: 0 bookmarked: 0 Taipei, Taiwan |
| |||||||||
eliu joined: 2007-08-09 posted: 11480 promoted: 617 bookmarked: 187 新竹, 台灣 |
確認信密碼是 plaintext 還好,phpbb 好像就是 ? 這不代表存在 database 是 plaintext 所以比較重要的密碼與一般的密碼最好要分開。 edited: 2
| |||||||||
eliu joined: 2007-08-09 posted: 11480 promoted: 617 bookmarked: 187 新竹, 台灣 |
edited: 1
| |||||||||
eliu joined: 2007-08-09 posted: 11480 promoted: 617 bookmarked: 187 新竹, 台灣 |
pchome 我覺得很爛,訂單 & 傳回的 E-mail 上都不寫郵寄的住址,沒辦法再次確認。 edited: 2
|
| adm | Find | login register |