TGFC Lifestyle - Powered by Discuz! Board

标题: 情怀厂撞库了 [打印本页]

作者: helllee 时间: 2014-5-22 17:46 标题: 情怀厂撞库了

这下玩大了估计已经有人吧数据库拖下来了
http://news.mydrivers.com/1/305/305580.htm

作者: skywei304146 时间: 2014-5-22 17:47

大事体了！

作者: kimura25 时间: 2014-5-22 17:55

posted by wap, platform: iPhone

it就是江湖敢說老子要上華山的就要有挨刀的覺悟

作者: 雾桑 时间: 2014-5-22 17:56

喷了，坐看怎么收场。

作者: himly3 时间: 2014-5-22 18:02

我不是为了黑你，我就是认真。:D

作者: 残想之岚 时间: 2014-5-22 18:09

就是没登录次数和验证码来阻止人用已有字典去对罢了...

网站小伙第二次犯错了~

事不过三第三次要开除网站小伙嘛？~

[ 本帖最后由残想之岚于 2014-5-22 18:15 编辑 ]

作者: ky-ex 时间: 2014-5-22 18:11

我注册了他们云服务，我需要该密码吗？

作者: 残想之岚 时间: 2014-5-22 18:15

引用:

原帖由 ky-ex 于 2014-5-22 18:11 发表
我注册了他们云服务，我需要该密码吗？

只要你密码符合安全规范并不简单并且和其它网站上不一致的情况下撞库对你来说是没有风险的~

作者: ky-ex 时间: 2014-5-22 18:17

引用:

原帖由 残想之岚 于 2014-5-22 18:15 发表

只要你密码符合安全规范并不简单并且和其它网站上不一致的情况下撞库对你来说是没有风险的~

密码本身倒是挺复杂的。我还是把其他网站上的密码一起改了。

作者: tobewind 时间: 2014-5-22 18:26

发布会当晚我用ff死活刷新都刷不到有预订页面的新网站, 后来清空了网页缓存才能看见.

讲真, 老罗是不是应该为了不妥协, 为了认真, 为了工匠精神先把网站小伙给锤杀了?

是不是这个道理?

作者: 残想之岚 时间: 2014-5-22 22:07

锤子工程师的情怀喷了~

您好，感谢您发现的这个问题。这虽然是业内同行造成的隐患，但对我们和我们的用户仍然重要。我们将在注册页面提醒用户，尽量不要使用在别家网站使用的密码，并定期更换，来解决这个问题可能造成的隐患。我们也有输入错三次密码就弹出验证码的机制。非常感谢。

作者: universe 时间: 2014-5-22 22:09

作者: 马甲爵 时间: 2014-5-23 01:15

我不是为了黑你，我就是认真。

作者: meidle 时间: 2014-5-23 07:26

posted by wap, platform: GALAXY NOTE II

我不是为了黑你，我就是认真

作者: 小强强 时间: 2014-5-23 09:45

求解释。。。。什么叫撞库？

作者: woob 时间: 2014-5-23 10:36

同不懂撞库啥意思？

作者: ppigadvance 时间: 2014-5-23 11:33

“撞库”是黑客术语，即用从某处得来的账号密码尝试在其他网站进行登录尝试，因此存在身份信息泄露风险。

作者: aironline 时间: 2014-5-23 11:38

我本来不懂业内同行造成的隐患是什么梗，但是看完撞库的解释就明白了。

作者: helllee 时间: 2014-5-23 11:42

网站管理平台没有输入错误以及验证码的限制
可以进行不断的账户尝试输入并且成功进入数据库

作者: 残想之岚 时间: 2014-5-23 11:50

引用:

原帖由 aironline 于 2014-5-23 11:38 发表
我本来不懂业内同行造成的隐患是什么梗，但是看完撞库的解释就明白了。

撞库的解释是这么一回事~

但撞库的隐患是网站自己造成的...

不能因为情怀就推到友商身上~

说句难听的有撞库隐患哪怕没数据库也可以傻傻的用字典去暴力破解...

只是花费的时间成本会高起来~

[ 本帖最后由残想之岚于 2014-5-23 11:51 编辑 ]

作者: aironline 时间: 2014-5-23 11:54

我的理解是我小米帐号和密码，和我锤子帐号密码一样的。我在小米的帐号泄露了，那黑客拿我小米帐号密码去登录锤子自然就一登录就上，这个叫撞库，是不是这个意思？如果是的话，这个小米这边泄密了，锤子这边怎么也没办法啊？

作者: 残想之岚 时间: 2014-5-23 12:04

引用:

原帖由 aironline 于 2014-5-23 11:54 发表
我的理解是我小米帐号和密码，和我锤子帐号密码一样的。我在小米的帐号泄露了，那黑客拿我小米帐号密码去登录锤子自然就一登录就上，这个叫撞库，是不是这个意思？如果是的话，这个小米这边泄密了，锤子这边怎么也没 ...

撞库是一种行为~

并不是针对个人的~

如果要按你说的去解释的话~

那么就是很多网站的用户的数据库被拖下来后情怀网站因为没有登录限制所以可以一直不停的被尝试利用已有数据库中账号以及密码信息组成简单的密码字典来碰撞看看是否能对上...

在网站没有登录限制的情况下本身就可以用工具不停尝试密码...

这隐患是网站本身造成的~

碰撞的成功率则和攻击者掌握的数据库有关~

[ 本帖最后由残想之岚于 2014-5-23 12:05 编辑 ]

作者: 蛇酱 时间: 2014-5-23 14:25

有多少人每个网站的密码都不一样的……

作者: 北冰洋野兔 时间: 2014-5-23 15:02

posted by wap, platform: Android

我的每个网站帐号密码都不一样

作者: 000月 时间: 2014-5-23 19:06

全都不一样+1，自从CSDN泄露之后就学乖了

作者: 残想之岚 时间: 2014-5-23 21:42

引用:

原帖由 000月 于 2014-5-23 19:06 发表
全都不一样+1，自从CSDN泄露之后就学乖了

不得不提醒一句对这种攻击方式来说全部不一样并不代表安全~

各密码账号之间没有任何联系并且密码强度达到中高以上才是安全~

欢迎光临 TGFC Lifestyle (http://bbs.tgfcer.com/)