摘要:
《非诚勿扰》在新西兰的最后一场特别会议是天威组织的推广和注册。在新西兰定居后,我也了解了这个论坛并注册了一个账户。当我注册时,我看到没有HTTPS,但我认为当前站点会保护或隐藏密码一点。我没多想。随机输入用户名tianweiid和密码kypw。我很惊讶地看到,“密码=skypw”是在明朝直接通过的。您可以直接看到用户ID和密码。你最好少用公共WIFI登录天威。
新西兰比較有人气的华人社区站点是天维网(新西兰天维网),是这边华人用中文吐槽常常上的论坛,也是华人之间各种交易(比方买卖二手车)的集散地。上次非诚勿扰新西兰专场就是天维网承办的宣传和报名。来新西兰定居后我也知道了这个论坛并注冊了账号,注冊的时候看到没有HTTPS,但心想如今的站点怎么说对password也会有点保护或隐藏吧,没多想。
今天心血来潮。用Wireshark抓包看看。
任意输入usernametianweiid,passwordskypw。点登录。
查看Wireshark抓到的HTTP数据包,吓了一跳。赫然看到“password=skypw”
果然直接明文传password。这意味着在公共WIFI上网登录天维网的话,同个咖啡店喝咖啡的人,或者一起在图书馆学习的人,或是隔壁邻居。直接就看到用户的id和password。轻则看到用户全部私信等隐私,严重的话 假设用户的id和password和其它重要账号(比方email或网银)有重叠的话...
上午跟天维网报告这个问题之后帖子被关闭。说技术部在跟进,下午下班后天维网在论坛上回复了:
大家认为它的回复如何?
我是没看明确为什么提到百度。
欣喜看到这句“我们将在今后对论坛系统进行升级并使用256bit的https证书保护我们会员的传输安全性和隐私性”,仅仅是没有时间表。在这个实施之前。各位天维网的网友最好少在公共WIFI登录天维网。
-------------------------------------------------------------------------------------------------
很多其它博文请订阅RSS,很多其它微博请关注@千里孤行Nerd