我原先以為微軟和google在使用者帳號安全上應該是專家,看來我又看走眼了,因為湊巧看到一款黑客工具messenpass,可以直接顯示本地msn和gtalk等聊天工具的密碼,由此可以直接破解使用者hotmail和gmail的密碼,這顯示msn和gtalk的本地存放密碼的方式存在嚴重漏洞。
msn和gtalk最為嚴重的錯誤,就是將使用者的密碼儲存在本地,即使使用了對稱或者不對稱加密演算法對密碼進行了加密,但最終登入的時候,還是會解密密碼並傳送給伺服器端,這個錯誤導致了黑客只需要將這個木馬上傳到使用者電腦上,執行後就可以竊取使用者的hotmail和gmail的密碼。
真正安全的密碼存放方式其實很簡單,就是不要存放原始密碼到本地電腦,而是存放密碼+使用者+安全碼的雜湊值(hash值)到使用者本地,就可以解決這個安全問題。不直接使用密碼的雜湊值,而是使用這三個引數之和的雜湊值,是為了防止相同的密碼出現相同雜湊值被人猜測,加入安全碼可以增加破解難度,黑客需要先破解安全碼,使用雜湊演算法(如md5或sha1等)是因為雜湊演算法是單向不可逆的,黑客即使得到雜湊數值,也不可能反算出使用者的密碼。
這樣,現在的登入方式,就可以修改為,msn和gtalk儲存使用者名稱和三個引數之和的雜湊值,登入時候傳輸這些引數到伺服器,伺服器端判斷登入型別,如果是雜湊值登入,則將使用者傳送過來的使用者名稱和雜湊值,與伺服器端儲存的使用者名稱密碼等引數算出來的雜湊值進行比較,如果相同則表示可以登入,不同則表示密碼錯誤,不能登入。
我以前一直以為微軟和google這些網路巨頭在應用程式的安全性上應該是不錯的,沒想到竟然會在使用者密碼上存在這麼嚴重的缺陷和漏洞,看來國外的產品也不可靠啊。這其中最主要的原因,我看是國外的整體網路發展較為健康,沒有那種黑客生存的產業鏈,而在中國國內,黑客木馬程式的開發和銷售、盜取網路遊戲帳號和qq帳號、銷售遊戲帳號和qq幣等早已經發展成為一種分工明確的「地下產業」,早期已經令中國各大網路公司頭痛不已,紛紛推出相應的安全解決方案,所以國內相關的網路軟體,登入密碼早就不存在這種缺陷漏洞了。
對於google來說,解決這個缺陷漏洞尤為緊迫,因為gtalk帳號就是google帳號,可以直接登入使用者的adwords和adsense,操縱使用者的財務資訊,甚至將使用者帳號下的金額轉賬給他人,這對於使用google這些業務的使用者來說實在是乙個嚴重的威脅,如果不盡快解決,後果堪憂。對於當前使用msn和gtalk的使用者,建議不要設定自動登入,而是設定為每次手動輸入密碼登入。
破解本地的Mysql密碼
這片文章是 別人的,出處沒寫搞清楚 windows 1.用系統管理員登陸系統。2.停止mysql的服務。3.進入命令視窗,然後進入mysql的安裝目錄,比如我的安裝目錄是c mysql,進入c mysql bin 4.跳過許可權檢查啟動mysql,c mysql bin mysqld nt skip...
jsp中session和cookie的存和取的操作
存session 將username放到session中 session.setattribute username username 取session request.getsession getattribute username 由於session是內建物件可以直接使用 session.get...
函式和存過的建立呼叫
函式 in out 引數 create orreplace function get test m id in number,str1 out varchar2 引數不需要型別長度 return varchar2 is str2 varchar2 10 變數需要型別長度 begin select t...