收到了支付宝的安全校验短信,不知道和这次的 OpenSSL 漏洞有关与否

2014-04-10 00:59:44 +08:00
 ritksm
昨天(9号)晚上十点的时候收到的,但是那个时候并没有使用支付宝。无论是手机还是电脑(人在外面)

于是就猜想。。是不是有人在试我的密码。。回来立马就改了两个密码。。唉

然后搜了下微博发现。。



也不知道当信不当信,但愿是个例!
3510 次点击
所在节点    问与答
8 条回复
lightforce
2014-04-10 01:05:13 +08:00
http://www.wooyun.org/bugs/wooyun-2014-055932
ritksm
2014-04-10 01:07:04 +08:00
@lightforce 保存明文密码有点不厚道了...只好呵呵了...
for4
2014-04-10 01:39:18 +08:00
@ritksm 读取的是内存中的明文密码,不代表明文保存。
senghoo
2014-04-10 08:44:26 +08:00
@for4 密码不是应该哈希后保存对比的么。。
for4
2014-04-10 09:38:42 +08:00
@senghoo 这个密码是浏览器POST到Webserver的内容,绝大部分都是明文的。
ritksm
2014-04-10 10:20:14 +08:00
@for4 但为什么会在内存里停留“一段时间”呢。。难道不是阅后即焚?
zzNucker
2014-04-10 10:33:36 +08:00
@ritksm 。。。。。。 内存不是你想焚,想焚就能焚。
niseter
2014-04-10 23:21:57 +08:00
@ritksm 客户端把密码发到服务器,往往是明文套壳SSL,然后服务器比较,比较过程就是在内存啊亲。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/107913

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX