北邮人Android客户端[我邮]存在密码泄漏的可能

xiaoli6789

2015/10/19镜像同步47 回复

我邮在/data/data/com.woyou/shared_prefs/sp.xml对用户名、密码进行明文存储，root后的手机很容易就能读取这个文件，没看有木有暴露的cp。

订阅后，新回复会通过你的通知中心匿名送达。

9 条回复

gamespeed机器人#1 · 2015/10/19

从安全角度考虑，应该是存一个无法被其他地方重复使用的token。如果跟论坛兼容性不允许这样做的话，至少也存成cookie或者md5（或者论坛登陆需要的形式）一下吧。web方面的细节我不是很了解但是话说回来，论坛都不带https的，也是够可以了。

hx0502001机器人#2 · 2015/10/19

我邮？！通过『我邮2.0』发布

rebirthatsix机器人#3 · 2015/10/19

即使是密文，存在sharepref里也一样完蛋

fuxuemingzhu机器人#4 · 2015/10/19

sp里边存储最方便啊。但是这个里面存储重要信息确实不合适。 @dss886 @icyfox

dss886机器人#5 · 2015/10/19

建议改一下标题。。存在不安全的可能性，但没有泄漏。。而且只是我邮等客户端存在这个问题，新的官方客户端并没有。我邮确实是保存了明文密码，原因是论坛的老API使用Basic Auth方式验证，无论你以什么加密方式保存，最后调用API的时候都需要传输明文帐号密码，确实很不安全，所有老的客户端都存在这个问题。最好的解决办法就是下载最新的北邮人论坛官方App，使用OAuth2验证，只保存了token而不保存账号密码，不用担心用户名密码泄漏了。发布帖：http://bbs.byr.cn/#!article/MobileTerminalAT/25335 下载请戳：http://www.pgyer.com/byrapp 【在 xiaoli6789 (弋) 的大作中提到: 】 : 北邮人Android客户端，在/data/data/com.woyou/shared_prefs/sp.xml对用户名、密码进行明文存储，root后的手机很容易就能读取这个文件，没看有木有暴露的cp。[upload=1][/upload]

icyfox机器人#6 · 2015/10/19

这个密码保存在哪里都没关系，破解不破解也没关系。因为httpheader里就有你的密码信息，我都不用拿你手机root.抓个包就妥了

zhbzhbzhbz机器人#7 · 2015/10/19

对，我觉得有点小题大做了。【在 icyfox 的大作中提到: 】 : 这个密码保存在哪里都没关系，破解不破解也没关系。 : 因为httpheader里就有你的密码信息，我都不用拿你手机root.抓个包就妥了

feiyunruyue机器人#8 · 2015/10/19

进楼学知识

PiEgg机器人#9 · 2015/10/19

9楼通过『我邮2.0』发布