因為 DCard 的資料庫裡面是以明碼儲存的,意思就是只要有人持有資料庫的帳號密碼,其實可以看到你們所有人的密碼,我相信不少人到各個地方註冊都用同樣的密碼,你就知道這是情的嚴重性如何。
如果你以為別的網站也是這樣做,哪就錯了,我是網站後端商業邏輯和資料庫的工程師,我來告訴大家,最常見基本功應該是把你的密碼加上一串常數字串之後,做 MD5 或 SHA 雜湊加密,然後再存在資料庫。使用者登入時把密碼加上那一串常數字串,做雜湊,再和資料庫去比對。這兩種雜湊法可以說幾乎不可逆,所以就算是資料庫外流,也難以知道你原來的密碼是什麼。
總之,有看到這篇的人,救一個算一個,快把密碼改掉為上。

共 32 則回應

為什麼你知道Dcard是怎麼運作的0.0
你駭進去過??
舉個例子好了,如果你的密碼是 "haha",MD5 加密之後,存在資料庫的密碼會長這樣:

"Tk1sMytv5ipjr+Vhcf03JQ=="

但是 DCard 存的密碼長這樣:

"haha"
Dcard一開始創立的時候,本來以為一兩個禮拜之後就會關掉
上線很倉促,沒想到漸漸越來越多人使用
我們真得很高興
Dcard也常常收到很多人的來信,說Dcard幫助他們擴展了生活圈


今年的這個寒假
Dcard在寒冷的台北著手進行改版


在這裡跟大家說一下

1.加強Dcard的資訊安全

2.推出Dcard的手機版使用網頁

3.大幅改善校園聊天的功能與介面

4.讓Dcard變的越來越有趣

很高興大家使用Dcard,Dcard會不斷進行改善的!
謝謝大家
原PO自爆駭了dcard的資料庫
否則只從網頁原始碼是看不出資料庫裡面存什麼的
dcard不要打官腔好嗎?
直接針對問題 精準回答你的答案
好嗎?
Dcard會寫程式把大家密碼改成 MD5 + salt 加密
近期的改版
我們也會多注意資訊安全
電機的同學:

我是原 PO,我發現的第一時間就已經通知 DCard 了,而 DCard 動作也很快,一下就修正,所以放心現在同樣的手法已經入侵不了。

我只是事後再打一針,因為這已經不是漏洞的問題,而是架構上非常危險,還有網管的避嫌問題。
太優秀了,你趕快加入Dcard團隊吧~XD
其實有點想加入,但我不是 PHP 流的,只好作罷這個念頭XD
說來................我好像忘記密碼了-.-
痾..交大電機同學
您不用這麼兇吧其實
這真是太厲害惹@@

我也覺得那位同學不用那麼..生氣吧= =
這個網頁不收錢,是免費讓我們在上面認識朋友
學生自己創立已經很辛苦了說
其實也不用駭進去資料庫,
之前Dcard的帳號註冊認證信,
就把密碼用明碼的方式寄過來,
把密碼直接寄給你的,通常都是沒有加密~
所以重要的帳號盡量不要設同一個密碼,
這樣會比較安全唷:D


怪了,有認證信是嗎,我回去找找XDDD
沒差吧反正帳號是學校信箱~~

其他地方帳號又不是
那你是哪一流的,分享一下
網頁我不是很懂XD
幾天前有在大兜大神的FB上看到這個資訊...
ㄎㄅ,躺著也中槍www
這篇讓我想起GG的密碼學........
喔對了,我覺得應該像 K 島一樣每個人有個臨時亂碼 ID,不然這樣聊下去都不知道誰是誰。
前几天我同學收到認証註冊信,奌入連結竟然是我的頁面,而且是登入狀態。
。。
原po好帥,我都懶得打那麼長了 xD
修完密碼學我看得懂這篇了XD
感謝賜教,看完立刻去改密碼了XD
請問要去哪改?
在上方「我的Dcard」裡面就有編輯可以按了。
我的Dcard>編輯>密碼~

我記得一年前有個網站CSDN也是以明碼存,資料庫被倒出來後許多人的密碼外洩。

資料庫儲存密碼未加密,風險是被駭後,大家會看到你"真正的密碼",有可能試你FB,Gmail等是不是同個密碼。

另一篇文章說密碼加密,指的是登入頁面加密SSL(網址的左邊有沒有一個鑰匙,有的話比較好)。

登入頁面沒加密,風險是跟你同個區網的可輕易監聽到你的密碼(電腦教室,宿舍那種...應該吧@@我沒住過)。

我是專門幫別人檢查漏洞的...滲透測試人員

我剛註冊狄卡的時候就有隨便測測這個網站的安全性,我覺得該做的都有做啦,比許多企業跟政府單位好很多了。

狄卡弄這個網站給大家真的是辛苦啦~ 還要用些資安滿累的,謝謝啦~!!!!

p.s 如果小弟解釋不正確請見諒

密碼學阿=~=
其實資工挺好玩的啦
ㄏㄏ
我想...光是密碼以明文儲存就很危險了
感謝團隊讓我們有Dcard可以用
但是安全性的問題不能忽視
在官方改善之前
我也同意原PO說法
應該把密碼換一下