qq135449773

qq135449773

V2EX 第 670842 号会员,加入于 2024-01-11 12:13:48 +08:00
今日活跃度排名 38
非必要不说话
根据 qq135449773 的设置,主题列表被隐藏
二手交易 相关的信息,包括已关闭的交易,不会被隐藏
qq135449773 最近回复了
> 比如你正在输入密码,就差点击确认刚好有人借用,你给他用了,他登陆了打开了调试获取到了,或者你有抓包软件运行,别人使用你电脑时候获取到了,这些都不是信道本身中间人相关的问题。

用户登录过程中因为 996 过度,猝死了,你也要在代码中设计一套逻辑防止用户猝死吗?

不要为用户的行为买单,我们的目标人群是 90%的正常人,不要为了那小部分不正常人的行为花精力。
> 再用脚想一想,如果 https+明文就安全了,为啥还要有二次验证之类的额外的安全策略?

二次验证防止的是未经授权的用户登陆操作,防止的不是密码泄露。

> 为什么 Amazon Web 不用明文? 为什么淘宝 Web 不用明文? 为什么 telegram whatsapp 网页版不用明文而是其他设备扫码登陆?

我猜测可能是因为亚马逊淘宝这类网站是逐步从 http 过渡到 https 的,他经历了没有 TLS 的时代,所以需要手动在 payload 里去加密 sensitive 。

telegram 和 whatsapp 这类东西,包括微信,做扫码登陆,因为他们本来主打平台就是移动端,只是顺便做的其他平台而已,所以才敢这么做,至于安全与否完全只是顺便而已。

我的一些观点:

像 CDN 、WAF 这些做 tls offloading 的东西,还有一些其他公有云设施,这种东西你只能默认信任。

为什么这么说?

给密码再加密一层,密码是安全了,返回给用户的 session 你也要加密返回给用户吗?

你收到一个加密的 session ,你怎么判断这个 session 是用户发的还是恶意构建的请求?

假设你以上所有东西都 ok ,你怎么确保你公有云 instance 的云盘或者云数据库不会被未经授权的读取?

我并不是说以上问题没法解决,我想说的是,如果你要确保你想的那种 level ,绝对不是给密码再加密一层密码加密就能解决的问题。

架构设计本身就是一个不断做取舍的过程,这个问题上的取舍绝对不是这么简单就能解决的。

所以就不要自己骗自己了。
没带 https 的话记得手动加上 https ,他们网站最近配置好像有问题
op 什么手机?
感觉也就 php 喜欢这么玩。
好东西,如果有 top50 的功能就更好了。类似于 https://hckrnews.com/ 这种。
我个人觉得,你们都没说到点子上,我觉得核心问题是国内某些人根本就没把这套模式抄明白。

正常的开源+付费模式:花大量时间做一个完整的开源项目,写好代码+文档,维护好社区( issue 等),在关键地方(比如文档里)插入点广告宣传一下自己的付费版本,然后到各种社区宣传引流。

国内某些人想的:代码扔出去,从用这套代码的那一刻开始,你就必须给我钱,不给钱我也要到处挖坑让你想办法用我这个项目时候给我钱,比如国内这种满天飞的文档收费。

至于某些人嘴里说的“开源不等于免费”,“作者也是要吃饭的”,我是赞同这种观点的,只可惜某些人做的“开源”,不是你们想象的那种开源,他们的目的和你想象的是有一定出入的。
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5089 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 13ms · UTC 07:48 · PVG 15:48 · LAX 00:48 · JFK 03:48
Developed with CodeLauncher
♥ Do have faith in what you're doing.