一个严肃的问题:在设计网站的 form 提交的时候,多少公司会捕捉失败的提交

2015-10-17 11:35:15 +08:00
 mengjue

很多人在密码出错的时候,会尝试自己的其他密码、用户名组合,如果捕捉了每一次的尝试,那就很大可能掌握了改提交用户的所有关键密码。

3656 次点击
所在节点    程序员
13 条回复
NeverBehave
2015-10-17 11:39:18 +08:00
表示我这种经常多个密码试的人很担心 QWQ 。但是已知只有后台 admin 登录的时候错误会有日志(见过一社工就是用这个方法猜的,因为拿不到 webshell 却看到了错误密码日志的数据库,于是成功进入后台)
7z7
2015-10-17 11:45:25 +08:00
大公司估计也会存储,只是没让你知道罢了.
qinxi
2015-10-17 11:53:05 +08:00
醍醐灌顶
timsims
2015-10-17 11:55:21 +08:00
如果那些公司真的有心想获取你密码的话就直接明文储存了(或者不明文但可逆),反正大部分人都是一套账号密码
virusdefender
2015-10-17 11:59:30 +08:00
我知道的几个公司至少会记录每天错误的次数,具体内容就不知道记不记录了。。
luoway
2015-10-17 12:08:42 +08:00
这个我在 DZ 论坛后台上看见了。 DZ 捕获了错误提交并明文显示。
aivier
2015-10-17 13:02:46 +08:00
很多地方都会这样做,但是如果用户是在用户名上多按了个空格,密码后面多按了个逗号呢?

个人感觉以不记录的方式做大数据分析来避免被爆破并提醒用户修改是好事,但是明文记录就有点过分了
lzhtony
2015-10-17 13:59:01 +08:00
@luoway DZ 是有掩码的吧.
luoway
2015-10-17 14:02:43 +08:00
@lzhtony 部分没有,我比较奇怪登陆错误日志里怎么偶尔冒出几个明文。
lzhtony
2015-10-17 14:11:42 +08:00
@luoway 是密码太短了?
shiniv
2015-10-17 14:45:33 +08:00
@luoway 在后台开了登录密码加密,然后就会在提交前 md5 一下密码再提交
siteshen
2015-10-17 18:38:11 +08:00
所以我厂现在的 app 都抛弃了密码登录的方案,包括后台管理界面,直接手机号+验证码登录。
pythonee
2015-10-18 08:11:44 +08:00
我也想到过这个问题

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/228738

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX