【公告】等下准备升级 CNode 的密码系统，有各种悲剧的可能 - CNode技术社区

现在论坛的密码系统只是用了最简单的 md5 哈希，别说随机 salt 了，连 salt 都没有。我不能在骂 CSDN 傻逼的时候自己也默默傻逼着… @fengmk2 苏大大的密码直接能反解出来… 所以我准备升到 bcrypt 去。于是需要更新数据库中所有用户的密码。有可能造成悲剧。。。不过我会尽量通过备份数据库等手段来预防的。

---- 更新 ---- 我想好了，我升级代码部分就好了，用户数据库我不动了，怕风险大。这样会导致所有用户都无法通过之前的密码登陆，请各位重新设置密码吧。

---- 2014-10-01 01:02 更新 ---- 代码已更新完毕，各位如果登陆有问题，就重置一下密码吧。

leapon 1楼•10 年前

bcrypt 好。我的系统是md5 + salt, 也准备更新到 bcrypt + salt。

alsotang 2楼•10 年前作者

@leapon bcrypt 自己会处理 salt。

borisyu 3楼•10 年前

那现在是怎么样啊？要重新设置密码吗？

alsotang 4楼•10 年前作者

@borisyu 还没更新，等等。

alsotang 5楼•10 年前作者

@borisyu 更新好了

fengmk2 6楼•10 年前

呃, 我都忘记密码了… 我每次都是github登录…

fengmk2 7楼•10 年前

这个 https://npm.taobao.org/package/bcrypt ?

fengmk2 8楼•10 年前

Q: How To Safely Store A Password? A: Use bcrypt. Use bcrypt. Use bcrypt. Use bcrypt. Use bcrypt. Use bcrypt. Use bcrypt. Use bcrypt. Use bcrypt.

alsotang 9楼•10 年前作者

@suqian 没事。。你那六位数密码已经被埋在历史长河了。可以试试 lastpass 这个 chrome 插件。

alsotang 10楼•10 年前作者

@suqian 对的

fengmk2 11楼•10 年前

因为这个hash算法超慢… 所以…

fengmk2 12楼•10 年前

返回的 hash 里面应该包含了 salt 信息, 要不然没法对比

alsotang 13楼•10 年前作者

@suqian 对的，它自动处理了 salt

alsotang 14楼•10 年前作者

@suqian 否则也是要自己创建随机 salt 的，麻烦死。

bnuhero 15楼•10 年前

重置密码后顺利登入，管理员辛苦了。

DevinXian 16楼•10 年前

1

@alsotang 哈哈，github表示无压力登录，管理员辛苦啦！都国庆了还在更新

wangxuq 17楼•10 年前

管理员辛苦了，重设密码正常登陆了，祝各位国庆节快乐。。。

tolerious 18楼•10 年前

抠鼻

alsotang 19楼•10 年前作者

@bnuhero @deDevinXian @wangxuq @tolerious 程序员的国庆就是这样过的，各位如果有计算机在校生的话，望回头是岸…

sherylynn 20楼•10 年前

登录失败,重设密码后成功登录.现在cnode管理的不错哦

inosqlorg 21楼•10 年前

求顺便把我的用户名update为nosqldb @alsotang

wangxuq 22楼•10 年前

@alsotang 这样过国庆，还是很幸福的。。。

leapon 23楼•10 年前

密码重设成功：）

elrrrrrrr 24楼•10 年前

github登录无压力…

tolerious 25楼•10 年前

@alsotang 回不去了，踏入了江湖就再也回不去了，出来混，早晚要还的.

fengmk2 26楼•10 年前

呃… @suqian 不存在了… https://cnodejs.org/user/suqian @alsotang 这是搞什么?

alsotang 27楼•10 年前作者

@fengmk2 绑定了 github 之后，用户名就从 github 同步过来了…

yyrdl 28楼•10 年前

@alsotang 这是一个单行道道啊。。。

yyrdl 29楼•10 年前

那个，有个小想法，就是在MD5给出的加密结果后再加一个特别的后缀，比如根据昵称自己设计一个算法，如行列式什么的，然后将结果插在md5的结果里，由于插入的东西不符合常规逻辑，是否也可以提高账户的安全系数呢？ :D

alsotang 30楼•10 年前作者

@yyrdl 能提高，但离 bcrypt 还是差太多。你说的这个方式就是简单的 salt。

DoubleSpout 31楼•10 年前

登录进来了，密码重置了~邮件有点小慢

think2011 32楼•10 年前

没注意过密码，我以为我是通过github登录的…

mscrm 33楼•10 年前

@alsotang topic.author.avatar_url如何修改为https呀。我现在网站是用了https，如果头像不也用https的话，浏览器会显示黄色的https。谢谢你

alsotang 34楼•10 年前作者

@mscrm 头像我也用了 https 的啊，你说的具体是哪个页面我可以去看看吗？

mscrm 35楼•10 年前

@alsotang 所有显示gravatar图片的地方，都不是用了https。例如https://www.junduo.com/ 首页。topic左侧作者头像。右侧sidebar里也有头像也是非https。麻烦你了。

alsotang 36楼•10 年前作者

@mscrm 更新代码

sunfang1cn 37楼•10 年前

已经悲剧了。。。我重置了

sunfang1cn 38楼•10 年前

另外，邮箱改不了了么？

leizongmin 39楼•10 年前

刚刚悲剧过了，过来报个到……

alsotang 40楼•10 年前作者

@sunfang1cn 我后台帮你改改？

yaochun 41楼•10 年前

重置了，才进来哦~ 各位节日快乐~

alsotang 42楼•10 年前作者

@leizongmin github 登陆不受影响的…

petersun 43楼•10 年前

果然要重置了。。。。

cobola 44楼•10 年前

好坑爹

meteormatt 45楼•10 年前

我重置密码了

回到顶部