奶罩的新项目(洋葱)上线了,各位有什么看法?

2015-04-01 11:25:34 +08:00
 beddo

1,你们会用吗?
2,可能会存在什么问题?
3,项目前景如何?
相关页面: https://www.yangcong.com/

8417 次点击
所在节点    分享发现
39 条回复
click
2015-04-01 15:15:12 +08:00
我以为是做内衣的。害我白进来看一遍
oott123
2015-04-01 15:17:57 +08:00
哎,想在自己的项目中试用一下,结果

> 目前洋葱正处于内测阶段,
> 暂时只对少数的合作伙伴开放。
> 如果您对参与到洋葱的内测有兴趣,
> 请联系我们。

看了看自己的小项目,还是算了吧。
不过 APP 的很多地方看了都觉得,好赞~
est
2015-04-01 15:18:41 +08:00
@naizhao 围观
sarices
2015-04-01 16:20:56 +08:00
GA云同步安全吗??
learnshare
2015-04-01 16:25:40 +08:00
logo 为什么是半个柠檬...
decken
2015-04-01 17:02:33 +08:00
目前有哪些网站是支持洋葱认证的?
jemyzhang
2015-04-01 17:08:08 +08:00
我以为是美女站...来了就顶一下吧
naizhao
2015-04-01 18:36:37 +08:00
@wzxjohn 我也问你一句话:打开app看半天6位数,颤颤巍巍的输入浏览器的时候告诉你验证码过期,还是直接push一条信息到手机,打开后点击一下就通过验证,哪种更快?
wzxjohn
2015-04-01 18:42:03 +08:00
@naizhao 打开 App 看 6 位数只要5秒,输入不需要颤颤巍巍,GA 有 正负30秒的容错,也就是说只要你不“颤颤巍巍”30秒你的码就是有效的。 Push 消息首先要打开你的 App,不说你的 App 比 GA 启动慢,App 获取验证信息需要时间,看 App 显示的验证信息需要时间,想了一下点了同意又需要时间,同意之后 App 将验证信息加密还给服务器又需要时间,你们的服务器将验证信息加密或者明文也好还给真正的认证服务器又需要时间。这么多环节只要任何一环出了问题,比如我现在没 Wifi,手机信号差,那就直接歇菜。你说哪个好?
wzxjohn
2015-04-01 18:43:59 +08:00
顺便一说,因为是手机号注册,所以基本等于实名。国内公司嘛,如果上级主管部门要查你水表,以前可能还要一个个查,现在好了,报一个手机号给 @naizhao ,关联过的所有网站就出来了~简直方便啊~~~
naizhao
2015-04-01 22:28:51 +08:00
@wzxjohn 嗯,你很厉害啊,列举了一大堆不好的地方,不知道对我的新产品有什么建设性的意见?
wzxjohn
2015-04-01 22:31:34 +08:00
@naizhao 你作为一个老大就用这个态度做产品。。。嘲讽别人。。。Orz。。。牛逼!
liangzhitao
2015-04-01 22:41:40 +08:00
说实在的,我认识的人用 GA 的基本没有,类似产品用的比较多的还是 QQ 令牌,而且也只是相对于 GA 来说,14年以来,人们对安全的重视程度越来越高,如何让类似概念深入人心,产品就有戏,去跟对比 GA 孰优孰劣,根本没有任何意义。
taogogo
2015-04-02 10:47:48 +08:00
用了下,设置手势界面空白GT-I9100
naizhao
2015-04-04 00:35:39 +08:00
@wzxjohn 我这是虚心请教啊,还以为你有什么NB的想法呢。
wzxjohn
2015-04-07 20:33:13 +08:00
@naizhao 拜托先上架 App Store 再继续来嘲讽我吧。
tigerstudent
2015-06-21 19:38:11 +08:00
按5楼的逻辑百度也是没前途的?
yiling
2015-07-03 16:55:02 +08:00
用到今天,GOTP确实不错,换个手机也能用。APP迭代速度惊人,现在已经能启用指纹、人脸、声纹识别了,期待更多的功能。奶罩出品确实让人有期待!
JasonGao180
2015-07-23 12:03:01 +08:00
洋葱会将用户的TOTP密钥上传到洋葱上(看官网介绍了,说托管在第三方服务那里,没有本质区别)。
这在高安全场景下是不可接受的。
假设用户托管在洋葱的TOTP密钥被拖库了,然后攻击者就可以针对洋葱的用户用撞库的方法进行攻击,而洋葱用户估计还觉得自己启用了MFA很安全一定不会被盗号。
而GoogleAuthenticator就只把密钥保存在本地,而不敢将密钥上传到服务器上。
Authy虽然将密钥上传到服务器上,但是用户需要在Authy客户端设置恢复密钥,TOTP密钥会在本地用客户的恢复密钥加密后再上传到远程服务器上。
洋葱。。。就这么把TOTP密钥上传到服务器上了。。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/180798

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX