河北網絡安全博客

河北博客是一個關注網絡安全、網站設計、網站推廣、網站優化SEO、網站建設的河北地方博客。

« 河北省武強縣北堤南村發現清代湖北巡撫張渠兩方墓志銘河北淶源疑似豹吃羊事件 已有21只羊被咬死 中石化滄州煉油廠聚丙烯車間爆炸致1人受傷 »

電商招聘類網站存漏洞 八成網站登錄口令專家稱普通嗅探工具便可盜取密碼

  家住上海的李女士上周六京東商城賬號被盜,經查詢,對方正在瘋狂地用她的積分購物。“我3月份剛剛注冊一個新賬號,才買了幾次家電,竟然就被人盜了,實在太可怕了!”李女士并不知道,她的口令早已處于危險之中。5月29日,工業和信息化部計算機與微電子發展研究中心(中國軟件測評中心)等部門發布的《網站用戶口令處理安全性外部測評報告》(以下簡稱《報告》)指出,在100個樣本網站中,淘寶、京東、攜程、世紀佳緣等85個網站可在服務器端獲取用戶口令原文,僅8家網站采取了最安全的用戶口令傳輸模式。

  電商招聘類網站全軍覆沒

  2011年底,CSDN、天涯社區、貓撲等網站因為明文密碼存儲而被“刷庫”, 超過5000萬個用戶賬號和密碼在網上公開擴散。各大網站都加強了數據存儲的安全措施。然而,在用戶口令傳輸過程中,仍然存在很多隱患。一般而言,用戶在登錄網站,輸入用戶名和密碼之后,從用戶電腦傳輸到網站服務器,會經過口令傳輸、口令存儲認證等過程。而《報告》中顯示,大部分樣本網站在傳輸口令時,沒有做加密處理。其中,12家電子商務網、15家招聘網、10家婚戀網站采用了最不安全的“原始口令明文傳輸”,對口令沒有采取任何技術手段加密。

  《報告》主要負責人之一、中國軟件評測中心信息安全研究部副總經理劉陶告訴《IT時報》記者,這次測評采用了一款客戶端分析軟件,通過在網站上模擬注冊用戶名和口令,模擬用戶點擊,監聽瀏覽器內部頁面與服務器的交互過程,對交互中的數據包進行自動匹配,就能了解用戶名、口令是否以明文形態被傳輸,“這個方法通過自身模擬注冊和匹配度來評測,不會影響到他人用戶名和密碼。”

  原始口令明文傳輸比數據庫明文密碼存儲隱患更大。上海電信技術專家周學明告訴記者,用戶名和密碼通過管道到達網站服務器,如果運營商鋪設的管道安全,尚可抵御外部攻擊;如果用戶本身所在的網絡是不安全的,比如在私人建設的WiFi網絡中,處在同一網段內的黑客,就可以通過簡單的網絡嗅探或企業間諜等工具獲取用戶密碼信息。即便用戶密碼設得再復雜,也是形同虛設。”

  部分網站承認存在漏洞

  針對《報告》內容,《IT時報》記者隨機采訪了幾家被點名的網站。淘寶開發團隊表示,淘寶在用戶口令傳輸處理上確有一定的缺陷。他們已在新版本安全控件的開發中考慮這個問題,隨著新版本安全控件的發布,將會修復這個缺陷,實現高級別的加密傳輸模式。

  京東商城也表示,將加強口令傳輸過程中的安全措施。戀愛網站珍愛網的公關部門向記者說,珍愛網采用的是明文傳輸,但如果采用加密方式,可能會導致部分用戶不能正常登錄。

  周學明說,采用加密傳輸方式,確實會造成一些網站登錄復雜。正如網上銀行支付那樣,既要下載控件,輸入用戶名、密碼,又要獲取動態密碼等等,還有可能影響網頁打開速度,但是保密效果較好。

  “口令‘裸奔’并不是技術上的問題。”劉陶說,網站對用戶口令安全性進行維護其實不難,一個普通的編程人員就能基本搞定,之所以出現各種疏漏,可能還是網站安全意識不夠。“而對于用戶來說,用一個密碼‘包打天下’是非常危險的。李女士的密碼泄露很可能是因為她在諸多網站用的都是同一個密碼,一旦被盜,全盤皆露。因此消費者在各種網站不僅要設置不同的密碼,還要經常更換密碼。”

  口令加密方式無明確規范

  面對《報告》中提到許多網站進行口令明文傳輸的情況,許多網友提出質疑,“如果因為這種情況口令被泄,個人信息被盜或者造成經濟損失的話,網站是否有責任?”上海瑞富律師事務所副主任陳剛說,用戶用注冊口令登錄網站,相當于雙方之間的一種合同履行方式。如果信息被黑客攻取,黑客當承擔第一責任,網站應承擔連帶責任。然而在實際情況中,對于口令傳輸加密手段卻沒有明文規定。

  “在口令傳輸中,有些網站采取普通的加密方式,有些網站甚至不加密,沒有具體標準,用戶遇到了密碼被竊事件,很難向這些網站提出維權。”陳剛說。

  網絡安全專家李鐵軍介紹,其實業內在口令處理方面只有一些常識性原則,但是國內目前還沒有相關機構和組織,將上述零散的原則整理成為規范文檔。 

  “目前在網站用戶口令處理方面,沒有一個明確的標準或規范,如何處理用戶口令這一私密性很強的用戶個人信息,只能依賴網站開發者、運營者對安全常識的了解和自律性。標準的制定和明確將是個人信息保護工作中需要大力推進的方向。”李鐵軍表示。

 

 

站內導讀:
[HTC承認其Android手機漏洞或泄露WiFi密碼 全球最大BT站海盜灣多位創始人面臨牢獄之災]
[天涯4000萬用戶密碼遭泄露 新浪微博用戶密碼疑遭泄露]
[河北博客:電信局職工破解QQ密碼獲利 一次收費600]

  專家稱普通嗅探工具便可盜取密碼

  IT時報記者 尤歆飛




  • quote 12.菲斯
  • #廣東硅谷學院#學好IT好就業選硅谷IT,學技能拿文憑事半功倍,緊跟專業教師一起沖浪IT行業。我們有建設學習型專業師資團隊,教師領跑學生緊隨其后。http://www.sve.com.cn
  • 2015-6-19 20:30:39 回復該留言

發表評論:

◎歡迎參與討論,請在這里發表您的看法、交流您的觀點。

訂閱河北博客

  • 訂閱我的博客:訂閱我的博客
  • 關注新浪微博:關注新浪微博
  • 關注騰訊微博:關注騰訊微博
  • google reader
  • 鮮果
  • 抓蝦
  • QQ邮箱

河北博客站內搜索

河北博客相關鏈接

河北博客熱文排行

Powered By kingwq's blog

本站采用創作共用版權協議, 要求署名、非商業用途和保持一致. 轉載本站內容必須也遵循“署名-非商業用途-保持一致”的創作共用協議.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 2.5 License.冀ICP備09002514號.Copyright www.nfwwds.tw.2010

云南快乐十分走势图基本走势图百度