引用:

原帖由 kaikaia 于 2018-5-10 02:15 发表



兄弟确定是已设了密保之后，账号仍旧被盗么？

当真属实么？

如果真如兄弟所说，设过复杂密码；再者，如上楼所说，且设置密保，通过自建的翻墙服务器通过sexinsex.net域名上的SIS。

被盗的可能性，为零 ...

我没法证明给你看我的密码复杂性，但是如果之前没有设密保的话现在申诉也是找不回账号的，这点你可以去看公告。另外是否用域名访问请看截图

我不知道你觉得这样的情况下被盗的可能性为0的结论是怎么得出来的。你确定不是自己盲目乐观？你觉得黑不了就真的黑不了？你真的看懂了我写的东西？我的回复里面哪句话有提到数据库么？一直都是你自己认为是数据库里面的密码被破解了，我上文只提到了会话劫持，会话劫持只是临时控制账号，不能修改密码也不能重新登陆，所以账号不会丢，只是被管理员封了。真的，先不要提前否定，不要提前下结论，先认真看看对方写的什么东西。

另外，我并没有收到任何扣分的短消息，我也没有办法证明我之前的分数因为我被封禁之前并没有对分数进行截图。

你说的苹果事件qq事件，我相信苹果和qq是有采取相应的技术分析并且找到确凿的原因并且从技术上避免的。而这也正是我希望论坛去做的，而不是一味的把责任都推到用户身上觉得就是因为用户密码太简单、没有设置密保导致的。

引用:

原帖由 zhengdehui 于 2018-5-10 22:14 发表


我没法证明给你看我的密码复杂性，但是如果之前没有设密保的话现在申诉也是找不回账号的，这点你可以去看公告。另外是否用域名访问请看截图https://sz-ctfs.ftn.qq.com/ftn_h ... 50e9c1ed9c9913bbb69 ...

