baobao1270 最近的时间轴更新 baobao1270 最近的时间轴更新 |
baobao1270「生如逆旅 · 一苇以航」 V2EX 第 114915 号会员,加入于 2015-05-03 19:00:24 +08:00今日活跃度排名 19297 |
baobao1270
josephcz.xyz/
California
Joseph_Chris
joseph-chris
baobao1270
Full Stack Developer: Python / TypeScript / C# / Linux
VOCALOID Producer: 天依粉 / 南北一生推
民航轨交爱好者 / P社玩家
VOCALOID Producer: 天依粉 / 南北一生推
民航轨交爱好者 / P社玩家
| MacBook 屏幕上有个小洞,想要换屏,请问美区 AC+换屏要多少钱 Apple • baobao1270 • 177 天前 • 最后回复来自 shimanooo | 1 |
| 买了 Thunderbolt 硬盘盒,感觉并没有想象中好 硬件 • baobao1270 • 183 天前 • 最后回复来自 Donaldo | 3 |
| 光纤入户位置能否修改 宽带症候群 • baobao1270 • 212 天前 • 最后回复来自 aulayli | 16 |
| ACME http-01 验证的缺陷: ISP 可以合法地签发伪造的 SSL 证书 信息安全 • baobao1270 • 219 天前 • 最后回复来自 mikewang | 42 |
| [仅限美国] 免费获得 Pixel 8 Pro 128G (不含税) 优惠信息 • baobao1270 • 220 天前 • 最后回复来自 yhm2046 | 19 |
| 如何翻译 identification 和 flag? 程序员 • baobao1270 • 237 天前 • 最后回复来自 hez2010 | 14 |
| 中国银行:海外留学学费不能汇入个人帐户,只能汇入学校帐户
1 全球工单系统 • baobao1270 • 250 天前 • 最后回复来自 julyclyde
|
8 |
| 永远不要使用二级域名作为 Linux Hostname 程序员 • baobao1270 • 352 天前 • 最后回复来自 baobao1270 | 25 |
baobao1270 最近回复了
2 天前 回复了 drymonfidelia 创建的主题 › Android › Android 安全更新时间最长的手机是什么?想买部备用机,数据安全最重要。不要推荐 iPhone ,我必须运行一个 Android 应用。 |
Pixel 8, 不推荐 pro
3 天前 回复了 liuzhw 创建的主题 › 问与答 › 请教一个问题,如何免费获取歌曲的永久在线播放地址? |
网易云外链地址
或者 OneDrive+Alist
或者 OneDrive+Alist
3 天前 回复了 xiaobai332 创建的主题 › 软件 › passkey 是否该存到密码管理器中? |
不应该
两个个人观点:
1. 2FA 应该和密码分开保存
2. Passkey 应该基于硬件安全( TPM/FIDO2)
两个个人观点:
1. 2FA 应该和密码分开保存
2. Passkey 应该基于硬件安全( TPM/FIDO2)
3 天前 回复了 MFWT 创建的主题 › IPv6 › V 站的(前)大学生,你们学校什么时候开支持 IPv6 的呢? |
毕业三年了,至今不支持
和校园网无关,联通懒得推罢了,估计校园宽带不在 KPI 范围内
当时倒是人人有公网 v4 ,现在不好说了
和校园网无关,联通懒得推罢了,估计校园宽带不在 KPI 范围内
当时倒是人人有公网 v4 ,现在不好说了
3 天前 回复了 Code00911 创建的主题 › iPhone › 有没有 iOS 墙外应用 [YouTube 等] 旧版本安装的商店,类似于国内的爱思助手,甚至手机上就可以直接安装,不用电脑 |
可以看我的博文 讲了走官方途径安装旧版应用
不需要 Apple Developer 账号、无需越狱、无需自签名。
但是需要一台 Windows 电脑
