标签:style blog http color 使用 数据 ar 2014
新西兰比较有人气的华人社区网站是天维网(新西兰天维网),是这边华人用中文吐槽经常上的论坛,也是华人之间各种交易(比如买卖二手车)的集散地。上次非诚勿扰新西兰专场就是天维网承办的宣传和报名。来新西兰定居后我也知道了这个论坛并注册了账号,注册的时候看到没有HTTPS,但心想现在的网站怎么说对密码也会有点保护或隐藏吧,没多想。
今天心血来潮,用Wireshark抓包看看。
随意输入用户名tianweiid,密码skypw,点登录。
查看Wireshark抓到的HTTP数据包,吓了一跳,赫然看到“password=skypw”
果然直接明文传密码。这意味着在公共WIFI上网登录天维网的话,同个咖啡店喝咖啡的人,或者一起在图书馆学习的人,或是隔壁邻居,直接就看到用户的id和密码。轻则看到用户所有私信等隐私,严重的话 如果用户的id和密码和其他重要账号(比如email或网银)有重叠的话...
上午跟天维网报告这个问题之后帖子被关闭,说技术部在跟进,下午下班后天维网在论坛上回复了:
大家觉得它的回复怎样?
我是没看明白为什么提到百度。
欣喜看到这句“我们将在今后对论坛系统进行升级并使用256bit的https证书保护我们会员的传输安全性和隐私性”,只是没有时间表。在这个实施之前,各位天维网的网友最好少在公共WIFI登录天维网。
-------------------------------------------------------------------------------------------------
标签:style blog http color 使用 数据 ar 2014
原文地址:http://blog.csdn.net/codenerd/article/details/38733917