发信人: pose(孤风冷月)
整理人: starseacn(2002-03-05 08:55:33), 站内信件
|
《利用web技术,远程盗用网易ID密码》最终说明
前两天发表了《利用web技术,远程盗用网易ID》一文,相继得到了很多网友的回复。经过认真总结大家提出的各种设想和依据,加以一定的技术实践,我们基本上可以得出以下结论:这个利用cookie漏洞破解网易ID的设想是不成立的。
我们基本上可以推测出网易通行证的登陆原理:用cookie只保存会话ID,而经过加密的密码是利用session来传递。
所以,我们的猜想是不成立的。
但是,我们也并非一无所获:至少我们又学会了一种远程获取cookie信息的方法。这种方法虽然对网易无效,但是,仍然有很多网站是用cookie来保存用户的登陆密码,安全意识淡薄的程序员大有人在。对于这些网站,我们仍然是有机可乘!
所以,在此也提醒各位程序员:提高安全意识,尤其是要加强对用户的密码资料的保护啊~~!
(全文完)
----
找啊找啊找朋友
找到一个好朋友
敬敬礼 握握手
我是你的好朋友 |
|