这是一个创建于 3304 天前的主题,其中的信息可能已经有所发展或是发生改变。
昨天改过密码后,今天在查看登录情况,发现还是有异常 ip 登录,遂改了密码,但是惊奇的发现,竟然还是登录状态!!!!心中一万个草泥马路过。。。。难道我改了密码,网易你不应该把我之前登录的信息清除吗????????!!!!
 |
1
pheyer 2015-10-20 10:55:46 +08:00
我来报一个 bug 吧:
有一个 163 邮箱我是没增加保密邮箱的,而且忘记了密码,但是关联了我的一个主用邮箱,我通过主用邮箱进入到这个邮箱,想增加保密邮箱,它让我先增加密保问题,我都增加了,然后设置保密邮箱,之后它给保密邮箱发送验证邮件,收到验证邮件之后我就傻了,需要用这个邮箱的账号与密码登录才能难——因为密码忘了,此路不通——我以为我的保密邮箱没有设置成功。 于是我注销这个邮箱退出登录,选择忘记密码,给出了两种方式找回密码,一种是根据保密邮箱,一种是根据密码保护问题,蹊跷之处在于第一种方法里给出了我刚才设置的保密邮箱,出于测试起见,我还是选择了这个方法,结果保密邮箱还是能收到邮件,然后我就成功修改了密码!!!!! |
 |
2
zander 2015-10-20 10:59:48 +08:00 via iPhone
cookies 没失效?
|
 |
3
xiuc001 2015-10-20 10:59:58 +08:00
补刀功底不错
|
 |
5
mapleth OP @pheyer 额。。。万能的网易啊,不敢用了,现在还爆出二次验证在邮箱客户端依然可以无需验证码直接收发邮件。。。 o(︶︿︶)o 唉 http://weibo.com/williamlong?from=feed&loc=nickname
|
 |
6
LazyZhu 2015-10-20 11:57:57 +08:00  1
再次吐槽下网易密码的"最多 16 位"
|
 |
8
moonkiller 2015-10-20 12:01:00 +08:00
@lichao 听说之前没有限制时,超过 16 位后面的都是不计入有效的。。。
就是前 16 位正确就行 |
 |
9
jackisnotspirate 2015-10-20 12:04:07 +08:00
我现在都改不了密码,手机验证码拿到之后,立刻填写新密码,就提示我已超时。
|
 |
10
mei 2015-10-20 12:05:10 +08:00 1
Gmail 也一样,改了密码 cookies 还在就还是登录状态,但是 Gmail 下面有个 sign out all other sessions
|
 |
12
imn1 2015-10-20 12:22:01 +08:00
二步验证客户端问题, gmail 如果用授权码,也是不用二步验证可以收发的,主密码反而不能用,视为非法登录
网易也有授权码,但从目前反馈看,客户端网易邮箱似乎能用主密码? |
 |
13
chenwen 2015-10-20 12:28:07 +08:00
evernote 也有这个 bug
|
 |
14
ikaros 2015-10-20 12:48:47 +08:00
我今天修改了密码也是这样,从昨天晚上 2:00 开始到今天早上 10 点已经发了接近 1000 封垃圾邮件了
|
 |
15
cdredfox 2015-10-20 12:49:54 +08:00
我现在都不能修改密码,叫我改天再来修改。。。。。。
|
 |
18
Luzifer 2015-10-20 13:05:30 +08:00
|
|
20
mapleth OP @Luzifer 客户端的二次验证的消息,是月光博客披露出来的,链接 http://weibo.com/williamlong?from=feed&loc=nickname
|
 |
21
explorerproxy 2015-10-20 13:29:31 +08:00
改了 gmail 的密码,也依然在登陆状态
但是 chrome 让重新登陆了~~~ |
|
22
chenwen 2015-10-20 13:39:28 +08:00
@mapleth 我当时也觉得诧异,不管怎么样,用户只要改密了,用户之前的不管是登陆 token 还是 cookie 等都应该重置掉,并且提示用户重新登陆,这应该是基本常识吧
|
 |
23
dzxx36gyy 2015-10-20 14:15:01 +08:00 via Android
网易有将军令这个东西,然而两步验证不支持……我就只能呵呵了,况且它的两步还能被绕过,真是够了
|
 |
24
gaohongyuan 2015-10-20 14:24:03 +08:00
百度最长只能 14 位
|
 |
25
arens 2015-10-20 14:29:45 +08:00
大概在 04 年那段时间,网易邮箱很容易收到垃圾邮件,同时网页改版,充值 VIP 更方便的时候,我就决定停用已经使用 5 年了得网易 2 个主邮箱了
现在主要就是用 Gmail ,辅助用 QQ 邮箱 Gmail 别看翻墙这么多年麻烦,但始终坚挺 |
 |
26
Winny 2015-10-20 16:24:58 +08:00
应该是修改了密码,清除原来的 cookie 然后自动下发了新的 cookie 吧
老的 cookie 已经没有了,省去你再次登录的步骤,现在很多网站都是这样的。 |
 |
27
lightening 2015-10-20 16:59:14 +08:00
还好有了 Gmail 就换过去了……现在有个残留的网易邮箱账号,昨天废了好大劲才修改密码成功。
第一次尝试修改密码时,网易判定我的账号处于高危状态,不给我改。然后我小时候密保问题也是完全乱设的(因为我相信自己永远不会忘记密码),完全回答不出来,网易就不给我改密码。 还好他们的系统有漏洞。我发现还没有绑定过 QQ 号,就尝试临时绑一个。出乎我意料的是,在账户高危状态时,不能修改密码,却可以再绑定 QQ 号!然后绑定完居然可以用新绑定的 QQ 号重设密码!真是醉了! |
 |
28
czrdzj 2015-10-20 17:26:24 +08:00
今天中午看到消息后,把几个邮箱密码都改了一遍。。。论体验 论安全 和 outlook gmai 怎么比。
我重要的账号注册都是用的这两个。 |
 |
29
f0rger 2015-10-20 19:28:34 +08:00
看了下我的密码,撞库的话直接躺了 1/3 的帐号,一百多个,改到什么时候。。。。
|
 |
34
click 2015-10-21 00:08:44 +08:00
@pheyer 这个 bug 还在吗?我想修改密码,但网易说我关联了手机号,非要我验证手机号,可是那手机号早就不用了。现在他们要我上传身份证修复密码。。。
|
 |
35
micone 2015-10-21 09:52:12 +08:00
我刚刚没事修改了一下知乎的密码,发现修改完还是处于登陆状态的.哈哈哈哈
|
|
37
micone 2015-10-21 17:07:30 +08:00
@mapleth 按理来说在改了密码以后登陆验证的 token 会改变的,下一次 http 请求发送的 token 和后台的不一样的话就说明他要重新登陆获取 token 才对的.这种改了密码还处于登陆状态的网站很有可能是密码不参与 token 的验证.
我没深入参与过 web 安全的系统的设计,但是也有涉及到过一些比如 OAuth 之类的安全协议的对接.一般登陆以后会生成一个 AccessToken,这个 token 是用用户名,加密过的密码,token 超时时间,IP 地址,还有一些其他一些参数(变量)组合并哈希出来的. 每次用户登录服务器(应该)都要重新算一遍这个 AccessToken 和客户端呈上的 AccessToken 是否匹配. |
Select Language