@楼上各位信任技术本身的同学
并没有人说,现在的校验机制是不可信赖的。从 1 当下的 2 技术角度 这两个视角来看,确实如此。
但是!
@
Balthild 也知道,非对称加密 /签名的约束之一是计算能力。如果突然 CNNIC 计算出私钥呢?
@
Quaintjade 也指出,使用的具体算法很重要。如果突然大质数、椭圆曲线等算法被发现有漏洞存在呢?
我再加一种情况,技术上没有发生突变,但,某天一个 gitlab 哥们一样的开发人员,一个低级错误无意中泄露了私钥,怎么办?
Google 说,卧槽就当没看见。
Tencent 说,卧槽这趟浑水不能沾会砸招牌。
Symantec 说,卧槽快雇佣我帮你检查是不是安全体系有问题。
CNNIC 说,卧槽这下机会来了我们去想办法修改校验值去劫持 https 吧!
以上都是揣测,都是极低概率才会真正发生。但考虑到各企业的人品值,不同决策方向的概率的大小,你觉得真的没有差别吗?
其实在大企业里,很多细节管理都有各种各样的问题,有各种各样的机会让你去恶意获取、恶意利用。但一份源码放在面前无任何保护无任何风险,有的人依然会刻意回避,有的人会偷偷瞄一眼然后谁也不告诉,有的人,真的会拿去卖钱。
同样,一个机会摆在面前,我相信某些企业真的会尽其所能的去利用的。
我们就不提那些曾经没有机会也要创造机会然后恶意利用的企业了。一举一大把,不利于身心健康。