OSC基于HTTPS+SHA1客户端哈希的登录注册上线 - 开源中国社区
OSC基于HTTPS+SHA1客户端哈希的登录注册上线
oschina 2012年05月26日

OSC基于HTTPS+SHA1客户端哈希的登录注册上线

oschina oschina 发布于2012年05月26日 收藏 17 评论 30

二月底,开源中国社区全面启用强制 HTTPS 登录 ,但是来自 @litescript 的建议关于安全登录方面还可以进一步改进的空间,@litescript 建议贴请看 明文傳輸密碼是爲了明文保存密碼 ,关于这个问题,动弹里还有一份非常积极的讨论(详情

为此我们针对 OSCHINA 目前的登录和注册页面进行了调整,在表单提交之前将密码用 SHA1 哈希算法处理后再通过 HTTPS 传输到服务器,如此可确保密码本身不会被网络侦听获取,其次 OSCHINA 也无法得知您使用的密码。我们获取到的密码的哈希后会进行 OSCHINA 特定的一些置换算法后保存到数据库中。

目前此改造已经更新到服务器上。

还是那句话,关于安全方面的话题,再怎么深入讨论都不为过,OSCHINA 会以身作则,不断提升系统安全水平。

另外也非常感谢 @蟋蟀哥哥 之前找出 OSC 的一些 XSS 漏洞:)

为了避免漏洞被别有用心的人利用,如果大家有发现 OSC 的漏洞或者不足之处,请留言给 @红薯

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:OSC基于HTTPS+SHA1客户端哈希的登录注册上线
分享
评论(30)
最新评论
0

引用来自“dd”的评论

引用来自“鉴客”的评论

引用来自“dd”的评论

昨天才知道移动密保这东西
发现很强大

给我们大家讲讲呗 :)

有很多产品,原理差不多
一个随身携带的类似USB的东西,基本是根据时间,一般60秒更新一次,服务端绑定用户名和随身设备后,同步更新着
每次登陆都用你随身设备生成的密码登陆

早就有很多公司使用这个了,有些是15秒更新一次,登录公司内网需要输入那个小玩意上显示的几位数字.
怎么充电和怎么跟服务器同步还是不清楚啊
0

引用来自“xim”的评论

毫无意义的东西,https就够了
真想干的话,站长自已在端口上嗅探后查彩虹表(知道算法,生成彩虹表是轻而易举的事,另外云计算就是干这个的),一半的密码会在10秒内破掉

于是出现了加上salt的SSHA算法 就是简单地加上一个字符串到原密码上 结果原来已经算好的散列值就失效了 简单但是有效
0

引用来自“dd”的评论

引用来自“鉴客”的评论

引用来自“dd”的评论

昨天才知道移动密保这东西
发现很强大

给我们大家讲讲呗 :)

有很多产品,原理差不多
一个随身携带的类似USB的东西,基本是根据时间,一般60秒更新一次,服务端绑定用户名和随身设备后,同步更新着
每次登陆都用你随身设备生成的密码登陆

这和中行的网银U盾一样嘛,早就有了吧,想要了解啥最新的东东线上国外网站转转,说不定人家一千年前的文章就已经介绍过了,呵呵呵
0
客户端证书登录可否?
0

引用来自“RoamerLuan”的评论

引用来自“星迷”的评论

引用来自“dd”的评论

引用来自“鉴客”的评论

引用来自“dd”的评论

昨天才知道移动密保这东西
发现很强大

给我们大家讲讲呗 :)

有很多产品,原理差不多
一个随身携带的类似USB的东西,基本是根据时间,一般60秒更新一次,服务端绑定用户名和随身设备后,同步更新着
每次登陆都用你随身设备生成的密码登陆

我看有点扯!用那东西超过一年了。说同步更新真扯,,,我在那个显示屏上看见快到一分钟末时,有进度提示的,输入那六个字符,等60秒后重显示新字符后 再在页面上提交一样通过!这怎么解释

高端产品在此内情况发生的时候还有有另外一个TOKEN CODE要求你输入 双重保险 比如RSA 的secure 系列 你多查查相关资料就知道了 你说的是国内的某些产品 那都是唬人的 不可信 他都不是加密的 再怎么花哨都是白纸

呵呵 说起来 是中行的, 不知道是不是唬人的 谢谢你
0

引用来自“星迷”的评论

引用来自“dd”的评论

引用来自“鉴客”的评论

引用来自“dd”的评论

昨天才知道移动密保这东西
发现很强大

给我们大家讲讲呗 :)

有很多产品,原理差不多
一个随身携带的类似USB的东西,基本是根据时间,一般60秒更新一次,服务端绑定用户名和随身设备后,同步更新着
每次登陆都用你随身设备生成的密码登陆

我看有点扯!用那东西超过一年了。说同步更新真扯,,,我在那个显示屏上看见快到一分钟末时,有进度提示的,输入那六个字符,等60秒后重显示新字符后 再在页面上提交一样通过!这怎么解释

高端产品在此内情况发生的时候还有有另外一个TOKEN CODE要求你输入 双重保险 比如RSA 的secure 系列 你多查查相关资料就知道了 你说的是国内的某些产品 那都是唬人的 不可信 他都不是加密的 再怎么花哨都是白纸
0

引用来自“疯狂的流浪”的评论

"关于这个问题,动弹里还有一份非常积极的讨论(详情)" 是“动弹”还是论坛?

