谁和谁的战争？谁是谁的敌人？

摩托筋肉人

是啊  出了这种事最急的是管理员  其次版主  然后就是我等草民
     各阶层发发牢骚理所当然  但是请大家搞清楚发泄方向，嫑自己人窝里斗····让他人看了笑话

笑看风云

系统安全存在问题论坛责任不可推卸
hound 发表于 2013-5-14 16:23

可是有些版主确认为是会员的责任。

笑看风云

普通会员可以撒娇犯贱，但版主就是版主。君子不重则不威。一个论坛靠女人撒娇犯贱博取眼球，那真是到了穷途末路了。

vicooo

18# taiga 验证问题也要看的，有id曾经跟我说过他有验证问题，但仍然被盗。问题是父亲的出生地。然后答案就是某地，这样有逻辑性的答案没有任何强度。
AC米兰 发表于 2013-5-15 09:16

他们会把世界上（或者中国境内）所有的地名都穷举一遍？这个确实没想到。。。

adofcmu

站着说话不腰疼

摩托筋肉人

43# 笑看风云
楼上朋友我来坛子就为看刀 看看潮物  插插科打打诨   不高兴看的不看也罢   玩吗  不必太认真  
    生活中繁杂等事已够多···· 戒嗔

旅行

顶贴支持楼主。不过有句话说的好，送楼主：永远不要跟某版主计较,他会把你的智商把你拉到和他一个水平从而打败你。另求某版主大大放过我。我可没说是“拉低”。

wilson

技术强？给点钱一样打瘫痪啦
数据管理员 发表于 2013-5-14 23:45

你是指的运维的人会为了一些利益出售数据吗？

ssy5314

他们会把世界上（或者中国境内）所有的地名都穷举一遍？这个确实没想到。。。
vicooo 发表于 2013-5-15 10:23

用什么街道啊 乡村的名字
直接数量升级了
或者问父亲出生地 答案是一别的什么 比如说高中老师名字啊 之类的

要是这种的还被盗  只有一种可能论坛数据被盗

数据管理员

你是指的运维的人会为了一些利益出售数据吗？
wilson 发表于 2013-5-15 10:47

当然不是了。运维的人能够出售数据，这只能说明这个网站的架构是多么的不完善啊。

wilson

18# taiga 验证问题也要看的，有id曾经跟我说过他有验证问题，但仍然被盗。问题是父亲的出生地。然后答案就是某地，这样有逻辑性的答案没有任何强度。
AC米兰 发表于 2013-5-15 09:16

说起这个事，其实我之前也是设置有安全问题的，但是以前即使是设置了安全问题，在登录的时候也没有强制要求输入验证问题。在我的账户被锁之后，提示要输入安全问题，我输入答案提交后可以正常登录、但不能浏览各板块、也不能发言。
这是我个人的经历，不知道别人是怎么样的。

中国连弩兵

用什么街道啊 乡村的名字
直接数量升级了
或者问父亲出生地 答案是一别的什么 比如说高中老师名字啊 之类的

要是这种的还被盗  只有一种可能论坛数据被盗
ssy5314 发表于 2013-5-15 10:50

我估计就是数据库被盗，不管页面挂马还是漏洞扫描，这个层面安全的问题的确应该是论坛管理员来负责。

望北

还是那句话
遇到这种事情大家心里都不舒服
但是请不要对同样是受害者的管理员或者普通刀友发火
为了论坛，大家和谐一点，共御外敌，多好
在此，对管理员和版主们这段时间的付出表示敬意！

急速闪电

论坛出现这种大规模账号被盗事件我从来没想过是会员问题

chon00

高中时候看过些相关杂志，了解到大意是这样：
每天都在爆出0day漏洞，尤其是Discuz这样广泛使用的论坛程序，注入、暴库、拿权限、词典跑密码是套路。有工具的话零基础也能干，我比葫芦画瓢下载过高中网站的数据库，密码是MD5加密的，剩下的就是用词典试错，直到有简单密码被猜到。

这里的情况是，密码被盗以后：
1. 机房管理员觉得是用户问题，因为他们设置的密码太简单（比如8位以下纯数字），让破解者有机可乘，乱发广告，增加管理员工作量
2. 用户觉得是管理员问题，因为管理员保护数据库不利，导致用户信息被下载、破解，进而被封号

——个人建议是：
1. 建议管理员更改密码设置强度要求，具体强度视情况而定（最变态学习iTunes）
2. 数据库已经被下载的情况下，密码是隔一段时间破解出一批，未来还会有被盗的用户，强制密码强度低的用户改密码，像evernote那样

a4777777

玩刀的有学黑客的不。我们单位一个学计算机专业的技术还不如一个学计免的业余的呢。兴趣决定一切啊。有的话给提提意见吧，

jarrod

众生相啊。。。不多说。支持楼主一个。