V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xingyue
V2EX  ›  杭州

杭州图书馆读者证密码明文保存?

  •  
  •   xingyue · 2019-07-14 16:41:37 +08:00 via Android · 6809 次点击
    这是一个创建于 1719 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前些天在《杭州办事服务》这个 app 上办理了杭州图书馆的读者证,刚无意从 app 我的>我的办件>图书馆借阅办证 点进去,详情页发现自己的密码直接显示出来了,借阅证的密码要求是六位数字密码,肯定有部分人直接用六位支付密码的…..

    第 1 条附言  ·  2019-07-14 21:57:05 +08:00
    抓包的结果是:请求后的 json 里直接明文密码,不过请求套了 https,然后 app 做了防止抓包处理,检测到会自动注销,所以总体来讲还是很安全滴╰(*°▽°*)╯。
    26 条回复    2019-07-16 14:28:55 +08:00
    loading
        1
    loading  
       2019-07-14 16:44:13 +08:00 via Android   ❤️ 1
    就是显示出来你才不会用支付密码。(专业洗地)
    chocolatesir
        2
    chocolatesir  
       2019-07-14 16:44:48 +08:00
    这种用 123456 弱密码的更多吧
    xingyue
        3
    xingyue  
    OP
       2019-07-14 16:51:59 +08:00 via Android
    @chocolatesir 实际上一个密码走天下的群体并不少,甚至看到明文显示密码反而觉得方便自己忘了也不怕的用户肯定也有的.....
    lshero
        4
    lshero  
       2019-07-14 17:08:00 +08:00 via Android   ❤️ 1
    去 CNVD 提交一波?
    yukiww233
        5
    yukiww233  
       2019-07-14 17:08:53 +08:00   ❤️ 1
    不一定是明文存,只能证明不是摘要算法存的
    比如 chrome 和 last pass 都能做明文填充,也不影响它在服务端加密存储啊
    xingyue
        6
    xingyue  
    OP
       2019-07-14 17:19:29 +08:00 via Android
    @yukiww233 也对哦,具体怎样那就抓包来看了
    xingyue
        7
    xingyue  
    OP
       2019-07-14 17:29:56 +08:00 via Android
    @lshero 涨知识了,还有这种平台,等下回家抓包看下是不是真有问题,再去试试提交
    3dwelcome
        8
    3dwelcome  
       2019-07-14 17:39:50 +08:00 via Android
    chrome 保存网站密码,也是明文,我都不敢随便点保存密码了,涉及网站更多,太不安全了。
    SingeeKing
        9
    SingeeKing  
       2019-07-14 17:45:11 +08:00
    这个和 Chrome 不一样吧,Chrome 是本地明文 + 服务器可选加密(主密钥可选是自己的同步密码还是由 Google 管理),这个图书馆是服务器直接明文
    sobigfish
        10
    sobigfish  
       2019-07-14 18:40:31 +08:00
    @xingyue #7 传回客户端肯定是(即使是客户端解密也算明文)明文的 你抓包也没用-。-
    hourann
        11
    hourann  
       2019-07-14 18:54:43 +08:00 via iPhone
    你都说了是 6 位数字密码,就算是存 hash,碰撞也太简单
    niubee1
        12
    niubee1  
       2019-07-14 18:55:59 +08:00
    凡是规定了密码最大长度的肯定都是明文保存密码的, 比如网易邮箱什么的
    pastgift
        13
    pastgift  
       2019-07-14 19:10:44 +08:00 via iPhone
    Chrome 那也不叫明文,也是密文。
    正常保存密码其实严格来说叫保存 hash 摘要,不叫加密保存。加密的数据一般总是有解密需求的。
    浏览器保存密码肯定要解密为原文再发给网站,不可能发摘要给网站的,只要密码策略 OK,一般是没问题的。
    至于网站自身肯定是首选保存密码摘要,除非有非常特殊的需求……
    liuxey
        14
    liuxey  
       2019-07-14 20:15:33 +08:00
    Chrome 密码从功能上来说只能加密存储,不能使用摘要,而这个完全是毫无道理的,无法洗地
    greatdancing
        15
    greatdancing  
       2019-07-14 21:07:19 +08:00 via Android
    @niubee1 好像不对
    xingyue
        16
    xingyue  
    OP
       2019-07-14 21:50:45 +08:00
    @3dwelcome #8 老哥轻怼,,,一般登陆系统确实没理由对用户密码做可逆加密处理,如 #14 所说~,密码管理工具迫于功能性。不过我标题确实欠考虑了,毕竟不能据此推断出数据库的就是简单的原文保存,抱歉。。。。。

