X3.5登陆方式直接用明文了吗？

哥斯拉 · 发表于 2023-1-30 16:42:15

马上注册，免费下载更多dz插件网资源。

您需要登录才可以下载或查看，没有账号？立即注册

×

印象中之前是md5加密之后传递的，现在X3.5直接明文传递了吗？5 金币最佳答案

原有的md5加密后传输登录的方式因存在一定的安全隐患(如撞库攻击)，已在3.5版本移除
3.5版本使用了业界公认的安全实践方案来保存密码。

顺带一提：明文传输密码并不会降低安全性，前提是论坛需要使用https加密。

虽然也有少量业界实现会考虑在网页内使用非对称加密的方式再加密一次，但由于没有基于操作系统底层支持的公钥体系，这样的加密约等于掩耳盗铃，除了应付安全部门检查以外没有什么实际作用。

详细答案 >

©dz插件网所发布的一切资源仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。
本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，得到更好的正版服务。
如有侵权请邮件与我们联系处理:discuz-x@qq.com（手机随时接收邮件）并出示相关证明以便删除。敬请谅解！

Crystαl · 发表于 2023-1-30 16:42:39

原有的md5加密后传输登录的方式因存在一定的安全隐患(如撞库攻击)，已在3.5版本移除
3.5版本使用了业界公认的安全实践方案来保存密码。

顺带一提：明文传输密码并不会降低安全性，前提是论坛需要使用https加密。

虽然也有少量业界实现会考虑在网页内使用非对称加密的方式再加密一次，但由于没有基于操作系统底层支持的公钥体系，这样的加密约等于掩耳盗铃，除了应付安全部门检查以外没有什么实际作用。

TyCoding · 发表于 2023-1-30 16:43:37

多谢答疑。

婷姐 · 发表于 2023-1-30 16:43:54

cornersoft 发表于 2023-1-28 17:27
原有的md5加密后传输登录的方式因存在一定的安全隐患(如撞库攻击)，已在3.5版本移除
3.5版本使用了业界公认 ...

搭个帖问一下，请问阁下的reCAPTCHA云验证码什么时候支持x3.5？非常感谢

婷姐 · 发表于 2023-1-30 16:44:20

另外从安全角度补充一点具体的隐患（以下都是基本常识或者公开内容，不涉及秘密）。

撞库攻击指的是因为 MD5 哈希实现在前端，程序无法区分是用户输入明文密码被哈希还是攻击者直接从其他使用 md5(password) 密码存储方式的其他网站获取的数据库进行尝试，因此是存在安全隐患的。
非对称加密的问题是无法抵御中间人攻击，中间人可以在服务器和客户端之间建设服务器，将服务器下发的公钥替换为自己的公钥实现截取密码数据，也可以在解密之后重新用服务器下发的公钥加密让用户无感知泄露密码。解决中间人攻击的唯一手段就是使用操作系统内置的根证书对服务器下发的公钥进行签名，也就是 HTTPS 使用的 CA 证书体系。