如徐克所说,我们这一代人,大抵都有一个侠客梦。侠是什么,鄙以为侠是人们对于公平公正,有情有义的一种人际氛围(社会)的追求的一种思想寄托,他也许并不存在,也许存在的侠没有高强的武功,绝顶聪明的头脑,可能被坏人杀掉,可能被官府抓去砍头……不过这些并没有妨碍侠在人们心中的位置,这是因为世间总有不平事,总有需要“侠”的地方。
扯远了,最近这次大规模泄密事件给了我太大的震撼,依稀记得在05年,我第一次做一个用户相关系统的时候,我很自然的使用了md5对用户的密码进行摘要处理(MD5: 一种摘要算法可以使"abc"变成"112833a32ef3d..."这种加密字符,它是单向的,至少在目前的计算条件下想要还原abc非常有难度)。对用户密码加密有多重的好处:
1. 为用户保密 即使网站被攻破,别人拿到加密串仍然没有可能知道你的真实密码。
2. 免除法律责任 我不清楚我国到目前有没有相关的法律法规,但至少在法庭举证时,你能提供未保存用户密码的证据(源代码)。
3. 其它(技术上的好处)
然而我真的很难理解CSDN这类的网站为什么要保存密码明文!
难道你们这些网站的技术人员,架构师没有一个初学者的常识? 我认为不是这样的,我所能想到的目的无非有2:分析用,分析用户密码的构成,研究用户密码使用习惯,可能可以做安全相关的产品也可能把分析结果卖给安全类公司。2. 非法目的,这个不详谈。
针对第一个目的,我认为网站经营者太狭隘了,这点蝇头小利值得你去冒牺牲用户信任的风险么?至少我不再信息你们!我确实已经改了密码,而且是我新想的。如果网站能提供给我删除账户的功能,我一定删除!
如果你们出于第二个目的,我只能说我希望侠出现。。。
PS:本篇与侠并无太大关系,只是心中愤懑而面对强大势力的时候,我们能想到啥呢?侠,你在哪?
扯远了,最近这次大规模泄密事件给了我太大的震撼,依稀记得在05年,我第一次做一个用户相关系统的时候,我很自然的使用了md5对用户的密码进行摘要处理(MD5: 一种摘要算法可以使"abc"变成"112833a32ef3d..."这种加密字符,它是单向的,至少在目前的计算条件下想要还原abc非常有难度)。对用户密码加密有多重的好处:
1. 为用户保密 即使网站被攻破,别人拿到加密串仍然没有可能知道你的真实密码。
2. 免除法律责任 我不清楚我国到目前有没有相关的法律法规,但至少在法庭举证时,你能提供未保存用户密码的证据(源代码)。
3. 其它(技术上的好处)
然而我真的很难理解CSDN这类的网站为什么要保存密码明文!
难道你们这些网站的技术人员,架构师没有一个初学者的常识? 我认为不是这样的,我所能想到的目的无非有2:分析用,分析用户密码的构成,研究用户密码使用习惯,可能可以做安全相关的产品也可能把分析结果卖给安全类公司。2. 非法目的,这个不详谈。
针对第一个目的,我认为网站经营者太狭隘了,这点蝇头小利值得你去冒牺牲用户信任的风险么?至少我不再信息你们!我确实已经改了密码,而且是我新想的。如果网站能提供给我删除账户的功能,我一定删除!
如果你们出于第二个目的,我只能说我希望侠出现。。。
PS:本篇与侠并无太大关系,只是心中愤懑而面对强大势力的时候,我们能想到啥呢?侠,你在哪?
扫一扫
1045
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
