软件存在账号密码泄漏问题

龙华一方

上次我密码忘记了，还是用这个方法找回的

core

或许楼主会说，生成调试信息，为什么要保留用户的12306帐户及密码？为什么不可以加密扰乱非要用明码显示？我继续替木鱼解释（不是他委托我，是因为这是软件行业的一些ABC，大家都懂的）：
1、这个调试文件，不是为了好看或随意生成的。它的作用就是记录下当前帐户运行软件并登录12306系统的信息。这个信息，对于你我来说，基本没有意义，所以没事就别去生成这个调试文件——不好玩哈。这个文件，对于软件作者来说，意义才大，即你把这个文件呈送给木鱼，他看得懂。他可以从中看到跟12306系统“调情”的各种手段或蛛丝马迹。比如我们都生成了这个文件给木鱼，他看后会说，有啥好看的嘛，全国人民都跟12306同样一个“调情”手段，没啥新东西，不好看。
2、所以，假如楼主希望这个调试文件中的密码帐户啥加密扰乱后给木鱼，让他解密后看——你让他自己先加密，然后自己再解密，这不是嫌他无聊自己左手玩右手？这种徒增防范第三方的手段，你直接按提示说别轻易外泄第三方不就解决问题了？
3、或许你是想说，根本就不应该在这个调试文件中存使用者的帐户密码。这样提交给作者分析，就能让作者避嫌、用户踏实？有道理！但是，这个调试文件，多是因为使用者使用软件时发生错误，且不是可预知的错误（无对应的报错码等），需要交给作者帮你分析在你的环境中遇到啥状态了才生成的——那么，作为一个12306系统客户端，登录是必然的，不登录就没响应反馈，就无所谓问题或定位问题。而登录的学问大了，因为你出现莫名其妙的问题，或许就是你的帐户被12306禁了。那么，你不提交你的帐户及密码让木鱼去模拟，以为用木鱼自己的帐户或其他人的帐户就一定能重现问题吗？因为假如是你的帐户被禁，那么，用别人的未被禁的帐户，是根本暴露不出你遇到的问题的——软件作者多有傲娇的自信，多不会先去检查自己代码问题（实话说，他们多多少少有过内部测试，所以多少会抗拒自我否定的行为），他会怀疑你的帐户及12306的问题。所以一定会先用你的帐户去试，看看能否暴露出问题。如果你的帐户没试出问题，才会转而用更多帐户模拟，确认不是帐户登录或12306问题后，才会去检查自己软件的代码。

事实上，还有一种方案，既让你能求助软件作者，又打消你的安全顾虑：遇到问题后，你到木鱼面前，让他背过身，等你输入帐户密码登录后，告诉他：看，看，看，就是这样的问题哈。

所以，如果不是木鱼本着精益求精，本着及时顺应12306系统，本着及时更新和解决广大使用者的精神，我想他是不愿意让你提交你的帐户及密码给他——所谓替人保守秘密压力山大哈。他或许会苦闷于如何向你解释：你最好别出问题，出了问题最好不要提交这个文件来找我，找了我后，我一定会强制把你告诉我的密码忘记（本来就累，再记这么多帐户密码，真不是人干的事哈）。

最后，回到根本上来：这个文件，木鱼订票助手不会主动生成（必须让使用者选择调试模式），也不会自动上传给某个地方（使用者可以用各种手段监控哈），那么，你不踏实，就别给第三方，包括给木鱼嘛

tomtack

顶鱼大,鱼大无私帮助了多少人.大家心里有数.

radar12345

支持鱼大，不多说！

铁笔子

支持木魚.這些年來搶票沒了木魚.春節都不知該怎麼回家

木魚

其实调试模式会生成记录文件，其中确实会包含相关的密码信息。但诚如上面很多的同学所说，这里没有加密是由于以下的原因：


1. 任何和12306的交互都是明文的，12306本身不存在加密的功能。换句话说，其实有更多更方便的方案获得你的密码，甚至不需要在你本机记录文件。
2. 调试是在调试模式才会记录的，而且风险已经做了明确提示，助手本身也不会主动上传记录文件给任何人。当然密码可以加密，但作为一个通用的跟踪系统，去判断每个需要加密的步骤，实在太复杂了——而且这在原始网络数据（raw）过程中很难做到。
3. 其实任何时候你把密码或加密后的密码提供给别人，都是很危险的事情。就算助手本身导出的求助文件是加密了，但也可能存在逆向解密的可能，根本原因是因为12306不支持加密。所以安全是一个要求使用者心中有数的事情，助手能做到的一定会做到，但那么多地方提示求助后改密码，又有多少人看到了呢。