unco020511 最近的时间轴更新 unco020511 最近的时间轴更新 |
unco020511V2EX 第 378303 号会员,加入于 2019-01-18 09:30:47 +08:00 |
unco020511 最近回复了
2 天前 回复了 lesismal 创建的主题 › 程序员 › HTTPS 用明文传输密码的问题,看到很多次了,个人观点不赞成,单开个帖 |
https 明文传密码是安全的
在普通应用领域,谈安全有两个前提:
1. 用户认为自己使用的客户端是安全的
你会在自己认为不安全的机器上使用需要安全保障的服务吗?当然不会
那么你在自己电脑上安装木马,或者你自己安装抓包工具且手动安装证书,然后将抓取到 https 的密码共享给他人,这些是安全问题吗?是,是用户自己的原因.
2. 用户信任应用的服务端
你用这个应用,这个服务,那肯定是认为他的服务端是安全的吧,明知道不安全还用吗?
综上,所以对于开发者来说,安全问题实际是链路传输的安全问题,https 的出现不就是很好的解决了传输链路的问题吗. 口令本身是完全安全可信的认证方式.
那么对于问题 1,虽然用户认为自己的客户端是完全安全可信的,但总有一些其它因素会泄露口令(社工,用户主动行为等等),那应用开发者就只能再加一些认证,此时 2FA 就出现了
在普通应用领域,谈安全有两个前提:
1. 用户认为自己使用的客户端是安全的
你会在自己认为不安全的机器上使用需要安全保障的服务吗?当然不会
那么你在自己电脑上安装木马,或者你自己安装抓包工具且手动安装证书,然后将抓取到 https 的密码共享给他人,这些是安全问题吗?是,是用户自己的原因.
2. 用户信任应用的服务端
你用这个应用,这个服务,那肯定是认为他的服务端是安全的吧,明知道不安全还用吗?
综上,所以对于开发者来说,安全问题实际是链路传输的安全问题,https 的出现不就是很好的解决了传输链路的问题吗. 口令本身是完全安全可信的认证方式.
那么对于问题 1,虽然用户认为自己的客户端是完全安全可信的,但总有一些其它因素会泄露口令(社工,用户主动行为等等),那应用开发者就只能再加一些认证,此时 2FA 就出现了
4 天前 回复了 potatouu 创建的主题 › Windows › 求个 windows 官方工具,忘记叫什么名了 |
刚试了下这种问题带联网的 GPT 完全可以准确回答
5 天前 回复了 DinnyXu 创建的主题 › MacBook › M1 感觉越来越不够用了... |
开发 32G 起步,最好 64G
8 天前 回复了 xlinux 创建的主题 › Android › 2024 年 Android 开发大家用啥模拟器? |
基本都是真机,起码大厂很少用模拟器
8 天前 回复了 rookiemaster 创建的主题 › OpenAI › 国内怎么购买 openai key 的额度,是要有虚拟信用卡吗,有没有不用开卡费用的网站 |
楼上很多说中转的,中转的我也在用,但中转站一般都会限速,速度比较慢
8 天前 回复了 rootzeal 创建的主题 › 职场话题 › 字节 n+1 毕业 两个月了还没找到工作咋办 |
主要问题应该是你上一份薪资太高
Select Language