我最近使用Meebo的 ,我必须承认我有点偏执打字我的聊天室登录信息到这样的网站。 他们如何储存我的用户名和密码为每个独立的IM服务? 我只感觉很舒服,当一个网站把我的密码,并做一些类型的不可逆的,单向函数就可以了,但似乎Meebo的将不得不存储我的密码的方式,他们可以为了便于随时进行检索自动登录到他们所支持的独立的IM服务。 我在被偏执这个正当的吗?
编辑:我发现从这个摘录的Meebo的隐私政策 :
第三方IM服务的用户名和密码。 Meebo的,您可以通过登录Meebo的通过您的账户(以下简称“第三方IM服务”)来访问第三方IM服务。 为了访问您的第三方IM服务帐户,您必须输入适用的用户姓名(或名称)和Meebo的服务密码(S)。 要在网站使用基本的IM服务,Meebo的不存储IM服务占我们的服务器上的第三方的密码(一个或多个)。 如果你想利用服务的先进功能,如自动登录,您的密码(S)的存储可能是必要的。
杰夫阿特伍德关于这个主题登载此文在前阵子: 请给我们您的电子邮件密码 。
记线2和3。为了做到#3,Meebo的需要你的密码; (除非有在IM提供商Meebo的和(这是可能的,但可能性不大)之间的一些合作)有,在这些线路之间的某一点,你的明文密码。
恭喜你,你不再需要在你的IM帐户的完全控制; 至于IM服务在乎,Meebo的是你。
换句话说:你信任的Meebo不要滥用你的密码? 你相信Meebo的保护你的密码? 你相信Meebo的将不被黑客入侵,密码被盗? 据我看到的,有没有办法告诉(除非你是Meebo的,这你不是)。
它归结为: 你信任的Meebo的承诺?
这里是我的$ 0.02:方便吗? 校验。 可怕的不安全? 校验。
哦,来回答这个问题的称号:最好的做法是“加密密码,不要让明文的任何地方(任何长于绝对必要的)”。 不过,我已经看到了明文密码字段太多的数据库; 一些企业显然看到加密作为费工夫,直到东西真的不好的事情发生。 Meebo的呢? 我没有办法告诉。
是的,你是。
是的,你是有道理的。 当你到一个网站,任何网站给你的用户名/密码,你真的不知道/保证他们会用它做,他们将如何保护它。
除非他们具有与每个其所创建哈希值,并通过刚刚哈希供应商的合同,他们将需要存储您的信息。
在Meebo的博客 ,他们详细讨论他们的安全功能。 以下是摘要:
“我们储存您的[Meebo的]密码的哈希盐渍,而不是密码本身。”
“[我们使用] Meebo的帐户密码,以暂时解密密码的IM帐户。我们只在内存中保存解密版本,我们为您注销尽快忘记解密的版本。”
因此,服务似乎是相当安全的。 如果你想成为额外的安全不符合您的Meebo的帐户登录,您的IM细节,而不登录。
他们解释他们是如何从浏览器发送到这里的服务器上的数据; RSA加密在JavaScript形式提交前。
http://www.meebo.com/security/
编辑:澄清,他们没有指定他们如何储存,但据推测它是一个双向加密,可能与用户的密码作为密钥?
Meebo的瓦特/你的Meebo的帐户密码加密您的个人帐户密码。 你Meebo的帐户密码bcrypt-ED。 所以Meebo的不知道某个密码,除非你登录。 http://blog.meebo.com/?p=2220
