其實以前我對於網站要求提供身分證字號也是很排斥的,因為網站的確是個竊取資料的好地方,有哪個黑客打不下來的網站嗎?記得前陣子聽了一些網路安全的課程,其實黑客去駭站目的不多,除了練功就是賺錢,能培養更多的肉雞也沒什麼不好。所以我覺得我的身分證字號早成為別人的名單了,以後接到任何電話還是謹慎點吧!重點別再google上搜尋到就好。
前文 阿娘喂~BlogAD個人資料外洩!
BlogAD 的網頁安全的到底優不優呢?我只我是意外在Cookie內看到這個MemberID的值,這個值的異意太好辨認了吧!Web Developer 這個工具也太好用了一些,我可以輕易的更動Cookie的數值,改完之後我就發現了BlogAD的漏洞了,看到了不該看的東西啊!沒想到別人的個人資料就那麼輕而一舉的看透透了!
其實心裡也有很大的問號,網站怎麼會這樣寫呢?我不是質疑寫程式的工程師,我只是想知道他到底還寫過多少的網站,真想都看看^^!跟 BlogAD 寫信告之後,他們似乎還有一些在狀況外,因為這個值在ie下是看不到的,等我騎完了觀音山回到家他們好像才有了一些頭緒,當然也陸續也修改了一些東西,多了一些判斷條件,不知道他們工程師是否忙翻了呢?
當然在信件往來之中我也一邊幫忙他們測試,信件往返中我也真想衝到他們公司算了,永和很近咩!看看 BlogAD 的正妹有沒有 BloggerAds 多?哈哈哈!等測試到我只能看到自己的資料時整天的上班時間也過了,這樣的速度是否算快呢?今天再打開網頁MemberID的值雖然還是存在,但是修改後啥都看不到了,只是我對於這樣的資訊可以被存取還是覺得很不妥,再來他們多了一組md5演算出來的_M值,難道他們不知道以現在的cpu技術算出一組md5不用多久嗎?當然我也懶得再去算md5了,我的cpu太嫩了一些XD。
後續報導就這樣了!雖然說是看不到別人的個資了,但是對於他們修改還是頗擔心的!