世界之窗论坛 - Powered by Discuz! Board

标题: [BUG反馈] 建议TW3 网络收藏暂时停用 [打印本页]

作者: tidehome 时间: 2009-6-1 07:40 标题: 建议TW3 网络收藏暂时停用

建议TW3 网络收藏暂时停用

不是打击TW,下面的问题,我可以保证它存在
TW3网上收藏的一个安全漏洞(更新证实方法)  (最新TW3.0.2.5)
http://bbs.ioage.com/cn/thread-93061-1-2.html

附: 建议1 默认关闭浏览器后,自动退出帐号. (自动登陆应该是用户自己选择,默认不好)
   建议2 隐私浏览,不应该保留用户网上收藏信息,不管是选择自动登陆或自动退出.
   建议3 个人bookmarks.dat 不默认自动保存,不然,上了公用电脑,不小心收藏就泄
   建议4 个人bookmarks.dat 分公开和私人.私人的加密
   建议5 个人bookmarks.dat 私人收藏默认不显示,输入密码才显示.(自动显示私人,应该是用户自己选择)

作者: veek 时间: 2009-6-1 09:47

不懂这些

作者: Continued 时间: 2009-6-1 13:55

收藏如果没有bug,数据应该是加密的,如果有Bug,才会出现问题,不过第一点还是不错.

作者: tidehome 时间: 2009-6-1 15:11

收藏如果没有bug,数据应该是加密的,如果有Bug,才会出现问题,不过第一点还是不错.
Continued 发表于 2009-6-1 13:55 http://bbs.ioage.com/cn/images/common/back.gif

既成事实是不能假设的.
"数据应该是加密的" 这好象理所当然,
但就最简单“置换表”算法,或常见的MD5加密都没有,别说更高的加密方式了.
tw对收藏文件的定位可能不一样,喜欢一贯的简洁作风.
但象导入导出这种管理性的操作,应该有口令保护.
毕竟网上收藏是私人信息

下面是 TW 和 Avant 收藏文件比较
看图
[attach]69849[/attach]

作者: Continued 时间: 2009-6-1 15:23

的确不是加密的.....我想错了

作者: xvlzw 时间: 2009-6-4 09:48

公用电脑从来不启用网络收藏，，只是在自己的电脑上使用，不过支持加密。。

作者: tidehome 时间: 2009-6-4 10:08

公用电脑从来不启用网络收藏，，只是在自己的电脑上使用，不过支持加密。。
xvlzw 发表于 2009-6-4 09:48 http://bbs.ioage.com/cn/images/common/back.gif

就算这样,但留下隐患

作者: hblf 时间: 2009-6-4 10:32

没必要停用吧，开发组在楼主另一个帖子里已经确认了bug存在，应该会在近期内解决的。
针对bookmarks.dat ，的确应该加强安全方面的考虑。
PS MD5不是加密算法。

作者: tidehome 时间: 2009-6-4 11:16

没必要停用吧，开发组在楼主另一个帖子里已经确认了bug存在，应该会在近期内解决的。
针对bookmarks.dat ，的确应该加强安全方面的考虑。
PS MD5不是加密算法。
hblf 发表于 2009-6-4 10:32 http://bbs.ioage.com/cn/images/common/back.gif

搜索md5加密看看
象Discuz! 的用户密码好象就是md5加密

作者: hblf 时间: 2009-6-4 11:19

建议楼主仔细阅读下密码算法相关书籍。针对算法的东东就不在这儿讨论了。

作者: tidehome 时间: 2009-6-4 11:29

本帖最后由 tidehome 于 2009-6-4 11:35 编辑

建议楼主仔细阅读下密码算法相关书籍。针对算法的东东就不在这儿讨论了。
hblf 发表于 2009-6-4 11:19 http://bbs.ioage.com/cn/images/common/back.gif

我说的MD5加密方法,是 MD5值填充了用户密码,让密码采用非明文方式.
填充方式就千奇百怪了,"密码算法"是一个名词,没固定的方式.
别让书籍愚弄了,
还有书籍没有,或者只有开发才知道的加密方式才是最安全的

附:" 没必要停用吧" ,问题证实后,但还没解决,这样做不是负责的态度吧

作者: hblf 时间: 2009-6-4 11:35

如果你熟悉MD5算法的实现方式及流程的话，你肯定不会说这种算法是加密算法。
哈希算法和加密算法，这两者在安全领域和密码领域是完全不同的两种东西。

作者: tidehome 时间: 2009-6-4 11:48

如果你熟悉MD5算法的实现方式及流程的话，你肯定不会说这种算法是加密算法。
哈希算法和加密算法，这两者在安全领域和密码领域是完全不同的两种东西。
hblf 发表于 2009-6-4 11:35 http://bbs.ioage.com/cn/images/common/back.gif

