 | cht | 電腦資訊 | 網路 |
| |||||||
| adm | Find | login register | |||||
不過這也顯示出這個網站的問題。為什麼它的 password 沒有用 salt。所謂 salt 是,user 在設定密碼時,system 產生另外一個 random string(salt)。在 datbase 存的是與 salt + passwd 產的 md5sum 及 salt。當要驗證密碼時就把 user 輸入的 string 加上使用者的 salt,產生 md5sum 來比對。理論上用 salt 可以大幅度讓密碼更難破解,相同的密碼除非剛好salt 相同,最後存在 database 上的內容是不一樣的。 Salt 這個概念 UNIX 很早以前就開始用了。man crypt 就可以看到。Windows 不知道現在有沒有,幾年前還是沒有用 salt。 幾年前,當使用者忘記密碼時,國內某大攝影網站竟然 E-mail寄回來的是原來的密碼,顯然就是原封不動把密碼存在 database,太可怕了。 當然,如果驗證密碼的程式被偷改,被攔截紀錄,那都沒用。所以,最好 .php 等原始程式最好 owner 不要用 apache,以避免被入侵更改驗證程式的可能。  edited: 6
| |||||||||||||
感同身受,我就收過明文顯示使用者密碼的確認信,實在是很可怕!! 萬一這封信件在寄發的過程中,被有心人士攔截,或是寄到別人的信箱,後果誰要負責?  | |||||||||||||
確認信密碼是 plaintext 還好,phpbb 好像就是 ? 這不代表存在 database 是 plaintext 所以比較重要的密碼與一般的密碼最好要分開。 edited: 2
| |||||||||||||
edited: 1
| |||||||||||||
pchome 我覺得很爛,訂單 & 傳回的 E-mail 上都不寫郵寄的住址,沒辦法再次確認。 edited: 2
| |||||||||||||
| |||||||
| adm | Find | login register | |||||
