`
Jennycn
  • 浏览: 96593 次
  • 性别: Icon_minigender_2
  • 来自: 北京
社区版块
存档分类
最新评论

Follow your heart(183)---csdn密码泄露

 
阅读更多
我发现,专业不专业真的有时也不重要, 用心想很重要.

我这么外行的人,也知道密码都是明文的很可怕,对用户太不负责任,所以,之前当我以管理员身份,进入后台看到我的兼职的程序员给我做的网站,密码是明文的,大吃一惊, 马上和他说,这不对.而他已经在it行业工作了3年多.

当然,完全不懂技术,也许也以为这个是应该的.我恰巧有个小论坛,是phpwind的现成的,有时网站的其他用户密码忘记了,会和我说,要我帮他们找回来,我也是进去后台后,发现是看不到他们密码,不能给他们找,只能重新设置一个,通常我就设置为123,再让他们去改. 所以看到兼职的小伙子给我做的明文密码,立即就知道不对.

我更吃惊地发现,我竟然06年就注册了csdn,所以,我中招了...

我为啥那时注册csdn呢,我以为我是从今年才开始关心技术的啊...

不过,那时,应该是04年,我就想做一个和旅行相关的网站了,或者是06年,我因为什么原因查资料,到了csdn?

那时为啥没开始自学编程呢?

分享到:
评论
14 楼 Jennycn 2012-01-01  
蒋涛CSDN: 关于密码泄密后的事情 1)某上市公司忙着造假库往外扔 栽赃其他公司 想摆脱被曝明文库的证据 2)有网站通知所有用户改密码 乘机激活用户 3)还有网站 把这些公开库的数据直接导入自己用户库 也发通知给用户改密码 4)钓鱼的 垃圾邮件的都活跃起来了

这是csdn创始人的阴谋论. 看来真的是商场如战场.
13 楼 Jennycn 2011-12-30  
中华英才网也是明文密码,因为设置foxmail邮箱时,看到旧的邮件里,

尊敬的会员,您好,
您已经成功注册为中华英才网(ChinaHR.com)的个人会员,您的帐号信息如下:
  用户名:****
  密码:****

请保管好以上信息,这是您今后使用本网的求职服务所必需的。

12 楼 Jennycn 2011-12-30  
太搞笑了,淘宝真白痴

说是 数字,字母,符号的组合可以的,不能只是同一种,结果,我要是只输入字母和数字的组合就一直提示不安全...白痴, 你再复杂,要是是服务器数据库被盗,是这样的明文密码泄露,一样不安全,白痴.

最后,我数字,字母,符号都用上了! 是加了一个感叹号
11 楼 Jennycn 2011-12-30  
在被泄露出去的邮箱里,29日收到淘宝邮件,说我的淘宝账号可能被盗用,

由于您的帐户可能被他人盗用,现淘宝对您的帐户进行保护。保护期间,禁止此帐号登录淘宝网站。开通方式,请详见点击开通账户。
10 楼 Jennycn 2011-12-29  
大众点评网在12月27日,在我没有被泄露的另外的邮箱里发来了他们的提醒

尊敬的用户:

由于近日CSDN网站、天涯社区等网站的用户数据被公开,大量的注册邮箱和密码遭到曝光。
大众点评网提醒您,若您在点评网使用了与其它网站相同的注册邮箱和密码,强烈建议立即修改密码,确保帐号安全。
新密码最好有别于与您在其他网站的密码,请点击以下链接修改密码:
http://www.dianping.com/member/myinfo/setup/account
大众点评网



顺便说,据说当当网的密码也被泄露了


我觉得那个注册时的 条款完全可以去掉了.

所有的网站除了对用户的限制,什么都没有. 自己的密码泄露,没有一个对大众的赔偿机制.

天涯,当当,csdn这些都是经营性网站,而且是盈利的网站,道歉就了事了.

9 楼 Jennycn 2011-12-26  
尊敬的天涯社区用户:关闭
         我们非常抱歉地通知您,近日由于遭受黑客攻击,有多家网站的部分用户数据库外泄,天涯也是受害网站之一。为确保您的隐私及帐户安全,在此,我们恳请您尽快修改天涯社区相关帐户的密码。我们已经在个人微博首页发出提示修改密码的公告。如果您在其他网站也使用同一密码,请务必同时修改更新。
         目前天涯社区已向公安机关报案,公安机关也正在调查相关线索。
         再次向您致以深深的歉意!
关于天涯社区用户账号被泄露的声明:
         由于历史原因,天涯社区早期使用过明文密码,此次被盗的数据为2009年之前的备份数据。2010年之后,我们升级改造了天涯社区用户账号管理功能,解决了天涯社区用户账号的各种安全性问题。
         已通过邮箱或者手机号码激活账号的用户,请点此重置您的密码。

天涯没给邮箱发邮件,只在自己的网站上登了,对我等这样长期不去的用户,就很不好
8 楼 java960 2011-12-24  
我觉得csdn的通知很不明白,说了很多东西,对用户来说都不重要,搞得很糊涂。
7 楼 Jennycn 2011-12-24  
从接到的邮件看来,有些网站的工作还是比较仔细.

