V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  iyaozhen  ›  全部回复第 19 页 / 共 228 页
回复总数  4560
1 ... 15  16  17  18  19  20  21  22  23  24 ... 228  
165 天前
回复了 yangxin0 创建的主题 互联网 腾讯真是吃饱了没事儿干了吗?
我感觉是正事呀 而且非常正,有些功能很实用

小开发者饭碗什么意思?是说很多小开发者也在做 git 客户端?
166 天前
回复了 markyun02 创建的主题 职场话题 东哥太狡猾了, 用 let 定义的兄弟
你们只关注到东哥的“兄弟”定义问题

我个人觉得 PDD 的成功是典型的劣币驱逐良币,这才是更大的问题,谁还做产业升级。
166 天前
回复了 qaqLjj 创建的主题 问与答 你有哪些「这钱花的真他妈值」的瞬间
起点的 VIP 账号,好像打 6 折吧,现在即使充会员也没这折扣?
给女朋友买的化妆镜(小几百呢 就加个灯),但确实好用,每次她用的时候都夸我买的好
Jetbrains 自带的,其它的我都不会用了 哈哈哈
@zlowly 看你说的 我自己也想了下。虽然在大公司,但很多时候都是螺丝钉, [身边有参加过 HW 的,或者打过 CTF 的同学同事] 真的很少。业务部门也就有安全工单的时候和安全部门有接触。倒不是说不关注安全,功能开发能按安全 SOP 做好就已经打败 90%的人了
@kenvix
@viruscamp

我和两位老哥观点一致,作用肯定是有作用的。但要想大范围推起来,还是很难的,就是有成本(不仅仅是技术方案)。

HTTPS 能推起来我始终觉得浏览器(不记得是不是 chrome )功劳最大,如果它不提示“不安全的”几个大字,到现在都可能还是 http 为主
我先说一下讨论的基线,一般流程:
https 明文密码+后端 salt hash 存储

再说楼主的方案:
[因为简单的不使用明文只需要哈希盐一下]

比如中间有泄露的可能,假设是在 CDN
对于我自己的网站,黑客还是可以直接使用前端 hash 的结果重放。策略无用
最大的作用是这个密码不能去其它网站撞库了

但带来一些工程上的复杂性,前端 salt 如何轮换?

当然前端 hash 这个问题也是月经贴了。这个不是重点,我的意思是现有方案已经足够安全了(一开始说的基线),前端 hash 并没有安全太多。
169 天前
回复了 hahaba 创建的主题 程序员 小米的测试又要背锅?
这事我当年也干过,幸好只是公司内部全员
@YangWaleed +1 前端加密方案不拿出来说没有意义

不能高估大家的技术能力,比如短信验证码接口上直接返回的事情都有,前端加密这种更复杂的工程,更容易出篓子。实际就是成本和收益不成正比。
楼主你说的没问题,但不是所有业务都需要那么高的安全级别,再直白一点,有成本

“另外更简单的一个思考,如果不用明文、我们实现上增加了什么成本,带来了收益,有什么损失”,我来说说有什么成本:
1. 你密码加密用什么方式,RSA ?还是先 RSA 传递密钥再 AES ?
2. 密钥轮换策略呢?为了安全最后是每个用户密钥不一样,还有保存和轮换的问题
3. 密码要加密,传递的用户敏感信息(比如身份证号)是否要加密呢。你不要说这个不用,按严格的隐私保护策略,也需要,防止中间层泄露
再扯远点按欧盟或者一些其它地方的隐私保护,你很多数据存数据库都是要加密的,但为什么不做,还是成本

https 为什么能铺开,就是因为应用层不需要任何修改,网关加一层 https 就行。再加上浏览器厂商的强制推行,这才普及,不然没人改的。

工作这么多年( TOP3 大厂),非资金或者涉密相关的业务,就普通 web/app 。安全很多时候都是嘴上说说,而且很多人嘴上都没说对。但近几年为什么安全确实越来越重视了,1 是法律法规的影响(不说欧盟,国内也有,这不信息安全月才过去)。2 是各种平台的严格审核,最常见的就是 Android 日志里面不能打印隐私信息,拒审几次就教做人了 3 是安全事故确实影响大(倒不是说用户信息多少珍贵,是舆情风险)
说的这些并不是说我不赞同做的更安全(反而我是 ToB 的,某些场景为了安全投入了 N 倍的开发成本),但实际情况就是有很多成本和意识问题。
@xsen 面试不就会问这些嘛 以及这些方案的优劣
面试造火箭还是有点用的

一般来说就 http 最方便了 python 起个服务,后面要转流式( base http/3 )也方便
170 天前
回复了 mailke 创建的主题 MacBook Pro 用 Mac,真的能够更好学 it 吗
差生文具多

之前也是入职好几年了才换到 Mac ,没啥关系。说到配置环境,哪有那么麻烦,我觉得学编程最关键的就是自驱力,你是学习阶段,不是马上要搬砖做完项目早点下班,如果连点点环境问题就无法探索解决,那早点放弃吧
171 天前
回复了 hellosnow039 创建的主题 问与答 兄弟们旧手机一般怎么处理的
@lsylsy2 那是不是,前阵子我刚给女朋友,她钉钉远程打开
171 天前
回复了 dreamHigh 创建的主题 生活 农村人的父母养老问题
说说自己的情况吧

给父母补交了农村养老保险,这个你得看看当地的情况,我们那边每个月可以领 400-500 ,具体要 7 年还是多少年才能回本,整体来说是赚的,更多的是父母每个月可以领点钱,会觉得老有所依。说的养老金亏空那是等我们以后,现在还是很富裕的
我们直接的小工具 大概 3-4 个页面 主要是列表信息展示
大小 < 40MB
内存占用 50-200MB ,看情况,页面表单信息多了还得涨
你媳妇没工作可以用你的 你了解下

然后挂靠现在风险高

其它的不知道,没操作过
173 天前
回复了 zhangkui 创建的主题 问与答 今天 520,大家有收到女朋友的礼物吗?
倒反天罡 (逃
1 ... 15  16  17  18  19  20  21  22  23  24 ... 228  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1711 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 40ms · UTC 16:43 · PVG 00:43 · LAX 08:43 · JFK 11:43
Developed with CodeLauncher
♥ Do have faith in what you're doing.