bilibili的代码被一个程序员开源在了github上,虽然已经被删除,但是现在有很多的人上传bilibili的代码,
里面有很多硬编码的密码,安全系数实在是太低。而且代码被开源之后,各种各样的bug就暴漏在人们的面前,B站无疑会面临更大的挑战。md5并不安全,如何增加破解的难度?可以使用bcrypt来解决这个问题。
加密问题:
首先安装 bcrypt 这个库
pip install bcrypt
>>> import bcrypt
>>> password = "mypassword"
>>> # 用一个随机的盐值来加密密码
>>> # bcrypt.gensalt() 还可以接受一个参数来控制它要计算多少次,默认是 12
>>> hashed = bcrypt.hashpw(password.encode("utf-8"), bcrypt.gensalt())
>>> # 下面这个 hashed 就是加密后的值
>>> hashed
'$2b$12$nf3TdEFJZ6AtRA7N9r1f.OANfpFS9Qxtklo4km.LHbuEV7Mu5jJN2'
>>> # 验证明文密码是不是加密后的值
>>> if bcrypt.checkpw(password.encode("utf-8"), hashed):
... print("It Matches!")
... else:
... print("It Does not Match :")
权限管理:
代码被开源,很大的问题是没有进行好的权限管理,员工都能拿到所有的代码,代码完全是暴露的状态,如果没有限制,是否会出现有的程序员直接从本地master提交远程master的情况,这些都是很危险的情况。自己公司的代码管理的时候,一定要严格的管理权限,不该给的权限,一定不能给。