CSDN数据库被黑的后果很严重

昨天的CSDN,还只是码农在自怨自艾:我当年怎么这么傻逼注册这个网站啊,到今天的人人的用户数据库被放出,就着实把各位吓了一跳了吧。当然,我估计大家都还不知道这是怎么回事,也不知道自己密码到底泄露没有,直到有好事者做个网页出来。当大家输入自己的用户名,看见自己那个自我感觉累世不破的完美密码展现在自己眼前的时候,才会一拍大腿,大事不好,过了几分钟,自己从慌乱之中镇定下来以后,开始搜索自己同学/朋友的用户名,并开始一边大笑自己的同学傻逼一边忘了自己刚才的窘迫神态。

     作为一名码农,看到诸公被最近各大网站数据库被黑吓得魂不守舍,实在于心不忍,觉得很有必要科普一下。


     1,网站不安全

     其实各大社区论坛被黑也不是一两天,各种抓网站漏洞的工具多入牛毛,蓝翔培训一下你就算是科班出身,不然随便找个网站看看教程也就会用了。而一个网站要做到毫无漏洞也基本上是不可能的。因此理论上没有网站可以不被黑,不光是网站,所有程序都是有漏洞的。你在使用破解版的psp,iphone,windows的同时,还假设网站是安全的。这本身就是个谬论,如果像microsoft,apple,sony这样的大公司组织上百个最优秀的软件工程师开发出来的安全系统都有可能被黑掉,凭什么认为仅仅依靠几个工程师搭建起来的网站是安全的?


     2,数据泄露的危害有多大?

     据说CSDN数据库是09年的备份文件,细想一下更加惊悚,09年就被人拿到的东西,现在才向大众公开,期间不知道被轮暴了多少回,都嚼得没有一点味道了才吐出来。所以大家不要太惊恐,都到这份上了,要搞你早就搞上你了。不光你的人人或者CSDN,基本上你所有的网络资料都泄露了。有小白要问了,CSDN或者人人的用户资料泄露最多就在登录CSDN或者人人的时候有风险,为什么说所有网络资料都泄露了?下面会讲。


    3,人人和CSDN的过失在哪里?

    明文!

    从现在泄露出来的数据来看,CSDN或者人人对用户资料的保存都是明文的。就是说你的密码在进入他们的数据库的时候没有加密,而就是你输入的密码。常规来说,所有密码都应该经过不可逆加密的。也就是说你的密码除了你知道,不应该有任何人知道。虽然对于常用的MD5加密手段,会有人通过同样地加密方式来构建出一个数据库,然后通过比对加密后的密文来反解你的密码(前提是小黑们拿到了你密码加密后的密文)。但是只要你密码设置足够复杂(大小写,数字,符号),反解你密码的代价太高,小黑们不会跟你死磕的。

    但是,他们是明文保存的,直接危害就是所有拿到数据库文件的哥们都能直接用你的账号登陆进人人。间接危害是,由于大多数人对各类网站的注册邮箱和密码都是一成不变的。所以,如果遇到有心人,他会挨个用这组邮箱和密码来试各大论坛,社区,网站的登陆页面,呵呵。更不要说小黑们早就尝试了各种密码组合方式以及各种邮箱后缀(@163.com,@126.com,@hotmail.com,@qq.com)来做这样的事情了。

    CSDN这种傻逼网站用明文我也就算了,人人这么大个上市公司,也用明文,恐怕不是单纯的技术问题了吧。存着这些密码有什么用途,为什么要用明文保存,凭什么要用明文保存。必须给个解释。就我个人而言,我认为人人的安全级别等于淘宝,低于google,但是他MB的居然用明文!!!用你MB的明文啊!!!!!哦,忘了说,我没有人人账号。:)


    4,短期之类网络安全情况不会改善

    大公司好点,维护一个专职的安全团队,招安一些搞安全的。但是,即便这样,安全团队在公司都不是很招人待见的一帮人,一天没事缠着你改密码,搞安全测试,拜托!大家都很忙,别添乱了好么。毕竟大多数码农或者忙于做新需求新产品,或者追求一些牛逼的东西,比如高性能server,海量数据传输和存储之类的。在他们看来,用个sql注入工具,跨站漏洞扫描什么的,都是奇淫技巧,殊不足取。各大公司对安全的注重也不会多高,不知道这个事儿以后会不会有大幅度好转,个人持悲观态度。

    网络攻击是无处不在的,连美国政府网站都天天被攻击,老美急了问天朝:你怎么回事儿啊,这事儿有人管没人管。天朝直接一句话给噎回去:高手在民间。虽然笔者一向忠党爱国,但是必须要说一句,行政必须介入了啊。这事儿得像熊猫烧香一样查到底,关几年。不过十八大就在眼前,军机处都杀红了眼,谁还管你这点破事儿。


    5,目前而言,你需要做如下几个事情:

    1,修改你所有重要的账户密码,gmail,淘宝,支付宝,qq等等等等。如何构建你的密码我前面已经说了。2,密码分级,重要密码用最复杂的密码,CSDN这种网站,用户名随便想一个,密码就用123456就行了。反正他还是会被黑得,100%,没有意外。傻逼网站就该用傻逼密码3,定期改密码,别嫌记着麻烦,再麻烦也不会比让别人用你QQ找你爹妈要钱麻烦。4,卸载你电脑上的360,装个国外的杀毒软件,玩具终归是玩具。吹上天也还是个玩具。


    一年前我就给我老婆说,各大网站不安全,自己重要的东西要用不同的密码保存,我分明看见她眼中鄙夷的眼神:技术宅。今时今日我只能说,遇到技术宅你就嫁了吧。在这个信息社会,做技术宅的下一行code福利可是很多很多的哦!


有话要说