我说个例子 : 象密码 123456 ,MD5 是e10adc3949ba59abbe56e057f20f883e
我用填充方式,比如填充上日期e10a20dc30994906ba5039abbe56e057f20f883e
类似这样,你看不出是 123456. 我的目的达到.
叫不叫MD5算法.
任何一种创意都可能成为加密算法.

作者: hblf 时间: 2009-6-4 11:54

你所说的那种，已经不符合MD5的算法结构和流程，肯定不是MD5。
正如你所说，那是自己搞出来的一种填充方式。
最初我只是说，MD5不是加密算法，因为在安全领域大家都明白，这只不过是一种哈希算法罢了。
越扯越远了……

作者: tidehome 时间: 2009-6-4 12:12

本帖最后由 tidehome 于 2009-6-4 12:43 编辑

你所说的那种，已经不符合MD5的算法结构和流程，肯定不是MD5。
正如你所说，那是自己搞出来的一种填充方式。
最初我只是说，MD5不是加密算法，因为在安全领域大家都明白，这只不过是一种哈希算法罢了。
越扯越远了 ...
hblf 发表于 2009-6-4 11:54 http://bbs.ioage.com/cn/images/common/back.gif

说了例子你还不懂,
我说的MD5是MD5算法的值,填充是加密方法,2者合一(算法的值 + 加密方法 ),才成加密
这跟MD5的算法结构和流程有什么不符合.
跟叫不叫一种哈希算法有什么关系.

简单说MD5算法用于加密,就叫MD5算法加密
最后说,加密算法没有固定方式,那怕是哈希值,任何值算法都可以用于加密

作者: xvlzw 时间: 2009-6-4 13:16

说了例子你还不懂,
我说的MD5是MD5算法的值,填充是加密方法,2者合一(算法的值 + 加密方法 ),才成加密
这跟MD5的算法结构和流程有什么不符合.
跟叫不叫一种哈希算法有什么关系.

简单说MD5算法用于加密,就叫 ...
tidehome 发表于 2009-6-4 12:12 http://bbs.ioage.com/cn/images/common/back.gif

哈哈，加密算法是双向的，明码和密码之间可以通过算法相互转换；MD5算法是单向的，明码通过MD5算法可以得到MD5值，但是由MD5值是没有办法得到明码的，

作者: hblf 时间: 2009-6-4 13:18

回头看看，我已经不知道自己究竟是在讨论啥问题了。好吧，您认为是，那就是吧。
关于加密的东西就不多说了，毕竟这里是讨论tw网络收藏夹的。

作者: xvlzw 时间: 2009-6-4 13:27

尤尤，还是撤吧，密码学这东西，是

需要高等数学知识作为基础的，恩，还是撤吧。。

作者: tidehome 时间: 2009-6-4 13:27

本帖最后由 tidehome 于 2009-6-4 13:36 编辑

哈哈，加密算法是双向的，明码和密码之间可以通过算法相互转换；MD5算法是单向的，明码通过MD5算法可以得到MD5值，但是由MD5值是没有办法得到明码的，
xvlzw 发表于 2009-6-4 13:16 http://bbs.ioage.com/cn/images/common/back.gif

加密算法是双向的? 单向才安全啊!
MD5算法是单向,所以才用它.
密码是一个核对过程,并不用解开.
如果能解开,那里还算安全

附:

尤尤，还是撤吧，密码学这东西，是需要高等数学知识作为基础的，恩，还是撤吧。。
xvlzw 发表于 2009-6-4 13:27 http://bbs.ioage.com/cn/images/common/back.gif

用中文会更加安全

作者: xvlzw 时间: 2009-6-4 13:37

密码是一个核对过程,并不用解开

核对过程，专业术语叫做【校验】，MD5算法其实是一个校验过程；
而作为密码学来讲，加密和解密是缺一不可的，比如大名鼎鼎的RSA算法。
你所理解的密码和真正的密码学是完全不通的两个概念，如果有兴趣的话，建议你读一些密码学书来看一下，不过在这之前，建议你把大学信息与计算科学专业的相关基础课程浏览一下，

作者: tidehome 时间: 2009-6-4 13:41

本帖最后由 tidehome 于 2009-6-4 13:47 编辑

核对过程，专业术语叫做【校验】，MD5算法其实是一个校验过程；
而作为密码学来讲，加密和解密是缺一不可的，比如大名鼎鼎的RSA算法。
你所理解的密码和真正的密码学是完全不通的两个概念，如果有兴趣的话，建议 ...
xvlzw 发表于 2009-6-4 13:37 http://bbs.ioage.com/cn/images/common/back.gif

"加密和解密是缺一不可的" 又是谁告诉你的???
密不能解,才叫密. 能解还密什么?

