X3.5登陆方式直接用明文了吗?
印象中之前是md5加密之后传递的,现在X3.5直接明文传递了吗?5 金币最佳答案
原有的md5加密后传输登录的方式因存在一定的安全隐患(如撞库攻击),已在3.5版本移除
3.5版本使用了业界公认的安全实践方案来保存密码。
顺带一提:明文传输密码并不会降低安全性,前提是社区需要使用https加密。
虽然也有少量业界实现会考虑在网页内使用非对称加密的方式再加密一次,但由于没有基于操作系统底层支持的公钥体系,这样的加密约等于掩耳盗铃,除了应付安全部门检查以外没有什么实际作用。
cornersoft发表于前天 17:27
[*]详细答案 >
原有的md5加密后传输登录的方式因存在一定的安全隐患(如撞库攻击),已在3.5版本移除
3.5版本使用了业界公认的安全实践方案来保存密码。
顺带一提:明文传输密码并不会降低安全性,前提是社区需要使用https加密。
虽然也有少量业界实现会考虑在网页内使用非对称加密的方式再加密一次,但由于没有基于操作系统底层支持的公钥体系,这样的加密约等于掩耳盗铃,除了应付安全部门检查以外没有什么实际作用。 多谢答疑。 cornersoft 发表于 2023-1-28 17:27
原有的md5加密后传输登录的方式因存在一定的安全隐患(如撞库攻击),已在3.5版本移除
3.5版本使用了业界公认 ...
搭个帖问一下,请问阁下的reCAPTCHA云验证码什么时候支持x3.5?非常感谢 另外从安全角度补充一点具体的隐患(以下都是基本常识或者公开内容,不涉及秘密)。
撞库攻击指的是因为 MD5 哈希实现在前端,程序无法区分是用户输入明文密码被哈希还是攻击者直接从其他使用 md5(password) 密码存储方式的其他网站获取的数据库进行尝试,因此是存在安全隐患的。
非对称加密的问题是无法抵御中间人攻击,中间人可以在服务器和客户端之间建设服务器,将服务器下发的公钥替换为自己的公钥实现截取密码数据,也可以在解密之后重新用服务器下发的公钥加密让用户无感知泄露密码。解决中间人攻击的唯一手段就是使用操作系统内置的根证书对服务器下发的公钥进行签名,也就是 HTTPS 使用的 CA 证书体系。 仍然在开发当中,预计会支持X3.5,以及提供一些全新的功能。
时间无法确定。
另外可以尝试将X3.4版本的本插件直接复制至X3.5当中使用。理论上电脑端应该不会有不兼容的问题出现。手机端目前无法确定。
页:
[1]