OSC基于HTTPS+SHA1客户端哈希的登录注册上线

oschina
 oschina
发布于 2012年05月26日
收藏 17

二月底,开源中国社区全面启用强制 HTTPS 登录 ,但是来自 @litescript 的建议关于安全登录方面还可以进一步改进的空间,@litescript 建议贴请看 明文傳輸密碼是爲了明文保存密碼 ,关于这个问题,动弹里还有一份非常积极的讨论(详情

为此我们针对 OSCHINA 目前的登录和注册页面进行了调整,在表单提交之前将密码用 SHA1 哈希算法处理后再通过 HTTPS 传输到服务器,如此可确保密码本身不会被网络侦听获取,其次 OSCHINA 也无法得知您使用的密码。我们获取到的密码的哈希后会进行 OSCHINA 特定的一些置换算法后保存到数据库中。

目前此改造已经更新到服务器上。

还是那句话,关于安全方面的话题,再怎么深入讨论都不为过,OSCHINA 会以身作则,不断提升系统安全水平。

另外也非常感谢 @蟋蟀哥哥 之前找出 OSC 的一些 XSS 漏洞:)

为了避免漏洞被别有用心的人利用,如果大家有发现 OSC 的漏洞或者不足之处,请留言给 @红薯

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:OSC基于HTTPS+SHA1客户端哈希的登录注册上线
加载中

最新评论(30

mako
mako

引用来自“dd”的评论

引用来自“鉴客”的评论

引用来自“dd”的评论

昨天才知道移动密保这东西
发现很强大

给我们大家讲讲呗 :)

有很多产品,原理差不多
一个随身携带的类似USB的东西,基本是根据时间,一般60秒更新一次,服务端绑定用户名和随身设备后,同步更新着
每次登陆都用你随身设备生成的密码登陆

这和中行的网银U盾一样嘛,早就有了吧,想要了解啥最新的东东线上国外网站转转,说不定人家一千年前的文章就已经介绍过了,呵呵呵
LinkerLin
LinkerLin
客户端证书登录可否?
星星爷
星星爷

引用来自“RoamerLuan”的评论

引用来自“星迷”的评论

引用来自“dd”的评论

引用来自“鉴客”的评论

引用来自“dd”的评论

昨天才知道移动密保这东西
发现很强大

给我们大家讲讲呗 :)

有很多产品,原理差不多
一个随身携带的类似USB的东西,基本是根据时间,一般60秒更新一次,服务端绑定用户名和随身设备后,同步更新着
每次登陆都用你随身设备生成的密码登陆

我看有点扯!用那东西超过一年了。说同步更新真扯,,,我在那个显示屏上看见快到一分钟末时,有进度提示的,输入那六个字符,等60秒后重显示新字符后 再在页面上提交一样通过!这怎么解释

高端产品在此内情况发生的时候还有有另外一个TOKEN CODE要求你输入 双重保险 比如RSA 的secure 系列 你多查查相关资料就知道了 你说的是国内的某些产品 那都是唬人的 不可信 他都不是加密的 再怎么花哨都是白纸

呵呵 说起来 是中行的, 不知道是不是唬人的 谢谢你
RoamerLuan
RoamerLuan

引用来自“星迷”的评论

引用来自“dd”的评论

引用来自“鉴客”的评论

引用来自“dd”的评论

昨天才知道移动密保这东西
发现很强大

给我们大家讲讲呗 :)

有很多产品,原理差不多
一个随身携带的类似USB的东西,基本是根据时间,一般60秒更新一次,服务端绑定用户名和随身设备后,同步更新着
每次登陆都用你随身设备生成的密码登陆

我看有点扯!用那东西超过一年了。说同步更新真扯,,,我在那个显示屏上看见快到一分钟末时,有进度提示的,输入那六个字符,等60秒后重显示新字符后 再在页面上提交一样通过!这怎么解释

高端产品在此内情况发生的时候还有有另外一个TOKEN CODE要求你输入 双重保险 比如RSA 的secure 系列 你多查查相关资料就知道了 你说的是国内的某些产品 那都是唬人的 不可信 他都不是加密的 再怎么花哨都是白纸
红薯
红薯

引用来自“疯狂的流浪”的评论

"关于这个问题,动弹里还有一份非常积极的讨论(详情)" 是“动弹”还是论坛?

是动弹
LongRaindy
LongRaindy
不赖,OSC,太赞了!!!
疯狂的流浪
疯狂的流浪
"关于这个问题,动弹里还有一份非常积极的讨论(详情)" 是“动弹”还是论坛?
Wyatt
Wyatt

引用来自“dd”的评论

引用来自“鉴客”的评论

引用来自“dd”的评论

昨天才知道移动密保这东西
发现很强大

给我们大家讲讲呗 :)

有很多产品,原理差不多
一个随身携带的类似USB的东西,基本是根据时间,一般60秒更新一次,服务端绑定用户名和随身设备后,同步更新着
每次登陆都用你随身设备生成的密码登陆

Google 2-step verification 也是对不对? 在 Android 客户端上绑定上,挺安全的。
返回顶部
顶部