RT,密码为什么是明文啊 有种不安全感觉啊,改下撒!
只有发给你的是明文,是为了让你看到。难道你希望发送给你的注册确认邮件里密码是 md5(base64(sha256(passwd)))?
存储在数据库里的是加密过的,你可以去看 phpbb 的源码。
那也不科学啊 邮件服务器上应该有已发送备份 说来说去都是有底的 建议还是不要给用户发这个了 基本上是个鸡肋功能 否则要找回密码还干什么:ugeek:
Sent from my MI 2C using Tapatalk 2
相当科学。我们没有 SMTP 邮件服务器,用的是 php 的 mail 函数,所以没有已发送备份一说。我在数据库里都看不到你密码是什么。
自从 csdn 泄密事件之后 这是我第一次收到注册邮箱显示明文密码的 一般也就显示个 id
总之建议取消 也就改个函数的事儿
我无意争论什么,也不需要赋什么新词 仅仅从一个普通用户的角度提出一个业务建议罢了 呵呵…
我来发表下看法:
1. php 的 mail 函数发送邮件,是需要 smtp 服务器支持的。不管该服务器是在本地还是远端,总之它是必须有的,这个女王你理解错了。
2. 关于密码的安全。涉及到这么多个方面:
1. 你在敲密码的,背后的眼睛看到了你按下的每个按键,密码泄密了。这个需要你前后左右上下瞧瞧,确保没人。这是你的责任。
2. 在你敲密码的时候,还有可能有一只眼睛盯着你,比如那些木马,专门记录你的按键然后偷偷发邮件。这是你和网站方的共同责任。你要保证多杀杀毒,网站方可以通过控件来保证密码不被记录,比如支付宝输入框控件。
3. 在按下登录按钮的一瞬间,密码被传输到服务端,在这个传输的过程中,一般情况下只会对密码进行简单的编码甚至明文传输,sniffer 们在这个阶段可以捕获你的密码。当然,这是网站方的责任。在那些对密码敏感的业务中,一般会采用 https 来保证数据传输的安全,比如银行系统。
4. 密码到了后台程序时,这时女王的 mail 函数开始干工了。它发送了明文密码到你的邮箱,很明显,这个过程中会导致密码泄密,当然,这是网站方的责任。常见的做法是注册时不要求提供密码,而是提供邮件,发送的邮件中给出一个随机密码然后要求用户再次重设密码,这样一来可以防止注册机攻击,二来也不会导致密码丢失。
5. 最终密码还是会被存储到数据库或者其它持久化设施中,这里的密码安全取决于采用的加密算法。phpbb 采用的是 md5 摘要。尽管 md5 早已被攻破,但是按我说,在这个网站上,已经足够了。CSDN 的密码泄露是由于他的密码是明文存储在数据库的,数据库一但被攻击,密码全昭告天下了。
其实在整个流程中,密码最容易泄露的环节在于密码输入和邮件发送这两个地方,前者可以进行简单的木马植入,后者可以通过 SMTP 伪装。
总体来说,对于 suse 中文这样规模的网站,现有的安全措施是足够的。这样一个技术屌丝网站,有什么利益可图?CSDN 明文存储密码还逍遥的这么久呢,是吧?
ps:其实有这么一个道理:做项目怎么样做才是最好?完美不是最好,刚刚好才是最好!
Ok,thanks。脾气不好的帖子我已经自我和谐了。非常感谢您注册后第一时间就来提建议。但是那个功能是我特意改出来的,我想不明白为什么我作为管理员都找不出来的密码,你在邮箱保存好不就完了嘛。