哪位大佬给我解答一下淘宝京东是怎么保证登录密码安全的

哪位大佬给我解答一下淘宝京东是怎么保证登录密码安全的.
如果是在页面上做了加密,那我看他的js代码是不是能看到他的加密算法.
如果是证书加密是不是也能看加密算法?
如果看不到他的加密算法,那我拦截他的登录请求是不是能够看到密文?
如果拦截到了登录密文那我自己写代码发送账号和他的密码密文是不是能
登录上?
还有java中生成的证书和在CA机构申请的证书有什么不同?
悬赏80分期望大佬能说的仔细些.

3个回答

他们的加密算法不会傻傻的每次都是加密称一样的密文。
打个比方:我的密码是123456。我要登陆的时候,向服务端请求一次告诉服务端我要登陆了。一般是页面刷新的时候
服务端收到你的请求的时候,生成一个临时凭证,这里用时间戳为例:比如现在是:1572227671564。告诉客户端,你的密码里面要加上这个凭证才能是一次有效的登陆。
那这个时候我的加密前的明文就是123456+1572227671564。
你的确可以抓到加密后的密文,但是你会发现每次都不一样,而且你抓到的密文再使用一次之后也不能用了。
当然没有不能破解的加密算法。当你知道密码又知道整个加密流程当然是可以复制出一套登陆的过程。
但是就算你把整套jd的网页代码复制下来也没用,不然要黑白名单和https有什么用

要搞清楚安全,首先要搞清楚怎么不安全。
你说页面上看到“加密算法”所以不安全,这想法完全不对。按照你的理论,主流加密算法,别说代码,就是原理都公开的,比如RSA DES AES等等,那么为啥大家都在用?
密码学里面对加密算法的一个基本的评价标准就是,好的加密算法不是因为加密算法本身不公开而难以破解,而是这种加密算法很难通过密文反推出原文或者密钥,而密钥是保证加密算法强度的唯一因素。
好比好的防盗锁,并不是把开锁的锁孔藏在一个非常隐蔽的地方,或者把开锁的方法设计得很独特,而是保证,有钥匙就能开,没钥匙就不能开。而拿着钥匙开锁的方法是公开的,锁的原理也是公开的。
再者说,淘宝京东之所以保证登录密码安全,其基本方法和我们任何一个网站都没有不同,比如说使用ssl来加密报文,使用html表单、http协议(现在因为ssl的普及,你很少看到早期那种用一个控件来加密密码的做法了)。这些技术大学学生都是掌握的。
这些方法,已经足够保证,拥有密码的人可以登录,没有密码的人不能登录,以及密码在网络传输的过程中不会泄露,密码不会被发给不受信任的第三方或者钓鱼网站。
如果说淘宝京东还做了什么别的网站没有做的事情的话,那么就是它们还在努力防范攻击者通过社会工程学方式获取了密码然后登录。所谓社会工程学,就是说它可能从别的途径,用偷、骗、猜、蒙的方法获取了用户的密码。为了避免这种情况的发生,包括通过机器程序做小型猜测和大型猜测(所谓小型猜测是指,对于每个账户,猜测密码的数量比较少,但是通过猜测大量账户的密码,蒙对几个,所谓大型猜测,是指对一个账户做很多次穷举,以便破解特定用户的密码),那么淘宝京东有一些反机器人、用户特征分析的手段。

java中生成的证书和在CA机构申请的证书有什么不同?
比如说,你如何证明你有学士学位,需要一张学位证书来证明对吧。那么学位证书首先必须是真的,不能是复印、涂改、伪造的,计算机里的证书通过密钥和数字签名可以保证这一点。在现实世界里,公章可以保证这一点(假设公章很难伪造得一模一样)。那么你成立一个皮包电脑学校,做了一个章,盖章的证书和清华大学盖章的有什么不同?显然,我作为一个普通人,我认可清华大学的章,我不认可你皮包学校的章。那么CA机构就相当于那个大家都认可的机构。