之前22号收到知乎的邮件,提示csdn有密码泄露,

知乎提醒您注意密码安全

***,您好

近日 CSDN 网站发生了用户数据库泄漏事件,知乎提醒您,如果您在知乎使用的密码与 CSDN 网站的密码一致,建议您修改密码,以保证账户安全。

点击下方链接重设密码


其实,我在知乎上的邮箱和这个csdn上泄露的不是一个,但这种提醒很好.

今天又收到58同城的提示,这个就做的更有针对了, 它应该是把自己数据库里的用户邮箱和公开的那些比对了,发现我在这用的邮箱和58的一样.



亲爱的58同城用户 ******:

近日,有媒体报道CSDN社区的部分用户数据库被公开,大量的注册邮箱和密码遭到曝光。

我们注意到您在58同城的注册邮箱也在其中,若您在58同城使用了与其他网站相同的注册邮箱和密码,请立即修改密码(http://my.58.com/password/),以免账户被盗。

新密码最好有别于与您在其他网站的密码。

58同城邮件中心
2011.12.23


新浪微博,大约是怕引起恐慌, 并无邮件单独发来,但在登录微博后,在顶部有一个不算很起眼的提示:

每天成千上万的互联网帐号存在被盗的风险,你知道自己帐号的安全状况么,请立即查看»

罪魁祸首csdn,我则是在今天,24号才在被泄露出去的那个邮箱里收到一封道歉信,和网上的一样.:

尊敬的CSDN会员:

    我们非常抱歉,近日发生了CSDN用户数据库泄露事件,您的用户密码可能被公开。我们恳切地请您修改CSDN相关密码,如果您在其他网站也使用同一密码。请一定同时修改相关网站的密码。
    目前CSDN已向公安机关正式报案,公安机关也正在调查相关线索。再次向您致以深深的歉意。

关于CSDN网站用户帐号被泄露的声明:

    CSDN网站早期使用过明文密码,使用明文是因为和一个第三方chat程序整合验证带来的,后来的程序员始终未对此进行处理。一直到2009年4月当时的程序员修改了密码保存方式,改成了加密密码。但部分老的明文密码未被清理,2010年8月底,对帐号数据库全部明文密码进行了清理。2011年元旦我们升级改造了CSDN帐号管理功能,使用了强加密算法,帐号数据库从Windows Server上的SQL Server迁移到了Linux平台的MySQL数据库,解决了CSDN帐号的各种安全性问题。


一、CSDN帐号数据库是明文保存密码吗?
2009年4月之前是明文,2009年4月之后是加密的,但部分明文密码未清理;2010年8月清理掉了所有明文密码。

二、我的CSDN帐号是安全的吗?需要修改密码吗?
1、如果你是2009年4月以前注册的帐号,且2010年9月之后没有修改过密码,请立即修改密码;
2、如果你是2009年4月以后注册的帐号,且2010年9月之后没有修改过密码,建议修改密码;
3、如果你是2010年9月以后注册的帐号,不必修改密码,但邮箱有泄露可能性;
4、如果你是2011年1月以后注册的帐号,帐号,密码和邮箱都非常安全;

三、CSDN帐号数据库现在是安全的吗?
历史遗留的安全隐患从2011年元旦起已经全部解决。
CSDN帐号数据库已经迁移到了Linux平台上的MySQL数据库,进行了多方面的安全加固,密码加密强度也很高。

四、CSDN老的帐号数据库是怎么泄露的?
目前泄露出来的CSDN明文帐号数据是2010年9月之前的数据,其中绝大部分是2009年4月之前的数据。
因此可以判断出来的泄露时间是在2010年9月之前。泄露原因正在调查中。

五、如果我的CSDN帐号已经被盗怎么办?
1、使用忘记密码功能,系统会重置密码,将新密码发到你的注册邮箱
2、给管理员发邮件,请管理员帮助找回帐号

六、我们将采取什么措施弥补此次问题?
1、我们将针对2010年9月之前的注册用户,提示修改密码,并提示用户把其他网站相同的密码也尽快修改
2、我们将针对所有弱密码用户进行提示,要求用户修改密码,并提示用户把其他网站相同的密码也尽快修改
3、我们将对2010年9月之前所有注册用户群发Email提示用户修改密码,并提示用户把其他网站相同的密码也尽快修改
4、我们将临时关闭CSDN用户登录,针对网络上面泄露出来的帐号数据库进行验证,凡是没有修改过密码的泄露帐号,全部重置密码。



