PXE2 发表于 2006-2-22 10:48:34

薄弱的安全

OICQ在登陆过程中,尽管没有密码被直接传送的过程,整个会话认证过程密码始终在客户本地和服务端保留。但由于在登陆成功后,服务器返回的一个可以反向解码的加密字符成为了最薄弱的安全环节,有这事吗?那EVA的密码在局域网里也会给监听到吗?

mandrakechina 发表于 2006-2-22 11:42:37

这件事似乎和Eva没有什么关系。

yunfan 发表于 2006-2-22 21:38:47

验证总是需要的, 登录成功后服务器返回的东西, 需要知道这个号码密码的2次md5的值才能解密。
所以, 你不知道对方密码, 就是抓到这个返回包的内容了, 也没法解密。

这么说吧,如果对方监听了所有你的qq的数据包, 他也无法得到你的密码, 除非他本地破解你保存的
密码。服务器是不会返回你的密码的, 你的密码只有在更改密码时才会由客户端发给服务器, 而且
是用登录成功后服务器给你的会话密钥加密的。 对方也不会知道你的会话密钥, 因为这个登录成功的
返回包是服务器使用你当前密码的2次md5值加密的。 你的登录请求里也没有含你的密码, 只有你的
密码的2次md5值加密的1个空串作为验证码发给服务器的。 知道这个也无法反推出你的密码。

就我理解, 腾讯的这种使用动态加/解密 密钥的方法, 还是非常安全的。
当然保存密码本身就是不安全的, 这个用户自己可以控制。

PXE2 发表于 2006-2-23 11:20:37

网叶上看到的监听数据包后能显示是真的吗?

热メ袭 发表于 2006-2-23 22:45:24

不太可能。

alpher 发表于 2006-2-24 10:15:34

如果监听到登陆时返回的密钥,应该是可以的吧

热メ袭 发表于 2006-2-25 01:22:20

要算很久,而且可能永远算不出吧?

alpher 发表于 2006-2-25 23:45:36

是说应该可以看到别人的聊天内容

yunfan 发表于 2006-2-26 10:58:20

如果不知道对方密码, 就无法解密登录返回包, 也就得不到包里的到本次登录的会话密钥,
其后的包也无法解密。

liliang_hy 发表于 2006-2-27 14:44:47

是否说,这个机制的关键点在于:2次md5是很难反向破解的?

如果2次md5被反向破解了,那么一切的一切都不安全了?

小子驽钝,见笑了。

PXE2 发表于 2006-2-27 16:42:18

http://www.gxfa.com/Soft/dhjq/oicqxg/200505/Soft_20050512192103.html

不知道是否是真的

spirn 发表于 2006-2-27 22:48:38

按照这个过程,似乎发上去的验证包和返回包都是用同样的key(md5密码两次)加密的。而发上去的包是加密空串,应该不难推导出key,然后用同样的key可以解密返回的包。
虽然密码依然是不可知,但是破解通讯内容还是有可能的吧。


对方也不会知道你的会话密钥, 因为这个登录成功的
返回包是服务器使用你当前密码的2次md5值加密的。 你的登录请求里也没有含你的密码, 只有你的
密码的2次md5值加密的1个空串作为验证码发给服务器的。 知道这个也无法反推出你的密码。

PXE2 发表于 2006-2-28 10:26:11

Eva 加个局域网QQ管理功能把 ,网管好用。。可以增加在网关服务器上运行Eva可以记录QQ的通话内容。一定好多单位要的。linux的iptables作网关刚刚好的。。

alpher 发表于 2006-2-28 17:05:00

这种东西要真做出来会被N多人骂的

PXE2 发表于 2006-3-1 10:02:01

这东西还是很有$途的,很多单位会乐意使用的。配和web前端,领导可以知道上班时间是否用QQ聊天和泄露公司情报。
页: [1] 2
查看完整版本: 薄弱的安全