qq135449773

qq135449773

V2EX 第 670842 号会员,加入于 2024-01-11 12:13:48 +08:00
今日活跃度排名 89
非必要不说话
根据 qq135449773 的设置,主题列表被隐藏
二手交易 相关的信息,包括已关闭的交易,不会被隐藏
qq135449773 最近回复了
要不是这个项目,我还真不知道 Google 的 ip 还有漏网之鱼
@conky #17 😂好兄弟至少读一下标题可以吗
其实我觉得这个想法是 ok 的,但是现在需要立法角度考虑 1 用户数据归属权 2 赋予爬虫更宽松的合法权力。

指望国内某些人这辈子能想到这个问题肯定是没戏了。但是另一方面,不止国内,现在国外因为最近几年 AI 大火特火,各家各户都在各种限制爬虫。

这样下去肯定不是办法,我估计将来为了保护互联网开放权力,迟早国外会有国家牵头法律上去限制这种城墙高筑的行为。
@javalaw2010 #2 感谢推荐,其实前置倒是没什么需求,不是很经常自拍,主要想看看后置稍微好一点的
我主力机只是千元 realme ,扫码摄像头
8 天前
回复了 mugdsod 创建的主题 程序员 做了这样一款 APP 有可能会违法吗?
可以做,但是请隐藏好你自己身份。。。比如 Github 注册小号
> 比如你正在输入密码,就差点击确认刚好有人借用,你给他用了,他登陆了打开了调试获取到了,或者你有抓包软件运行,别人使用你电脑时候获取到了,这些都不是信道本身中间人相关的问题。

用户登录过程中因为 996 过度,猝死了,你也要在代码中设计一套逻辑防止用户猝死吗?

不要为用户的行为买单,我们的目标人群是 90%的正常人,不要为了那小部分不正常人的行为花精力。
> 再用脚想一想,如果 https+明文就安全了,为啥还要有二次验证之类的额外的安全策略?

二次验证防止的是未经授权的用户登陆操作,防止的不是密码泄露。

> 为什么 Amazon Web 不用明文? 为什么淘宝 Web 不用明文? 为什么 telegram whatsapp 网页版不用明文而是其他设备扫码登陆?

我猜测可能是因为亚马逊淘宝这类网站是逐步从 http 过渡到 https 的,他经历了没有 TLS 的时代,所以需要手动在 payload 里去加密 sensitive 。

telegram 和 whatsapp 这类东西,包括微信,做扫码登陆,因为他们本来主打平台就是移动端,只是顺便做的其他平台而已,所以才敢这么做,至于安全与否完全只是顺便而已。

我的一些观点:

像 CDN 、WAF 这些做 tls offloading 的东西,还有一些其他公有云设施,这种东西你只能默认信任。

为什么这么说?

给密码再加密一层,密码是安全了,返回给用户的 session 你也要加密返回给用户吗?

你收到一个加密的 session ,你怎么判断这个 session 是用户发的还是恶意构建的请求?

假设你以上所有东西都 ok ,你怎么确保你公有云 instance 的云盘或者云数据库不会被未经授权的读取?

我并不是说以上问题没法解决,我想说的是,如果你要确保你想的那种 level ,绝对不是给密码再加密一层密码加密就能解决的问题。

架构设计本身就是一个不断做取舍的过程,这个问题上的取舍绝对不是这么简单就能解决的。

所以就不要自己骗自己了。
21 天前
回复了 Deteriorator 创建的主题 程序员 想知道 web.archive.org 你们都能访问么?
没带 https 的话记得手动加上 https ,他们网站最近配置好像有问题
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5170 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 10ms · UTC 07:13 · PVG 15:13 · LAX 00:13 · JFK 03:13
Developed with CodeLauncher
♥ Do have faith in what you're doing.