    @sobigfish #10 emmmm,我想的是如果是客户端解密的话,因为登陆是低频操作,只要登陆时没有发生劫持那么相对也是安全的。然后抓包的结果是:请求后的 json 里直接明文密码,不过请求套了 https,然后 app 做了防止抓包处理,检测到会自动注销,所以总体来讲还是很安全滴╰(*°▽°*)╯。

    @hourann #11 碰撞的话,做次数限制冻结账号应该就可以防止了吧

    @greatdancing #15 好奇 ing,求详解~
    niubee1
        17
    niubee1  
       2019-07-14 21:52:51 +08:00
    @greatdancing 对就对不对就不对, 好像不对是个神毛鬼?
    Birdy0017
        18
    Birdy0017  
       2019-07-14 21:54:50 +08:00 via Android
    @3dwelcome chrome 看密码是要输入你电脑密码的
    Buges
        19
    Buges  
       2019-07-14 21:55:14 +08:00 via Android
    用可逆加密存储,要么就是懒,低价外包。要么就是别有所图(撞库,字典,彩虹表)
    xingyue
        20
    xingyue  
    OP
       2019-07-14 21:55:15 +08:00
    @niubee1 #17 哈哈哈,我上条还艾特错人了,等层主来解惑 @greatdancing
    niubee1
        21
    niubee1  
       2019-07-14 21:59:53 +08:00   ❤️ 1
    @xingyue 限定最大长度是为了明文保存你的密码方便嘛, 用定长列就毋须用 Text 来保存密码了, 那样想着都蠢。 而用摘要算法只保存密码 hash 值的话, 因为勿论多长的密码 hash 都都是定长的, 所以根本没有必要限制密码的最大长度。故而, 如果限制了密码的最大长度, 那么铁定了是要存你的密码,至于明文存还是加密存, 存了会不会去干什么坏事情, 就不知道了, 反正我的密码都是工具管理自动生成一次一密, 无所谓了
    billlee
        22
    billlee  
       2019-07-14 22:15:58 +08:00
    @niubee1 #21 并不全是这样吧,有些人脑洞比较大,比如说,存了 16 字节的摘要,那么密码明文也不允许超过 16 字节。
    JamesR
        23
    JamesR  
       2019-07-14 22:48:44 +08:00 via Android
    @niubee1 我觉得提交时候允许最长 64 位密码就行了,不存密码,但提交时候应该设计有长度限制吧?允许最长 1024 位密码?
    flowfire
        24
    flowfire  
       2019-07-15 08:55:05 +08:00 via iPhone
    @yukiww233 #5 这个应用理论上没有需要源密码的需求,所以如果显示了原密码,90%以上的可能性是明文存的……
    niubee1
        25
    niubee1  
       2019-07-15 18:58:48 +08:00
    @JamesR 你可以查查 HTTP POST 允许提交长度


    @billlee 这种人属于脑洞大得脑子进水了
    lshero
        26
    lshero  
       2019-07-16 14:28:55 +08:00
    @niubee1 不限制密码文本输入大小,不考虑哈希相关函数处理多个并发请求的大文本占用的服务器资源?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   5898 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 02:10 · PVG 10:10 · LAX 19:10 · JFK 22:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.