V2EX › drymonfidelia 的所有回复 › 第 16 页 / 共 66 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 12 13 14 15 16 17 18 19 20 21 ... 66

❮

❯

120 天前

回复了 drymonfidelia 创建的主题 › 程序员 › 为什么最流行的编码算法是刚好带两个符号破坏兼容性的 base64，而不是能够无视大小写的 base36、不带符号的 base62？这两个符号不仅严重影响兼容性使标准码表的 base64 不能直接拼在 url 中，还没有增加多少信息密度

@msg7086 URL 一样是用=分为两部分，只是 cookies 分隔符是=和;，URL 是=和&，没有本质区别我就只写了一个
@tool2dx

120 天前

@drymonfidelia 然后 cookies 就是 key=value 编码的，如果直接按=截断就会出现这个问题

120 天前

@vvhy
@CEBBCAT
@lisongeee
@adoal
@tool2dx
@DOLLOR
@BugCry 我又没说我在 url 里直接拼 base64 ，是我对接的很多人、接口都在往 url 、cookies 里直接拼接 base64 ，大厂也在这么干。例如你随便打开一个有接入 akamai bot manager 的网站，像 nike.com ，找到 _abck 这个 cookies ，第三段就是直接拼接的 base64

120 天前

回复了 drymonfidelia 创建的主题 › 程序员 › 为什么国外使用 cookies 就需要用户明确同意？我把 cookies 序列化后丢进 localStorage，写个 interceptor 给所有 api 请求都加个请求头 cakes 把这个值发出去不是也能一样的效果

@cheng6563 加在 url 上的风险太大了吧，用户截图或者会议直播分享屏幕的时候就相当于直接把密码分享给所有人了

120 天前

@Trim21 多用几位一起编码不会带来明显的性能损失吧，和兼容性比起来两个符号的问题显得更大

120 天前

@MoYi123 我说了 **标准码表** 啊，我是想讨论兼容性这么差的编码算法为什么会流行起来

120 天前

@binaryify
@maizero 能追踪用户的方法那么多，弹个 cookies 同意窗口我开发麻烦用户点一下也麻烦。我知道有个 saas 平台，引入它的 js 就能自动处理在需要的时候进行 cookies 弹窗，但是引入一个第三方 js 风险巨大，鬼知道他哪天会有意、无意（被黑了之类的情况）收集点什么

120 天前

@binaryify 这么干我确实没使用 cookies 啊

121 天前

回复了 andforce 创建的主题 › 程序员 › 我已经不再因为解决“开发环境”等问题而感到开心，甚至完全不想去解决这些乱七八糟的配置问题。

以前上学的时候软件卸载不干净就要恢复系统备份或者重装
现在中病毒了都不重装，找两个杀毒软件扫一遍继续用

124 天前

回复了 Livid 创建的主题 › Visual Studio Code › Haystack Editor

应该比较适合逆向的时候用
想了一下好像在哪里见过这种设计，原来是 IDA Graph View ，只不过 IDA 的框里是汇编代码

125 天前

回复了 drymonfidelia 创建的主题 › 程序员 › 有没有一种现成的应用于不稳定网络间的协议，支持断线无感重连（不丢失会话、待发消息恢复后自动继续发）， 5s 没 ACK 的消息自动重发，自动去重，数据量大时自动创建多连接传输？挺常见的场景，用 websocket 手搓很难做到完美

@iqoo 我不在国内为什么要富强

126 天前

回复了 drymonfidelia 创建的主题 › 分享发现 › Apple 官网社区页面存在 XSS 漏洞

@MossFox
don't sanitize html in the discussion title 很大概率能塞脚本了

@billccn
苹果的安全性我一直很怀疑，之前旧设备实现两步验证登录只需要把 6 位验证码写在账号密码结尾就可以登录，从技术上来讲要实现这个功能必须要明文传密码（如果要加密，必须在服务端能获取密码明文），我就去查了下别人逆向出来的 Apple ID 登录协议，原来从 HTTP 时代 Apple 就在明文传 Apple ID 密码了，连个加密都没有

https://github.com/majd/ipatool/blob/6597f5ac77a9e2323529604feaac6ba29c73366b/pkg/appstore/appstore_login.go#L63

这个是新的有 https ，但是还是明文传密码

126 天前

回复了 drymonfidelia 创建的主题 › 分享发现 › Apple 官网社区页面存在 XSS 漏洞

@drymonfidelia 那个密码是用于改绑定手机号的，如果不改手机号甚至不需要密码。

126 天前

回复了 drymonfidelia 创建的主题 › 分享发现 › Apple 官网社区页面存在 XSS 漏洞

@kk2syc 苹果的 cookies IP 变了仍然有效。敏感操作实际上也是调用 API 完成的。参考上次的菜谱大全 /t/959041 攻击者者拿到 apple.com 的 cookies 后只骗用户输入了一次账号密码就在双重验证开启的情况下把用户绑定手机号全自动改掉了

126 天前

回复了 drymonfidelia 创建的主题 › 分享发现 › Apple 官网社区页面存在 XSS 漏洞

@kk2syc 双重验证后也是生成 cookies ，xss 可以直接用你验证完的身份操作

126 天前

回复了 bthulu 创建的主题 › 程序员 › .net sdk 8.0.8 的发行包, 怎么有三个版本呢, SDK 8.0.401, SDK 8.0.400, SDK 8.0.304, SDK 8.0.108, 到底用哪个呢?

@Fallenwood /t/1037900 我提问了好几次，从 5 升到 6 稍微好一点，升到 8 每天都崩，又回滚到 6