javalaw2010 最近的时间轴更新
javalaw2010

javalaw2010

V2EX 第 203353 号会员,加入于 2016-11-28 16:43:34 +08:00
今日活跃度排名 962
javalaw2010 最近回复了
我本身是不想参与 V2 这种月经贴的讨论的,不过今天实在是太闲了,秉持着真理越辩越明的理论,我还是想再多理论两句。
> 密码加盐(每个网站的盐一般都不同)后 hash 传输,服务端存储的是与原明文密码没有任何逆向关系的字符串,所以即使多个网站使用相同的密码,也不会受到某个网站被脱裤后的影响

其实稍有编程常识的后端开发都会选择加密入库,不可能有人选择加密入库的。不过我们假设就有这样一个刚入行的愣头青,写了个明文入库的代码,好巧不巧,他被拖库了。黑客拿到了份数据库,得到了一个( xiaoming, password123 )的账户名和密码,他想使这样一个用户名密码来登录一个前端加密网站,此时他选择了最简单的办法,手动输入,他在用户名输入框里输入了 xiaoming ,在密码框里输入了 password123 ,而当时小明也在该网站输入了同样的用户名和密码,此时黑客点击登录,那么你觉得他是能登进去呢,还是不能呢?

> 基于第一点,HTTPS 是否是加密传输其实无所谓的,与密码的安全并无关系,遑论还有中间人攻击呢(不知道说的对不对,印象中是这个)
我不太明白是什么可以得出了 HTTPS 和密码的安全无关这样一个结论的,而中间人攻击,你的网站/APP/操作系统必须信任一个原则上不可信的第三方证书,中间人攻击才能得以实施。这意味着要么你主动信任了一个不可信的中间人,要么黑客得到了你的操作系统的控制权。而中间人攻击一旦得以成功实施,经过前端加密的密码,也不过是变成了另一个密码的明文而已。

实际上,要真正解决密码被拖库的碰撞问题,要使用的解决方案是二因素认证,而不是前端加密。
不考虑这个请求本身的合理性。我也不认为基于 https 的密码明文传输有什么问题。
2 天前
回复了 Eddiegaao 创建的主题 日本 第一次去日本,有什么好的建议吗?!
@Eddiegaao #17 去旅游的话那我想应该主要是大阪东京这种大城市了,那你想想在国内上海这种地方,不谈酒店了,就是郊区小旅馆 200 能住到吗,顶多青旅搞个床位。日本的物价比起国内只高不低,吃穿住行,有的预算要按国内价格翻倍计算,很多时候你吃顿饭,搭个地铁,景区门票,甚至摊位上买个小吃,价格能让你震惊。当然你要是完全不顾旅游体验,5k 也未必不够,但我觉得旅游不就是吃吃吃逛逛逛买买买,旅游花钱瞻前顾后真的没啥意思。

当然我在旅行方面不是很专业,很多方面不如一些其他的 V 友研究的透彻,我只是以我去过两次日本旅游的个人体验来建议的。
2 天前
回复了 Eddiegaao 创建的主题 日本 第一次去日本,有什么好的建议吗?!
5K 自由行十天呆不了,紧着点花能呆个三四天,也玩不到啥,建议要不然增加预算,要不然看看有没有合适价位的团。
2 天前
回复了 mklib 创建的主题 日本 去日本有什么值得买和需要办的事吗?
让家人好好玩吧,旅游在外最讨厌帮人办事儿,帮你办一件,帮他办一件,顶着大太阳,顶着语言不通,顶着不认路不会坐公交,好不容易找到店,吭哧吭哧跑过去发现没货了/关门了/价格不对,可泄气了,影响一天的旅游好心情。

想办事挑个时间自己去吧,日本三年多次签证非常容易下,机票挑好时间也能买到便宜票,浦东飞过去就两小时,我从上海回老家都得 3 小时。
2 天前
回复了 cs5117155 创建的主题 PHP 解释一下 Workerman 中使用 global 问题
@cs5117155 workerman 是多进程的,你用 global 声明,其实只在当前的进程内有效,Worker::runAll()之后,进程就 fork 了,此时你的 global 变量在每个进程里都是独立的。
3 天前
回复了 mailke 创建的主题 MacBook Pro 用 Mac,真的能够更好学 it 吗
拉倒吧,跟电脑一点关系没有,我刚上大学那会儿为了随时随地能折腾,买台最便宜的搬瓦工 VPS ,手机搞个 Juice ssh 连上去,就是折腾就是玩儿,上课折腾,睡觉前折腾,放暑假了在大巴上折腾,出去玩儿在高铁上折腾。后来稍微懂一点了,知道搬瓦工的虚拟化是 OpenVZ ,不太够我折腾了,就换了别的 KVM 的厂家折腾。呆在宿舍的时候就用 vmware ,virtualbox 虚拟机折腾,那时候我电脑内存小,硬盘还是机械的,跑虚拟机卡的一批,梯子也不像现在这么好用,也照样折腾过来了。
3 天前
回复了 wangshuwill 创建的主题 上海 你们公司现在开空调了,坐标上海
没开,这几天到傍晚在办公室里甚至有点冷。
4 天前
回复了 shineshane 创建的主题 程序员 自定义域名邮箱服务
@fengfisher3 可以的,我就用的未备案的域名。
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   969 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 17ms · UTC 19:51 · PVG 03:51 · LAX 12:51 · JFK 15:51
Developed with CodeLauncher
♥ Do have faith in what you're doing.