还有书上能教,那也不够密了.

作者: hblf 时间: 2009-6-4 14:01

本帖最后由 hblf 于 2009-6-4 14:03 编辑

最后多句嘴，作为学过一年密码学的人，第一次听到ls这样的论调。密不能解，我要他作甚？加密到底是为了什么？为了谁都看不懂放在那么？这样的工作一点意义都没有。加密是为了通信更加安全！不能解，还通个毛信啊。
公钥算法、私钥算法，非对称加解密，希望tidehome同学可以看下基本概念。不然真的会闹笑话的。
MD5，只不过是一种哈希算法罢了，狐狸同学楼上说的校验，也是对的。他只不过是对信息“抽象”成了一个散列值罢了。不在这里纠缠这些了，毕竟这里不是专业信息安全论坛。
俺撤了～

作者: xvlzw 时间: 2009-6-4 14:10

本帖最后由 xvlzw 于 2009-6-4 14:19 编辑

呵呵，俺的密码学课程，貌似都是在睡梦中度过的，N年前的事情啦，都差不多忘得光光了。。。

ps：

还有书上能教,那也不够密了.

哈哈，密码算法都是公开的，密码之所以能保密，不是因为算法，而是密钥，

好了，俺也撤了，
版主来封贴吧，撤了。。

作者: tidehome 时间: 2009-6-4 14:13

MD5，只不过是一种哈希算法罢了hblf 发表于 2009-6-4 14:01 http://bbs.ioage.com/cn/images/common/back.gif

网上搜索一下,谁都知道?
但用在加密,就是不错的算法.

作者: tidehome 时间: 2009-6-4 14:20

本帖最后由 tidehome 于 2009-6-4 14:38 编辑

"密不能解，我要他作甚？加密到底是为了什么？"

这个道理很简单,象TW收藏网上密码核对成功后,才能进行查看,添加,删除等管理.
密码核对是不用解了,密不能解是为了更加安全

呵呵，俺的密码学课程，貌似都是在睡梦中度过的，N年前的事情啦，都差不多忘得光光了。。。
xvlzw 发表于 2009-6-4 14:10 http://bbs.ioage.com/cn/images/common/back.gif

醒了,那请教下,密码是能解的安全,还是不能解的安全?
密码核对用不用解开,才能核对?
"加密和解密是缺一不可的" 为什么不能少了解密

"哈哈，密码算法都是公开的，密码之所以能保密，不是因为算法，而是密钥"
密码算法不公开多了.

作者: 云端o枫o0 时间: 2009-6-4 14:32

这个，暂时没用在线网络收藏夹，都是开网页进去看的，呵呵。

作者: tidehome 时间: 2009-6-4 22:31

本帖最后由 tidehome 于 2009-6-4 22:38 编辑

重新看了一遍,我们说的好象不是一回事.
我说密码加密是口令,登陆管理的口令密码.("密码核对"多次提到)
你论的是全文加密.

但是就算全文加密,MD5算法一样能用,
一样可以把MD5值当成"置换法 , 填充法, 移位法..."等加密方式的数值表来加密解密.
就看你如何巧妙的使用了.
方法好,MD5算法一样能成MD5加密

作者: tidehome 时间: 2009-6-4 22:49

核对过程，专业术语叫做【校验】，MD5算法其实是一个校验过程；
而作为密码学来讲，加密和解密是缺一不可的，比如大名鼎鼎的RSA算法。
你所理解的密码和真正的密码学是完全不通的两个概念，如果有兴趣的话，建议 ...
xvlzw 发表于 2009-6-4 13:37

【校验】是值的比对.
我说的密码核对 ,就不一定值相同了.
得看加密方式用什么为依据了.动态密码应该知道吧

作者: 刚注册 时间: 2009-8-10 23:11

这问题决解了吗?

欢迎光临世界之窗论坛 (http://bbs.theworld.cn/)