谁和谁的战争？谁是谁的敌人？

wilson

最近论坛很不太平，以前颇为自信的我也成了受害者。

    从一个有20年IT开发建设、运维经验的老技术人员的角度，盗号这件事无非以下几种情形：
    1、个人密码设置不当。例如口令设置过短或过于简单，象'666666'、'888888'之类，很容易被猜到而引起盗号；
    2、个人计算机使用环境漏洞。例如电脑上被植入木马而被盗号；
    3、论坛数据库被入侵，导致账号、密码泄露；
    4、论坛存在其他安全漏洞，黑客可以绕开登录环节直接入侵

    前两种情况属于个人原因，导致的后果应由用户自负，同时通常影响面不会太大；而后面两者则属于论坛技术运维方面的原因，论坛的运维者应该担负主要责任。从发生的现象看，数据库被入侵的可能性更大，而且，在数据库中存储的口令信息很可能是明文。在我所涉及的所有软件项目（金融行业）中，口令一定是加密保存的，而且只能正向验证、不能逆向恢复。但在一些开源的论坛系统（尤其是较老的系统）中，口令经常是用明文保存的。只要这些信息一旦泄露，后果会非常严重。这次刀友网的事故并非没有先例，前两年CSDN等几家大型网站也发生过，而且影响更大。

    如果是我们公司开发的系统发生了这样的事故，我一定会第一时间跑到客户那里向客户道歉——“实在不好意思，给您造成麻烦了！”、“有没有造成损失啊？没问题，我们一定负责到底！”。但有些版主似乎不是这样想的，反而是把中镖的刀友当成了泄愤的对象——什么“三年不予恢复”啦、什么“持久战”啦，简直牛B的不行！其实盗号者就像是索马里海盗，瞅着有机会就抢几艘船、勒索点赎金，这对于救援者固然是件头疼的事，但总不能对被劫持的船员说“你要下次再被劫，不等海盗杀你，我先把你杀了”吧？如果论坛足够健壮，会有那么多人遭殃吗？连谁是敌人都没分清楚，谁的责任都没搞清楚，就在那里乱舞大刀，这不是牛B、而是2B！

    当个版主很牛气吗？我在一个叫ChinaUnix（搞技术的很多都应该知道）的论坛当版主也快10年了，期间也删过很多广告帖、也踢过人，但从来没有过“我的地盘我做主”的念头，而是觉得论坛是靠大家撑起来的。甚至于在自己的公司里签个字就能录用一个人或开掉一个人时，我都不会有那位版主一样的霸气，而是更多地感受到作为管理者的责任。虚拟世界里那点小小的权力，就可以让一个人虚荣到口无遮拦，这实在是件令人悲哀的事！

高远处

讲理，支持一下

法老的微笑

其实啊，我觉得你们都误会了，某版只是像备受宠爱的娇妻一样在她的男人面前撒撒娇而已。比如：今晚回来晚了就睡第一个回帖，感谢分享！； 不洗脚就不让上床；不准说谁比我漂亮，否则就离婚。诸如此类。应该并没有以谁为敌的想法，只是她的表达方式而已

也是悟净

法老说得对啊，罐子也要求大家讲密码设复杂点，论坛还是需要大家共同维护，这个又不是商业性论坛。
不过话说回来，近期论坛的商业气氛越来越重了

as78lly

不知道自己加密！！！管不管用？？？


我早已加密了！！！！！！

石墨烯

其实啊，我觉得你们都误会了，某版只是像备受宠爱的娇妻一样在她的男人面前撒撒娇而已。比如：今晚回来晚了就睡第一个回帖，感谢分享！； 不洗脚就不让上床；不准说谁比我漂亮，否则就离婚。诸如此类。应该并没有以谁 ...
法老的微笑 发表于 2013-5-14 14:00

性格粗狂，内心善良。。。。。

马马哈哈

都别折腾了，已经分三摊儿了你们还想分啊{:4_108:}

wilson

不知道自己加密！！！管不管用？？？


我早已加密了！！！！！！
as78lly 发表于 2013-5-14 14:06

你能加密什么？只要能访问到数据库、只要数据库里面的敏感信息还是明文，靠这点防护手段啥用都顶不了！

kuma5555

你们这帮男人太理性凡事都上纲上线的。

as78lly

只有论坛加密了！！！才能管用了！！！{:4_139:} 8# wilson

割鸡用牛刀

我早改了  复杂密码  密码问题  LZ的头像醒目

割鸡用牛刀

卧底呢？  卧底你在哪里？

faith_xy

非收费论坛

cactus125

我早改了  复杂密码  密码问题  LZ的头像醒目
割鸡用牛刀 发表于 2013-5-14 14:34

如果论坛数据库没加密, 被盗结果是一样D

wilson

我早改了  复杂密码  密码问题  LZ的头像醒目
割鸡用牛刀 发表于 2013-5-14 14:34

复杂密码可以抵御在不知道密码情况下的暴力攻击。就像两个人打牌，如果你不知道对手的牌，你只能靠猜，牌的张数越多、猜中的概率越小，但如果你直接能看到对手的牌，那还用猜吗？
密码问题也一样是要记录到数据库的。
如果能绕开应用系统而直接访问数据库，那一切都没有秘密可言。系统设计上的N层结构，数据库一定是在最核心的部分。在我们公司开发的系统中，交换机、防火墙、入侵检测等措施就会有很多道。我就不相信托管机房里会为每一个系统都单独部署这么一整套设备！

nldr

那么我有一个问题，我的密码是几个月前改的，为何到现在没被盗？如果数据库被盗，那么我这低智商的字符密码应该完全不顶用才对

割鸡用牛刀

我们捐款请高手吧，坛主找人把对方黑掉。

taiga

有没有哪位设置了验证问题，却仍然被盗的？
这个是否就能说明攻击手段是穷举还是潜入数据库了呢？

wilson

那么我有一个问题，我的密码是几个月前改的，为何到现在没被盗？如果数据库被盗，那么我这低智商的字符密码应该完全不顶用才对
nldr 发表于 2013-5-14 14:52

你知道攻击者用的是什么时候的数据库数据吗？
定期修改密码确实有必要，我就是在这点上疏忽了

有没有哪位设置了验证问题，却仍然被盗的？
这个是否就能说明攻击手段是穷举还是潜入数据库了呢？
taiga 发表于 2013-5-14 15:07

这只能说明攻击者（那些人还没资格叫黑客）没有使用针对性的软件。象这种论坛用的很多都是开源（或者盗版）软件，就像刀友首页左下角的“Powered by Discuz! 7.0.0”，后台数据库表结构都是一样的。攻击者用的软件也是通用的，只要找到几个能用的ID＋密码发发小广告就行，有验证码的ID过不了也无所谓。所以你们看到的表象就是“用了验证码就是安全的”，其实不是那么回事。如果攻击者有能力把验证码也用上，你可以想一下后果

wilson

刚才还发现一个小问题，在发帖时必须要输入验证回答，但在编辑帖子时则不需要——虽然在界面上有这个输入框。可见系统的安全加固还不彻底。