[伪。技术宅][纯讨论]好吧，我抓了一下数据包。。。关于178的修

时间:2012-07-02 11:38 来源:www.vimiy.com 作者:编辑 点击:次

先放抓包结果：
   
   
   
   x-requested-with: XMLHttpRequest
   
   Content-Type: application/x-www-form-urlencoded; charset=UTF-8
   
   Accept-Encoding: gzip, deflate
   
   User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
   
   Host: account.178.com
   
   Content-Length: 114
   
   Connection: Keep-Alive
   
   Cache-Control: no-cache
   
   Cookie: rtime30039253=6; ltime30039253=1334425234605; cnzz_eid30039253=90455201-1312986979-http%3A//bbs.ngacn.cc/; __utma=177956021.147487603.1312987864.1318068811.1321067060.3; CNZZDATA30039253=cnzz_eid=79006382-1341073970-http%253A%252F%252Fbbs.ngacn.cc%252Fnuke.php%253Ffunc%253Ducp%2526uid%253D94020&ntime=1341073970&cnzz_a=2&retime=1341074523945&sin=http%253A%252F%252Fbbs.ngacn.cc%252Fnuke.php%253Ffunc%253Ducp%2526uid%253D94020<ime=1341074523945&rtime=0; b_smile=17DD0D1; _sid=cede13081d4ecf65a8f8532795e1c3539666b534; _i=hH1Rw%2BWBPIb2sKa8ul1QklKcPvLPJfZ0JGxtizICM2XASNK05V4ADQ%3D%3D_03841e0931852aba51020deb2638d51f_1334369148; _l=1341073978; _178c=94020%23windyoyo8%40163.com%23windyoyo; _e=31536000; __utma=258265685.1581331641.1336564012.1336564012.1336564012.1; __utmz=258265685.1336564012.1.1.utmcsr=google|utmccn=(organic)|utmcmd=organic|utmctr=diablo3%20%E7%A8%8E
   
   
   
   _act=renew_pass&old_pass=xh****06&new_pass=xh****12&new_pass2=xh****12&nickname=windyoyo&email=windyoyo8%40163.com
   
   
   -----------------编辑的分割线-----------------------------
   
   看到有不少人说我伪技术宅。。。那我就改标题。
   感谢这么多真。技术宅来和我认真讨论。
   许久以前我写登录程序，密码明文传递是要挨批的。
   不过那时也知道密文传递只是蒙了一层薄薄的纱而已。如果传递的是固定不变的字符串，的确加密了也没什么意义。
   我昨晚后来又看了几个其他论坛，也都是明文传递。
   那么我OUT好久了。掩面。
   
   我所提到过的登录验证过程，其实是做一个通信客户端时用到的。我仔细想了下，也好像是不太适合用在web方面。
   所以。。。分割线上面的就当我没说好了。要安全还是走SSL合适。
   
   对于“不明觉厉”的同学，只要记住这个结论：因为登录论坛基本都是明文传递的密码，所以在网吧等地方登录时是有一定的被嗅探到密码的风险。
   
   以上。
   
   果然是技术宅 占座出售各种氪金F5 虽然不懂，不过技术宅还是很厉害的。不明觉厉
   这也算漏洞吧 火前留名！看不懂刚才那个帖子的10L啥下场来着
   
   版主认为不适合出现的用户会被叉出去
   版主认为不适合出现的用户会被叉出去
   版主认为不适合出现的用户会被叉出去
   版主认为不适合出现的用户会被叉出去
   版主认为不适合出现的用户会被叉出去
   版主认为不适合出现的用户会被叉出去
   版主认为不适合出现的用户会被叉出去
   版主认为不适合出现的用户会被叉出去
   版主认为不适合出现的用户会被叉出去好像很高端的样子一句也没看懂。。。
   给技术宅跪了。完全不懂的撸过，帮挽尊！
   
   
   好高端的样子
   
   看不懂 其实很多网站的密码都是明文传送的，本地抓包很容易抓到。
   所以还是ssl吧。
   客户端？看来是说手机的...没态度的围观下现在遍地码农，二哥也不好做了这个.... 先占座 看戏吗是不是直接放数据库文件夹然后刷新就可以读出?
   mysql明天上课才学呢
   环境还没搭建 想自己试下 还是算了
   至于说明文的 密码肯定是到了服务端才能进行加密
   有心思的人中途嗅探先截取了你的 你也没撤我都懒得战了，除了锁帖还能干啥
   
   不过你这个不对
   现在所有论坛的密码，在发送到服务器这一步，都会是这样。因为密码只有发送给php执行之后，才能进行加密
   单纯的客户端，也就是IE chrome FF是不能做加密这个动作的