 |
lesismalV2EX 第 497905 号会员,加入于 2020-07-06 13:49:58 +08:00 |
lesismal
| HTTPS 用明文传输密码的问题,看到很多次了,个人观点不赞成,单开个帖
1 程序员 • lesismal • 3 天前 • 最后回复来自 iseki
|
226 |
| 美国宣布全面禁止竞业协议 程序员 • lesismal • 27 天前 • 最后回复来自 ChrisFreeMan | 2 |
| 段子:关于大道无形和黄某,先做正确的事情 分享发现 • lesismal • 152 天前 |
| github 被人 at 说币安空投,是诈骗吗? 程序员 • lesismal • 161 天前 • 最后回复来自 lesismal | 2 |
| 取代 Vue 和 React?——期待新的前端框架 Nue 前端开发 • lesismal • 187 天前 • 最后回复来自 forgottenPerson | 7 |
| 4C-2G 来战 [ Golang Websocket 百万连接测试 ] 程序员 • lesismal • 181 天前 • 最后回复来自 lesismal | 34 |
| 第一批“天坑专业”受害者,已经改行卖烤肠了 - 程序员大军正在加入的路上 程序员 • lesismal • 2023-02-22 00:30:42 AM • 最后回复来自 lesismal | 2 |
| nbio 近期的一些功能更新,来骗点 star
1 Go 编程语言 • lesismal • 2023-04-18 14:04:25 PM • 最后回复来自 lesismal
|
2 |
| Gopher 苦 ORM 久矣,发布个使用 rawsql 节省体力的包,使用姿势与标准库基本相同 Go 编程语言 • lesismal • 2022-06-27 12:09:58 PM • 最后回复来自 lesismal | 33 |
| 吃八分饱长寿与充电 85%能保护电池
1 硬件 • lesismal • 2022-05-06 13:22:14 PM • 最后回复来自 julyclyde
|
22 |
lesismal 最近回复了
1 天前 回复了 dumbbell5kg 创建的主题 › MySQL › 请教一个 MySQL 的问题 |
先搞清楚要对比的是什么, 如果是 count(*) 对比 count(user_id) 是有可比性的, 但 select * 对比 select user_id, 每条 700B vs 每条数据最多 8B, 单说拷贝 100w 条数据的量就性能差别巨大了所以二者根本没有可比性
3 天前 回复了 ciyouwu 创建的主题 › 生活 › 媳妇坐月子期间,娘家人打算过来看望,和媳妇商量招待细节的时候,我说了句不要在家里抽烟,激起了矛盾。 |
只考虑孕妇、不考虑孩子吗?随便搜了下对孩子的影响:
增加儿童恶性肿瘤的几率
引发儿童哮喘
影响儿童听力发育
影响儿童身高
诱发厌食
影响儿童智力发育
婴儿猝死综合症
...
女人不懂事那自己爱吸就吸,孩子面前谁抽烟都不行!
提前客气地给客人说清楚,忘了就再提醒,平常语气沟通,不用纠结什么客气不客气的
别惯着这些坏习惯
增加儿童恶性肿瘤的几率
引发儿童哮喘
影响儿童听力发育
影响儿童身高
诱发厌食
影响儿童智力发育
婴儿猝死综合症
...
女人不懂事那自己爱吸就吸,孩子面前谁抽烟都不行!
提前客气地给客人说清楚,忘了就再提醒,平常语气沟通,不用纠结什么客气不客气的
别惯着这些坏习惯
3 天前 回复了 lesismal 创建的主题 › 程序员 › HTTPS 用明文传输密码的问题,看到很多次了,个人观点不赞成,单开个帖 |
@iseki
什么情况必须获取原始口令?密码和 OTP 是有区别的,你要说 OTP 我没意见。其他系统的密钥本身,我暂时想不到必须用原始明文口令的。
我的出发点是,实现各种密码存储需求本身要应对的业务,并不需要以来明文本身,历史问题是历史问题,但这里说的是方案本身的优劣,历史改造甚至都不在我考虑范围内
所以这根本不是说法的问题,是逻辑本身的问题,如果你一定要用“现在已经有哪些使用了明文、所以避免不了用明文”来讨论,那确实没什么可讨论的了,这不是我在讨论的问题
什么情况必须获取原始口令?密码和 OTP 是有区别的,你要说 OTP 我没意见。其他系统的密钥本身,我暂时想不到必须用原始明文口令的。
我的出发点是,实现各种密码存储需求本身要应对的业务,并不需要以来明文本身,历史问题是历史问题,但这里说的是方案本身的优劣,历史改造甚至都不在我考虑范围内
所以这根本不是说法的问题,是逻辑本身的问题,如果你一定要用“现在已经有哪些使用了明文、所以避免不了用明文”来讨论,那确实没什么可讨论的了,这不是我在讨论的问题
