我得澄清一下，我今天认为新语丝论坛安全有漏洞的说法是错误的。

我得澄清一下，我今天认为新语丝论坛安全有漏洞的说法是错误的。

所有跟贴·加跟贴·新语丝读书论坛

送交者: 008 于 2009-04-18, 02:28:45:

我发现我的错误说法已经影响了一些人，因些有必要澄清一下。

其实这和安全漏洞一点关系都没有，只要我们信任馒头，新语丝代码再完美都没用。当时我是看了这个贴子去的，感谢xystech把它找出来。[url]http://www.xys.org/forum/db/1/67/56.html[url]. 我看了这个贴子是以为馒头从新语丝拿到了用户记录，征得了版主同意的。所以不管读书论坛有没有漏洞，只要和我一样的想法，就肯定要上当。至于什么密码验证，完全是无关的细枝末节。

当时我的密码验证并没通过，因为馒头的代码有问题，把008变成了8. 我后来重注009, 变成了9后在馒头的手工干涉下登录了。

注意这些代码并非开源的原码，而是手改过的。有人说密码必然是hash过的，这我知道，开源的代码都是。简单的说所谓的hash就是数据库里不存原密码，但信息能用来验证密码对不对。这样做是使得管理员也不能得到用户密码。但是馒头改过以后并没有公布原码，我不想讨论这本身是否违反license, 但这样隐蔽的代码的安全只能依赖于我们对馒头的人品的信任。今天事情暴露以后，从他对他人的id和密码的处理我看不出他对别人的隐私有任何尊重的意思，所以完全丧失了对他人品的信任。如果谁再要说数据库里的密码是hash过的请拿出证据来。

XJ说他没存你的密码，你能相信吗？ - testtest (114 bytes) 2009-04-18, 03:47:57 (316080)
- 这帖很清楚呀 - nienie (115 bytes) 2009-04-18, 03:50:14 (316082)
  - 他可以用开源的。这样他想知道做起来就比较麻烦一般人就没那么无聊 (无内容) - nienie (0 bytes) 2009-04-18, 04:02:41 (316086)
    - 你明白你说的话什么意思吗？ (无内容) - 过客052 (0 bytes) 2009-04-18, 06:08:23 (316106)
      - 我不明白我不会问人啊？你自己先明白了再说吧。 (无内容) - nienie (0 bytes) 2009-04-18, 06:18:38 (316107)
        
        会问人就好。什么是开源，为什么做起来比较麻烦？ - 过客052 (40 bytes) 2009-04-18, 06:47:45 (316115)
        
        你很明白。 (无内容) - nienie (0 bytes) 2009-04-18, 07:34:52 (316130)
        
        知道就好。发贴指标有限，楼下的贴就不回了。 (无内容) - 过客052 (0 bytes) 2009-04-18, 08:38:54 (316172)
    - TO 楼下 (无内容) - nienie (0 bytes) 2009-04-18, 04:03:45 (316087)
  - 公开程序就能相信了吗？ - testtest (28 bytes) 2009-04-18, 04:00:19 (316084)
you don't understand how this things work, - steven (386 bytes) 2009-04-18, 03:00:30 (316053)
如果他获得的密码是hash过的，如何在这儿试发贴验证密码是否相符？ (无内容) - 方舟子 (0 bytes) 2009-04-18, 02:47:06 (316038)
- 根本不需要，要是他真的要crack，他可以拿 dictionary 里的字去 hash - steven (251 bytes) 2009-04-18, 03:09:09 (316058)
  - 你老又答非所问，看贴不仔细 (无内容) - jhuang (0 bytes) 2009-04-18, 03:26:24 (316066)
    - 他是正义的黑客，比较大大咧咧 (无内容) - nienie (0 bytes) 2009-04-18, 03:29:11 (316067)
  - 他们自己说拿到网友填的密码后在这里试发帖验证 (无内容) - 方舟子 (0 bytes) 2009-04-18, 03:14:10 (316064)
    - that is easy too, makes another socket connection to xys, - steven (268 bytes) 2009-04-18, 03:31:44 (316068)
      - 你看来是行家，不过你想到的他都想到了 - 008 (300 bytes) 2009-04-18, 03:37:31 (316073)
        
        你还是没弄明白他是怎么干的 - Jove (282 bytes) 2009-04-18, 07:25:54 (316124)
        
        跟楼下的，怎么跑这来了 (无内容) - Jove (0 bytes) 2009-04-18, 07:32:14 (316127)
        
        更容易想到一个办法是在老旧的一个帖子上面跟帖试试看 - jhuang (80 bytes) 2009-04-18, 03:44:26 (316079)
        
        yeah, the question is: does worth the time? the user name and - steven (161 bytes) 2009-04-18, 03:49:20 (316081)
        
