登录时密码到期后强制修改密码时，存在密码明文传输问题

siteserver / cms

SS CMS 基于 .NET Core，能够以最低的成本、最少的人力投入在最短的时间内架设一个功能齐全、性能优异、规模庞大并易于维护的网站平台。

https://sscms.com

GNU Affero General Public License v3.0

3.65k stars 1.2k forks source link

Closed fsea closed 10 months ago

fsea commented 12 months ago

如上图，其中红框中的password值是明文，建议和登录一样，修改为加密后再传输

starlying commented 12 months ago

收到，我们会尽快修复

fsea commented 12 months ago

今天看到password字段已经StringUtils.Base64Decode(request.Password);编码了但是base64只是编码，并没有加密，建议还是要加密再传输，只base64编码还是会泄露

starlying commented 11 months ago

这个修改密码功能和登录还不太一样，没办法把密码加密再传输，因为后台需要接受原始密码并加密存储到数据库中，如果用md5加密后就没法获取原始密码了。