国内大公司都是如此没安全意识么？

2015-10-20 00:12:17 +08:00

octref

前段时间的 XCodeGhost 事件，然后这回网易...

MD5 存密码不是和明文差不多了么。好歹加个 Salt 吧...

作为一个国外大学读本科的学生，要我来做我都会选 SHA256 + Salt, 网易是真的连这个都不懂的人在写 backend service 么？没有专门的人负责 security 么？没有 security audit 么？一个亿的用户的资料啊...

虽然这次没有其它公司，但是前段时间 XCodeGhost 的一大列...

以后有点不想回国了 T T

8309 次点击

所在节点

程序员

65 条回复

ritianhuang

2015-10-20 08:22:14 +08:00

完了一群中共国底层码农要高潮了

2015-10-20 08:26:09 +08:00

利用明文泄露的库，加上保存的盐，可快速算出一个新的彩虹表，然后再对比即可。

除非你的密码都是 lastpass 那种，而且位数超长，不然必然有很大几率和其他人相同。

ty0716

2015-10-20 08:35:18 +08:00

网易邮箱不是今年才开发出来的,发现问题的时候已经没法更改[或者难以更改],除非每个用户登录检测是不是用的 md5(pwd+salt),提示必须修改.否则无法登录。

Ansen

2015-10-20 08:44:25 +08:00

不是没安全意识~是技术在进步，岁月是把杀猪刀~

sutking

2015-10-20 08:58:18 +08:00

古代时候给皇帝建造陵墓的工匠们都有一个就秘密通道的习惯，为什么？

moe3000

2015-10-20 09:05:19 +08:00

backend service 什么意思啊， security audit 什么意思啊？能不能说中文啊

yaxin

2015-10-20 09:17:07 +08:00

这 B 装的

MrEggNoodle

2015-10-20 10:32:23 +08:00

@sogisha 非常感谢你告知这么多关键词。

janxin

2015-10-20 10:34:40 +08:00

历史遗留问题而已，网易那套 USR 估计几百年没人敢改....

66beta

2015-10-20 10:36:44 +08:00

既然能脱裤，那我用自己的账号做测试， salt 不也分分钟测出来？

slixurd

2015-10-20 10:42:00 +08:00

@66beta salt 都是明文保存的，如果是密码后面拼接一个固定字符串，那不叫 salt 。

visonme

2015-10-20 10:43:40 +08:00

在国内相对来说，很多小公司产品安全意识是很薄弱的。至于大公司说真的出现这样的问题确实不应该，不过也不排除因为历史原因造成的。

国外其实也存在这样的问题，只是情况会比国内的情况好点。

appppppp

2015-10-20 10:51:58 +08:00

别的不说，讲中文就好好说中文，英文就好好说英文，别那几个单词拿过来，太装国外呆那么久，你是见过我们讨论 security 还是 we talk about security 演讲中的中英文混差好好学学吧

adminsb

2015-10-20 11:00:42 +08:00

网易公司服务协议: 亲爱的用户，我是你爹

way2exp

2015-10-20 11:47:40 +08:00

一次作为技术工程师和客户沟通，
客户只想确保自己系统内金融模块的安全；
客户表示消费者的个人身份信息泄露什么的他们不在意；
当时心里就觉得万千羊驼奔腾而过~

dai269619118

2015-10-20 11:52:58 +08:00

优越感爆棚
说的好像国内有什么大公司要招你了一样

yoa1q7y

2015-10-20 12:00:06 +08:00

@dai269619118 但是国内公司确实一般，进去了之后才知道， BAT 都很 low ，庸才占大多数

wuchizhitu1988

2015-10-20 12:40:38 +08:00

因为大部分用户自己也不在乎..所以厂家也就更没这个意识了..

SonicY

2015-10-20 12:51:31 +08:00

apple, ms, lastpass, sony 比你们不知道高到哪里去了, 不照样.

zhangdawei

2015-10-20 12:51:55 +08:00

上来一句就是国内大公司，你是喷了多少公司

第 2 页／共 4 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/229388

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.