V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mapleth
V2EX  ›  程序员

网易继续补刀。。。修改密码后竟然还是登录状态。。。

  •  
  •   mapleth ·
    Mapleth · 2015-10-20 10:42:06 +08:00 · 10132 次点击
    这是一个创建于 3324 天前的主题,其中的信息可能已经有所发展或是发生改变。

    昨天改过密码后,今天在查看登录情况,发现还是有异常 ip 登录,遂改了密码,但是惊奇的发现,竟然还是登录状态!!!!心中一万个草泥马路过。。。。难道我改了密码,网易你不应该把我之前登录的信息清除吗????????!!!!

    37 条回复    2015-10-21 17:07:30 +08:00
    pheyer
        1
    pheyer  
       2015-10-20 10:55:46 +08:00
    我来报一个 bug 吧:
    有一个 163 邮箱我是没增加保密邮箱的,而且忘记了密码,但是关联了我的一个主用邮箱,我通过主用邮箱进入到这个邮箱,想增加保密邮箱,它让我先增加密保问题,我都增加了,然后设置保密邮箱,之后它给保密邮箱发送验证邮件,收到验证邮件之后我就傻了,需要用这个邮箱的账号与密码登录才能难——因为密码忘了,此路不通——我以为我的保密邮箱没有设置成功。
    于是我注销这个邮箱退出登录,选择忘记密码,给出了两种方式找回密码,一种是根据保密邮箱,一种是根据密码保护问题,蹊跷之处在于第一种方法里给出了我刚才设置的保密邮箱,出于测试起见,我还是选择了这个方法,结果保密邮箱还是能收到邮件,然后我就成功修改了密码!!!!!
    zander
        2
    zander  
       2015-10-20 10:59:48 +08:00 via iPhone
    cookies 没失效?
    xiuc001
        3
    xiuc001  
       2015-10-20 10:59:58 +08:00
    补刀功底不错
    mapleth
        4
    mapleth  
    OP
       2015-10-20 11:23:38 +08:00
    @zander 没失效。。。也不想再改了,现在还是登录状态,正在解绑各个账号中,,,,醉了
    mapleth
        5
    mapleth  
    OP
       2015-10-20 11:26:34 +08:00
    @pheyer 额。。。万能的网易啊,不敢用了,现在还爆出二次验证在邮箱客户端依然可以无需验证码直接收发邮件。。。 o(︶︿︶)o 唉 http://weibo.com/williamlong?from=feed&loc=nickname
    LazyZhu
        6
    LazyZhu  
       2015-10-20 11:57:57 +08:00   ❤️ 1
    再次吐槽下网易密码的"最多 16 位"
    lichao
        7
    lichao  
       2015-10-20 12:00:03 +08:00
    @LazyZhu 刚刚改了 QQ 密码,也是"最多 16 位"
    moonkiller
        8
    moonkiller  
       2015-10-20 12:01:00 +08:00
    @lichao 听说之前没有限制时,超过 16 位后面的都是不计入有效的。。。
    就是前 16 位正确就行
    jackisnotspirate
        9
    jackisnotspirate  
       2015-10-20 12:04:07 +08:00
    我现在都改不了密码,手机验证码拿到之后,立刻填写新密码,就提示我已超时。
    mei
        10
    mei  
       2015-10-20 12:05:10 +08:00   ❤️ 1
    Gmail 也一样,改了密码 cookies 还在就还是登录状态,但是 Gmail 下面有个 sign out all other sessions
    kn007
        11
    kn007  
       2015-10-20 12:11:52 +08:00
    @pheyer 这个一直都存在的。。。
    只要填了,不管有没有激活,密保邮箱就已经确立了。
    imn1
        12
    imn1  
       2015-10-20 12:22:01 +08:00
    二步验证客户端问题, gmail 如果用授权码,也是不用二步验证可以收发的,主密码反而不能用,视为非法登录
    网易也有授权码,但从目前反馈看,客户端网易邮箱似乎能用主密码?
    chenwen
        13
    chenwen  
       2015-10-20 12:28:07 +08:00
    evernote 也有这个 bug
    ikaros
        14
    ikaros  
       2015-10-20 12:48:47 +08:00
    我今天修改了密码也是这样,从昨天晚上 2:00 开始到今天早上 10 点已经发了接近 1000 封垃圾邮件了
    cdredfox
        15
    cdredfox  
       2015-10-20 12:49:54 +08:00
    我现在都不能修改密码,叫我改天再来修改。。。。。。
    mapleth
        16
    mapleth  
    OP
       2015-10-20 13:04:11 +08:00
    @imn1 网易的在客户端里就没二次验证这回事了。。。
    mapleth
        17
    mapleth  
    OP
       2015-10-20 13:05:08 +08:00
    @cdredfox 同情,还好我已经改了,刚发现 V2EX 还是网易邮箱的....
    Luzifer
        18
    Luzifer  
       2015-10-20 13:05:30 +08:00
    @cdredfox 我在想,网易否认被黑,漏洞没补上,那改密码也是白改了。
    加了二次验证,#5 楼 @mapleth 又说邮箱客户端依然可以无需验证码直接收发邮件。