https://lty.vc/r/4a
https://github.com/baobao1270/itms-installer-server
不需要 Apple Developer 账号、无需越狱、无需自签名。
但是需要一台 Windows 电脑
https://lty.vc/r/4a
https://github.com/baobao1270/itms-installer-server
3 天前 回复了 dwSun 创建的主题 › 问与答 › 有没有邮件管理工具,有全平台的 app,也能管理多账号 |
统一连接到 Gmail
3 天前 回复了 liyafe1997 创建的主题 › 开源软件 › 似乎 GPL 有法律上的漏洞能“限制”源码和 Binary 被公开,传播和使用 |
这种可通过商业策略限制,比如改成订阅制
5 天前 回复了 drymonfidelia 创建的主题 › 程序员 › 为什么国内的网站几乎都不支持 TOTP 验证? |
主要是没有动力去做,加上用户需求不大吧。
面向企业的,比如阿里云、腾讯云、百度云,都是支持的。
现在阿里云和腾讯云也支持 passkey 了,需要子用户(根用户不支持)。
面向企业的,比如阿里云、腾讯云、百度云,都是支持的。
现在阿里云和腾讯云也支持 passkey 了,需要子用户(根用户不支持)。
5 天前 回复了 qaqLjj 创建的主题 › 问与答 › 你有哪些「这钱花的真他妈值」的瞬间 |
Apple Care+
$79 一年,给我免费换了 $500+ 的屏
$79 一年,给我免费换了 $500+ 的屏
5 天前 回复了 iqoo 创建的主题 › 程序员 › 别再纠结前端要不要提交明文口令,浏览器已经内置非常好的方案 |
1. crypto.subtle 这个 API 其实出现很久了,但是主流的厂商并没有使用。我也不知道为啥,反正我是用了。具体的兼容性可以看 https://caniuse.com/cryptography
2. 这个 API 既有哈希算法,又有非对称/对称加密算法。个人其实还是推荐前端做 RSA 加密而不是直接把哈希给后端。这么做有两个原因:一是盐始终应该在服务器端随机生成且客户端不可知(这就排除了客户端生成或者使用用户名做盐的做法);二是处于业务的需要,服务器是有必要知道用户的明文密码的,场景包括:
a. 在后端也应该过一遍密码强度检查,不可以直接信任用户的输入
b. 对常见易猜或已知泄露的密码进行检测并提示用户
c. 对密码进行敏感检查(我也不知道为啥有这个需求,但是新浪一直有这个机制)
d. 过滤密码中的不可显示字符和非 ASCII 字符(我是认为应该禁止用户使用非 ASCII 字符作为密码的——虽然会牺牲一定安全性,但是从业务的角度考虑,如果用户在一个设备上不小心输入了什么奇怪的字符、在另一个设备上输不进去了,搞不好会怪你——说到底还是业务和安全的 trade-off )
3. 哈希算法的话,也是 argon2id 优于 PBKDF2 ,只是前者没有 FIPS 认证,对于需要安全认证的业务还是只能用 PBKDF2 。
2. 这个 API 既有哈希算法,又有非对称/对称加密算法。个人其实还是推荐前端做 RSA 加密而不是直接把哈希给后端。这么做有两个原因:一是盐始终应该在服务器端随机生成且客户端不可知(这就排除了客户端生成或者使用用户名做盐的做法);二是处于业务的需要,服务器是有必要知道用户的明文密码的,场景包括:
a. 在后端也应该过一遍密码强度检查,不可以直接信任用户的输入
b. 对常见易猜或已知泄露的密码进行检测并提示用户
c. 对密码进行敏感检查(我也不知道为啥有这个需求,但是新浪一直有这个机制)
d. 过滤密码中的不可显示字符和非 ASCII 字符(我是认为应该禁止用户使用非 ASCII 字符作为密码的——虽然会牺牲一定安全性,但是从业务的角度考虑,如果用户在一个设备上不小心输入了什么奇怪的字符、在另一个设备上输不进去了,搞不好会怪你——说到底还是业务和安全的 trade-off )
3. 哈希算法的话,也是 argon2id 优于 PBKDF2 ,只是前者没有 FIPS 认证,对于需要安全认证的业务还是只能用 PBKDF2 。
Select Language