Discuz(UCenter)应该考虑升级账户口令处理机制

mark35 · 发表于 2012-10-8 22:43:58

本帖最后由 mark35 于 2012-12-3 19:30 编辑

枯心树发表于 2012-10-8 22:40
插件这些更不可能阻挡的吧。。插件还是靠程序吃饭的。程序是什么样。。他们就得跟着做什么样的了。。
本 ...

也是，如果升级到新系统老插件本来就可能存在兼容性而永不了的
像CSDN那样用明文保存口令还被端了库的实在是技术界的黑色幽默

或者这么说，dz目前的口令存储方式让站长有可能知道用户的口令的。这就给社工提供了机会。当年牛过论坛的老大就是如此被钓鱼的

VanishT · 发表于 2012-10-8 22:57:06

希望官方能改进吧！！！

眼眸见温柔 · 发表于 2012-10-9 09:13:14

MD5不安全了么？

iwyangyang · 发表于 2012-11-8 09:28:47

论坛设定一个站点SALT，长度随便，可随便输入，也可由安装程序自动生成。一旦启用就不能更改
前端 sha256(pass + SITESALT) => hash1 --------> 后台 blowfish(hash1 + SALT) => hash2 -----> DB

请问这样改变加密方式，老会员登录是否会无法登录了？

mark35 · 发表于 2012-11-8 09:38:34

本帖最后由 mark35 于 2012-12-3 19:30 编辑

iwyangyang 发表于 2012-11-8 09:28
论坛设定一个站点SALT，长度随便，可随便输入，也可由安装程序自动生成。一旦启用就不能更改
前端 sha256 ...

修改 uc_client/control/user.php onlogin()函数，添加兼容代码实现新老方式自动转换即可

iwyangyang · 发表于 2012-11-8 09:52:20

能详细说说吗，麻烦能短信我qq号码吗？

mark35 · 发表于 2012-11-8 10:30:59

本帖最后由 mark35 于 2012-12-3 19:30 编辑

iwyangyang 发表于 2012-11-8 09:52
能详细说说吗，麻烦能短信我qq号码吗？

http://www.oschina.net/code/snippet_126398_8411 下载后自己研究吧～

2renxing。net · 发表于 2012-11-9 07:56:19

这个不太懂，看看再说

		自动登录	找回密码
密码			立即注册