 |
qq135449773V2EX 第 670842 号会员,加入于 2024-01-11 12:13:48 +08:00 |
非必要不说话
qq135449773 最近回复了
11 小时 5 分钟前 回复了 qq135449773 创建的主题 › 问与答 › 受限于自己手机的扫码摄像头, 2024 年入手二手大疆 pocket2 用来拍照+摄像是不是划算的选择? |
@billzhuang 我有点怕扯皮,1000 我还是能接受的
4 天前 回复了 SpaceTimee 创建的主题 › 分享创造 › [网站加速工具] Sheas Cealer [人家的学名其实叫 SNI 伪造工具啦] |
要不是这个项目,我还真不知道 Google 的 ip 还有漏网之鱼
9 天前 回复了 qq135449773 创建的主题 › 问与答 › 2024 年,因为买了相机恐怕也是吃灰,想入手二手手机用来旅游拍照? |
@conky #17 😂好兄弟至少读一下标题可以吗
9 天前 回复了 meeop 创建的主题 › 问与答 › 看今天的阮一峰周报想到个点,数据共享计划 |
其实我觉得这个想法是 ok 的,但是现在需要立法角度考虑 1 用户数据归属权 2 赋予爬虫更宽松的合法权力。
指望国内某些人这辈子能想到这个问题肯定是没戏了。但是另一方面,不止国内,现在国外因为最近几年 AI 大火特火,各家各户都在各种限制爬虫。
这样下去肯定不是办法,我估计将来为了保护互联网开放权力,迟早国外会有国家牵头法律上去限制这种城墙高筑的行为。
指望国内某些人这辈子能想到这个问题肯定是没戏了。但是另一方面,不止国内,现在国外因为最近几年 AI 大火特火,各家各户都在各种限制爬虫。
这样下去肯定不是办法,我估计将来为了保护互联网开放权力,迟早国外会有国家牵头法律上去限制这种城墙高筑的行为。
9 天前 回复了 qq135449773 创建的主题 › 问与答 › 2024 年,因为买了相机恐怕也是吃灰,想入手二手手机用来旅游拍照? |
@javalaw2010 #2 感谢推荐,其实前置倒是没什么需求,不是很经常自拍,主要想看看后置稍微好一点的
9 天前 回复了 qq135449773 创建的主题 › 问与答 › 2024 年,因为买了相机恐怕也是吃灰,想入手二手手机用来旅游拍照? |
我主力机只是千元 realme ,扫码摄像头
12 天前 回复了 mugdsod 创建的主题 › 程序员 › 做了这样一款 APP 有可能会违法吗? |
可以做,但是请隐藏好你自己身份。。。比如 Github 注册小号
23 天前 回复了 lesismal 创建的主题 › 程序员 › HTTPS 用明文传输密码的问题,看到很多次了,个人观点不赞成,单开个帖 |
> 比如你正在输入密码,就差点击确认刚好有人借用,你给他用了,他登陆了打开了调试获取到了,或者你有抓包软件运行,别人使用你电脑时候获取到了,这些都不是信道本身中间人相关的问题。
用户登录过程中因为 996 过度,猝死了,你也要在代码中设计一套逻辑防止用户猝死吗?
不要为用户的行为买单,我们的目标人群是 90%的正常人,不要为了那小部分不正常人的行为花精力。
用户登录过程中因为 996 过度,猝死了,你也要在代码中设计一套逻辑防止用户猝死吗?
不要为用户的行为买单,我们的目标人群是 90%的正常人,不要为了那小部分不正常人的行为花精力。
23 天前 回复了 lesismal 创建的主题 › 程序员 › HTTPS 用明文传输密码的问题,看到很多次了,个人观点不赞成,单开个帖 |
> 再用脚想一想,如果 https+明文就安全了,为啥还要有二次验证之类的额外的安全策略?
二次验证防止的是未经授权的用户登陆操作,防止的不是密码泄露。
> 为什么 Amazon Web 不用明文? 为什么淘宝 Web 不用明文? 为什么 telegram whatsapp 网页版不用明文而是其他设备扫码登陆?
我猜测可能是因为亚马逊淘宝这类网站是逐步从 http 过渡到 https 的,他经历了没有 TLS 的时代,所以需要手动在 payload 里去加密 sensitive 。
telegram 和 whatsapp 这类东西,包括微信,做扫码登陆,因为他们本来主打平台就是移动端,只是顺便做的其他平台而已,所以才敢这么做,至于安全与否完全只是顺便而已。
我的一些观点:
像 CDN 、WAF 这些做 tls offloading 的东西,还有一些其他公有云设施,这种东西你只能默认信任。
为什么这么说?
给密码再加密一层,密码是安全了,返回给用户的 session 你也要加密返回给用户吗?
你收到一个加密的 session ,你怎么判断这个 session 是用户发的还是恶意构建的请求?
假设你以上所有东西都 ok ,你怎么确保你公有云 instance 的云盘或者云数据库不会被未经授权的读取?
我并不是说以上问题没法解决,我想说的是,如果你要确保你想的那种 level ,绝对不是给密码再加密一层密码加密就能解决的问题。
架构设计本身就是一个不断做取舍的过程,这个问题上的取舍绝对不是这么简单就能解决的。
所以就不要自己骗自己了。
二次验证防止的是未经授权的用户登陆操作,防止的不是密码泄露。
> 为什么 Amazon Web 不用明文? 为什么淘宝 Web 不用明文? 为什么 telegram whatsapp 网页版不用明文而是其他设备扫码登陆?
我猜测可能是因为亚马逊淘宝这类网站是逐步从 http 过渡到 https 的,他经历了没有 TLS 的时代,所以需要手动在 payload 里去加密 sensitive 。
telegram 和 whatsapp 这类东西,包括微信,做扫码登陆,因为他们本来主打平台就是移动端,只是顺便做的其他平台而已,所以才敢这么做,至于安全与否完全只是顺便而已。
我的一些观点:
像 CDN 、WAF 这些做 tls offloading 的东西,还有一些其他公有云设施,这种东西你只能默认信任。
为什么这么说?
给密码再加密一层,密码是安全了,返回给用户的 session 你也要加密返回给用户吗?
你收到一个加密的 session ,你怎么判断这个 session 是用户发的还是恶意构建的请求?
假设你以上所有东西都 ok ,你怎么确保你公有云 instance 的云盘或者云数据库不会被未经授权的读取?
我并不是说以上问题没法解决,我想说的是,如果你要确保你想的那种 level ,绝对不是给密码再加密一层密码加密就能解决的问题。
架构设计本身就是一个不断做取舍的过程,这个问题上的取舍绝对不是这么简单就能解决的。
所以就不要自己骗自己了。
Select Language