大家好,欢迎来到IT知识分享网。
新西兰比較有人气的华人社区站点是天维网(新西兰天维网),是这边华人用中文吐槽常常上的论坛,也是华人之间各种交易(比方买卖二手车)的集散地。上次非诚勿扰新西兰专场就是天维网承办的宣传和报名。来新西兰定居后我也知道了这个论坛并注冊了账号,注冊的时候看到没有HTTPS,但心想如今的站点怎么说对password也会有点保护或隐藏吧,没多想。
今天心血来潮。用Wireshark抓包看看。
任意输入usernametianweiid,passwordskypw。点登录。
查看Wireshark抓到的HTTP数据包,吓了一跳。赫然看到“password=skypw”
果然直接明文传password。这意味着在公共WIFI上网登录天维网的话,同个咖啡店喝咖啡的人,或者一起在图书馆学习的人,或是隔壁邻居。直接就看到用户的id和password。轻则看到用户全部私信等隐私,严重的话 假设用户的id和password和其它重要账号(比方email或网银)有重叠的话…
上午跟天维网报告这个问题之后帖子被关闭。说技术部在跟进,下午下班后天维网在论坛上回复了:
大家认为它的回复如何?
我是没看明确为什么提到百度。
欣喜看到这句“我们将在今后对论坛系统进行升级并使用256bit的https证书保护我们会员的传输安全性和隐私性”,仅仅是没有时间表。在这个实施之前。各位天维网的网友最好少在公共WIFI登录天维网。
————————————————————————————————-
很多其它博文请订阅RSS,很多其它微博请关注@千里孤行Nerd
转载于:https://www.cnblogs.com/blfbuaa/p/7248660.html
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://haidsoft.com/115267.html
