X3.5登陆方式直接用明文了吗？

hopejyb · 发表于 2023-1-28 17:21:42

印象中之前是md5加密之后传递的，现在X3.5直接明文传递了吗？

1 贡献

最佳答案

原有的md5加密后传输登录的方式因存在一定的安全隐患(如撞库攻击)，已在3.5版本移除
3.5版本使用了业界公认的安全实践方案来保存密码。

顺带一提：明文传输密码并不会降低安全性，前提是论坛需要使用https加密。

虽然也有少量业界实现会考虑在网页内使用非对称加密的方式再加密一次，但由于没有基于操作系统底层支持的公钥体系，这样的加密约等于掩耳盗铃，除了应付安全部门检查以外没有什么实际作用。

cornersoft
发表于2023-1-28 17:27:58
详细答案 >

cornersoft · 发表于 2023-1-28 17:27:58

原有的md5加密后传输登录的方式因存在一定的安全隐患(如撞库攻击)，已在3.5版本移除
3.5版本使用了业界公认的安全实践方案来保存密码。

顺带一提：明文传输密码并不会降低安全性，前提是论坛需要使用https加密。

虽然也有少量业界实现会考虑在网页内使用非对称加密的方式再加密一次，但由于没有基于操作系统底层支持的公钥体系，这样的加密约等于掩耳盗铃，除了应付安全部门检查以外没有什么实际作用。

hopejyb · 发表于 2023-1-28 17:31:38

cornersoft 发表于 2023-1-28 17:27
原有的md5加密后传输登录的方式因存在一定的安全隐患(如撞库攻击)，已在3.5版本移除
3.5版本使用了业界公认 ...

多谢答疑。

jacky9595 · 发表于 2023-1-28 18:18:16

cornersoft 发表于 2023-1-28 17:27
原有的md5加密后传输登录的方式因存在一定的安全隐患(如撞库攻击)，已在3.5版本移除
3.5版本使用了业界公认 ...

搭个帖问一下，请问阁下的reCAPTCHA云验证码什么时候支持x3.5？非常感谢

老周部落 · 发表于 2023-1-28 18:24:47

cornersoft 发表于 2023-1-28 17:27
原有的md5加密后传输登录的方式因存在一定的安全隐患(如撞库攻击)，已在3.5版本移除
3.5版本使用了业界公认 ...

另外从安全角度补充一点具体的隐患（以下都是基本常识或者公开内容，不涉及秘密）。

撞库攻击指的是因为 MD5 哈希实现在前端，程序无法区分是用户输入明文密码被哈希还是攻击者直接从其他使用 md5(password) 密码存储方式的其他网站获取的数据库进行尝试，因此是存在安全隐患的。
非对称加密的问题是无法抵御中间人攻击，中间人可以在服务器和客户端之间建设服务器，将服务器下发的公钥替换为自己的公钥实现截取密码数据，也可以在解密之后重新用服务器下发的公钥加密让用户无感知泄露密码。解决中间人攻击的唯一手段就是使用操作系统内置的根证书对服务器下发的公钥进行签名，也就是 HTTPS 使用的 CA 证书体系。

cornersoft · 发表于 2023-1-28 21:39:02

本帖最后由 cornersoft 于 2023-1-28 21:40 编辑

jacky9595 发表于 2023-1-28 18:18
搭个帖问一下，请问阁下的reCAPTCHA云验证码什么时候支持x3.5？非常感谢

仍然在开发当中，预计会支持X3.5，以及提供一些全新的功能。
时间无法确定。
另外可以尝试将X3.4版本的本插件直接复制至X3.5当中使用。理论上电脑端应该不会有不兼容的问题出现。手机端目前无法确定。

TeCHiScy · 发表于 2023-2-4 11:46:23

本帖最后由 TeCHiScy 于 2023-2-4 11:49 编辑

前端 md5 也不是完全没用吧。

假定 A 站没有 https 且使用明文，有人在 A 站上实施 MITM，这样就可以拿到 A 站用户的明文密码，这时候它可以直接用明文密码去撞 B、C、D 等其它站。
如果有前端 md5，MITM 拿到的就是 hash，虽然这时候攻击者还是能用 hash 直接登录 A 站，但是应该没办法撞 B、C、D，因为同一个用户即使明文密码一样，但是在别的站的 salt 各不相同，用从 A 拿到的 hash 在别的站不能使用。

感觉，这里实际上要不就是明文密码撞，要不就是 hash 值撞，感觉用户设置相同的明文密码的可能性很高，这样明文撞是不是更危险一些？

当然，如果 A 站有 https 那肯定没问题，但是实际是不是都正确配置了 https 就难说了，全部用明文感觉有点一刀切了。

老周部落 · 发表于 2023-2-4 12:53:14

TeCHiScy 发表于 2023-2-4 11:46
前端 md5 也不是完全没用吧。

假定 A 站没有 https 且使用明文，有人在 A 站上实施 MITM，这样就可以拿到 ...

1. 如果 BCD 也是同样的 md5(password) 做前端上传，那这个 hash 就可以通用。salt 是应用和数据库之间的交互，前端登录不涉及 salt 。
2. 如果不选用 HTTPS ，那任何其他方式包括公私钥都解决不了 MITM 的问题。现在黑客普遍也逐步具备解 md5(md5(password)+salt) 的能力了，而 MITM 的实施难度又远高于拖数据库，这么看来反倒是现状更合理。
3. 我觉得要加最多也就是套一层公私钥，对于只能监听不能 MITM 的场景会好于现状。

pcyi · 发表于 2023-2-4 13:48:21

老周部落发表于 2023-2-4 12:53
1. 如果 BCD 也是同样的 md5(password) 做前端上传，那这个 hash 就可以通用。salt 是应用和数据库之间的 ...

看了下上下文讨论内容
针对密码安全性方面，X3.5是不是必须要配置Https呢？

TeCHiScy · 发表于 2023-2-4 15:00:13

老周部落发表于 2023-2-4 12:53
1. 如果 BCD 也是同样的 md5(password) 做前端上传，那这个 hash 就可以通用。salt 是应用和数据库之间的 ...

如果前端不是简单 md5(password) 而是 md5(md5(password)+salt) 呢？

考虑到 md5 的碰撞和彩虹表等已知问题，这里甚至可让用户自由选择一种 hash 和具体拼接算法

这样至少在无 https 的情况下还能提供一些安全性

[已解决] X3.5登陆方式直接用明文了吗？

最佳答案

产品服务

开发者服务

使用教程