題:
易趣狙擊服務-密碼是否以明文形式存儲?
yogalD
2016-08-07 13:52:12 UTC
view on stackexchange narkive permalink

對於剛開始使用eBay的狙擊服務,人們可以在最後一秒競標eBay拍賣的第三方組織,顯然這要求用戶提供其eBay帳戶詳細信息,以便該服務可以登錄到其帳戶以

我的問題是,這些服務的密碼是否以純文本格式存儲?畢竟,存儲在狙擊手服務器上的哈希密碼對於登錄用戶的eBay帳戶不是很有用,是嗎?如果沒有,這些服務將如何安全地存儲用戶的eBay憑證?

不,他們不必。他們可以*對其進行加密*。另外:如果您打算使用此類服務,建議您使用隨機生成的新密碼來更改密碼,然後在出價後再更改一次。
二 答案:
tim
2016-08-07 14:17:17 UTC
view on stackexchange narkive permalink

我們真的不能告訴您特定服務如何實現此功能。

但是我們可以告訴您可行的方法:

  1. 它們存儲憑據。由於必須使用純文本密碼,因此不能以哈希形式發生。它最多以加密形式存儲,這意味著如果攻擊者獲得了密鑰的訪問權限,所有密碼都會洩漏。如果在註冊服務時必須輸入eBay密碼,則可以認為這種情況適用。我強烈建議您不要將密碼公開給第三方服務。
  2. 他們使用ebay API [*]。它使用令牌對用戶進行身份驗證,因此該用戶實際上並未在任何第三方站點上輸入其密碼,而是這些站點獲得了訪問令牌。
    3. ol>

    [*]這是推測。從理論上講,應該可以通過此API實現狙擊功能-它提供了出價和身份驗證功能-但我並未在實踐中嘗試實現它。 sub>

解決您的第二點,ebay API策略禁止:“禁止自動和/或計劃使用PlaceOffer。例如,**禁止**,即**禁止**。”並且必須先獲得批准,然後才能使用API出價。http://developer.ebay.com/devzone/xml/docs/reference/ebay/placeoffer.html#PoliciesGuidelines
@hectorct,謝謝,我已經懷疑狙擊可能違反了他們的條件,但是我找不到任何東西。您是否知道不使用他們的API進行剪裁是否也違反了他們的條款(我會這樣懷疑,但也找不到任何東西)?
Steffen Ullrich
2016-08-07 14:10:40 UTC
view on stackexchange narkive permalink

這些服務的密碼將以純文本格式存儲

由於他們需要您的純文本密碼才能登錄ebay,因此需要將其存儲為純文本或以可逆方式加密(即未哈希)。在後一種情況下,必須有某種方式來解密密碼,即可讀密鑰或進行解密(並且可以與某些基於硬件的安全存儲接口的庫)。

確切的細節每種服務都是特定的,您可以總結出,如果該服務被黑客入侵,您的密碼很可能會直接公開,因為它是用純文本存儲的,或者是因為被解密而間接的。

*他們需要您的純文本密碼才能登錄ebay嗎?獲得認證cookie的副本還不夠嗎?
@FedericoPoloni可能是(取決於ebay在那存儲的內容;它也可能例如比較IP地址,用戶代理等)。但這不是很實用(大多數普通用戶甚至可能不先閱讀教程就無法向他們發送cookie)。
除了@FedericoPoloni:之外,您的會話cookie(您稱為身份驗證cookie)可能會在一段時間,超時等之後發生變化,並且甚至可以防止會話劫持(例如綁定到源IP或瀏覽器指紋)。而且,如果cookie沒有所有這些保護,並且可以被狙擊服務使用,則cookie的被盜和密碼被盜的情況幾乎一樣糟糕。
@SteffenUllrich否,會話cookie與身份驗證cookie不同。一個在關閉瀏覽器後仍然存在,而另一個則沒有。
@FedericoPoloni:我認為會話cookie的術語令人困惑,並且取決於您所說的會話,即如果您指的是當前瀏覽器會話(該會話以瀏覽器關閉)或以身份驗證的會話(以登錄名開始並以註銷/超時結束)。無論如何:對於我的陳述,實際上您的稱呼並不重要。
@SteffenUllrich確實很重要:對於“瀏覽器會話” cookie,限制源IP地址是有意義的;對於“經過身份驗證的會話” Cookie,則不會。其餘所有內容(例如瀏覽器指紋和代理字符串)都可以由狙擊手模擬。
@FedericoPoloni:我無法遵循您的說法:當源IP更改時,瀏覽器可以保持打開狀態(我的瀏覽器通常打開數週,這意味著所有時間都在更改源IP),與關閉並重新打開瀏覽器時,您的源IP保持不變。因此,瀏覽器會話的生存期與無關緊要,而重要的是經過身份驗證的會話的生存期。
@SteffenUllrich對於“瀏覽器會話” Cookie,*強制實施所有其他請求來自同一IP地址的附加安全措施可能是一個合理的主意,因為IP地址在整個使用過程中通常保持不變。我知道有一些反例,例如您從未關閉瀏覽器的用例,但至少有人建議這樣做。對於“經過身份驗證的會話”,這樣做似乎根本不合理,因為網站通常希望即使用戶轉移到其他網絡也可以保持用戶登錄。現在更清楚了嗎?
讓我們[繼續聊天中的討論](http://chat.stackexchange.com/rooms/43591/discussion-between-steffen-ullrich-and-federico-poloni)。


該問答將自動從英語翻譯而來。原始內容可在stackexchange上找到,我們感謝它分發的cc by-sa 3.0許可。
Loading...