|
|
发表于 2012-4-12 15:58:01
|
显示全部楼层
|阅读模式
来自 辽宁省沈阳市沈河区
详细说明:(1)DZ <= 6.0的用户信息是存储在cdb_members表中,其password字段是简单的md5;
DZ >= 6.1后,password字段仅作为cookie的登录凭据校验,用户在每次密码修改时,均会重新生成一个无关密码的登录凭据校验;
真实的password相关信息存在UCenter cdb_uc_members表中,并且salt过;
(2)然而在升级到需要UC的DZ(比如DZ 7.0)时候,针对将cdb_members导入到UCenter cdb_uc_members的升级脚本只是顾着往cdb_uc_members的password加salt,并没有对cdb_members的password进行无害化处理;
这样的结果是,升级过后,如果老用户没有修改密码,这个遗留的md5会一直存在cdb_members中。
(3)更严重的是,DX的转换脚本会原封不动地将DZ的cdb_members password搬动过来,同样没有进行无害化处理,结果导致DZ的问题延伸到DX。
(4)此问题主要影响的是升级到UC后一直没有修改过密码的老用户。这批用户一般对论坛早期的贡献不小,所以出现问题的话,他们也会感到很不解的...... |
|
