V2EX › geelaw 的所有回复 › 第 122 页 / 共 175 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 118 119 120 121 122 123 124 125 126 127 ... 175

❮

❯

2017-12-31 00:48:02 +08:00

回复了 houzhenhong 创建的主题 › 问与答 › Git 应当怎样忽略文件时间修改?

git 本来就不看文件的修改时间。

但如果你改变了压缩包里面的文件的修改时间，则压缩文件本身是变化了的，git 没办法知道怎么忽略这个变化。

2017-12-29 17:18:00 +08:00

回复了 vjnjc 创建的主题 › 分享发现 › 第二次与老外面试。。。

@geelaw 噗，应该结果—>据说……

2017-12-29 17:13:42 +08:00

回复了 vjnjc 创建的主题 › 分享发现 › 第二次与老外面试。。。

@forestyuan 把 NP 理解为非多项式是常见的错误——结果我国院士也犯过望文生义的错误。NP 是非确定机上的多项式，而不是说非多项式。

2017-12-29 17:09:46 +08:00

回复了 taojing10 创建的主题 › 问与答 › 如果我问银行贷款，放到余额宝或者基金………是不是一个 bug

@paradoxs 即使自己用 POS 刷出来，利息也不足以填补手续费造成的损失。

2017-12-29 13:10:52 +08:00

回复了 javayu123 创建的主题 › 求职 › 17 年毕业的实习加转正 1 年多时间

灌水 √
投简历 ×

2017-12-29 12:54:10 +08:00

回复了 deepkolos 创建的主题 › 阅读 › 为什么计算机的书, 名词多于动词....唉

（我进来看了一眼然后发现这个糖果高斯模糊快让我瞎了

2017-12-28 20:44:01 +08:00

回复了 rrfeng 创建的主题 › 问与答 › 前几天遇到的一个状况，给大家探讨一下： Linux 下普通用户使用 sudo 删掉了 libc.so，如何恢复？

@geelaw #29
@rrfeng #30

Ah I see，Wikipedia 告诉我 sudo 允许的权限是 root 的权限的子集。能删除但不能修改和创建似乎也不是没有道理的设置。但无论如何，既然 sudo 已经无法运行，那就当我没说即可。

2017-12-28 20:37:44 +08:00

回复了 rrfeng 创建的主题 › 问与答 › 前几天遇到的一个状况，给大家探讨一下： Linux 下普通用户使用 sudo 删掉了 libc.so，如何恢复？

@msg7086 #24
@a1044634486 #25

我应该换一种说法，请把 sudoers 和 root 理解为 Windows 下的 Administrators 组，并假设我用这些词儿的时候意思都是“具有控制电脑权限的人”。（*nix 用户和非 *nix 用户果然还是很难交流）

问题：一个用户是 sudoer，它和 root 有什么区别？
（问这个问题是因为在 Windows 上内置管理员和其他管理员没有什么区别：惟一的区别是是否有一个特殊设置可以免除 UAC 确认，但是这个功能没有安全意义——一个用户可以以高权限令牌启动 PowerShell，此后便不再需要 UAC ）

2017-12-28 20:29:52 +08:00

回复了 flowfire 创建的主题 › 程序员 › 大家一般怎么生成盐的啊。。

@msg7086 get 这个意思了，但是前面反复 hash 很多次的人也都加了盐，所以没想到这个省略的意思。

2017-12-28 20:16:44 +08:00

回复了 flowfire 创建的主题 › 程序员 › 大家一般怎么生成盐的啊。。

@msg7086 但我还是没理解怎么会“降低安全性”。

2017-12-28 20:15:09 +08:00

回复了 rrfeng 创建的主题 › 问与答 › 前几天遇到的一个状况，给大家探讨一下： Linux 下普通用户使用 sudo 删掉了 libc.so，如何恢复？

@msg7086 展开来说：

- 如果按照 UAC （管理员确认模式）的思路用 sudo，那么用户是知道 root 的密码的。
- 如果是 run as different user 的模式用，那么用户旁边有一个知道 root 密码的人，发现出错的时候（我并不知道此时 sudo 用不了了，如果造成的错误不会无效化 sudo 的运行），那么这个人可以请旁边的人再输入一次密码。

