事情的起因: 公司有一个网站,还有5个女编辑天天往上发资料。某天我很猥琐的修改了一下登录程序。将登录密码用明文的方式记录下来(
本来是想通过社工方式看看女编辑们的QQ空间神马的...)
第二天我得到了4个密码(有一个生病请假了,算她走运) 当我打开密码明文列表时我震惊了:三个密码是6位的纯数字,还有一个稍微好点:字母a加上6位纯数字。 劳资立马就火了,尼玛我查漏洞你们丫就用这种密码,被破解了肿么办?被社工了肿么办?
于是我修改了登录方式: 每个人发一个密钥文件(其实就是一段32位长度的随机字符),字符存储在数据库里,每次登录都上传密钥文件。验证成功后变换数据库密钥,在提示下载。为了保证密钥是最新的,密钥文件名上面都会加上时间。
========= 补充一下 ========= 这种方式也有安全问题,但这世上就没有不透风的裤子。由于这种登录方式用的比较少,所以万一哪个女编辑电脑中毒了,程序化的后门还不至于把密钥上传。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
你们编辑不会向上级反映很麻烦么######点赞######我就是他们上级......###### 奇葩码农+女编辑
结论: 永远不要用qq密码作为工作密码 ######一个程序员与女编辑.avi######少见多怪,整个中国99%的网站都记录明文密码的######
######
奇葩码农+女编辑,.avi######人才...哈哈######你这事直接复制楼上的丫###### 上ukey.加一层特殊的加密. ######回复 @RocChan : 黑的漂亮。。。我也觉得凡是跟钱没关系的事情跟我都没关系######那得花钱买UKey的,要是惊动了Boss,我这月的奖金就危险了。安全事小,奖金事大!!!######我与公司五个女编辑的故事.avi######亮了,标题党######要无码的!######码农也是有节操的!######这个可以有###### 女编辑那么弱,那你让她们修改密码,密码验证的时候麻烦点:字母大小写 + 数字 + 特殊字符。简单点,直接添加js验证规则,后台都不改了…… 三个月强制修改一次密码。 ######同意楼上的观点...######私は会社側との五女編集者の話だ.rmvb######叼炸天0 0######我与公司五个女编辑的不可说的秘密.AVI 大小 10G ######公司内网有两台Dell T420服务器,问题不大######时间长了,产生10G的密钥文件######奇葩码农+女编辑之AV.avi
