家住上海的李女士上周六京東商城賬號被盜,經查詢,對方正在瘋狂地用她的積分購物。“我3月份剛剛注冊一個新賬號,才買了幾次家電,竟然就被人盜了,實在太可怕了!”李女士并不知道,她的口令早已處于危險之中。5月29日,工業和信息化部計算機與微電子發展研究中心(中國軟件測評中心)等部門發布的《網站用戶口令處理安全性外部測評報告》(以下簡稱《報告》指出,在100個樣本網站中,淘寶、京東、攜程、世紀佳緣等85個網站可在服務器端獲取用戶口令原文,僅8家網站采取了最安全的用戶口令傳輸模式。
電商招聘類網站全軍覆沒
2011年底,CSDN 、天涯社區、貓撲等網站因為明文密碼存儲而被“刷庫”,超過5000萬個用戶賬號和密碼在網上公開擴散。各大網站都加強了數據存儲的安全措施。然而,在用戶口令傳輸過程中,仍然存在很多隱患。一般而言,用戶在登錄網站,輸入用戶名和密碼之后,從用戶電腦傳輸到網站服務器,會經過口令傳輸、口令存儲認證等過程。而《報告》中顯示,大部分樣本網站在傳輸口令時,沒有做加密處理。其中,12家電子商務網、15家招聘網、10家婚戀網站采用了最不安全的“原始口令明文傳輸”,對口令沒有采取任何技術手段加密。
《報告》主要負責人之一、中國軟件評測中心信息安全研究部副總經理劉陶告訴《IT時報》記者,這次測評采用了一款客戶端分析軟件,通過在網站上模擬注冊用戶名和口令,模擬用戶點擊,監聽瀏覽器內部頁面與服務器的交互過程,對交互中的數據包進行自動匹配,就能了解用戶名、口令是否以明文形態被傳輸,“這個方法通過自身模擬注冊和匹配度來評測,不會影響到他人用戶名和密碼。”
原始口令明文傳輸比數據庫明文密碼存儲隱患更大。上海電信技術專家周學明告訴記者,用戶名和密碼通過管道到達網站服務器,如果運營商鋪設的管道安全,尚可抵御外部攻擊;如果用戶本身所在的網絡是不安全的,比如在私人建設的WiFi網絡中,處在同一網段內的黑客,就可以通過簡單的網絡嗅探或企業間諜等工具獲取用戶密碼信息。即便用戶密碼設得再復雜,也是形同虛設。”
部分網站承認存在漏洞
針對《報告》內容,記者隨機采訪了幾家被點名的網站。淘寶開發團隊表示,淘寶在用戶口令傳輸處理上確有一定的缺陷。他們已在新版本安全控件的開發中考慮這個問題,隨著新版本安全控件的發布,將會修復這個缺陷,實現高級別的加密傳輸模式。 上一頁1 2 下一頁
推薦閱讀
趙先生起訴稱,他2011年在“窩窩團”網站團購了兩盒“陳皮普洱茶”,網頁介紹中稱該產品有“健脾燥濕、美容抗衰老”等功效,但收到產品后,趙先生發現該產品只是普通的食品,并未獲得國家保健食品的批號。趙先生認為>>>詳細閱讀
地址:http://www.sdlzkt.com/a/guandian/yejie/20111229/150788.html
網友點評
精彩導讀
科技快報
品牌展示