2006年11月17日 星期五

login password + md5.

由於最近剛好幫健一搞網站, 因此小研究了一下 yahoo taiwan 的 login 部份,

比較好玩的是, yahoo taiwan login 大概有半年以上的時間, 是我負責維護的,

但是我並沒有仔細去研究一些東西, 甚至 code 都是別人搞好的, 我只負責重建環境跟擦屁股.

anyway...

yahoo login 雖然是 http, 沒有 ssl 保護, 不過你大概一輩子也沒辦法 sniffer 到真實密碼,

因為, 他 client side 就 md5 三次, 才送出去.

form 裡面有個 .challenge,

輸入密碼, submit 之後,

md5 一次, md5 兩次, 出來的 string 加上 challenge 之後, 再一次 md5.

然後把 user name 跟 md5 之後的密碼, 還有 challenge 一起 submit 出去.

3次 md5 ㄟ, challenge 也是每次不同, 你要怎樣算回原始的資料?

好東西, 就要一起偷來用, 因此我也把那段 js 偷來...

apache + ctemplate

最近幫健一搞他們的網站, 自己決定整個用 c++ 來幹,

然後原本想用 lighttpd 來稿, 後來發現彈性真的頗差,

還是換回了 apache, 因為 db persistent pool 的原因, 就直接上了 apache22.

apache 寫純 handler 很強, 但是加上了 presentation layer,  整個就鳥了,

不過, 還好有了 google ctemplate,  兩個搞在一起, 就是完美組合.

現在整個都差不多了, pure page 大概可以上到 1900 reqs/sec,

加上簡單的 sql query, 還是可以逼近 1000 reqs/sec.

今天也把 devel/json-c 搞起來玩, 看起來也不錯