V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  dzdh  ›  全部回复第 73 页 / 共 89 页
回复总数  1771
1 ... 69  70  71  72  73  74  75  76  77  78 ... 89  
2021-04-13 22:01:39 +08:00
回复了 admin7785 创建的主题 全球工单系统 edge, ios safari 都无法打开这位 v 友的链接
:doge: 进不去就对了
2021-04-13 21:58:55 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
@3dwelcome #125

curl -u $ukey https://...

$ukey 只有商户平台设置的$ukey,这个绝对不能发给别人。

> "这个绝对不能发给别人,绝对不能在网络上流传,必须严格保密。"

你的意思是破解了 HTTPS ??????破解了 ECC ??从而拿到了我的数据包?
2021-04-13 21:57:09 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
@jim9606 #123

补充。PKP 是浏览器应用废弃,在 Server 到 Server 场景中依然可用。浏览器端的安全由浏览器自己实现。
2021-04-13 21:55:02 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
@jim9606 #123

1. 强制出网 HTTPS 请求走代理?什么场景?需要做审计么?
2. Stripe 和 Paypal 的全球 CDN 的解决方案是什么?高防服务可以数据包转发。抛弃『客户端证书不谈』,就单纯的仅『 HTTPS 』形式如标题的『 curl -u $ukey https://....』貌似并不存在这问题?全链路保证 https ( cdn https 回源)
3. 签名需要的 TIMESTAMP 参数也无法保证
4. 性能问题?
5. 服务端强制要求的密码套件设置呢?
2021-04-13 21:46:56 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
@3dwelcome 118

补充,SSLPinning 的前提,只需要知道对方服务器的证书公钥即可。不需要『双端验证』
2021-04-13 21:45:54 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
@swulling #120

补充应该还有个『鉴权和身份验证』的功能如『?uid=X&order_id=N&sign=Y 』要验证 uid 是不是 uid
2021-04-13 21:42:36 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
@3dwelcome 118

客户端证书我可以直接挂出来公开都行,没有私钥你拿到公钥没有任何意义。

比如我微信支付商户的证书公钥你要吗?我发给你。
2021-04-13 21:38:59 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
@3dwelcome #115

另外补充一下,发送的是用于加密认证的的客户端证书公钥,不是私钥。
2021-04-13 21:36:28 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
@3dwelcome #115

1. 抛弃『客户端证书』,`curl -u $ukey ..` 的 $ukey 也是『严格保密』的
2. SSLPinning
3. SSLPinning 被攻破代表着已经控制了物理设备,控制了物理设备可以直接读取所谓的『 KEY 』
2021-04-13 21:27:40 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
@dzdh #111

抛弃『客户端证书』,`curl -u $ukey ..` 的 $ukey 也是『严格保密』的
2021-04-13 21:26:00 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
@hxndg 然而发现自己都说服不了自己,反而越来越认为这样是『对的』,签名模式并没有存在的必要。
2021-04-13 21:25:16 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
@hxndg

因为最近的业务设计思来想去决定仿照 Stripe 的接口风格,想集思广益证明『单纯的 https 』不安全。
2021-04-13 21:24:21 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
@3dwelcome

同样的『客户端证书』也是严格保密的,外人肯定不会知道
2021-04-13 20:10:24 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
@3dwelcome 107

如果一个密码公开发放,那的确没有必要性。
nginx proxy_protocol
2021-04-13 20:03:08 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
@3dwelcome 102

所以,『纯技术』上,在有 HTTPS 保护的前提下,签名没有『必要性』
2021-04-13 20:01:42 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
@sekfung 101

对于#88 楼的回复见 #96 楼

SSLPinning 被攻破,仅仅是单个客户端的安全(而且绝大多数情况下是自己搞得)。
而『签名』的密钥通过 HOOK 方法一样也能轻松拿到,而且拿到签名密钥是不是意味着所有的客户端都不安全?
2021-04-13 19:59:06 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
@catchexception 100

对的。『签名机制』的目的是为了防止在『传输时』被篡改(被截获倒不可怕)。

且我认为就只有这一项作用了,而 HTTPS 的存在就足以保障『无限接近 100%』的传输安全,因此有此一问,为何当下大厂在『有 HTTPS 的前提下还要有签名机制辅助』
2021-04-13 19:09:16 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
@timedivision

所以是,仅仅 HTTPS 已经足够安全,所谓签名只是锦上添花?
1 ... 69  70  71  72  73  74  75  76  77  78 ... 89  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5086 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 34ms · UTC 07:32 · PVG 15:32 · LAX 23:32 · JFK 02:32
Developed with CodeLauncher
♥ Do have faith in what you're doing.