V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ayanamist
V2EX  ›  分享发现

Photobucket很可能是明文保存密码的

  •  
  •   ayanamist · 2011-06-16 17:55:13 +08:00 · 5361 次点击
    这是一个创建于 4916 天前的主题,其中的信息可能已经有所发展或是发生改变。

    看以上img.ly的截图。居然很挑剔密码,还不能包含一些特殊字符以及以0开头。非常怀疑是明文保存密码的,否则这么多要求干嘛。
    大家注册的时候小心点啊
    13 条回复    1970-01-01 08:00:00 +08:00
    statm
        1
    statm  
       2011-06-16 20:41:57 +08:00
    有点矛盾...
    明文保存,防止注入->禁止特殊字符
    加密保存,防止暴力破解->禁止以0开头
    ayanamist
        2
    ayanamist  
    OP
       2011-06-16 20:56:08 +08:00
    @statm 禁止以0开头和明文保存并不冲突,例如给这个列加了索引。
    9hills
        3
    9hills  
       2011-06-16 21:19:47 +08:00
    这个推论很不靠谱阿。。。

    你说是加个md5()方便呢,还是写个js来判断特殊字符方便呢。。。
    lainuo
        4
    lainuo  
       2011-06-16 22:17:45 +08:00
    这....如果不是前端JS做的验证; 在后端也是很容易的...

    比如, 在Rails里, 只要在用户的那个model里的加个"validates_format_of"到密码上就可以了...
    lainuo
        5
    lainuo  
       2011-06-17 00:57:59 +08:00
    额...我应该是理解错楼主要表达的意思了...囧...

    不过应该不会用明文保存, 百害而无一利. 不允许空格大概是因为没有密码确认, 要防止用户多打空格; 禁用特殊字符就有些没必要了. 至于0开头...难道真是为了防止暴力破解...
    ayanamist
        6
    ayanamist  
    OP
       2011-06-17 11:48:08 +08:00
    @9hills 是啊,问题是他们为什么调了复杂的方法呢?除了保存明文还有什么解释呢?
    @lainuo 你们解释不出来吧。拿到用户密码好处很多的哦~
    9hills
        7
    9hills  
       2011-06-17 12:36:24 +08:00
    @ayanamist 就算要拿用户密码。。。为啥非要设不允许特殊字符?
    直接存一份不就完了。。。难道你以为用户数据库用md5保存就拿不到密码了?md5之前把密码copy一份很难么。。
    ayanamist
        8
    ayanamist  
    OP
       2011-06-17 12:37:45 +08:00
    @9hills 那你给个合理解释,为什么禁用那么多特殊字符?
    lainuo
        9
    lainuo  
       2011-06-17 12:52:38 +08:00
    合理解释就是做这网站的这帮人一知半解. 拿用户密码干嘛还费这个劲...
    istef
        10
    istef  
       2011-06-17 13:08:33 +08:00
    @ayanamist 合理解释就是,美国类似的二网站多的是,比如 bank of america, 比如 AT&T。。。。。既然二过了也就习惯了
    ayanamist
        11
    ayanamist  
    OP
       2011-06-17 13:11:51 +08:00
    @istef @lainuo 我本来是用LastPass自动生成密码的,选了12位包含全部特殊字符的方式,结果居然通不过……
    istef
        12
    istef  
       2011-06-17 13:14:39 +08:00
    @ayanamist 同 LastPass 纠结。。。只能给它弄个简单的密码了。。。。
    当然有个听起来略微合理的解释,早期开展互联网业务的这些公司的网站通常有这个问题,photobucket 其实起步也是很早了。。。。
    ayanamist
        13
    ayanamist  
    OP
       2011-06-17 17:28:44 +08:00
    @istef 比它早但没这个设定的网站多的去了……
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2600 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 06:28 · PVG 14:28 · LAX 22:28 · JFK 01:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.