超级军网转专业人士分析:铁道部购票网站可能造成另一次的密码危 ...
来源:百度文库 编辑:超级军网 时间:2024/04/29 06:42:01
http://blog.csdn.net/m13666368773/article/details/7177128
第五,不用AJAX也罢了。你在登录的时候,能不能不要把我的密码漏在外面。
User: 明文
Pass: 真的是
各种服务器上面的小爬虫,你们可以开始工作了。大家的密码一网打尽,根本不用加密哒。
最后一个话题,如何比别人更快更好地买到火车票
第一,请使用如下网址登陆
https://dynamic.12306.cn/otsweb/main.jsp
其实,你需要的只是这部分,那个铁道部神马的图片,和你有什么关系!
第二,拼人品吧。
”铁道部正在不断优化相关程序,完善设备设施,增加网络带宽。“
其实,完全不是带宽的问题,这只不过是一种群众化的词语。
真正的问题在于那个内容分发系统,完全没有在做负载均衡。很想知道是不是你这个CDN系统服务器,是不是也在做业务服务器呀。
想想淘宝11月11号的那次疯抢,有出现登不上去的情况么?人家可是要加载图片的。
其实解决这个问题很简单,就是把你网络传输的内容减少90%,就可以了。
[以上内容为摘录自原文]
http://blog.csdn.net/m13666368773/article/details/7177128
第五,不用AJAX也罢了。你在登录的时候,能不能不要把我的密码漏在外面。
User: 明文
Pass: 真的是
各种服务器上面的小爬虫,你们可以开始工作了。大家的密码一网打尽,根本不用加密哒。
最后一个话题,如何比别人更快更好地买到火车票
第一,请使用如下网址登陆
https://dynamic.12306.cn/otsweb/main.jsp
其实,你需要的只是这部分,那个铁道部神马的图片,和你有什么关系!
第二,拼人品吧。
”铁道部正在不断优化相关程序,完善设备设施,增加网络带宽。“
其实,完全不是带宽的问题,这只不过是一种群众化的词语。
真正的问题在于那个内容分发系统,完全没有在做负载均衡。很想知道是不是你这个CDN系统服务器,是不是也在做业务服务器呀。
想想淘宝11月11号的那次疯抢,有出现登不上去的情况么?人家可是要加载图片的。
其实解决这个问题很简单,就是把你网络传输的内容减少90%,就可以了。
[以上内容为摘录自原文]
第五,不用AJAX也罢了。你在登录的时候,能不能不要把我的密码漏在外面。
User: 明文
Pass: 真的是
各种服务器上面的小爬虫,你们可以开始工作了。大家的密码一网打尽,根本不用加密哒。
最后一个话题,如何比别人更快更好地买到火车票
第一,请使用如下网址登陆
https://dynamic.12306.cn/otsweb/main.jsp
其实,你需要的只是这部分,那个铁道部神马的图片,和你有什么关系!
第二,拼人品吧。
”铁道部正在不断优化相关程序,完善设备设施,增加网络带宽。“
其实,完全不是带宽的问题,这只不过是一种群众化的词语。
真正的问题在于那个内容分发系统,完全没有在做负载均衡。很想知道是不是你这个CDN系统服务器,是不是也在做业务服务器呀。
想想淘宝11月11号的那次疯抢,有出现登不上去的情况么?人家可是要加载图片的。
其实解决这个问题很简单,就是把你网络传输的内容减少90%,就可以了。
[以上内容为摘录自原文]
http://blog.csdn.net/m13666368773/article/details/7177128
第五,不用AJAX也罢了。你在登录的时候,能不能不要把我的密码漏在外面。
User: 明文
Pass: 真的是
各种服务器上面的小爬虫,你们可以开始工作了。大家的密码一网打尽,根本不用加密哒。
最后一个话题,如何比别人更快更好地买到火车票
第一,请使用如下网址登陆
https://dynamic.12306.cn/otsweb/main.jsp
其实,你需要的只是这部分,那个铁道部神马的图片,和你有什么关系!
