因为对Passport的关注,所以对于那些简易登陆的应用都比较关注。今天有朋友给我推荐了一个站,叫“密码盒子”([url]http://www.kesono.com/passbox/Login.asp[/url])。好象这个站还被HAO123推荐到首页的“酷站”里边。
这个网站提供的服务和以前单机的密码管家一类的软件相同。就是帮用户保存密码。减少用户记忆大量密码的困难。
单机的软件,数据被保存到自己电脑里,相对安全性就好控制一些。但是如果放在网上去,这就存在很大的安全顾虑。这不是说是否信任网站的问题,因为网络的安全问题,并不是一个网站自己可以防范的。
为了体验一下,我也注册了一个帐号,测试一把。发现问题不少。
1、这个站是让用户将某个站的用户名、密码都保存到自己的数据库里边,是明码的。
    也就是说,任何人如果获取到了这个数据库,就掌握了使用这个站的所有人的所有服务的密码(太恐怖了)。而能够获取的人,不只是网站管理员,也包括***(网络永远没有绝对的安全);
2、这个站没有使用HTTPS,所有的传输数据都是名文,所以,如果中途有人拦截数据包,就可以知道用户的用户名、密码……。
    虽然这个问题很多没有HTTPS的站都存在,但是,如果有一个站是专门提供这个服务,***完全可以就拦截到这个站的数据包,然后事半功倍的获得大量的“用户名+密码”。
3、这个站的登陆方式,是使用GET参数的方式,将用户名、密码发送到目标站。
    比如我加了一个新浪的,点自动登陆后,登陆地址是: [url]http://mail.sina.com.cn/cgi-bin/login.cgi?u=hezhiqun&psw=tenglong[/url]。很明显里边有明码的密码tenglong。
    首先,这个是利用了大多数登陆验证页面没有过滤GET方法的漏洞,其次,这种地址,将保留到浏览器的访问记录中,任何一个再次使用这个电脑的人,都可以通过这个连接登陆服务。
……
另外,我最近正在策划一个统一登陆的方案。其中就考虑到这种“密码保存”的服务。但是最终没有作为重点,因为这个服务,漏洞太多,安全性太难确保了。
不过,简化用户登陆步骤,减少用户记忆密码的负担还是一个很有意义的事情。只不过,在这个问题上的确需要很审慎才是。
PS:统一登陆方案,欢迎有实力的投资人给予天使投资或者风险投资。