4 天前 回复了 lesismal 创建的主题 › 程序员 › HTTPS 用明文传输密码的问题,看到很多次了,个人观点不赞成,单开个帖 |
@lesismal #222 不要看它当前是什么方式,站在当前实现的方式的角度考虑问题则任何现状都有它局限于历史和版本等问题导致的合理性。应该撇开历史现状,看理论和实现方法上,哪种方式可以做到更好。是否把旧系统改造升级是项目自己的管理的问题
4 天前 回复了 lesismal 创建的主题 › 程序员 › HTTPS 用明文传输密码的问题,看到很多次了,个人观点不赞成,单开个帖 |
@iseki LDAP 我没太了解过,但如果它需要明文的密码,这应该也是历史遗留问题,因为本质上是不需要明文的。另外,“必须把用户输入的原始口令发送过去”—— 这里的原始口令要看是哪种,如果是密码、那是历史实现问题和现在的兼容性、修改成本问题,如果是 OTP 这种单次验证码,则没关系,单次的验证码明文也可以、不怕泄露
4 天前 回复了 Wikey 创建的主题 › 职场话题 › 普通人还能达到雷军、卢伟冰那样的成长曲线吗 |
@morebuff 感谢支持!欢迎使用! 666
10 天前 回复了 Wikey 创建的主题 › 职场话题 › 普通人还能达到雷军、卢伟冰那样的成长曲线吗 |
首先应该清楚:他俩可不是普通人啊
所以,为什么要用普通人对比做标题
所以,为什么要用普通人对比做标题
10 天前 回复了 lesismal 创建的主题 › 程序员 › HTTPS 用明文传输密码的问题,看到很多次了,个人观点不赞成,单开个帖 |
> 明文向后端传输虽然不好
你看, 你也认为明文不好了
> 但有时这是工程上成本刚好可以接受的方式
如果是项目初期/上线前, 这个成本真的不多
> 一来我刚才说了,很难设计一个有足够收益的非明文传输方案
数据隐私本身不重要的网站, 明文与否都还好, 即使泄漏了也没关系. 我自己注册一些不重要的网站的密码都非常简单, 单手输入满足大小写之类的就用了, 也不怕泄漏, 重要信息的网站就复杂些而且那些站多数有二次验证之类的额外安全措施, 所以也不怕
> 二来就是有时候后端的某些设施只能接受明文
密码这个功能点上来讲, 明文不是必需, 所以如果哪家说必需明文, 那我怀疑这是别有用心...
@iseki
你看, 你也认为明文不好了
> 但有时这是工程上成本刚好可以接受的方式
如果是项目初期/上线前, 这个成本真的不多
> 一来我刚才说了,很难设计一个有足够收益的非明文传输方案
数据隐私本身不重要的网站, 明文与否都还好, 即使泄漏了也没关系. 我自己注册一些不重要的网站的密码都非常简单, 单手输入满足大小写之类的就用了, 也不怕泄漏, 重要信息的网站就复杂些而且那些站多数有二次验证之类的额外安全措施, 所以也不怕
> 二来就是有时候后端的某些设施只能接受明文
密码这个功能点上来讲, 明文不是必需, 所以如果哪家说必需明文, 那我怀疑这是别有用心...
@iseki
10 天前 回复了 lesismal 创建的主题 › 程序员 › HTTPS 用明文传输密码的问题,看到很多次了,个人观点不赞成,单开个帖 |
@zanpo 兄弟你根本就没看懂 OP 我说的是什么, 你们好些位这都相当于是盲人摸象管中窥豹, 只考虑 https 或者某个 part, 请先看下我帖子和 append 或者更多楼层的回复
15 天前 回复了 lesismal 创建的主题 › 程序员 › HTTPS 用明文传输密码的问题,看到很多次了,个人观点不赞成,单开个帖 |
@msg7086 虽然可能 block 我了, 但说不定你 logout 能看到, 所以补几句吧, 你让我举例子, 我说黑产黑了的很多没曝光出来你又说我假大空, 那你可以看下 github 的例子, 可以看下 #158 cdn 脱裤的例子, 淘宝亚马逊以及#174 微信的推荐设计
自己脑袋一热也不认真分析下我的回复, 就无脑喷我, 只会限制你提升自己的技术层次, 这跟我所理解的原因(病因)八九不离十, 就是舒适区和沉没成本, 另外一个词就是"聪明反被聪明误", 因为自己懂了一些, 所以拒绝接受不一致的. 但技术需要冷静分析, 论坛上讨论技术我多数时候是一就是一二就是二, 不喜欢模棱两可去赞成别人, 所以我的观点如果和你不一样的时候, 你可能会觉得我带着情绪, 但不是, 技术的东西是实在的, 谁也不给谁发工资, 不需要看脸色
自己脑袋一热也不认真分析下我的回复, 就无脑喷我, 只会限制你提升自己的技术层次, 这跟我所理解的原因(病因)八九不离十, 就是舒适区和沉没成本, 另外一个词就是"聪明反被聪明误", 因为自己懂了一些, 所以拒绝接受不一致的. 但技术需要冷静分析, 论坛上讨论技术我多数时候是一就是一二就是二, 不喜欢模棱两可去赞成别人, 所以我的观点如果和你不一样的时候, 你可能会觉得我带着情绪, 但不是, 技术的东西是实在的, 谁也不给谁发工资, 不需要看脸色
Select Language