比特博客

我大学的专业是信息安全，记得在本科的课堂上，老师就给我们讲过这么一个安全原则——不要在网络上使用明文传输密码。本以为这已是一个众所周知的常识了，没想到今天却偶然地发现，校内网（人人网）在登录的时候居然是使用明文传输用户的密码！

事情起源于朋友发过来的一份c代码，说是“ADSL路由器密码+校内网(http://www.xiaonei.com)密码嗅探器”，这个朋友不是学计算机的，他的目的我们就不深究了。我大概地看了下这份代码，发现是用pcap抓包来实现的，仔细看了嗅探密码的那一部分之后发现这个嗅探器若要生效只能在一种情况下——密码是明文传输的。

我当时的想法是，校内网好歹也是个做了三年多的大网站了，不会犯这么低级的错误吧……于是打开firefox使用firebug看了一下登录时的网络传输数据，结果我的用户名与密码就那样一目了然地出现在POST数据里了……我顿时无语了……接着是愤怒了！

POST明文传输用户名和密码，如果这是一个新手菜鸟做的网站，也还说得过去。校内这样一个有着3年多历史、上千万用户的SNS，也这样随随便便地把密码给传过去，一点保护都没有，有心的人如果想嗅探密码盗取帐号，是完完全全可以轻易做到的。所以，校内的用户，如果你发现帐号被盗，或者疑似有他人登录过，那么不用奇怪，这非常正常。

有人说这不重要，那我说，等你隐私被窥探的时候你就知道重要了。有人说这是国内网站普遍现象，那我说，你校内好歹也是国内TOP几了吧，好歹有个样子重视下用户的利益吧，不要掉钱眼里去了只顾着赚钱。

我只能说，我太高估校内了。在这一点上，腾讯倒是很值得佩服一下。

观察评论