[会员注册] [会员登录] 百华网首页 共享规则 我要留言 加入收藏夹
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
百华网 >> IT >> 正文

金山密码查询网站恐引爆更大规模“泄密”

www.bz163.org  时间: 2011-12-28 来源:凤凰中医
字号:T|T

  近日,网络频爆各网站用户账号密码泄露,参与CSDN密码库传播的金山员工“泄密门”更是引起轩然大波。事发后,金山公司上线名为“密码泄露快速查询”页面,但随即被媒体指出金山涉嫌非法持有用户数据,并质疑该查询服务的合法性。与此同时,《网站分析基础教程》作者、资深安全专家孙立东认为,“金山密码查询服务”存在重大安全漏洞隐患,可能引发更大范围的账户泄露。

  图1:金山密码泄露快速查询存在重大安全隐患

  孙立东在分析金山密码查询服务网站后表示,“未加密HTTP传输会引发更严重的账户泄露,呼吁大家立即停止使用密码泄露快速查询,防止更大范围的账户泄露!”

  据了解,如果用户通过金山查询网页输入账号,那么未经加密的数据将很有可能被黑客通过HTTP嗅探器多次截取,从而造成泄密。同时也不排除金山服务端收集用户信息的可能,如果金山服务器被攻破,后果不堪设想。   

 
图2:《网站分析基础教程》作者孙立东微博质疑

  对此,专家也对金山该查询网站的设计漏洞提出了具体问题:

  1. 身为安全软件公司,是否知道未经SSL加密的HTTP传输时不安全的,可能导致更大范围账户泄露;

  2. 是否在后台手机用户输入的账户信息?Apache的Log中是否输出用户表单?

  3. 如果技术内涵服务器被攻克,Apache的Log被下载,引发跟大范围的账户泄露情何以堪?

  截止记者发稿,金山该服务网站仍在运行中,而且尚未对以上问题做出解释。


  声明:百华网登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述,文章内容仅供参考。

 

企业服务

设为首页 | 有害短信息举报 |阳光·绿色网络工程 | 网络法制和道德教育基地 | 关于我们 | 广告服务 | 联系我们 | 免责声明 | 友情链接| 版权申明
Copyright © 2009 - 2013 百华网 版权所有 All Rights Reserved bz163.org Inc.  蜀ICP备09014838号 
广告联系 QQ: 577978591 电子邮件:bz163_org@163.com