谷子猫博客
一直是开了Cookies的,今天意外发现浏览不了网页了。
提示:系统强制您所在的用户组必须设置安全问题,请先到控制面板设置安全问题后再进行其他操作
设置好了自定义问题和答案登陆后才收到短信PM,说是要求会员都需要设置自定义问题哦。
Web地址:http://bbs.crsky.com/read.php?tid=1565151
霏凡的这一做法效果怎么样不得而知,不过估计效果不大。
大部分的霏友上网都是在自己电脑上,自己电脑上上网的话如果帐号被盗,绝大多数是因为中了木马了。中了木马设置自定义问题和答案有效果没有我们心知肚明。
跟别提那些直接拿到论坛权限的,设置这样的帐号密码倒会进一步泄露自己的隐私。
加上PW论坛出奇高的出漏洞情况,PW论坛被人拿下数据库完全是可能的。
估计我的这些说在霏凡也不一定有人听,自己抱怨一下而已。
我自己的自定义问题只有一组,我的所有邮箱,QQ等都是这样的一个问题。如果因为霏凡的论坛数据库不安全导致会员的自定义问题也泄露的话,估计给会员带来的损失会更大。
如果是另外设置一组自定义问题和回答,我现在的记性未必能记得住。所以想说的是,不管是什么网站谁运营的,做网站不能凭借自己的想当然来做。希望霏凡也能给会员一些自由,可以设置密码保护问题的问题答案,但是不要要求每次登陆都要挂在嘴边。。。
呵呵~发霏凡了。。
http://bbs.crsky.com/read.php?tid=1566058
引用
建议取消强制要求设定自定义问题和答案
http://bbs.crsky.com/read.php?tid=1565151
从大量的回帖中可以看到这个疑问
是不是设置了自定义问题和答案就可以避免帐号被盗?
我的理解,现在大多数号码被盗要么是木马,要么是论坛数据泄露,或者是帐号密码被帐号持有人认为的“借”给其他人使用。
1:如果是木马,论坛的自定义问题输入什么的都没有像淘宝网,腾讯那样的安全插件,那么单独的输入这些问题和答案能防止帐号密码被盗么?
2:如果是论坛程序的不安全,那我们设置的问题和答案将随着下载论坛数据库而被黑客全部拿下,这样有点危言耸听,不过PW论坛爆漏洞也不是没有过。
3:被帐号持有人泄露。感觉这种密码泄露是最让人无语的,如果在交易区交易过类似QQ,邮箱这样含私人数据的东西,原有的密码资料給了那些恶意者用穷举法的机会。但是这样的密码泄露仅限于交易区的那些交易大户,霏凡论坛归根是属于技术论坛。即使自定义问题能够解决一些密码被盗的事件,解决的毕竟是限于交易区的那些大户。
说的偏激点,为了防止可能的交易泄露密码,要求大量的无关会员强制设置自定义问题,是不是太过了一点?
综上所述
1 2 两点,即使自定义问题亦无能为力,万一出现帐号再度被盗,那么还会泄露用户更多的资料。第三点,需要强制设置密码的也是那些交易区的活跃用户。。
所以,俺强烈建议论坛取消强制设定自定义问题这一鸡肋做法,给会员以方便。。。
PS:个人觉得定时(比如两个月)要求会员改密码一次比这种方法还要好一些、、、
http://bbs.crsky.com/read.php?tid=1565151
从大量的回帖中可以看到这个疑问
是不是设置了自定义问题和答案就可以避免帐号被盗?
我的理解,现在大多数号码被盗要么是木马,要么是论坛数据泄露,或者是帐号密码被帐号持有人认为的“借”给其他人使用。
1:如果是木马,论坛的自定义问题输入什么的都没有像淘宝网,腾讯那样的安全插件,那么单独的输入这些问题和答案能防止帐号密码被盗么?
2:如果是论坛程序的不安全,那我们设置的问题和答案将随着下载论坛数据库而被黑客全部拿下,这样有点危言耸听,不过PW论坛爆漏洞也不是没有过。
3:被帐号持有人泄露。感觉这种密码泄露是最让人无语的,如果在交易区交易过类似QQ,邮箱这样含私人数据的东西,原有的密码资料給了那些恶意者用穷举法的机会。但是这样的密码泄露仅限于交易区的那些交易大户,霏凡论坛归根是属于技术论坛。即使自定义问题能够解决一些密码被盗的事件,解决的毕竟是限于交易区的那些大户。
说的偏激点,为了防止可能的交易泄露密码,要求大量的无关会员强制设置自定义问题,是不是太过了一点?
综上所述
1 2 两点,即使自定义问题亦无能为力,万一出现帐号再度被盗,那么还会泄露用户更多的资料。第三点,需要强制设置密码的也是那些交易区的活跃用户。。
所以,俺强烈建议论坛取消强制设定自定义问题这一鸡肋做法,给会员以方便。。。
PS:个人觉得定时(比如两个月)要求会员改密码一次比这种方法还要好一些、、、
发表评论