我们有一个旧的计算机集群，在我工作的一个实验室里没有运行。几个本科生认为，让它运行起来会很有趣，这样他们就可以学习一点并行计算了。他们让它运行起来，结果证明它非常有用。

One day I came in and was checking out the stats...It was running at 100%. Now this was a 24 node cluster and there were only 3 of us that ever used it so it was a little strange that it was running at this load. I started playing with it, trying to figure out what was loading it...turned out someone had gained access and was using it as their own little porn server and spammer. I asked the undergrads what kind of security they put on it, they looked at me and said "Security? We didn't think it would need any."

我给它加了个密码，就这样。把它用作色情服务器的人原来是一个本科生的朋友。

这不是安全漏洞，而是那些把自己的产品标榜为高安全性的公司的安全耻辱(这是他们的主要特征之一)

这是关于“安全登录”的页面为合作伙伴。是这样的:

第一次你通过电子邮件获得明文密码，一旦你登录，你当然不会在第一屏幕上阅读废话，你只是跑去找你要找的东西(文档或软件)，然后注销。

但这里有个技巧，下次你尝试登录时，你的密码不再有效，因为你应该有新密码，他们每次都会在你的个人资料下发布在网站上。所以在交换了几封电子邮件后，他们给我发了大约30个列举的一次密码列表，我每次只能使用一次。(我花了一周时间和几封邮件重新协商这个列表)

所以我打印了这个密码列表，贴在我桌子前的墙上，每次登录时我都用钢笔涂掉一个密码。我可不想有人从我桌前走过看到这份名单。

我曾经忘记删除“管理员登录页面”。该页面只是绕过LDAP登录并获得所有权限。它可以对客户的银行账户做任何事情。我非常非常担心。幸运的是，没有人知道URL。

按下Windows 98登录屏幕上的取消按钮，你就可以进入系统了。

在我工作的一个网站上，他们使用用户名和密码作为组合主键。用户名自动是您的姓，不需要唯一。

这就只剩下一件独一无二的事情了…

几年前我移植的一款遗留应用使用了第三方回调系统来处理支付。问题是，回调脚本没有检查支付的金额是否等于订单的价格，因此可以使用Firebug编辑支付页面上“金额”字段的内容，以0.01英镑的价格购买网站上的任何产品。