TGFC Lifestyle - Powered by Discuz! Board

标题: [家电] CSDN网站帐号数据库安全性问题 [打印本页]

作者: lvcha 时间: 2011-12-22 10:41 标题: CSDN网站帐号数据库安全性问题

robbin的blog：
我greader订阅里看到的，但是点link却是该地址不存在，很奇怪。
===========================================================================================

今天去首都在线机房清点服务器和网络设备，忙了一天。回到公司听说网络流传CSDN帐号数据库的事情，也不断有朋友和会员问我这个事情，CSDN帐号数据库是不是明文保存密码，是否安全？考虑到大家对这个问题都非常关注，解释一下相关的情况：

CSDN网站早期使用明文是因为和一个第三方chat程序整合验证带来的，后来的程序员始终未对此进行处理。一直到2009年4月当时的程序员修改了密码保存方式，改成了加密密码。

我2010年来CSDN上班以后，接手了CSDN产品部门和研发部门。在对整个CSDN网站产品线的梳理过程中，发现CSDN帐号的安全性仍存在潜在的问题：虽然密码保存已经修改为加密密码，但老的保存过的明文密码未清理；帐号数据库运行在Windows Server上的SQL Server，仍有被攻击和挂马的潜在危险，所以我要求程序员将所有明文密码全部清空。

2010年9月我组建了新的研发团队重写CSDN用户管理功能，在《我来CSDN的这一年》详细介绍了改造CSDN帐号管理passport的过程。新的passport产品在2011年元旦上线，使用了强加密算法，帐号数据库从Windows Server上的SQL Server迁移到了Linux平台的MySQL数据库，解决了CSDN帐号的各种安全性问题。

以下是大家可能关心的问题：

一、CSDN帐号数据库是明文保存密码吗？
2009年4月之前是明文，2009年4月之后是加密的，但部分明文密码未清理；2010年8月我来CSDN以后清理掉了所有明文密码。所以从2010年9月开始全部都是安全的，9月之前的有可能不安全。

二、我的CSDN帐号是安全的吗？需要修改密码吗？
1、2010年9月之前的注册用户和没有修改过密码的用户，请立即修改密码；
2、如果你是2010年9月以后注册的帐号，不必修改密码，但邮箱有泄露可能性；
3、如果你是2011年1月以后注册的帐号，帐号，密码和邮箱都非常安全；

三、CSDN帐号数据库现在是安全的吗？
历史遗留的安全隐患从2011年元旦起已经全部解决。CSDN帐号数据库已经迁移到了Linux平台上的MySQL数据库，进行了多方面的安全加固，密码加密强度也很高。

四、CSDN老的帐号数据库是怎么泄露的？
目前泄露出来的CSDN明文帐号数据是2010年9月之前的数据，其中绝大部分是2009年4月之前的数据。因此可以判断出来的泄露时间是在2010年9月之前。

五、如果我的CSDN帐号已经被盗怎么办？
1、使用忘记密码功能，系统会重置密码，将新密码发到你的注册邮箱
2、给管理员发邮件，请管理员帮助找回帐号

六、我们将采取什么措施弥补此次问题？
1、我们将针对2010年9月之前的注册用户，提示修改密码，并提示用户把其他网站相同的密码也尽快修改
2、我们将针对所有弱密码用户进行提示，要求用户修改密码，并提示用户把其他网站相同的密码也尽快修改
3、我们将对2010年9月之前所有注册用户群发Email提示用户修改密码，并提示用户把其他网站相同的密码也尽快修改
4、我们将临时关闭CSDN用户登录，针对网络上面泄露出来的帐号数据库进行验证，凡是没有修改过密码的泄露帐号，全部重置密码。

补充说明一点：

ITeye网站没有帐号密码被泄露的风险。ITeye网站得益于ruby on rails框架内置的特性，从一开始就使用了md5+salt的加密方式，从来没有保存过明文密码。且一直高度重视密码安全性问题：例如强制弱密码用户修改密码；密码三次输入不对就禁止登录。大家可以放心。

作者: wenhan1026 时间: 2011-12-22 10:46

这网站真坑爹啊！

作者: hudihutian 时间: 2011-12-22 10:48

问题是有的人邮箱写的是QQ邮箱，QQ密码跟CSDN密码一致，然后进了QQ就什么都有了。

作者: HJYtm 时间: 2011-12-22 11:29

渣站下载还要积分，早点关站得了

作者: lijgame 时间: 2011-12-22 11:38

大家关心都不是你这个sb网站的帐号，而是使用同样密码的邮箱甚至支付宝

我之前淘宝账户被盗，我就怀疑于此有关，用户名密码和csdn的一样，草
这sb网站已经好几年没上了，但还是中枪

作者: 绯雨流 时间: 2011-12-22 11:45

勤换密码

作者: adds 时间: 2011-12-22 11:51

结婚后所有密码都换了基本上，哦TG密码没换，老婆不care:D

作者: 木月 时间: 2011-12-22 13:08

posted by wap, platform: SAMSUNG (Nexus S)

日了，这么大的事他妈的连个道歉和通知都没有，最开始发现出问题及时通知大家，多少人的支付宝和邮箱就是安全的了

作者: 总是注册不成功 时间: 2011-12-22 23:33

posted by wap, platform: Android

这货纯sb,用MySQL就比sqlserver安全了？

作者: 一只纯猪头 时间: 2011-12-23 01:12

引用:

原帖由 总是注册不成功 于 2011-12-22 23:33 发表
posted by wap, platform: Android

这货纯sb,用MySQL就比sqlserver安全了？

我觉得是买不起数据库而已...

作者: Crusher 时间: 2011-12-23 07:17

posted by wap, platform: SAMSUNG (Galaxy Nexus)

真是草台班子，，，

作者: Eclipses 时间: 2011-12-23 08:16

posted by wap, platform: SAMSUNG (T959)

把名文的密码重新计算一次很难吗

欢迎光临 TGFC Lifestyle (http://bbs.tgfcer.com/)