目前 OSC 的登录可谓是武装到牙齿,首先是 HTTPS 登录,其次登录时在浏览器端对密码进行 SHA1 加密后再传递到 OSC 的服务器。也就是说连我们也无法得知你的密码是什么!
很安全是吗?但是这样做有缺点!
这两天有不少 OSC 的账号被撞库,这些账号被用来发布各种小姐、毒品、诈骗等信息。
我昨晚半夜被同事电话 call 醒的时候再想一个解决办法:
用户登录的时候,我直接在服务器端判断其密码是否过于简单(例如纯数字或者纯字母),如果过于简单则强制要求通过 Email 重置密码。
但是在着手开始写代码的时候我发现,尼玛,我怎么知道用户的密码啊,过来是 SHA1 过的哈希值!
擦擦擦!只好作罢!!!
你的意思是先是在客户端用js加密,然后到服务器上再进行二次加密?
前段校验密码这种低级手段,对于搞破坏的人来说没有一点点作用的。
就像现在的网游,只能把所有东西都放到服务器上,才不会被破解掉。不然,你代码都在别人那里,别人直接改你前端代码,或者直接发请求道你服务端就ok了