b_large_GlYr_718c0000af021261.jpg (21.56 KB, 下载次数: 1)
下载附件 保存到相册
第二,拼人品吧。
”铁道部正在不断优化相关程序,完善设备设施,增加网络带宽。“
其实,完全不是带宽的问题,这只不过是一种群众化的词语。
真正的问题在于那个内容分发系统,完全没有在做负载均衡。很想知道是不是你这个CDN系统服务器,是不是也在做业务服务器呀。
想想淘宝11月11号的那次疯抢,有出现登不上去的情况么?人家可是要加载图片的。
其实解决这个问题很简单,就是把你网络传输的内容减少90%,就可以了。
[以上内容为摘录自原文]
[再转一个分析]
CDN分发的是静态内容,之所以在国内很繁荣很大程度上是因为把握骨干网资源的电信和联通不干人事,为了自己的利益人为的阻碍两者间网络的互联互通,所以需要内容分发服务来将网站的静态内容分发到离用户访问最近地域的服务器上。但是动态内容仍然是与票务系统前端应用服务交互。所以在架构上需要前端负载平衡,多应用分库、大型主机架构、数据中心集群这些基本的提高动态内容交互的瞬间百万数量级并发,并非CDN。至于安全性,通常网站数据库里的密码是不可逆加密,这就造成前端势必要传输明文由后台加密后跟数据库里的加密串来比较。既然是不可逆加密前端是不应该传输加密串,如果前端采用可逆加密虽然看起来是加密了,但是由于是可逆的就很容易破解,也就没有意义了,反而徒增一步后台逆向解密再算不可逆串。所以在https前提下传递明文这样做并无不可,传递过程中就已经加密了。
CDN分发的是静态内容,之所以在国内很繁荣很大程度上是因为把握骨干网资源的电信和联通不干人事,为了自己的利益人为的阻碍两者间网络的互联互通,所以需要内容分发服务来将网站的静态内容分发到离用户访问最近地域的服务器上。但是动态内容仍然是与票务系统前端应用服务交互。所以在架构上需要前端负载平衡,多应用分库、大型主机架构、数据中心集群这些基本的提高动态内容交互的瞬间百万数量级并发,并非CDN。至于安全性,通常网站数据库里的密码是不可逆加密,这就造成前端势必要传输明文由后台加密后跟数据库里的加密串来比较。既然是不可逆加密前端是不应该传输加密串,如果前端采用可逆加密虽然看起来是加密了,但是由于是可逆的就很容易破解,也就没有意义了,反而徒增一步后台逆向解密再算不可逆串。所以在https前提下传递明文这样做并无不可,传递过程中就已经加密了。
原文的评论很可以看看,兼听则明。
2012-1-6 23:46 上传
4)提前一分钟,单击(刷新)验证码并填好(注意是只刷新验证码)。
5)提前几秒钟,单击 提交订单 按钮
最后补充几个注意事项:
1)确保网速够快
2)确保迅速完成修改参数步骤(最好提前演练几次)
3)提前在IE-32bit上登陆系统,以确保及时完成支付
另外,本人也尝试过电话预定,都以悲剧告终了。总结一下电话预定有两个劣势:
1)关键时刻(6点左右和8点左右)系统提示忙音,这种情况对于抢购为数不多的火车票的人来说简直就是灾难。
2)订票延迟较大,中间有10次以上的按键操作,即使你在选择席别的环节下获知存在硬卧火车票,等你选好其他选项时,票已经被抢没了。
[以上内容均为转贴]
http://blog.csdn.net/m13666368773/article/details/7177388
4)提前一分钟,单击(刷新)验证码并填好(注意是只刷新验证码)。
5)提前几秒钟,单击 提交订单 按钮
最后补充几个注意事项:
1)确保网速够快
2)确保迅速完成修改参数步骤(最好提前演练几次)
3)提前在IE-32bit上登陆系统,以确保及时完成支付
另外,本人也尝试过电话预定,都以悲剧告终了。总结一下电话预定有两个劣势:
1)关键时刻(6点左右和8点左右)系统提示忙音,这种情况对于抢购为数不多的火车票的人来说简直就是灾难。
2)订票延迟较大,中间有10次以上的按键操作,即使你在选择席别的环节下获知存在硬卧火车票,等你选好其他选项时,票已经被抢没了。
[以上内容均为转贴]
http://blog.csdn.net/m13666368773/article/details/7177388
waliangge 发表于 2012-1-6 23:26 ![]()
[再转一个分析]
CDN分发的是静态内容,之所以在国内很繁荣很大程度上是因为把握骨干网资源的电信和联通不干 ...