兄弟，密码复杂性我是相信的；兄弟作为多年IT从业人员，这点职业习惯和安全意识还是值得相信的。我存疑的是设过密保之后，账号还有被盗的可能。所以，我的结论，这种可能就是零。 其实，本质上，因为某某缘故然后造成大规模盗号事件等等这个说法我本身都不认同；不得不说，兄弟的措辞挺精妙，兄弟说是大规模封号事件，但封号又是一种主动客观行为，所以，这种提法也未必熨帖，虽不认同，但也还可以，只是封号的主体是论坛方，有人为操作之嫌，有失偏颇。随即兄弟也提到论坛方或许存在的诸多可能性；这一点，个人从情理上推测的多种可能性的存在。我没有不认可，我觉得对于可能性，完全可以认可，也是值得探讨的。 这里面可能会有一个思维误区，就是账号被盗，与账号被黑；普通受众可能觉得这是等同的概念，或者是相差不大的文字书面表达而已。当然，对普通用户受众而已，这两种表述都其实任意借用，甚至等同；但从逻辑学上看，我觉得这两者还是有相对本质的区别。 账号如果是被盗，那就是被窃取、被盗取，这类表述居多；很大程度会造成账号密码被篡改，及账号丢失。如果这种事实存在，那就可以从服务器、数据库的角度来权衡这种考虑。但是，我认为，如果设置密保之后，这种被盗的可能就是零。当然，零也不是完全武断绝对的，只是客观事实层面上表述，这种可能性为零。也就除非服务器被攻陷，或者数据库被安插后门，也就仅限这几种可能，但是，如果存在这种可能性，那就是灾难性事故了，都不说是事件，而是事故级。设置密保之后，个人用户的账号安全性还是很高的，再被盗，几乎不可能。 账号如果是被黑，那就是被操控，被劫持，这类表述存在的话。我个人觉得是有存在的可能性的，就是并不去盗取用户账号，也不可篡改密码，而只是远程操控，以期达到行为。只是，兄弟所提的说法是，是用技术方式把服务器的内存信息“明文”刷出来，这么形式之下，那本体就是论坛方的服务器，对方的攻击目标也是论坛方的服务器，需要进行补丁升级的也是论坛方；而我个人的判定，更可能是用hamster+ferret探嗅或者其它简单黑客嵌套小工具，对用户的cookie进行截取，然后再进行远程操控；因为论坛自身就是UGC形式，用户自主发帖，会有很多外链存在，论坛方有很多版区都可以发布外链。就像之前网上银行刚兴起的那年间，也有不少用户点到外链，比如那些山寨银行网站上，然后导致财产丢失。我觉得这种锅可扣不到银行头上，银行补一百个补丁都没用；因为你在外链，你在别的山寨银行上的操作远远脱离了银行主体的控制，不是么，这种行为是不受控的，不是么。 如果是被盗，涉及服务器或者数据库的问题，我觉得直接劫持网站本身或者把论坛劫持跳转到那些广告党的站点去，就算哪怕是攻击一下管理员账号，这种做法对广告党来说都是上上之策，也是优先考量的，这种做法的破坏力更强，对广告党来说所达到的效果也更显著，不是么。但，如果只是被黑，那正如QQ上会经常收到一些莫名其妙的广告，甚至有些是多年朋友老发来的广告，你追问下去，发觉对方账户是被劫持了，临时被黑了，账户密码都没丢，用户本人也不知晓，莫名其妙的广告就过来了。就算牛逼如腾讯，市值那么大技术人员那么多，这种情况仍旧屡见不鲜。这种情况一般来说，是防不胜防的。 苹果的案例我就不举了，我只提一句，在我的多次交涉之下，苹果官方始终不认同自己存在漏洞，就哪怕我的手机被远程操控直接刷成了板砖儿，直直等了三个月，流程走完了也就解锁了。牛逼如苹果，全球市值TOP3技术实力这么强人才那么多，又如何，照样被黑了么不是？不过，我可以表明我的态度，我的观点和你的一样，在中国维权的确很难，腾讯、淘宝、京东这样的，店大欺客的情形更是比比皆是。我个人觉得论坛方在人性化的方面做得还是挺出色的，当然了，出色之上还有更出色，向前看。 对于6000金币为何到200金币，我个人的判断是，账号有被黑即劫持的可能，因为外链所致，然后造成广告屠版，版区管理挨个帖子扣金币然后删帖，别说6000金币了，6万金币都不够扣的了。论坛方对广告的态度是零容忍的，不管是主观造成还是客观造成的。我个人以为，如果只是扣威望也能达到效果，或许只扣威望更妥帖一些，（仅针对明显看出是账号被黑然后造成的广告），当然了，也只是我个人猜测，也如果采取扣威望而不是扣金币，如果更便于盗号被盗申诉区那边来操作的这种可能的情形之下的话。毕竟金币积累不易，这么多年，账号一路走来，能攒到大几千金币也的确不容易了。 我个人并不擅长IT技术层面的讨论，我的死党倒是H.U.C中国红客联盟中的核心人员，也是资深黑客。这种问题对他来说，应该简单就能看出其中缘故。个人只是从逻辑学及广告党的动机层面分析，更有可能的情况是什么。不过，我觉得该帖也不失为很好的讨论帖。对于是否存在的什么问题，或者有什么建议及推测，我觉得是多多益善的，有则改之无则加勉。 版区重要事项，定期增补。

今日网红区管理组

引用:

原帖由 kaikaia 于 2018-5-11 04:38 发表






兄弟，密码复杂性我是相信的；兄弟作为多年IT从业人员，这点职业习惯和安全意识还是值得相信的。我存疑的是设过密保之后，账号还有被盗的可能。所以，我的结论，这种可能就是零。

其实，本质上，因为 ...

总结一些你的结论：
1. 不是密码简单或者没有设置密保导致账号被盗，而且账号根本没有被盗。
2. 会话被劫持了用来发帖屠版，具体劫持手段是因为服务器自身漏洞还是因为外链没有定论。

这两个观点跟我的表达是一致的。请留意我之前的回复里面一直都说是“可能”，我并没有说一定是因为服务器漏洞，所以请你不要曲解我的意思。

另外我一直提到的一点，也跟上面你的结论1相吻合的，就是，论坛不停发公告发回帖告诉大家不要设置简单密码要设置密保，这本身是好事，但是并不是解决这个事情的方法。而且论坛的态度是，因为用户设置了简单密码或者没有设置密保，导致账号被盗用了用来屠版，责任全在用户，这个说法是站不住脚的，希望论坛管理员人不要自欺欺人。

另外，不单是金币扣了，支持、威望、贡献全部清零。感觉就像青春白白浪费了。

引用:

Original posted by zhengdehui at 2018-5-11 21:58


总结一些你的结论：
1. 不是密码简单或者没有设置密保导致账号被盗，而且账号根本没有被盗。
2. 会话被劫持了用来发帖屠版，具体劫持手段是因为服务器自身漏洞还是因为外链没有定论。

这两个观点跟我的表达 ...

