June 10, 2012

这几天看了一下密码安全方面的资料，包括数据库中密码的保存方式，前端密码的传送等等。 感觉，MD5破解如此简单，网络上那么多明目张胆的提供hash查询的。 加点佐料来hash数据库中的密码，还是基本的安全措施，必须要做，否则hash基本无用，虽然也不能保证绝对安全。 用户密码太弱智，就算再安全的hash算法，也无用。 前端https还是相当重要，javascript来hash用户端密码基本无用，算法都暴露在外面了。 可是国内还是那么多网站，B2C网站基本的https都没有，情何以堪… 想到以前的明文密码时间， ...