GeruzoniAnsasu

三层网只防误触不防作死，他要伸指头进去玩照样被电

所以教育>保护

你让他看着蚊子怎么被电成烟的，拿个螺丝刀什么的放一放电噼里啪啦吓唬一下，教育他这东西很危险不能碰他自己是不会敢去玩的。

如果是还不懂事的很小的小孩，那最好的办法是收起来别让他看见。

放弃微不足道的手感问题

买那种办公用的超薄笔记本式键盘，那种玩意怎么敲都没声音

其实对请求签名防范的最核心问题是，你有些时候并不能保证请求内容和 token 来自同一可信源。举个底层逻辑相同但作用和机制完全不同的例子：CSRF token. 为什么明明用户都已经登录了，请求者拥有该用户的一切身份证明，为什么服务器还是不能完全信任这个请求？就因为服务器不能确定用户提供的身份证明能否证明他发起过请求内容。而通过下发 csrf token ，可以保证持有 session 凭证的所有者才能发起合法请求，这就能确认身份证明与请求内容是同一人发出的。


签名同理。

@musi 我通过一个*SRF 漏洞修改你的账号发言权重

@julyclyde 证书就是签名，双向证书==双向签名，机制稍有差异而已


----

我问个问题。

你是腾讯的服务器，现在有人请求修改 onwer A 的资源，你需不需要确认请求者就是 A ，如何保证？

玩过，一句话，除了不好玩其它都挺好的

我最近买的新手机号能收到银行发来的欠款通知短信，银行还打过来问我是不是 XXX （实名）


但我登录不了这个人的微信，就因为有这个好友验证。

@studyrun 链路上的同网段机器不需要经过路由器转发。所以桥接和 NAT 不应该会有区别。

我的 wsl 和宿主机就是桥接的：