加解密这段说得很乱,基本上是不对的。
数据库里的密码怎么存储,跟网页密码输入、传输没有关系,只要考虑传输过程安全就行了,https是一个方法,也可以在前端加密。
可逆加密为什么容易破解?原理上就是不通的。
严格来说加解密算法都是可逆的,所谓不可逆,指的是散列算法。
[再转一个分析]
CDN分发的是静态内容,之所以在国内很繁荣很大程度上是因为把握骨干网资源的电信和联通不干 ...
加解密这段说得很乱,基本上是不对的。
数据库里的密码怎么存储,跟网页密码输入、传输没有关系,只要考虑传输过程安全就行了,https是一个方法,也可以在前端加密。
可逆加密为什么容易破解?原理上就是不通的。
严格来说加解密算法都是可逆的,所谓不可逆,指的是散列算法。
有道理,加解密算法要是不可逆,那程序自己都不知道怎么校验密码了。
铁道部的办事能力和态度有问题。一个实名售票,连印度都能搞定,这帮家伙跟挖了祖坟一样拖拖拉拉不愿意干。
实在干不好就换人,换能干的愿意干的来。
实在干不好就换人,换能干的愿意干的来。
mmgm 发表于 2012-1-7 16:31 ![]()
铁道部的办事能力和态度有问题。一个实名售票,连印度都能搞定,这帮家伙跟挖了祖坟一样拖拖拉拉不愿意干。 ...
三哥那个实名是你报什么名字,他给你打印什么名字,两回事。
铁道部的办事能力和态度有问题。一个实名售票,连印度都能搞定,这帮家伙跟挖了祖坟一样拖拖拉拉不愿意干。 ...
三哥那个实名是你报什么名字,他给你打印什么名字,两回事。
http://tech.it168.com/a2012/0106/1299/000001299035.shtml
居然连应用服务器Jboss、页面框架struts都推断出来了。
居然连应用服务器Jboss、页面框架struts都推断出来了。
壮东风 发表于 2012-1-7 17:49
http://tech.it168.com/a2012/0106/1299/000001299035.shtml
居然连应用服务器Jboss、页面框架struts都推 ...
这个很明显啊。
虽然用别的框架也能做出 .do 的后缀,虽然用别的应用服务器也(有可能)可以修改服务器名称信息,但这么做未免无聊。
壮东风 发表于 2012-1-7 17:49
http://tech.it168.com/a2012/0106/1299/000001299035.shtml
居然连应用服务器Jboss、页面框架struts都推 ...
这个很明显啊。
虽然用别的框架也能做出 .do 的后缀,虽然用别的应用服务器也(有可能)可以修改服务器名称信息,但这么做未免无聊。
壮东风 发表于 2012-1-7 02:02 ![]()
加解密这段说得很乱,基本上是不对的。
数据库里的密码怎么存储,跟网页密码输入、传输没有关系,只要考 ...
可逆的加密算法确实是不太安全的,一般安全是依靠密钥的长度,不可逆的加密算法天生优势要大点。另外,世界上并不存在绝对的安全,只要破解的成本比获得利益高出太多,那么我们就可以视为安全的。
加解密这段说得很乱,基本上是不对的。
数据库里的密码怎么存储,跟网页密码输入、传输没有关系,只要考 ...
可逆的加密算法确实是不太安全的,一般安全是依靠密钥的长度,不可逆的加密算法天生优势要大点。另外,世界上并不存在绝对的安全,只要破解的成本比获得利益高出太多,那么我们就可以视为安全的。
silverbeetle 发表于 2012-1-8 14:49 ![]()
可逆的加密算法确实是不太安全的,一般安全是依靠密钥的长度,不可逆的加密算法天生优势要大点。另外,世 ...
我觉得这是一种误解,可以评估一下AES 128位密钥的破解工作量,这是超算级别的任务,至于RSA 1024位以上密钥更不用说了。
数据库里存的密码有时候要解出来看的,而且万一要换散列算法或密钥怎么办?
可逆的加密算法确实是不太安全的,一般安全是依靠密钥的长度,不可逆的加密算法天生优势要大点。另外,世 ...
