V2EX › laziji 的所有回复 › 第 1 页 / 共 3 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 2 3

❮

❯

2019-01-12 19:36:27 +08:00

回复了 c3yangliu 创建的主题 › Python › 怎么自己实现 if？

js 中应该可以用 map 实现
```
let m = {
true:function(){},
false:function(){}
}

m[a || b]()

```

2018-11-08 18:41:12 +08:00

回复了 lyver 创建的主题 › 推广 › 还记得 10 月的简单粗暴吗？这次我们送 LPL 冠军皮肤！（再次嫉妒）

IG 牛逼 - -

2018-11-08 10:01:44 +08:00

回复了 laziji 创建的主题 › 分享创造 › 200 行 Python 实现连连看辅助

@lovestudykid 这个不错学习了

2018-11-08 09:57:51 +08:00

回复了 laziji 创建的主题 › 分享创造 › 200 行 Python 实现连连看辅助

@kslr 整个图像匹配很慢的
位置我选择的是对角线上的 5 个点(0,0),(3,3)(6,6)...

2018-07-17 20:29:19 +08:00

回复了 laziji 创建的主题 › 分享创造 › 普通网站防暴力破解登录密码的新设计

@oovveeaarr 这种方式有了解, 对比我这种交互式设计, 我的优势是速率后端可控 , 以及可以附加在现有系统之上. 不需要改动原来的项目结构

2018-07-17 20:26:51 +08:00

回复了 laziji 创建的主题 › 分享创造 › 普通网站防暴力破解登录密码的新设计

@oovveeaarr 嗯感谢回复, 确实是基于服务器性能不错的情况之上 , 在没有实际应用之前说不准效果会如何 , 有机会我会在网站上部署这种防御机制看看效果如何

2018-07-17 20:11:01 +08:00

回复了 laziji 创建的主题 › 分享创造 › 普通网站防暴力破解登录密码的新设计

@geelaw "放缓攻击"我觉得形容的非常准确, 单单只用这种防御必然是不安全的, 但是这个的好处就是可以附加在任何现有的防御上, 减慢攻击者攻击第二道屏障的速度 , 第二道屏障如果是 ip 限制之类的就意味着可能要查询数据库代价更大一些, 所以我觉得还是有一定意义的.

2018-07-17 19:40:34 +08:00

回复了 laziji 创建的主题 › 分享创造 › 普通网站防暴力破解登录密码的新设计

@wobushizhangsan 谢谢你的建议 , 其实随机数范围可返回也可以不返回因为前端从 0 开始遍历总会找到那个答案 , 不过这个对全心就是想破解你这个网站的攻击者来说确实不够安全 , IP , 用户名加上其他的机制也是必须的 , 这个设计最大的意义是把大部分攻击者拦在第一道门前, 减少服务器压力

2018-07-17 19:31:54 +08:00

回复了 laziji 创建的主题 › 分享创造 › 普通网站防暴力破解登录密码的新设计

@lain0 有粗略了解过加密学 , 你说的验证码防机器人我也非常赞同 , 不过现在好多网站的验证码通过图像识别很好识别出来, 所以尝试从其他方向解决这个问题就想到了这个设计 , 还要很多不足的地方待改进.

2018-07-17 19:25:33 +08:00

回复了 laziji 创建的主题 › 分享创造 › 普通网站防暴力破解登录密码的新设计

@zhangyuting 这个设计只是偶然的突发奇想 , 觉得这个可行 . 你说的 hashcash 我刚刚去查了一下资料异曲同工啊 , 在邮件过滤方面有应用, 不错啊有机会可以探讨一下

2018-07-17 14:11:32 +08:00

回复了 laziji 创建的主题 › 分享创造 › 普通网站防暴力破解登录密码的新设计

@l12ab google 的验证码是这样类似的吗还不是很了解

2018-07-17 14:10:31 +08:00

回复了 laziji 创建的主题 › 分享创造 › 普通网站防暴力破解登录密码的新设计

@bearqq ....这是极端情况 , 可以后端调节随机数的范围得到一个合理的计算时间

2018-07-17 14:08:02 +08:00

回复了 laziji 创建的主题 › 分享创造 › 普通网站防暴力破解登录密码的新设计

@34C 对于无防御的后端暴力破解的上限可能在于电脑的带宽
但是用了这个明显一台电脑一秒钟能解出的密钥个数极其有限 (并且上限是后端可控制的), 这个时候网络大部分时候都是空闲的

2018-07-17 13:56:45 +08:00

回复了 laziji 创建的主题 › 分享创造 › 普通网站防暴力破解登录密码的新设计

@34C 网络的耗时才是可以多线程大幅下降的
计算力的耗时多线程没什么效果

2018-07-17 13:45:23 +08:00

回复了 laziji 创建的主题 › 分享创造 › 普通网站防暴力破解登录密码的新设计

@bk201 看代价的变化啊
原先提交一次请求是不是只需要取出字典中的一个密码加密然后提交 ?
现在是不是要经过 10000 次加密后解密得到密钥再提交用什么工具电脑性能多好没关系啊
黑客尝试密码的频率是不是降低了一万倍

2018-07-17 13:34:37 +08:00

回复了 laziji 创建的主题 › 分享创造 › 普通网站防暴力破解登录密码的新设计

@34C 为何?

2018-07-17 13:33:05 +08:00

回复了 laziji 创建的主题 › 分享创造 › 普通网站防暴力破解登录密码的新设计

@bk201 限制频率要么使用 cookie 保存 (用程序可以绕过) ,
使用 session 保存 (也可以绕过)
使用数据库限制用户名 (影响普通用户 , 而且需要多张表 , 每次需要差数据库)
使用数据库限制 IP (同上, 而且 ip 可以代理 , 并且同局域网对外是同一个 IP , 比如校园网一个人违规所有人都限制了)

2018-07-17 13:28:13 +08:00

回复了 laziji 创建的主题 › 分享创造 › 普通网站防暴力破解登录密码的新设计

@cnyang 你觉得破解时间无差别吗? 普通的电脑暴力破解开多线程一秒钟可以尝试几千次 , 用了这个每次都需要出后端传来的密文才能提交密码一秒钟最多 10 次, 会没有区别吗? 而且加密方法本来就没打算隐藏啊, MD5 不可逆知道了又如何

2018-07-17 13:01:22 +08:00

回复了 laziji 创建的主题 › 分享创造 › 普通网站防暴力破解登录密码的新设计

@just1 就是强制黑客来模拟这个流程啊

2018-05-28 13:39:13 +08:00

回复了 laziji 创建的主题 › 程序员 › VBlog 快速搭建一个个人博客

@Lax 那抱歉了屏蔽吧只是想让更多人看到

1 2 3

❮

❯