怎么又扯到曲解你的意思呢？兄弟所表达的意思和诉求都很简单清晰，且一目了然。 咱们顶多也只是一起探讨一些可能性而已，你是基于你的立场和分析，发掘了一些可能性；我是基于我的个人理解，探讨了一些缘故与其间细节；实际发生了什么，具体是因为什么，你我二人也都不甚清楚么不是？其实也都不是你我随便两句就能匆匆盖棺定论的。除你之外，甚至我看到盗号申诉区有兄弟好心提醒，是否有论坛方出了内鬼。当然了，那兄弟肯定是谍战片看多了，也是好心提醒。 我想表达的是，诸多可能性我们都能予以接纳，并且虚心接受，且便宜之时亦可一起深入探讨，交换意见；我相信论坛方自然也在排查。至于、是否责任由用户承担，是否可能漏洞就在论坛方，是否管理者是否自欺欺人，等等，这些上升到主观能动性与动机层面分析，而且基于单方立场且皆是有罪推演的话，我觉得客观说吧，有些拔高了，有违中正之道，实事求是解决好当下问题才是最重要的，不是么？ 其实兄弟所表达的这些诉求及这些问题的关键，我也能深切理解，兄弟所关心的就是管理们有无甩锅给会员的可能，及论坛到底有没有深切关心及重视会员们的诉求。 我聊一下我的观感，依我看，管理就是服务，你我他们皆是深知其关切要害，真如你这么说的话，如果真的一切都在和用户较劲，那论坛基本就是在自废武功了，我相信不会，也不大可能，鸟大在十楼的回复的表达也很明确，用户至上，每一个ID都是一条生命。深以为知。:lol: 至于兄弟所提到的最后一句我提一下，我感觉可能后台设计是否是因为其本身所自有的复杂性及严谨性，清零回正都很好理解，依次对支持、威望、贡献挨个梳理，都是有难度，或者有无具体必要，更或者，是否便于操作，这些我都不了解，也不知道。我感觉这些动作可能就是用户账号的数据库上进行变更，还是怎么操作的，是否方便操作等等都不太清楚了。毕竟盗号申诉区诸多用户的其核心诉求是找回账号，并不关心号上是原来是8个金币，现在只剩了6个金币；二级变成了一级等等。以上是个人随便谈的，不过就兄弟提到的这一点，鸟大也事先考虑到，且在十楼表述过，兄弟可以去按要求发帖申诉，您的分值不能保证全部找回，肯定能找回大部分。我相信论坛方自身还是重视会员们的诸多诉求及方方面面的。 最后一句，感觉就像青春白白浪费了。我相信也只有投入了感情，才会说出这句话吧。这句话，点个赞吧。:lol:

今日网红区管理组

OK  以上全认真阅读了  

大家的立场和观点都认可   

我只要想说以下几点
1  申诉区  主要解决不能正常登陆的问题  至于积分问题   申诉区我又多次说明  这个不是申诉区解决的问题  请联系扣分管理  这个相信你会收到短信息扣分的

2  补充第一点     我再次说明  账号不论因何原因  不能正常登陆  都是您自身造成的  不管你是被盗号还是点了不明链接还是其它原因   不要那么多理由和说辞    这些简单的小白事情  为什么分版主以上职务人员未出现  我只想告诉大家：因为他们对账号安全重视比你高   也珍惜手中的账号  反之 你做到了吗？

3  最后   这个话题无需再讨论了  感谢楼上几位兄弟对楼主的回复    我只想说一点

把有限的心思和时间  用在论坛的建设上吧   多贡献论坛  所有区管理是会看到的

PS： 如果个别兄弟在意分值  请在申诉区按要求申诉即可  有如何还原积分的说明  这里我不想一再说明    多看规则  比一直在这里提问要来的快  也受人尊重


此事到此为止吧

zhengdehui   兄弟  也不要太纠结了  你反映的问题 我会重视起来的  也会向上级反映   及时优化

把激情和时间放在发帖上    为论坛做出贡献  不是更好吗

感谢大家的理解

引用:

kaikaia
感谢兄弟了 多次回复 打了这么多的字 让我少打了好多字   谢谢了

我看了下，还是你们自己密码及安全问题不到位，我的号07年加入论坛说来也有十多年了，期间不怎么回贴，喜欢默默的浏览，有时候网吧也登陆过论坛，但号一直很安全，因为我自己的密码是数字加字母加特殊字符，而且还有安全问题，期间密码我自己都忘掉过几次，不过我安全措施到位，很轻松的就把密码找回来了，说来说去还是大家自己安全管理不到位，论坛受攻击的可能性不大，

密码复杂怕忘，感谢分享