谁用搜狗输入法和搜狗浏览器？有中招的没？

zpvip

shrek_munich 发表于 2013-11-6 14:26
你的假设是用户密码“必须”用户自己记住而且不得修改
我还没敢设计这样的网站给用户
你不是赌徒就可 ...

从来没说不可修改，你设计 discuz 这样的网站当然可以重设密码，如果你要用明文保存用户的敏感信息，我不得不置疑你的出发点。

shrek_munich

zpvip 发表于 2013-11-6 14:24
你真没看我的文字，或者真不懂。

你把密码 adfsdfa 通过 post的方式传到服务器，用个函数 md5('adfsdf ...

请问salt就不是数据么，还是这个数据真特别啊，别的数据都会泄漏，唯有这个数据金刚不坏，永远不会泄漏滴

shrek_munich

zpvip 发表于 2013-11-6 14:26
https://www.google.com/search?q=md5+salt&rlz=1C1CHFX_deDE515DE515&oq=md5+salt&aqs=chrome..69i57j ...

人家在说服务器泄漏，你在说密码robust，你是让我揣测你的语文或者逻辑的下限么

shrek_munich

zpvip 发表于 2013-11-6 14:27
从来没说不可修改，你设计 discuz 这样的网站当然可以重设密码，如果你要用明文保存用户的敏感信息，我 ...

我从来没有说明文保存，但是只要你服务器有bug，注意，我们一直说的是bug，不是黑客攻击，泄漏就是有可能的，这是程序本身的代码质量问题，不是算法或者架构问题

zpvip

shrek_munich 发表于 2013-11-6 14:28
请问salt就不是数据么，还是这个数据真特别啊，别的数据都会泄漏，唯有这个数据金刚不坏，永远不会泄漏滴

我今天真是耐心好，这么说吧，我把服务器放到你家去，你有服务器所有权限，但你通过 salt 和 那串 hash 值得不到我的密码，这下明白了吧？

salt的作用是防暴力解密的。

你真是学info的？哪个学校？

zpvip

shrek_munich 发表于 2013-11-6 14:29
人家在说服务器泄漏，你在说密码robust，你是让我揣测你的语文或者逻辑的下限么

我在回答你的问题，你看引文。

shrek_munich

zpvip 发表于 2013-11-6 14:31
我今天真是耐心好，这么说吧，我把服务器放到你家去，你有服务器所有权限，但你通过 salt 和 那串 hash  ...

我是暴力得不到密码，但是如果你的服务器自己告诉我了，我需要salt和hash么
你不但语文有问题，眼神问题更大，
@人家在说服务器泄漏，你在说密码robust@
至于info，你赌不赌嘛，你掏的出钱我也不怕自曝的，反正我也没干啥见不得人的事

zpvip

shrek_munich 发表于 2013-11-6 14:29
人家在说服务器泄漏，你在说密码robust，你是让我揣测你的语文或者逻辑的下限么

再多说一句，如果以我那种方式设计数据库， 就算把服务器抱到你家里去，你有所有的权限，也得不到用户的敏感信息。唯一的缺点是不能找回密码。

如果用户在某台机器还是登录状态，那还有希望，就像这个页面说的：
https://lastpass.com/support.php?cmd=showfaq&id=375

shrek_munich

zpvip 发表于 2013-11-6 14:34
再多说一句，如果以我那种方式设计数据库， 就算把服务器抱到你家里去，你有所有的权限，也得不到用户的 ...

你这一切都是基于防暴力破解
谁要和你暴力破解了？
另外，我顺便怀疑一下你的工作经验.....典型的在校学生的思维....

zpvip

shrek_munich 发表于 2013-11-6 14:33
我是暴力得不到密码，但是如果你的服务器自己告诉我了，我需要salt和hash么
你不但语文有问题，眼神问题 ...

@人家在说服务器泄漏，你在说密码robust@

我的意思是就算不泄漏，程序和数据库的设计上也有问题。之所以说密码的事，是因为你觉得黑客是可能得到用户密码的，我告诉你，用我的方式，把服务器搬到黑客家里，他也得不到密码。就算程序出bug，用户信息也不会泄漏。