帐号保镖功能中“弱密码登录检测”逻辑BUG

新版帐号保镖是一个很好的功能，特别是“弱密码登录检测”，可以检测老用户的密码让其加强。




但这个此功能存在逻辑bug，当开启“启用登录密码加密”的时候，此功能就是失效了。





“启用登录密码加密”是为了防止用户密码在传输过程中密码被直接嗅探到，所以“弱密码登录检测”功能应该放在登陆把密码进行md5加传输前，这样在登陆加密的时候把密码是否符合写个标记，登陆后做下判断即可，不要在密码加密传输后进行验证，本来很安全的东西，现在变得不安全了，请帮忙协助修复一下吧，现在撞库攻击太多，已有的安全功能基本能达到要求，只希望bug可以修复，谢谢。

虽然我知道你们开发、产品、运营都不会管这一摊事，但不忍心依然给你们反馈，哎。

嗯，启用“登录密码加密”后，“弱密码登陆检测”会失效，后者应该在js里做判断，不应该等提交上来再去判断

有些功能有冲突是正常的现象，站长合理分配功能就是了

monkeye 发表于 2014-7-8 10:55
有些功能有冲突是正常的现象，站长合理分配功能就是了

这可以两全其美的事情，为什么要退而求其次了，这是js在前台检测一下就能解决的问题，安全是一个整体，一个漏洞就可以击垮整体，discuz官网被入侵多次的原因也就是其中简单的一个跨站或者弱口令，希望加强下吧。

支持楼主