也谈CSDN泄密事件

十二 22nd, 2011

自称为国内最大的技术网站,竟然用明文存储自己的密码,把国内搞技术人的脸丢完了!强烈建议***封锁此信息,如果传到国内就丢大人了。
大家都在谈CSDN泄密事件,我也写下自己的看法。

我眼中的CSDN

09年以前的看法,09年-今基本没登过。现在可能有所改观。
1、由若干个垃圾版块拼装成的垃圾厂。说它垃圾,是因为它基本无用。CSDN里面有很多模块,貌似功能很强大,但你会发现每个模块风格迵异,还有些直接用Discuz等开源建站程序。菜鸟都可以在几分钟内搭起来。
2、最有用的就是下载板块,无数用户注册无非就是为了下载点资源。我问了几个朋友都是在上大学时注册的,为了下载点别人传的课程代码。CSDN在大学里知名度还是挺高的,这当然与“**第一”的头衔有关。

为什么会泄密

1、不考虑安全,明文存储密码是最简单的。不知CSDN是为了敏捷,还是为了方便领导管理,就直接名文了,勇气可嘉。
2、密文保存密码在这几年来是常识,但前几年未必。CSDN出生时明文密码非常普遍。随着技术发展,渐渐意识到了明文的弊端,CSDN同期的网站现在要么是早就死了,要么是已经“转型”了。
就像SQL注入漏洞在5年前真是一抓一个准,现在比较少了。而且现在很多编程语言如Rails默认就做了一些安全处理,在Rails 3.1后只需在model里添加has_secure_password就可以自动生成带salt并hash的密码的逻辑。但有的公司懒得转型,也就没办法了。
3、国内很少存在技术竞争,很多都没这个资格,CSDN是一个光荣代表,并且排名第一。数一下你电脑里的装的核心软件有几个是国人写的。
国人擅长把技术竞争转化为了饭桌上的竞争,既喝了酒又赚了钱。只要把页面做出来,测试都不用就可以拿出忽悠了。
我一直觉得:不注重技术的公司是野蛮的公司, 是低端的公司。
4、我一直觉得安全这种东西在技术上是无法完全解决的,我以前待的一个公司,密码虽然是hash后存储的,但如果开发心里不爽,完全可以在5分钟内把公司所有用户信息传出去(除了密码明文的所有),人都是不靠谱的,但也找不到更靠谱的。相信国内大多数公司都是这样。对开发,公司只能信任他们,并制定一些条例来约束。所以这个密码库也极有可能是内部人员散布出来的。

泄密的影响。。。

1、CSDN程序员、运维、**领导年终奖泡汤了。只要不像**动车事件抓两个程序员来顶罪就是万幸了。
1、很多人是一个邮箱,一个密码全网通行。虽然你的CSDN中没有敏感信息,但如果你在人人网和CSDN使用同一个邮箱和密码的话,你就中招了。
2、网络安全里程碑,无私贡献出600W用户密码,提醒大家以后注意网络安全。
3、微博还在风风火火地准备搞实名制,这次事件投了很给力的反对票。
4、北大**如获至宝,给每个亲爱的CSDN用户发送一封依妹儿:“知道为什么CSDN为什么明文存储密码吗?因为它没有来**黑鸟学电脑!”
5、380公司又可以大举安全大旗,以安全为名义,出个软件专门保存大家的密码。。。

人人,新网,多玩,7K7K泄了吗?

在网上找了半天,网上流传的迅雷下载地址只有CSDN可以顺利下载,其它的都不行。这点非常奇怪。
难道这是CSDN的危机公关?随机制造些数据,然后自己做张截图放到网上,但不让你下载到,分散大家的注意力到各个网站去,避免千夫所指。我费劲周折通过eM*le终于下载到7k7k和多玩的数据库,但试了几个都失败。让人又惊又喜,喜的是但愿国内的网站不全这么垃圾。

我现在有一部分数据,如果你需要,并有正当用途,可以联系我。

标签: ,
>>原创文章,欢迎转载。转载请注明:转载自Ruby迷,谢谢!
>>原文链接地址:也谈CSDN泄密事件
  1. 我叫小井
    十二 25th, 201113:59

    一个邮箱,一个密码全网通行…….貌似我就是

  2. PikachuEXE
    十二 23rd, 201109:50

    只玩过一两次
    先去改密码@_@