我觉得这是一种误解,可以评估一下AES 128位密钥的破解工作量,这是超算级别的任务,至于RSA 1024位以上密钥更不用说了。
数据库里存的密码有时候要解出来看的,而且万一要换散列算法或密钥怎么办?
我跟你说的基本是一个意思。不过我觉得这种口令加密的话,还是采用不可逆加密较好。至于传输的内容,似乎加密的必要性不大,加了密反而影响处理效率。
silverbeetle 发表于 2012-1-8 23:21 ![]()
我跟你说的基本是一个意思。不过我觉得这种口令加密的话,还是采用不可逆加密较好。至于传输的内容,似乎加 ...
我做过的几家公司,用户信息表的口令部分都采用了对称加密,当然密钥由我控制,也有人提议用MD5,没有任何悬念地被否了(不仅仅被我否)。
在现在的硬件条件下,一次交易处理加解密的开销,基本可以忽略不计。
我跟你说的基本是一个意思。不过我觉得这种口令加密的话,还是采用不可逆加密较好。至于传输的内容,似乎加 ...
我做过的几家公司,用户信息表的口令部分都采用了对称加密,当然密钥由我控制,也有人提议用MD5,没有任何悬念地被否了(不仅仅被我否)。
在现在的硬件条件下,一次交易处理加解密的开销,基本可以忽略不计。
我上个回帖被吞了,这种涉及到 anquan jiami zuoan等等,尼玛坑爹的关键词啊。
这个我得好好研究研究
哈哈 各种攻击都尝试一下啦
壮东风 发表于 2012-1-8 23:39 ![]()
我做过的几家公司,用户信息表的口令部分都采用了对称加密,当然密钥由我控制,也有人提议用MD5,没有任何 ...
任何简单的运算做太多次,系统也架不住的。有消息称12306每天的点击量是10E次,又据说有人开发了自动刷票的脚本。人民群众的智慧真的是无穷的啊。这种压力下,一个服务端想不崩溃都难啊。
我做过的几家公司,用户信息表的口令部分都采用了对称加密,当然密钥由我控制,也有人提议用MD5,没有任何 ...
任何简单的运算做太多次,系统也架不住的。有消息称12306每天的点击量是10E次,又据说有人开发了自动刷票的脚本。人民群众的智慧真的是无穷的啊。这种压力下,一个服务端想不崩溃都难啊。
壮东风 发表于 2012-1-8 23:39 ![]()
我做过的几家公司,用户信息表的口令部分都采用了对称加密,当然密钥由我控制,也有人提议用MD5,没有任何 ...
也就是说用户密码对于你来说是相当于明文存储了?
敢说出你做过的那几家公司都是谁么?我是不敢用他们的东西了
我做过的几家公司,用户信息表的口令部分都采用了对称加密,当然密钥由我控制,也有人提议用MD5,没有任何 ...
也就是说用户密码对于你来说是相当于明文存储了?
敢说出你做过的那几家公司都是谁么?我是不敢用他们的东西了
royqh1979 发表于 2012-1-10 16:03 ![]()
也就是说用户密码对于你来说是相当于明文存储了?
敢说出你做过的那几家公司都是谁么?我是不敢用他们的 ...
公司必须信任核心技术人员,技术人员也要有职业道德。
也就是说用户密码对于你来说是相当于明文存储了?
敢说出你做过的那几家公司都是谁么?我是不敢用他们的 ...
公司必须信任核心技术人员,技术人员也要有职业道德。
壮东风 发表于 2012-1-8 15:43 ![]()
我觉得这是一种误解,可以评估一下AES 128位密钥的破解工作量,这是超算级别的任务,至于RSA 1024位以上密 ...
在什么情况下需要把密码明文解出来看?
我觉得这是一种误解,可以评估一下AES 128位密钥的破解工作量,这是超算级别的任务,至于RSA 1024位以上密 ...
在什么情况下需要把密码明文解出来看?
royqh1979 发表于 2012-1-10 16:08 ![]()
在什么情况下需要把密码明文解出来看?
比如密码找回。不要跟我争论为什么不重置,这是业务设定。
还有就是更换存储密钥。
在什么情况下需要把密码明文解出来看?
比如密码找回。不要跟我争论为什么不重置,这是业务设定。
还有就是更换存储密钥。