        你老还不开窍，人要建立个小圈子，这点资源不用白不用 (无内容) - jhuang (0 bytes) 2009-04-18, 03:51:31 (316083)
        
        nay, if so, I would see something that I didn't post. - steven (111 bytes) 2009-04-18, 03:44:03 (316078)
  - 我不认为他有我们的hashed passwords - xystech (44 bytes) 2009-04-18, 03:13:38 (316063)
- 论坛程序拿到的用户密码都是明文 - xystech (544 bytes) 2009-04-18, 03:01:36 (316054)
  - xj说他数据库里存的是hash过的密码 - 鹏归 (32 bytes) 2009-04-18, 03:05:19 (316056)
    - 是的，这是标准做法 - xystech (145 bytes) 2009-04-18, 03:09:11 (316059)
    - 密码库存的可能是hash过的，但是一开始拿到的肯定是明文的才能验证 (无内容) - 方舟子 (0 bytes) 2009-04-18, 03:08:17 (316057)
      - 因为登陆手续是程序管理的 - 鹏归 (89 bytes) 2009-04-18, 03:12:59 (316062)
        
        我宁可相信你是没看懂所以再解释一遍 - 008 (583 bytes) 2009-04-18, 03:38:48 (316075)
        
        你不会认为开源的意思是能够看到服务器上面的代码吧 - 过客052 (136 bytes) 2009-04-18, 06:22:05 (316108)
        
        这样比较麻烦无聊的没道德的人才会干啊 (无内容) - nienie (0 bytes) 2009-04-18, 06:31:41 (316111)
        
        你不明白就先问人再替人回答。我已经说了一点也不麻烦了。 - 过客052 (28 bytes) 2009-04-18, 06:50:33 (316116)
        
        我知道你很明白 (无内容) - nienie (0 bytes) 2009-04-18, 07:33:53 (316129)
- 理论上是可能的 - gs (180 bytes) 2009-04-18, 02:53:12 (316045)
  - 理论上，他还有可能是觉得我们自己积存密码太累了，他帮我们保管， - 008 (246 bytes) 2009-04-18, 03:17:14 (316065)
    - 这和copy信用卡不一样 - gs (174 bytes) 2009-04-18, 03:33:46 (316069)
- 这样： - Amsel (215 bytes) 2009-04-18, 02:51:46 (316042)
  - 你没有回答老方的问题。 - jxh (52 bytes) 2009-04-18, 02:55:27 (316048)
    - 你说的对。所以还是没hash过的。这是俺头一次说hash这个词。 (无内容) - Amsel (0 bytes) 2009-04-18, 02:56:47 (316051)
  - 这里发贴必须是用没有hash过的密码 (无内容) - 方舟子 (0 bytes) 2009-04-18, 02:53:37 (316046)
改口了？不是以为XJ得到授权了？你从今天开始才不信任XJ的？ (无内容) - 过客052 (0 bytes) 2009-04-18, 02:34:53 (316026)
- 我改什么口了？我以为xj得到授权了。我今天才发现xj盗取密码的。 (无内容) - 008 (0 bytes) 2009-04-18, 02:40:29 (316030)
  - 你如何发现XJ盗取密码的？ (无内容) - 过客052 (0 bytes) 2009-04-18, 02:42:35 (316031)
    - 你今天没来？不是我发现的，是版主发现的。把这一串看完再来帮腔。 - 008 (115 bytes) 2009-04-18, 02:46:37 (316037)
      - 这一串我都看了。我不明白的是版主此贴之前你认为XJ是如果共享的 (无内容) - 过客052 (0 bytes) 2009-04-18, 02:48:54 (316039)
        
        很简单，他以为我们把这里的密码表给XJ了 (无内容) - 方舟子 (0 bytes) 2009-04-18, 02:52:24 (316043)
        
        谢版主亲自解释。我提问是因为认为008非常明白论坛程序和密码加密 - 过客052 (34 bytes) 2009-04-18, 02:54:57 (316047)
        
        1. 我不熟悉加密，2. 再熟悉的人也驾不被信任的人骗，xystech就是例子。 - 008 (18 bytes) 2009-04-18, 03:00:13 (316052)
        
        你不会说话的话, 就别再重复一遍了 - JJZ (无内容) - JJZ (0 bytes) 2009-04-18, 08:03:17 (316149)
        
        空话无益。具体再问一次：008还认为能够证明XJ拷贝了一份明文密码吗？ (无内容) - 过客052 (0 bytes) 2009-04-18, 08:47:02 (316176)