平安问题6:批改资料验证性不够 由于该公司本身不提供任何的批改资料的蹊径,只能借助邮箱竣工全部的操纵,那么邮箱也就成为消息平安的重中之重了。正是如此一个要紧的工具,比他高等的权限的二级暗码都批改不了也就算了,可笑的是,批改邮箱也只要发一个邮件就行jjb比赛官方网站了。而且如此要紧的工具竟然也不验证一下,直接填个用户名就行了。 恰是因为这样粗略便当,盗号者只须要发送一个修削邮箱的邮件,将我绑定的邮箱修削掉,此后我的帐号就成为盗号者的帐号了。 然而该游戏在安定体系上了解说明:安定性较高的操作须要验证二级密码(见图11),然而该公司的安定体系验证了吗? 如果验证了二级密码的话,我绑定的邮箱是不会被盗号者修削的。我的帐号也不会现在变成了别人的帐号。 并且邮箱和邮箱是同级别的,凭什么同级别的用具都不须要上一个级别的同意就能够修削同级别的用具呢?帐号庇护方式听命由高到低的安定级别看来然而说得悦耳罢了。 盗号者盗取了我邮箱后,仅仅然而发送一个改邮箱的邮件就把帐号从我手里长久的夺夙昔了。因为修削帐号密码的独一办法是邮箱,我现在是无法找回我的帐号了。 (正因为修削这样重要的邮箱什么都不验证因此导致盗号者松懈的改掉本人邮箱,而我的帐号也因此成为别人的了) 让我们连续看下面几个图: 看这4个图片,大师有没感触差不多的感触,没错,这个庇护玩家3年多的安定步骤,何如看都像是一个模式,悉数修削材料的界面都千篇一律,效用也完全一致,也许假想是当时写这些标准的人是为了图省事,而全盘copy了几份。然而我很气愤的是:他们的安定级别不一致,公然都用同样的方式来处置。越是高等的音信材料就应当越严谨,应当和初级的分辨差别开来,然而没他们公然这样轻率。 悉数的修削的音信,岂论安定级别崎岖都不验证用户音信,因为只须要填写个用户名,任何人都也许乞求服务器发送找回密码也许修削的邮箱的邮件。好比,我现随处修削邮箱这个界面的用户名上填一个“aaaa“,那么服务器就乖乖的发一封删改邮箱的邮件给aaaa这个用户, 尽管我不了然aaaa这个用户的邮箱,不过当这个aaaa用户看邮箱看到删改密码或者邮箱或者二级密码的邮件的时刻,我想他会相等错愕,会认为自己的帐号出题目。 假若我情愿,我不妨发送1万jjb比赛封删改密码的邮件出去,因为完满的服务器根底不验证是谁发送的乞求,而全盘应承。我想那10000个用户会若何的表情来对待删改密码的邮件发到邮箱。 (冒失并且简略单纯的找回体式格局给盗号着供应了各式便当,松弛就不妨删改用户的所有新闻) (本文地址:http://www.hongjingit.com/jjbbisaixiazai/201012/53.html) |