应该把“能 sudo 的普通用户”理解为让 sudo 改变用户成功那一刻的电脑使用对象，它可以是一个人（第一种情况）或者几个人（第二种情况）。同时提到另一个我们正在讨论的话题的话，这就像是“攻击者”并不需要是一个具体的人，可以是一段单机程序，或者一个黑客组织，或者一个分布式网络。

2017-12-28 20:09:01 +08:00

回复了 flowfire 创建的主题 › 程序员 › 大家一般怎么生成盐的啊。。

@msg7086 #52

我 #31：不需要多次 hash
suspended #37：多次 hash 不能增强安全性（同意我）
我 #45：（回复 #37 ）多次 hash **有时**可以通过增加计算 hash 的难度增加安全性，但是这种方法和“盐”的主题没关系
suspended #46：（我认为是回复 #45 ）多次 hash 会降低安全性
我 #47：（回复 #46 ）没明白 #46
您 #50：（不知道回复哪一层）

我在 #31 表示不需要多次 hash 是说就盐这个机制，而且使用专门设计的慢 hash 更好；此外，我觉得是“保存 100 次”的另一个原因是，我没看出来他们这样做是为了减慢速度，那些发言给我的感觉是单纯觉得多加几次 hash 更难。

完整来说，我的观点：

- 增加（固定次数的） hash 次数等价于改变 hash 函数，并不会让破解更困难（除了可能会让 hash 计算更慢这方面）
- 加盐是为了让每个用户用不同的 hash 函数，从而无效化彩虹表和频率统计

2017-12-28 20:00:56 +08:00

回复了 rrfeng 创建的主题 › 问与答 › 前几天遇到的一个状况，给大家探讨一下： Linux 下普通用户使用 sudo 删掉了 libc.so，如何恢复？

@msg7086 所以有“别人代为输入”。

2017-12-28 19:51:44 +08:00

回复了 flowfire 创建的主题 › 程序员 › 大家一般怎么生成盐的啊。。

@chinvo #49 并不是这样的，攻击者的目标是找到一个字符串作为密码输入系统的时候可以通过验证，譬如系统要求

hash1(hash2(input)) == saved_hash

并不是说找到了 found=hash2(password) 就可以的——目标是解方程 hash1(hash2(x)) = y，而 x=found 并不是一个解。注意：这两个 hash 都是在服务器算的，在客户端算的已经被建模为 input 了。

@msg7086 #50 不知道您回复的是哪一层，不过无论如何，安全的系统不怕代码泄露。

2017-12-28 19:48:25 +08:00

回复了 rrfeng 创建的主题 › 问与答 › 前几天遇到的一个状况，给大家探讨一下： Linux 下普通用户使用 sudo 删掉了 libc.so，如何恢复？

@msg7086 如果不知道密码又是如何 sudo 的？即使是别人代为输入，发现删除错误之后还不立刻让旁边那人再来一次？

@rrfeng 这个理由倒是不错

2017-12-28 18:57:21 +08:00

回复了 rrfeng 创建的主题 › 问与答 › 前几天遇到的一个状况，给大家探讨一下： Linux 下普通用户使用 sudo 删掉了 libc.so，如何恢复？

@rrfeng 不太懂，能 sudo 的普通用户是知道 root 的密码的，而且 sudo 似乎有一段的时间是可以免去再次验证的。

2017-12-28 18:49:47 +08:00

回复了 flowfire 创建的主题 › 程序员 › 大家一般怎么生成盐的啊。。

@suspended 没明白，攻击者拖库之后想要算出一个可以通过系统验证的密码是需要自己算了 hash 的。没有明白这怎么减少了攻击者的计算量。

注意语境：加盐是为了防止拖库之后攻击者能用彩虹表或者频率统计的方法获取密码，这里的手法都是为了阻碍拖库之后得到密码的。

2017-12-28 18:38:58 +08:00

回复了 rrfeng 创建的主题 › 问与答 › 前几天遇到的一个状况，给大家探讨一下： Linux 下普通用户使用 sudo 删掉了 libc.so，如何恢复？

Windows 的系统文件都是有多个名字的（硬链接），而且也会自动恢复它们…… Linux 或许没有自动恢复的功能，但总该是可以从另一个名字恢复的吧😅