关于hotdll账号“被盗”禁言一事!
本帖最后由 稀饭放姜 于 2017-1-23 22:30 编辑我的账号是hotdll,被禁言7天。
矿坛注册的账号比较早,之前的密码稍微简单一些,但是这些我觉得不是我的账号被盗的主要原因。
因为工作的因素,我对账户安全是比较在意的,矿坛上我不涉及到利益因素,故没有对矿坛的 密码实行强密码(我不同论坛密码不同),被封后我已经更换为强密码了。
上午被封掉的时候,我正在回一个技术贴,发贴发不出去,提示被禁言,QQ上给草音管理发了消息后,就没关注了。晚上回来后,登陆后台查看了下自己的发帖信息,发现2分钟内发了几百条广告,对此我给矿坛一些建议和疑问:
1、矿坛使用的是http协议,而不是https协议,我强烈建议矿坛更换为https协议,明文传输是很危险的。
2、更新到discuz x3.2的最新补丁,X3.2在2016年6月份爆出一个严重的漏洞,当时论坛给的解释是用户密码简单撞库了,我刚去浏览了小黑屋的记录,我感觉不是撞库这么简单,基本上被封的除了刚注册的,其他的都是金牌会员以上的账户,不可能这么多金牌,VIP会员,甚至超版都是简单的密码,肯定是在6月以前,矿坛的数据库密码就被泄漏了,如果真是如此,超版或者管理员应该让全部的金牌会员以上的会员重新修改密码。
3、我大部分去的网站是不注册的,注册的网站的密码是不重复的,被撞库的可能性基本上没有,并且我都是自己的本和电脑,从来不去不干净的网站,我自己本身就是做开发类的,对这个比较注意。从去年到今年,被禁的账户有非常多的金牌会员到超版,请管理员提高警惕。
4、我不清楚为何矿坛的账号密码用明文传输,甚至数据库的账号密码不用md5加密,这个很是不解,discuz x3.2是开源论坛,基本上只要被爆漏洞,密码再复杂都没有用。
5、为何论坛不启用账户异地登陆启用验证码功能?或者邮箱验证功能?这个功能是专门防止机器人的。
6、为何论坛的过滤系统能过滤掉帖子中的敏感字,却无法过滤账户被盗后的信息中的关键字?
7、为何论坛不启用连续发帖账户审核以及验证码功能?
8、为何不启用异地地址登陆提醒功能?
9、就算是现在,提交矿坛的地址去web安全检查类的网站,也提示 “应用”部分安全有漏洞。
10、如果论坛启用了密码错误三次锁定功能,基本上暴力破解密码的可能性没有,破解唯一的办法就是入侵式。我个人不觉得这么多会员都是因为自己的原因泄漏了密码,如果真是这样,矿坛的会员就太神奇了,只在矿坛被盗密码。
11、论坛使用了Nginx反向代理,但是Nginx反向代理要求使用Https协议传输,因为Nginx反向代理代替矿坛服务器缓冲用户链接,HTTP协议提交get或者post的时候是明文传输,discuz x3.2默认是post传输,虽然post提交后会销毁数据,但是Nginx反向代理保存了post提交的数据,我不清楚矿坛的技术人员能否保证Nginx反向代理的安全性,或者漏洞修复的及时性。
12、使用Nginx反向代理可以提高并发数据,但是只有使用三层架构才能保证安全性。否则基本上论坛就相当于一个DMZ直接暴漏在万维网上。
上面这些功能discuz x3.2基本上都可以实现。提出这些建议或者疑问,希望这种事情以后尽可能少的发生。 本帖最后由 园丁 于 2017-1-24 00:29 编辑
论坛许多老会员被盗号的问题,值得管理员认真思考和及时处理——留住热爱论坛的老会员很重要。:time:
hotdll是个好同志,爱学习, 爱钻研。
号不幸被封 是个遗憾。 楼主非常专业的建议,可能正是我们论坛软件在待改进的地方。谢谢楼主建议。
在目前状态下,希望使用复杂密码,将自己简单密码升级,以保护自己账号安全。这个要求很容易达到。
我们重视老会员,所以才有账号改禁,并麻烦在本版发申请帖,详见http://www.crystalradio.cn/thread-915682-1-1.html
页:
[1]