caozhy
贵阳老马马善福专业维修游泳池堵漏防水工程 回复weixin_438003299: 默认浏览器不认,因为你的证书的办法机构不在受信任的根证书里。但是你可以让它认。也可以让它不认。还记得当年媒体热议的Chrome和火狐浏览器吊销CNNIC根证书事件么,这个不能多说了,政治敏感,你明白那个意思就行。
3 个月之前 回复
caozhy
贵阳老马马善福专业维修游泳池堵漏防水工程 哪怕你粗略看过密码学教材,也绝对不会说出rsa不可逆这种违背常识的话,你先搞清楚摘要算法和加密算法的区别吧。
3 个月之前 回复
weixin_43800329
weixin_438003299 那我用java生成的证书浏览器是不认的吗?
3 个月之前 回复
caozhy
贵阳老马马善福专业维修游泳池堵漏防水工程 最怕回答你这种一知半解自以为是,其实概念都不理解的。哎。我说了半天,你根本都没理解。首先,淘宝京东并不在本地计算hash,其次,就算你有hash,只要不是弱口令,通过穷举做hash碰撞爆破也非常非常耗时。最后,你没法“拦截”,因为ssl加密传输了。
3 个月之前 回复
caozhy
贵阳老马马善福专业维修游泳池堵漏防水工程 回复weixin_438003299: 我知道RSA算法不能逆运算出原文,你从哪里知道的,RSA不能解密出原文,要它何用。
3 个月之前 回复
weixin_43800329
weixin_438003299 我知道RSA算法不能逆运算出原文, 我的意思是如果我拦截到了别人的登录请求,看到了账号123和密码密文adef3909sldjf. 我也看到了他的加密算法是RSA,那我自己写程序不断使用RSA算法对字符串加密直到得到的加密后的密文和我拦截到的密码密文相同,我不就知道密码了吗. 就算我没有穷举出密码.那我自己写代码发送我拦截到的账号和密码密文上送到淘宝的登录接口能不能登录上?
3 个月之前 回复

他的加密算法是无法逆转的加密算法 最简单地来说 我要加密一个数字 30,
加密方法为取所有(质数的和)
30可以分解为 1 2 3 5 15 30 加密后为 (2+3+5) = 9
另外一个数字 为 28, 可以分解为 1 2 4 7 14 28 加密后为 (2+7) = 9

但是给你一个密文, 9 你就无法一次性确定 你原来的数字是多少, 可以是 14, 可以是 30 可以是 60等等。

weixin_43800329
weixin_438003299 如果我解出的结果是14, 那我直接输入14,然后他给我加密成了9请求登录. 不是也能登录吗?因为本来正确的密码是30,加密后上送的也是9. 是这样吗?
3 个月之前 回复
weixin_43800329
weixin_438003299 但是如果我拦截到了别人的登录报文,账号和密码密文. 那我自己写代码发送我拦截到的账号和密码密文上送到淘宝的登录接口能不能登录上?
3 个月之前 回复
weixin_43800329
weixin_438003299 哦,那就是说如果知道了他的加密算法,是有可能穷举出密码的是吧?
3 个月之前 回复
Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
立即提问

相似问题

1
有没有哪位大佬知道怎么爬取天猫的商品信息?要带促销价和库存的,还要图片
1
用eclispe写GO,为什么出现GOROOT is not defined 啊,哪位大佬来指点下啊?
1
熟悉操作系统开发的大佬帮忙解答一下问题吧
0
unity用高通sdk发布的ar摄像头可以调用ar眼镜的摄像头驱动嘛?有没有大佬解答一下
2
ant design pro的登录界面中的登录过程实在不太懂,希望大佬们能给讲解讲解。
4
java.lang.NullPointerException我是萌新,刚学了一点点JAVA,哪位大佬帮一下,谢谢
3
请问哪位大佬知道在哪儿可以下到java的api文档呀,中文版的最好
1
哪位大佬知道在vue中使用element-ui的弹出框(dialog)写的公共组件,关闭时会闪烁一下?
1
自己写了个加密算法想试试安不安全,哪位大佬来破解一下
3
哪位大佬知道有没有根据ip获取地址经纬度以及省市code码的稳定api啊?
1
为什么我前面两个post没有参数??有没有大佬可以帮忙解答一下
1
java 钩子函数是写在静态方法里面的吗?为什么?该方法中断或报错就调用钩子函数吗?哪位大佬详解一下?
3
Sublime ctrl+b No Build System
1
pyinstaller打包问题 求大佬们解答
1
哪位大佬推荐一下抓包调试工具
2
哪位大佬告诉我 这个接口怎么接???看的一头雾水
1
IDEA侧边的+-没有了,不想每次都按快捷键,有没有大佬解答一下!
1
eclipse安装问题,求大佬解答
0
docker扩容问题,召唤大佬
3
java内存模型问题,求大佬解答下我的疑惑