    年少不懂事,用了好久的网易。从昨晚折腾到现在,用网易注册的服务才小部分改了密码。
    很多服务不能修改邮箱~
    一万头。。奔过。。。
    mapleth
        19
    mapleth  
    OP
       2015-10-20 13:05:52 +08:00
    @chenwen 这个完全可以把 cookie 清除啊,为啥都要留有这个 bug 呢
    mapleth
        20
    mapleth  
    OP
       2015-10-20 13:07:23 +08:00
    @Luzifer 客户端的二次验证的消息,是月光博客披露出来的,链接 http://weibo.com/williamlong?from=feed&loc=nickname
    explorerproxy
        21
    explorerproxy  
       2015-10-20 13:29:31 +08:00
    改了 gmail 的密码,也依然在登陆状态
    但是 chrome 让重新登陆了~~~
    chenwen
        22
    chenwen  
       2015-10-20 13:39:28 +08:00
    @mapleth 我当时也觉得诧异,不管怎么样,用户只要改密了,用户之前的不管是登陆 token 还是 cookie 等都应该重置掉,并且提示用户重新登陆,这应该是基本常识吧
    dzxx36gyy
        23
    dzxx36gyy  
       2015-10-20 14:15:01 +08:00 via Android
    网易有将军令这个东西,然而两步验证不支持……我就只能呵呵了,况且它的两步还能被绕过,真是够了
    gaohongyuan
        24
    gaohongyuan  
       2015-10-20 14:24:03 +08:00
    百度最长只能 14 位
    arens
        25
    arens  
       2015-10-20 14:29:45 +08:00
    大概在 04 年那段时间,网易邮箱很容易收到垃圾邮件,同时网页改版,充值 VIP 更方便的时候,我就决定停用已经使用 5 年了得网易 2 个主邮箱了

    现在主要就是用 Gmail ,辅助用 QQ 邮箱
    Gmail 别看翻墙这么多年麻烦,但始终坚挺
    Winny
        26
    Winny  
       2015-10-20 16:24:58 +08:00
    应该是修改了密码,清除原来的 cookie 然后自动下发了新的 cookie 吧

    老的 cookie 已经没有了,省去你再次登录的步骤,现在很多网站都是这样的。
    lightening
        27
    lightening  
       2015-10-20 16:59:14 +08:00
    还好有了 Gmail 就换过去了……现在有个残留的网易邮箱账号,昨天废了好大劲才修改密码成功。

    第一次尝试修改密码时,网易判定我的账号处于高危状态,不给我改。然后我小时候密保问题也是完全乱设的(因为我相信自己永远不会忘记密码),完全回答不出来,网易就不给我改密码。

    还好他们的系统有漏洞。我发现还没有绑定过 QQ 号,就尝试临时绑一个。出乎我意料的是,在账户高危状态时,不能修改密码,却可以再绑定 QQ 号!然后绑定完居然可以用新绑定的 QQ 号重设密码!真是醉了!
    czrdzj
        28
    czrdzj  
       2015-10-20 17:26:24 +08:00
    今天中午看到消息后,把几个邮箱密码都改了一遍。。。论体验 论安全 和 outlook gmai 怎么比。
    我重要的账号注册都是用的这两个。
    f0rger
        29
    f0rger  
       2015-10-20 19:28:34 +08:00
    看了下我的密码,撞库的话直接躺了 1/3 的帐号,一百多个,改到什么时候。。。。
    Mavious
        30
    Mavious  
       2015-10-20 20:01:09 +08:00 via Android
    @LazyZhu 强烈同意,我想改成强密码,结果告诉我位数太多。
    mapleth
        31
    mapleth  
    OP
       2015-10-20 23:54:42 +08:00
    @chenwen 这个确实应该是常识,难道他们工程师都偷懒到这地步了。。
    mapleth
        32
    mapleth  
    OP
       2015-10-20 23:55:46 +08:00
    @Winny 关键是木有清除
    mapleth
        33
    mapleth  
    OP
       2015-10-20 23:57:25 +08:00
    @czrdzj 哎 改了好久才把部分账号的邮箱换成 gmail ,还有一部分不知道用的哪个邮箱呢,醉了
    click
        34
    click  
       2015-10-21 00:08:44 +08:00
    @pheyer 这个 bug 还在吗?我想修改密码,但网易说我关联了手机号,非要我验证手机号,可是那手机号早就不用了。现在他们要我上传身份证修复密码。。。
    micone
        35
    micone  
       2015-10-21 09:52:12 +08:00
    我刚刚没事修改了一下知乎的密码,发现修改完还是处于登陆状态的.哈哈哈哈
    mapleth
        36
    mapleth  
    OP
       2015-10-21 11:01:28 +08:00
    好像很多网站都是这样,这是为啥?
    @micone
    micone
        37
    micone  
       2015-10-21 17:07:30 +08:00
    @mapleth 按理来说在改了密码以后登陆验证的 token 会改变的,下一次 http 请求发送的 token 和后台的不一样的话就说明他要重新登陆获取 token 才对的.这种改了密码还处于登陆状态的网站很有可能是密码不参与 token 的验证.

    我没深入参与过 web 安全的系统的设计,但是也有涉及到过一些比如 OAuth 之类的安全协议的对接.一般登陆以后会生成一个 AccessToken,这个 token 是用用户名,加密过的密码,token 超时时间,IP 地址,还有一些其他一些参数(变量)组合并哈希出来的.

    每次用户登录服务器(应该)都要重新算一遍这个 AccessToken 和客户端呈上的 AccessToken 是否匹配.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4233 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 01:00 · PVG 09:00 · LAX 17:00 · JFK 20:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.