关于Orshu帐号密码安全的新说明(拟密码安全使用说明)

王志勇 发表于 2011年03月12日 08:24

ufoaq.com,salusa.net,aufor.com等等,都是使用Orshu帐号,您只要在这当中的任意一个网站申请了帐号,就可以在任意的其它域名中用相同的用户名和密码登录。过去因为论坛的数据是合并在一起的,现在开始拆分,在拆分之后,安全问题会出现一些新的变化。

首先关于密码本身,数据库中不会记录您的密码,它记录的是一个加密之后的校验码。这个校验码是经过加密、再经过截取某些字符而产生的,例如123会转化为53575955866542,数据库中可能会从第2位开始截取、倒数第4位结束,也就是截取357595586。数据库中记录的是357595586,任何人都无法还原为53575955866542。并且,53575955866542也无法还原为123。好比24×15=360,175+185=360,当我们获得一个数字360的时候,是无法还原构成它的结果的数字和顺序的,可能是12×30,也可能是30×12,也可能是2×180,也可能是4×90,也可能是2×6×5×6,也可能是72+288,等等。

如果您忘记了密码,可以使用Orshu帐号的找回密码功能,可以点击顶端的“帐号管理→忘记密码”,输入用户名和邮箱之后,会随机产生一个新的临时密码,这个临时密码会在1分钟之内自动发送到您的邮箱。

需要先说明的是Cookies的时间问题。为了方便用户,启用了Cookies,它的作用是用户在一定的时间内不用输入用户名和密码重复登录。在申请帐号时,可以选Cookies的时间,默认为7天内不用输入用户名和密码,如下图:

修改这个Cookies的时间,可以点击顶端的“帐号管理→修改资料”。如果您在公共的电脑上登录,离开前点击“退出”,即可保证帐号的安全问题。

在过去,在一些需要密码校验的登录页面,例如“站内短消息”、发表新帖、回复等功能,密码校验是实时的。也就是当您在公共的电脑A上登录,离开前没有点击“退出”,在任意的其它一台电脑上修改Orshu帐号上的密码,旧密码在公共电脑A上会立即失效,公共电脑A无法再使用您的帐号。

现在由于做了拆分,密码校验流程有了新的变化,请用户留意。但是不变的是,在公共的电脑上登录,离开前点击“退出”,即可保证帐号的安全问题。变化的是修改密码后,如果您在公共的电脑上登录,离开前没有点击“退出”,在另外的电脑上修改密码,是不能实时生效的,可能需要1个小时~1个多小时的时间。用户的数据存放在服务器D上,如果仍然采用实时校验密码,由于是远程数据,会很影响访问速度,因为每次刷新都会连接远程数据库。例如服务器B,服务器C都是使用Orshu帐号,现在的新程序是用户登录后,会给服务器B加载密码校验缓存B,会给服务器C加载密码校验缓存C。这个缓存B、缓存C的时间,程序上可以设置,目前统一设置为1小时。时间越短,安全性越高,但是越会影响访问速度。这个密码校验缓存的含义是1小时内,不会向服务器D发送数据获得新的校验码。1小时之后,访问服务器B的页面,会向服务器D发送一次请求,如果由于网络问题,服务器D连接失败,访问服务器B的页面时,会每隔10分钟向服务器D发送一次请求,以获得新的校验码。

这个安全问题,也是本文介绍的安全问题,是当您在公共的电脑上登录,离开前没有点击“退出”,而产生的安全问题。如果您在公共的电脑上登录,离开前点击“退出”,则不会有这些安全问题。服务器B上的密码校验缓存B、或服务器C上的密码校验缓存C,也可以手动清除,用户点击“手动清除”后,也可以使原来公共的电脑上的密码立即生效,手动清除校验缓存的程序因为时间的关系未开发。开发这一功能会有些复杂,会有很多新的问题。

需要留意的是由于ufoaq.com,salusa.net,aufor.com等使用Orshu帐号的站点,因为是不同的域名,如果您在当中的域名中登录帐号,退出时需要在这些不同的域名中一一点击“退出”。如果是同一个域名下的子域名,例如e.salusa.net、msg.salusa.net、sirius.salusa.net,则只要在其中的任意一个子域名点击“退出”即可。因为PHP的Cookies设置,由于安全问题,不能跨域名,以防止伪造Cookies;但是同一个域名下的子域名,可以一次设置Cookies。

Orshu帐号在特定页面的Cookies时间的说明。对于不同的页面,Cookies时间是单独设置的。申请Orshu帐号时的“Cookies”选项,这个Cookies时间目前对于站内短消息、发表新帖、回复、修改资料页面会起作用,但此时修改资料页面只能查看,提交修改需要输入密码。aufor.com的论坛页面,Cookies时间是单独设置的。

0条评论:

发表评论:
名字: (*必填)
博客: (可省)

正文:

  记住信息?

直接发送Trackback到此文章

说明:本评论系统不支持HTML代码。(您的留言需要审核,审核规则请见这里。)

王志勇:程序设计者。
1980-09-26 (38周岁)

版权声明:本博客所有文章,均符合原创的定义,禁止转载,违者将必究;正确的方法是贴原文的标题和网址即可。

Blog存档 Archives

2018年10月
2018年09月(17)
2016年-2017年(9)
2014年06月-09月(10)
2013年 +

2012年 +
2011年 +
2010年 +
2009年 +
2008年 +
2007年 +
2006年 +
2005年09月(4)

Copyright © 2006-2018 auiou.com All rights reserved.
此Blog程序由王志勇编写 已经发布在Arsue