立即点击进入CSDN重新设置密码>> 
如果您已忘记注册邮箱或者注册邮箱无法访问,请联系CSDN网站客服webmaster@csdn.net查询。
6 楼 Jennycn 2011-12-24  
java960 写道
泄露是一回事,更大的问题是如何泄露,应当整个资料库被黑,像csdn这样技术网站的资料最有价值的就是email跟密码,其他也没什么,不过连号称最大的IT网站都保不住自个的资料库,那其他的金融、企业网站呢?大家现在都在谈云端,要是将来也来个这样的情形,我想不是改密码这么简单应付。


唉,是啊, 我每次在携程订酒店和机票时,电话报信用卡号时,就想,这个,其实真的很不安全.因为那接线员就可以知道那些号码
5 楼 java960 2011-12-24  
泄露是一回事,更大的问题是如何泄露,应当整个资料库被黑,像csdn这样技术网站的资料最有价值的就是email跟密码,其他也没什么,不过连号称最大的IT网站都保不住自个的资料库,那其他的金融、企业网站呢?大家现在都在谈云端,要是将来也来个这样的情形,我想不是改密码这么简单应付。
4 楼 Jennycn 2011-12-24  
我发现,印度人给我之前做的东西里, 有一个发邮件,给链接,激活账号,可是,那个邮件里,也会有密码...是不是说明,这就是明文密码了?

因为,至少表明,这个邮件的发邮件的,就至少知道这个用户的密码了啊
3 楼 Jennycn 2011-12-23  
说起csdn的泄露,我就在想注册,登录的事情,还在想那个我一直关心的二级域名的事情.

之前注意过,iteye原来给用户一个默认的二级域名是 用的用户邮箱,比如,我要是用qq邮箱注册的话,他给你的域名是*****-qq-com.iteye.com,然后你可以改.

当时也没觉得太不对,因为,我看到国外的网站,是有默认用户的用户名(nickname)做为二级域名的,因为,他们的用户名不允许中文的,所以,这个就没问题,我们的用户名,是有中文的,就没看到这样用过,虽然,我看到文章说,其实要是dns没问题,这个是可以的.但一般有二级域名的网站无论是新浪,iteye,点点等,好像都没看到过用中文做二级域名的.所以,许多网站不给你设置默认的二级域名,你可以自己改.iteye之前有设置,就是用的邮箱, 是把邮箱的后缀也都一起放进去的. 之前,我觉得这个也没问题,

今天看到一篇文章,就觉得iteye的这个做法,可能还是有问题. 那篇文章是讲如何设计'找回账号"的功能. 他提到,一般凡是用邮箱做登录的,是不给外界(没被授信的人)看到邮箱的.否则容易被垃圾邮件. 我觉得也是. 顺便说句,很悲催的,我邮箱的密码是和其他账号的密码一样的.我太笨了.没想那么多.要是这次的话,人家就可以把邮箱的密码也给我改掉,那我想用这个邮箱去找回其他的网站的密码也不可能了.那个角度看,还是手机绑定账号靠谱.可是,手机泄露呢?垃当然,手机,人家不可能偷号,你可以用证件停,可圾短信现在就很头疼啊...

http://www.chinaz.com/manage/2011/1201/223906.shtml

很多系统直接用邮箱做帐号名(Apple ID,Facebook,新浪微博 …),这样一来,就算你的系统口令被盗,帐号的是改不掉的,于是你可以用邮箱找回(注:这些系统都会验证你的邮箱是否正确)。但是,如果用邮箱做帐号,会导致你的邮箱暴露了,这样为成为垃圾邮件的受害者,而且如果你还比较2的把邮箱的口令和帐号的口令设置成一样的,那么就相当坑爹了。所以,但凡是用邮箱用为帐号的系统都不会让人看到你的注册邮箱,比如,大家就不知道我新浪微博帐号注册的邮箱,就算是知道也应该是受信的人知道(新浪微博帐号的邮箱地址的默认可见度是“你关注的人”)。


2 楼 Jennycn 2011-12-23  
java960 写道
冥冥之中你跟IT结了缘而不知,5年后csdn泄密了,因为,要唤起你IT的前世今生:)


呵呵,我的智商情商,都不适合IT啊

IT理性,我感性

IT逻辑,我无逻辑

IT聪明,我愚笨

1 楼 java960 2011-12-23  
冥冥之中你跟IT结了缘而不知,5年后csdn泄密了,因为,要唤起你IT的前世今生:)

相关推荐

Global site tag (gtag.js) - Google Analytics