是动弹
0
不赖,OSC,太赞了!!!
0
"关于这个问题,动弹里还有一份非常积极的讨论(详情)" 是“动弹”还是论坛?
0

引用来自“dd”的评论

引用来自“鉴客”的评论

引用来自“dd”的评论

昨天才知道移动密保这东西
发现很强大

给我们大家讲讲呗 :)

有很多产品,原理差不多
一个随身携带的类似USB的东西,基本是根据时间,一般60秒更新一次,服务端绑定用户名和随身设备后,同步更新着
每次登陆都用你随身设备生成的密码登陆

Google 2-step verification 也是对不对? 在 Android 客户端上绑定上,挺安全的。
0
八楼太偏激了,稀罕ocs的分享精神
0

引用来自“litescript”的评论

作为始作俑者,小小的出名了一把

保密我是不丸懂呀, 支持你的發表讓大家方心上OSC !
亦大力支持OSC的改進精神 !
0
"username" + ":OSCHINA.NET:" + password -> sha256sum -> https 提交表单 -> 存入数据库
加入 username 可防止基于 hash 数据库破解密码
加入 ":OSCHINA.NET:" 可防止两个站点的数据相同
0

引用来自“dd”的评论

引用来自“星迷”的评论

引用来自“dd”的评论

引用来自“鉴客”的评论

引用来自“dd”的评论

昨天才知道移动密保这东西
发现很强大

给我们大家讲讲呗 :)

有很多产品,原理差不多
一个随身携带的类似USB的东西,基本是根据时间,一般60秒更新一次,服务端绑定用户名和随身设备后,同步更新着
每次登陆都用你随身设备生成的密码登陆

我看有点扯!用那东西超过一年了。说同步更新真扯,,,我在那个显示屏上看见快到一分钟末时,有进度提示的,输入那六个字符,等60秒后重显示新字符后 再在页面上提交一样通过!这怎么解释

实现不同嘛,算法可能有些区别
理论是那样的

是这个意思:我输入的是前一60内的字符,等后一个60秒内的字符出现一会儿了才提交。至于夸几个60秒的能否成功 还没试过,呵呵
0

引用来自“星迷”的评论

引用来自“dd”的评论

引用来自“鉴客”的评论

引用来自“dd”的评论

昨天才知道移动密保这东西
发现很强大

给我们大家讲讲呗 :)

有很多产品,原理差不多
一个随身携带的类似USB的东西,基本是根据时间,一般60秒更新一次,服务端绑定用户名和随身设备后,同步更新着
每次登陆都用你随身设备生成的密码登陆

我看有点扯!用那东西超过一年了。说同步更新真扯,,,我在那个显示屏上看见快到一分钟末时,有进度提示的,输入那六个字符,等60秒后重显示新字符后 再在页面上提交一样通过!这怎么解释

实现不同嘛,算法可能有些区别
理论是那样的
0

引用来自“dd”的评论

引用来自“鉴客”的评论

引用来自“dd”的评论

昨天才知道移动密保这东西
发现很强大

给我们大家讲讲呗 :)

有很多产品,原理差不多
一个随身携带的类似USB的东西,基本是根据时间,一般60秒更新一次,服务端绑定用户名和随身设备后,同步更新着
每次登陆都用你随身设备生成的密码登陆

我看有点扯!用那东西超过一年了。说同步更新真扯,,,我在那个显示屏上看见快到一分钟末时,有进度提示的,输入那六个字符,等60秒后重显示新字符后 再在页面上提交一样通过!这怎么解释
0
毫无意义的东西,https就够了
真想干的话,站长自已在端口上嗅探后查彩虹表(知道算法,生成彩虹表是轻而易举的事,另外云计算就是干这个的),一半的密码会在10秒内破掉
0
HTTPS和使用哈希加密密码之间,是不是作了重复的工作呢?

这样对于某些手机设备(无强大JS)的登录逻辑和普通浏览器的登录逻辑会有所不同。
0
我们系统中就是这个!
0
8 楼虽然表面看起来说的有道理,但OSC起码在技术实现上不断验证也是一种好的精神,所以我很怀疑8楼市 CSDN的人,哈哈,还匿名呢
顶部