DZ系列对于登陆上的严重设计缺陷 不算BUG

取消UID登陆

楚君 发表于 2012-5-12 23:18
是的，我已经修改原程序，取消了UID登陆的功能，借助UID登陆的嗅探程序再也没来我的网站了。

请问如何取消UID登录?

下砂公佈的辦法只是治標不治本的方式，嗅探密碼程序就是利用DZ支持的UID登陸模式來循環探查的，雖然這個插件能夠對弱密碼起作用，但密碼的問題很複雜，有些會員為了圖簡單採取帳號和密碼相同字符的模式，例如帳號kkk69798密碼也是kkk69789，這樣的密碼已經不是弱密碼，但一樣能夠被靠UID循環嗅探密碼的程序通過使用帳號和密碼同字符的模式來試探密碼。

官方不采取禁止UID模式登陆，而是通过提供插件强制会员使用复杂密码，表面上解决了密码嗅探程序对弱密码探查，但UID登陆被嗅探的大门依然敞开，嗅探程序根据注册者的大多数习惯，一样能分析出所谓的“强”密码规律做成密码字典，破解可能依然存在。

无论从什么角度来看，密码都被强制设置为复杂模式（例如字母数字混合），UID的登陆已经没有存在价值，无论是电脑登陆，还是是手机登陆，特别是手机登陆操作登陆必然需要切换字符状态，纯数字的登陆输入既然不存在了，还弄个UID登陆干什么