网易继续补刀。。。修改密码后竟然还是登录状态。。。

我来报一个 bug 吧：
有一个 163 邮箱我是没增加保密邮箱的，而且忘记了密码，但是关联了我的一个主用邮箱，我通过主用邮箱进入到这个邮箱，想增加保密邮箱，它让我先增加密保问题，我都增加了，然后设置保密邮箱，之后它给保密邮箱发送验证邮件，收到验证邮件之后我就傻了，需要用这个邮箱的账号与密码登录才能难——因为密码忘了，此路不通——我以为我的保密邮箱没有设置成功。
于是我注销这个邮箱退出登录，选择忘记密码，给出了两种方式找回密码，一种是根据保密邮箱，一种是根据密码保护问题，蹊跷之处在于第一种方法里给出了我刚才设置的保密邮箱，出于测试起见，我还是选择了这个方法，结果保密邮箱还是能收到邮件，然后我就成功修改了密码！！！！！

cookies 没失效？

补刀功底不错

@zander 没失效。。。也不想再改了，现在还是登录状态，正在解绑各个账号中，，，，醉了

@pheyer 额。。。万能的网易啊，不敢用了，现在还爆出二次验证在邮箱客户端依然可以无需验证码直接收发邮件。。。 o(︶︿︶)o 唉 http://weibo.com/williamlong?from=feed&loc=nickname

再次吐槽下网易密码的"最多 16 位"

@LazyZhu 刚刚改了 QQ 密码，也是"最多 16 位"

@lichao 听说之前没有限制时，超过 16 位后面的都是不计入有效的。。。
就是前 16 位正确就行

我现在都改不了密码，手机验证码拿到之后，立刻填写新密码，就提示我已超时。

Gmail 也一样，改了密码 cookies 还在就还是登录状态，但是 Gmail 下面有个 sign out all other sessions

@pheyer 这个一直都存在的。。。
只要填了，不管有没有激活，密保邮箱就已经确立了。

二步验证客户端问题， gmail 如果用授权码，也是不用二步验证可以收发的，主密码反而不能用，视为非法登录
网易也有授权码，但从目前反馈看，客户端网易邮箱似乎能用主密码？

evernote 也有这个 bug

我今天修改了密码也是这样，从昨天晚上 2:00 开始到今天早上 10 点已经发了接近 1000 封垃圾邮件了

我现在都不能修改密码，叫我改天再来修改。。。。。。

@imn1 网易的在客户端里就没二次验证这回事了。。。

@cdredfox 同情，还好我已经改了，刚发现 V2EX 还是网易邮箱的....

@cdredfox 我在想，网易否认被黑，漏洞没补上，那改密码也是白改了。
加了二次验证，#5 楼 @mapleth 又说邮箱客户端依然可以无需验证码直接收发邮件。

年少不懂事，用了好久的网易。从昨晚折腾到现在，用网易注册的服务才小部分改了密码。
很多服务不能修改邮箱～
一万头。。奔过。。。

@chenwen 这个完全可以把 cookie 清除啊，为啥都要留有这个 bug 呢

@Luzifer 客户端的二次验证的消息，是月光博客披露出来的，链接 http://weibo.com/williamlong?from=feed&loc=nickname

改了 gmail 的密码，也依然在登陆状态
但是 chrome 让重新登陆了~~~

@mapleth 我当时也觉得诧异，不管怎么样，用户只要改密了，用户之前的不管是登陆 token 还是 cookie 等都应该重置掉，并且提示用户重新登陆，这应该是基本常识吧

网易有将军令这个东西，然而两步验证不支持……我就只能呵呵了，况且它的两步还能被绕过，真是够了

百度最长只能 14 位

大概在 04 年那段时间，网易邮箱很容易收到垃圾邮件，同时网页改版，充值 VIP 更方便的时候，我就决定停用已经使用 5 年了得网易 2 个主邮箱了

现在主要就是用 Gmail ，辅助用 QQ 邮箱
Gmail 别看翻墙这么多年麻烦，但始终坚挺

应该是修改了密码，清除原来的 cookie 然后自动下发了新的 cookie 吧

老的 cookie 已经没有了，省去你再次登录的步骤，现在很多网站都是这样的。

还好有了 Gmail 就换过去了……现在有个残留的网易邮箱账号，昨天废了好大劲才修改密码成功。

第一次尝试修改密码时，网易判定我的账号处于高危状态，不给我改。然后我小时候密保问题也是完全乱设的（因为我相信自己永远不会忘记密码），完全回答不出来，网易就不给我改密码。

还好他们的系统有漏洞。我发现还没有绑定过 QQ 号，就尝试临时绑一个。出乎我意料的是，在账户高危状态时，不能修改密码，却可以再绑定 QQ 号！然后绑定完居然可以用新绑定的 QQ 号重设密码！真是醉了！

今天中午看到消息后，把几个邮箱密码都改了一遍。。。论体验 论安全 和 outlook gmai 怎么比。
我重要的账号注册都是用的这两个。

看了下我的密码，撞库的话直接躺了 1/3 的帐号，一百多个，改到什么时候。。。。

@LazyZhu 强烈同意，我想改成强密码，结果告诉我位数太多。

@chenwen 这个确实应该是常识，难道他们工程师都偷懒到这地步了。。

@Winny 关键是木有清除

@czrdzj 哎 改了好久才把部分账号的邮箱换成 gmail ，还有一部分不知道用的哪个邮箱呢，醉了

@pheyer 这个 bug 还在吗？我想修改密码，但网易说我关联了手机号，非要我验证手机号，可是那手机号早就不用了。现在他们要我上传身份证修复密码。。。

我刚刚没事修改了一下知乎的密码,发现修改完还是处于登陆状态的.哈哈哈哈

好像很多网站都是这样，这是为啥？
@micone

@mapleth 按理来说在改了密码以后登陆验证的 token 会改变的,下一次 http 请求发送的 token 和后台的不一样的话就说明他要重新登陆获取 token 才对的.这种改了密码还处于登陆状态的网站很有可能是密码不参与 token 的验证.

我没深入参与过 web 安全的系统的设计,但是也有涉及到过一些比如 OAuth 之类的安全协议的对接.一般登陆以后会生成一个 AccessToken,这个 token 是用用户名,加密过的密码,token 超时时间,IP 地址,还有一些其他一些参数(变量)组合并哈希出来的.

每次用户登录服务器(应该)都要重新算一遍这个 AccessToken 和客户端呈上的 AccessToken 是否匹配.