CSDN仍然在网络上传输明文密码我新注册CSDN账户,截取了注册的GET请求,可以看到,CSDN未对客户的密码等请求信息做任何形式的加密处理。
新注册请求:
GET /ajax/accounthandler.ashx?t=reg&un=test_911&pwd=test_911passwd&em=cheungmine@21cn.com&ct=%u5E7F%u5DDE&***=%u7537&job=%u9879%u76EE%u603B%u76D1&hy=%u91D1%u878D&jy=%u5B66%u751F&cd=e6rt7 HTTP/1.1
GET /ajax/accounthandler.ashx?t=reg&un=test_911&pwd=test_911passwd&em=cheungmine@gmail.com&ct=%u5E7F%u5DDE&***=%u7537&job=%u9879%u76EE%u603B%u76D1&hy=%u91D1%u878D&jy=%u5B66%u751F&cd=e6rt7 HTTP/1.1
使用我的原有CSDN账户登录,依然可以看到用户的密码是明文传递的:
登录请求:
GET /ajax/accounthandler.ashx?t=log&u=cheungmine&p=winsdk&c=wbe2x&remember=0&f=http%3A//passport.csdn.net/account/login HTTP/1.1
ChinaUnix也是明文传递,不同是POST方式。
我终于无话可说了。用户对这类网站千万不要抱有什么安全的想法了。这种网站就是给我们扯淡的,敏感信息千万不要存在里面,包括密码,千万别用和其他网站一致的关键的密码。
阅读(2706) | 评论(1) | 转发(0) |