使用FB換讚網站的風險 貼文和讚審查

先前測試使用FB換讚網站,結果。今天這個測試帳號一登入FB,就說活動異常,要審查內容。

我本來就知道有風險,只是想知道風險有多大。

換讚網站都說不會存你的帳密,沒有錯的!他的確不會存你的帳密,但是登入時,網站會要求你產生登入的權杖 (token),並且將權杖提供給他們,他們只要存這個就好了啊!就可以在你不在FB線上時,偷偷幫他的客戶按讚了。過份了吧! Read more

discuz的md5增強編碼

discuz這套論壇系統在中文區很受使用者喜愛,當然,越受歡迎的系統,越容易受到惡意的攻擊。

今天花了一點時間K了一下discuz的資料庫結構,順便看一下有沒有機會明白discuz的密碼保護方式,結果,它的安全性真的是夠讓我們放心的。

Read more

MSN帳號外洩事件

因為之前工作的關係,把公務和私人的MSN,我有把帳號做分開,但是那個帳號因為工作的關係,已經很久很久沒有用了!

結果我朋友說,他收到訊息,他知道我另一個帳號都沒有用,卻出現訊息,所以把訊息轉給了我!

我一看,就知道是帳號被入侵,直覺,就去改帳號密碼!

今天看到新聞說,hotmail的帳號被公佈,而且是利用釣魚手法拿到的帳號密碼,還說不是伺服器的問題,最好是啦!我的Broswer有反釣魚的功能。怎麼可能是透過社交的手法拿到的帳號和密碼!

我才不相信咧!不過如果是因為電腦中毒,那就有可能帳號密碼外流,不論如何,但是少在公用的電腦登入msn,定期改密碼也是必要的!

wordpress 二次開發

外面一堆文章說wordpress的使用者編碼是MD5
其實~測試的結果是~他可以接受2種編碼
第一種編碼~我不確定是什麼編碼方式~
長的像這樣 $P$BU2RGPBzC0ITA918rljQxn.EYW3ul5/
第二種編碼~MD5 hash
長的像這樣 481ab5322e207670008856dafdb74bda
假設~我們使用MD5編碼去改「忘記」的密碼(mysql/phpmyadmin)
是可以登入的~但是….登入之後~MD5編碼會被改掉
所以…..再用原來的password登入之後~
就會登入失敗~
所以…如果要做二次發的時候
……..怎麼辦咧
還是有可能前台後來進進出出…
只好蠻幹~登入之前這麼做
查看看這個使用者在不在~不在的話~就insert這個使用者
如果在的話….就去更新密碼
但是….問題又來了~
wordpress的使用者權限是記在wp_usermeta中~該不會又要再塞一次值吧!
實在給他#$%^&*()(*&^%$……..遜到爆