目前 OSC 的登录可谓是武装到牙齿,首先是 HTTPS 登录,其次登录时在浏览器端对密码进行 SHA1 加密后再传递到 OSC 的服务器。也就是说连我们也无法得知你的密码是什么!
很安全是吗?但是这样做有缺点!
这两天有不少 OSC 的账号被撞库,这些账号被用来发布各种小姐、毒品、诈骗等信息。
我昨晚半夜被同事电话 call 醒的时候再想一个解决办法:
用户登录的时候,我直接在服务器端判断其密码是否过于简单(例如纯数字或者纯字母),如果过于简单则强制要求通过 Email 重置密码。
但是在着手开始写代码的时候我发现,尼玛,我怎么知道用户的密码啊,过来是 SHA1 过的哈希值!
擦擦擦!只好作罢!!!