DZ系列对于登陆上的严重设计缺陷 不算BUG

　　近期手头的一些DZ做源码的网站经常出现正常会员账号密码被猜到后，广告人使用正常注册会员的账号乱发广告的事件。经过分析，应该是DZ全系列产品中对于登陆上的严重设计缺陷造成的。

　　我们知道，DZ7x后，登陆程序可以支持自动识别用户使用注册名、邮件地址和UID的登陆，表面上是一种亲和的用户体验，但实际上属于登陆设计上的严重缺陷。

　　我们知道，DZ采取一个账号如果5次登陆操作密码失败后会锁定15分钟，嗅探账号密码的程序利用DZ支持UID登陆的设计，很轻松做成UID登陆账号密码嗅探程序，从一个UID1或指定UID开始顺序向后或向前使用简单密码试登陆。

　　例如很多会员图简单，密码设置为123456，那么就用这个密码做UID登陆嗅探，不出30分钟，我可以说，任何以DZ为源码的网站，会被广告机收集到大量账号供他们以后进入网站发广告帖。

　　希望康盛早日提供补丁，要么彻底取消UID模式的登陆，要么在后台给予设置开关，让站长选择是否支持UID模式的登陆。

啥也不说了，上个图，DZ的技术人员明白的

这个腾讯的技术应该是过硬的  看什么时候能结合起来

可以设置下密码的难度，设置简单密码不用探测也可以试出来

这个问题确实严重,
USERNAME, EMAIL 登录就够了,确实该取消UID登陆方式...

ARCHY` 发表于 2012-5-11 08:48
可以设置下密码的难度，设置简单密码不用探测也可以试出来

我说的是用UID序列循环的模式来嗅探是DZ的设计缺陷

至于密码简单被破是另外一个层面的问题，和我提出的问题不同。

　　使用UID密码嗅探扫描，可以随机生成UID序列表，也可以顺序扫描，还可以指定一批UID（例如管理团队成员），总之，这种嗅探是建立于DZ系列中支持UID登录的网站上。强烈建议取消UID登录。

gualist 发表于 2012-5-11 09:06
这个问题确实严重,
USERNAME, EMAIL 登录就够了,确实该取消UID登陆方式...

是的，应该取消
使用UID登录方式，等于给密码嗅探者一个渠道

看来目前暂时只能修改原程序来临时禁止UID方式登陆网站了

如何禁止UID登陆？……刚刚满天飞。这会还在发！！
https://discuz.dismall.com/thread-2773512-1-1.html