刚手搓的论坛,欢迎大家来玩~

2023-10-21 20:17:19 +08:00
 orlog
刚自己手搓了个论坛 http://guang.su ,主要是借鉴了 V2EX 和 discuz 的设计。

自己独特的可以拿出来说一说的主要有以下一些设计:

1. 前后端都极简,没有使用任何框架,特别是前端 css, js 都是纯手搓,这样能保证代码的极简,部署在国外网络不太好的机器上时,能以还不错的速度跑起来
2. 界面设计采用了优雅的毛玻璃风格
3. 密码在前端加密,不明文传输,这样即便不幸被脱裤,用户密码也不会出现在各种社工库里
4. discuz 的 ubb 代码和现在流行的 markdown 同时支持。我自己是喜欢用 ubb 的,因为和 html 比较像
5. 实践了 PWA, 我自己试了下效果还不错,也还有一些问题,后续再慢慢解决

论坛主要方向是游戏,二次元,服务器和域名等,欢迎新老朋友们来玩哦~
14524 次点击
所在节点    分享创造
238 条回复
chotow
2023-10-22 15:24:32 +08:00
不讨论 UI ,前端进行密码哈希的这个做法,大大点赞。
后端哈希是必须的,前端哈希则是锦上添花;许多人不明白这一点的意义,对我来说,「项目开源+前端明文提交密码」和「项目闭源+前端哈希提交密码」,我宁可选择后者。
orlog
2023-10-22 15:29:26 +08:00
@rimutuyuan 黑客都能脱裤或者监听到你哈希后的 “abc” 了。。。就让他登录了吧,至少你原文密码不会被收录到社工库,至于防止脱裤,那是代码审计之类的工作吧
orlog
2023-10-22 15:30:44 +08:00
@chotow 是的,感觉这里很多人都不理解为什么需要前端加密,很奇怪,这事这么难理解吗
kakki
2023-10-22 15:41:44 +08:00
关于这位 op 所谓的前端哈希。。。他的意思就是,我替用户防我自己。万一我数据被泄露出去,不至于让用户担心是否有存储明文密码的可能性,因为之前 csdn 这个草包就干过这种事,用户在所有平台一般都只会使用一个密码。
但其实有心人直接暴力生成海量彩虹表做 match 工作就行了。
orlog
2023-10-22 15:44:35 +08:00
@kakki 哈哈这个有心人,暴力成本可有点高吧。。。具体我还没算过,不过我这可不是 md5 哦 ,彩虹表可能一两天做不出来的
kakki
2023-10-22 15:46:27 +08:00
@orlog 你可能误会我的意思了,我的意思不是攻击人做彩虹表,是你自己提前生成彩虹表。
kakki
2023-10-22 15:48:38 +08:00
@orlog 所以我的结论就是如果站长一定要搞用户的明文密码。。。有的是手段。
orlog
2023-10-22 15:53:58 +08:00
@kakki 好吧。。。假设我有一个机房的超级计算机,为了获取小论坛的用户密码明文,要预先做了个彩虹表,先花他个几年时间把机房算力跑满吧,听上去很疯狂,但也不是没可能
orlog
2023-10-22 15:59:23 +08:00
@kakki 密码都是这样的,暴力破解只是时间和算力问题。但你觉得站长会花那么大代价做彩虹表的概率有多少?我宁愿相信那个密码是猴子乱敲键盘蒙对出来的,而不是通过预先做彩虹表
kakki
2023-10-22 16:06:47 +08:00
@orlog 你不妨说说你用的什么加密方式,可以算看下一天能生成多少条记录,大部分前端加密就我了解应该都只是一些简单哈希吧?一天能生成多少具体算了再看。
我还是坚持前端加密没有什么卵用,如果是 best practice ,不可能没有在业界推广开来。
虽然都说密码是时间和算力问题,但是很明显线性增长和指数增长不能混为一谈。
orlog
2023-10-22 16:12:09 +08:00
@kakki 我前端加密用的是 pbkdf2 算法,秘钥长度 512 ,迭代次数 1024 。看得出来大佬是很懂的哦,不如帮我算一下吧!这个加密方案我预先要做个彩虹表出来的话,大约需要多少算力和时间?我把他写到网页上,谢谢哦!
Achilless
2023-10-22 16:17:22 +08:00
@lisongeee 'http 在大部分场合下都比 https 好用'
Achilless
2023-10-22 16:19:27 +08:00
这么有自信的话希望楼主找工作的时候把这个网站和这个帖子展示给面试官看哦
kakki
2023-10-22 16:19:29 +08:00
@orlog 我不懂,但是我有常识。
orlog
2023-10-22 16:26:23 +08:00
@Achilless 你不赞同我的观点,可以直接说出你的理由的,没必要跟我比较谁比谁更自信,我觉得这种事情是没有意义的

@kakki 那你谦虚了,据我所知这个事情还真不能算常识,我也至少要百度一下
kakki
2023-10-22 16:35:33 +08:00
@orlog 我不懂密码学,我的判断也只能基于一般的“为什么没有推广”来抛砖引玉。这个也不一定完全是技术因素,比如时代进步了,大家都使用手机验证码了,如果有研究密码学相关的专家能回答一下这个问题最好不过了。
sunzhenyucn
2023-10-22 16:39:48 +08:00
好丑的设计 :)
aulayli
2023-10-22 16:42:56 +08:00
无法访问了
orlog
2023-10-22 16:43:36 +08:00
@kakki “为什么没有推广”,这种现象是很普遍的,各个领域里都是这样,只要你研究的足够深入,就会发现流行的东西都往往都不是最好的
orlog
2023-10-22 16:44:50 +08:00
@sunzhenyucn 好丑的头像

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/984105

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX