zpf124 最近的时间轴更新
zpf124

zpf124

懒~~~
V2EX 第 164342 号会员,加入于 2016-03-22 09:03:34 +08:00
今日活跃度排名 9710
zpf124 最近回复了
网上看了看教学视频, 然后去池子里扑腾了 5 次学会了蛙泳。
第一次第二次连飘起来都做不到,别说游了, 后面第三次基本学会了大概,可以憋着一口气游几米,第 4 第 5 次都是在找手脚配合抬头换气的节奏。
@huangmingyou 是不是那个什么保洁大妈去把散热扇拔了充电的那个? 检查的人去的时候大妈看着有人就没进去拔。
38 天前
回复了 kabob 创建的主题 SSL 启用了 https 的网站登录时密码加密有意义吗?
@dingwen07 现在说的是前端哈希,正常情况后端会自己做加密以及摘要,脱裤了攻击者拿到的也是无用的数据,你拿到前端的哈希那攻击者还能登录,但拿到数据库的密码字段是纯粹无用字段,除了 md5 和 sha1 其他方式攻击者都无法用彩虹表反解,连在本站登录都不能做到,如何危害其他网站安全?

而且这偏题了,提名是说 https , 我的意思是 https 没那么容易被监听,所以前端不要自己做哈希, 你要是 http 那你爱怎么折腾怎么折腾去,我虽然依然觉得前端哈希不如前端 RSA ,但好歹比裸奔强。
39 天前
回复了 kabob 创建的主题 SSL 启用了 https 的网站登录时密码加密有意义吗?
@Buges 有影响,你前端哈希了如何做弱密码禁止相关的策略? 写个 5M 的 js 来个穷举?
39 天前
回复了 kabob 创建的主题 SSL 启用了 https 的网站登录时密码加密有意义吗?
@Buges 我承认你说的这个问题,但我个人还是认为 https 不太容易被攻击,前端 hash 的缺点高于优点。
同时我说了我觉得前端要做可以做非对称加密
39 天前
回复了 ameizing 创建的主题 程序员 求助识别身份证号码的办法
我今天用招行 app 的时候发现招行可以直接 nfc 读取身份证信息,在苹果手机上现在原来可以 nfc 了
39 天前
回复了 kabob 创建的主题 SSL 启用了 https 的网站登录时密码加密有意义吗?
当然 @GuuJiang 也理解错了一点他们的说法, 他们的说法是说 前端后端各做自己的哈希。
数据库存储的密码在他们的设计里是 后端:hash( 前端:hash(用户输入+前端固定 salt) + 每个用户个人 salt)。

这在后端眼里只是对于本站而言,等于脱了裤子放屁,用户密码由 123 变成了 a2cf ,但攻击者拿到的就是 a2cf ,拿到就能登录,对后端完全没区别。
39 天前
回复了 kabob 创建的主题 SSL 启用了 https 的网站登录时密码加密有意义吗?
@dingwen07
@g531956119
@Buges

我赞同 @GuuJiang 的观点,前端不要闲得没事自己做哈希,你们是准备把弱密码库之类的也写个 js 库自己前端做校验吗?然后弱密码策略也前端自己维护一份?比如什么密码包含生日包含连续数字包含账户名这种?

当然如果做加密我不反对,尤其是用非对称的,前端 js 里固定公钥就行,后端可以在注册和登录的时候照常反解回来,然后各种安全服务可以照常调用,弱密码相似密码也都不用前端处理,就是后端高并发的性能会差一些。
39 天前
回复了 kabob 创建的主题 SSL 启用了 https 的网站登录时密码加密有意义吗?
而且 https 被监听的问题我觉得不会如后端被脱裤那样容易引起大范围反应,https 要被攻击者解密我只知道让用户手动信任中间人的证书这一种情况。
除此之外我只听说过只有之前沃通还是那个 CA 的 bug 会给人发 gitpage.io 的根域名证书,然后这个 CA 就被浏览器火速拉黑了。
39 天前
回复了 kabob 创建的主题 SSL 启用了 https 的网站登录时密码加密有意义吗?
@dingwen07
@g531956119
@Buges
你们说的东西和人家 @GuuJiang 说的是两个概念。
人家说的是 即便监听者拿到的是前端哈希后的值,那在当前网站依然被黑了,对于本站和明文传递没区别。A 网站的用户在 A 网站的密码还是暴露了,攻击者可以随意登录。

而你们在说攻击者拦截了流量会危害到使用相同账号密码的其他网站,A 网站用户泄露的密码会导致 BC 网站同样被可以攻击者登录。

我赞同你们说的存在的问题,但这个问题和人家提的点关联性不大,即便按你们说的加 hash 了,那人家提的 A 网站被攻破了的问题你们并没有扛住了,那为什么说的好像人家说错了一样。
关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1030 人在线   最高记录 5497   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 16ms · UTC 21:10 · PVG 05:10 · LAX 14:10 · JFK 17:10
Developed with CodeLauncher
♥ Do have faith in what you're doing.