OSC基于HTTPS+SHA1客户端哈希的登录注册上线

oschina
 oschina
发布于 2012年05月26日
收藏 17

二月底,开源中国社区全面启用强制 HTTPS 登录 ,但是来自 @litescript 的建议关于安全登录方面还可以进一步改进的空间,@litescript 建议贴请看 明文傳輸密碼是爲了明文保存密碼 ,关于这个问题,动弹里还有一份非常积极的讨论(详情

为此我们针对 OSCHINA 目前的登录和注册页面进行了调整,在表单提交之前将密码用 SHA1 哈希算法处理后再通过 HTTPS 传输到服务器,如此可确保密码本身不会被网络侦听获取,其次 OSCHINA 也无法得知您使用的密码。我们获取到的密码的哈希后会进行 OSCHINA 特定的一些置换算法后保存到数据库中。

目前此改造已经更新到服务器上。

还是那句话,关于安全方面的话题,再怎么深入讨论都不为过,OSCHINA 会以身作则,不断提升系统安全水平。

另外也非常感谢 @蟋蟀哥哥 之前找出 OSC 的一些 XSS 漏洞:)

为了避免漏洞被别有用心的人利用,如果大家有发现 OSC 的漏洞或者不足之处,请留言给 @红薯

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:OSC基于HTTPS+SHA1客户端哈希的登录注册上线
加载中
此新闻有 30 条评论,请先登录后再查看。
返回顶部
顶部