V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  param  ›  全部回复第 1 页 / 共 64 页
回复总数  1262
1  2  3  4  5  6  7  8  9  10 ... 64  
14 小时 51 分钟前
回复了 x2420390517 创建的主题 程序员 请教登录相关问题
@Belmode #21
@andyskaura #42
奇怪的是,jd.comsso.jdl.com 发请求触发的 setcookie 操作,是可以在 jdl.com 下共享读取到的。
而我自己在 firefox 下怎么试都是被隔离的。


京东的 SET-COOKIE 在 firefox 之下看到是大写的,我自己去模拟这一状况,set-cookie 都是小写显示的。
不知道是我缺少哪一步,还是说京东有什么黑魔法。他可以做到我不可以。

https://i.imgur.com/UuszQm7.png
15 小时 55 分钟前
回复了 x2420390517 创建的主题 程序员 请教登录相关问题
我刚刚试了一下 firefox 的「标准」限制级别,确实是可以的。看来我还没搞清它的隔离规则。在某下情况下才会被隔离。
16 小时 0 分钟前
回复了 x2420390517 创建的主题 程序员 请教登录相关问题
@x2420390517 #37 检查下你的 firefox 设置,检查下你的跨域请求带不带 cookies
19 小时 20 分钟前
回复了 x2420390517 创建的主题 程序员 请教登录相关问题
@x2420390517 #31 可能因为你用的是 chrome ,还没完全禁止第三方 Cookie ,所以不需要跳转就能做到跨域通讯了。
1 天前
回复了 pianjiao 创建的主题 微信 微信要打击多开,模拟登录等手段
@badmotherfucker #15 是微信垄断了人与人之间的通讯录,垄断了这个社会基础设施,本身就影响了市场的健康发展。
1 天前
回复了 x2420390517 创建的主题 程序员 请教登录相关问题
https://cloud.tencent.com/developer/article/1616222
浏览器完全禁用了第三方 cookies ,就无法做到了。只能用重定向的方式。
1 天前
回复了 x2420390517 创建的主题 程序员 请教登录相关问题
新版 firefox 默认的安全选项已经隔离了每个域的 cookies ,上次调了很久走不通,发现是 firefox 默认隔离了。如果是基于此方法实现的单点登录,在 firefox 上应该想不通,楼主可以在 firefox 上试下?
这样要做单点登录适配的话,只能做重定向的方式。
1 天前
回复了 pianjiao 创建的主题 微信 微信要打击多开,模拟登录等手段
如果公权力变成了私权力就另说了
1 天前
回复了 pianjiao 创建的主题 微信 微信要打击多开,模拟登录等手段
@badmotherfucker 我觉得,正常来说是不是应该由公权力强制介入,让微信开放和其他即时通讯应用互通消息的能力,允许用户自由选择通讯客户端,以打破微信对通讯录的垄断。
2 天前
回复了 bzbs 创建的主题 程序员 有什么是 AI 做不了的?
停机问题?
几十 G 流量也不多啊。你是又要我来推流量卡吗?
5 天前
回复了 hapsinge 创建的主题 Apple 如何看待苹果国区或与百度生成式 AI 合作
@canxin 先用着谷歌的再说,同时一边研发自己的
@param 修正一下自己。用户名作为盐的一部分,也不是不能修改用户名。只是每次修改用户名时,要求再输入一次密码。
@param 修正一下自己。用户名作为盐的一部分,也不是不
解答了我的困惑,原来有回诊机制
我以前写过的前端 hash 是拿固定字符串+用户名两个因素作为盐,也就是说固定字符串、用户名、密码三个因素连起来做 hash ,包括登录时、用户修改密码时都是如此。
这种只适合用户名无法修改的场景,就算没有用户名,拿一个固定字符串来作盐也是更加可靠的做法,毕竟这也多不了几行代码。
这样一来,传输过程中是完全不会包换密码的,密码只会停留于用户的浏览器,出了浏览器谁都不知道密码。
https 做的是加密,传输过程中虽然加密,但还是包含原文的。通过某种方式,比如说得到密钥,还是能够逆向解回来的,例如拥有服务器权限的服务器管理人员,他就可以偷偷把用户密码记录下来卖钱。

有人说:我都有服务器权限了,你就算前端做了 hash ,我也能把前端改成无 hash 的版本来取得明文啊。
但这样明目张胆地修改前端,大家都能看到,会被发现的,服务器管理人员不敢这么做,他只敢偷偷记录。就算普通用户不知道前端被改过,前端开发者也会发现说:怎么我写的 hash 不生效了???

前端做 hash 还是有点用的,那么多大的作用呢?从 google 这些大厂都没做就能看出,这个作用并不大。也许一些对安全性要求更高的系统,比如说银行之类的可能会做吧,有些政府项目也是要求前端不能传明文密码。

不过 google 没做 hash ,也有一种可能是,本来开发者做了 hash ,但是被服务器管理人员改掉了,偷偷记录了密码,而我们以为 google 没做。
哦还有七牛
有哪些免费的对象存储,或者说有免费额度的对象存储?
我看楼上介绍过的:
https://www.bitiful.com
Backblaze B2 + CloudFlare
cloudflare R2
是不是第一个对国内友好一些
1  2  3  4  5  6  7  8  9  10 ... 64  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   958 人在线   最高记录 6543   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 30ms · UTC 20:33 · PVG 04:33 · LAX 13:33 · JFK 16:33
Developed with CodeLauncher
♥ Do have faith in what you're doing.