iseki's repos on GitHub
4 人关注
blog
blog.iseki.space
Kotlin · 3 人关注
cmdpipe
Utils for command line call
Go · 3 人关注
go-tun2socks-mobile
C · 1 人关注
ali-iot-mqtt-sign
阿里IoT mqtt签名,改自官方示例
Kotlin · 1 人关注
aria2-vertx-client
0 人关注
action-test
0 人关注
AdGuardHome
Network-wide ads & trackers blocking DNS server
Java · 0 人关注
Android-Password-Store
Android application compatible with ZX2C4's Pass command line application
Java · 0 人关注
Appactive
AppActive: A middleware to build an application with multiple active architectures(阿里巴巴开源的一款标准通用且功能强大的构建应用多活架构的开源中间件)
JavaScript · 0 人关注
baiducdnstatic
baidu cdn static files
0 人关注
chaizi
漢語拆字字典
0 人关注
chrome-devtools-kotlin
A Kotllin client based on the Chrome DevTools Protocol
0 人关注
core-pegjs
A collection of core PEGjs grammars (IETF, ISO, etc.)
Go · 0 人关注
cos-uploader
腾讯云对象存储COS上传工具
0 人关注
cpdyj
Java · 0 人关注
dcc
Work-In-Progress (Very early development) Reflection-free utils for Kotlin data class and Java record.
Roff · 0 人关注
dict
SKK dictionary
TypeScript · 0 人关注
electron-quick-start-typescript
Clone to try a simple Electron app (in TypeScript)
Kotlin · 0 人关注
envproxyselector
A Java library that extracts proxy info from environment variables.
Go · 0 人关注
exitcode
Shell · 0 人关注
fhs-install-v2ray
Bash script for installing V2Ray in operating systems such as Debian / CentOS / Fedora / openSUSE that support systemd
0 人关注
foo_cuefixer
Simple component for Foobar2000 to fix CUE/FLAC problems
Go · 0 人关注
go
The Go programming language
Go · 0 人关注
go-swagger-ui-resource
Go · 0 人关注
go-yarnlock
yarn.lock parser written in go. Reference: https://github.com/yarnpkg/yarn/blob/master/src/lockfile/parse.js
Kotlin · 0 人关注
gradle-licenses-plugin
This Gradle plugin provides tasks to generate a HTML / XML / Json file with the licenses used from the libraries.
ANTLR · 0 人关注
grammars-v4
Grammars written for ANTLR v4; expectation that the grammars are free of actions.
0 人关注
gun
Toy gRPC Tunnel over CloudFlare (Proof of Concept)
Java · 0 人关注
hashutil
iseki

iseki

V2EX 第 379936 号会员,加入于 2019-01-24 22:46:21 +08:00
今日活跃度排名 25369
根据 iseki 的设置,主题列表只有在你登录之后才可查看
二手交易 相关的信息,包括已关闭的交易,不会被隐藏
iseki 最近回复了
@lesismal 明文向后端传输虽然不好,但有时这是工程上成本刚好可以接受的方式。一来我刚才说了,很难设计一个有足够收益的非明文传输方案,二来就是有时候后端的某些设施只能接受明文。
@lesismal 工程上多一行代码也是有成本的,不能做不划算的事。我可以接受口令在妥善的哈希后传递给后端,但我不能接受把口令 base64 之后传给后端,base64 在这里就是一个收益近乎为 0 的操作(即使它的成本很低),总结下来就是一句话,不做不必要的事。
避免向后端传递原始口令是有必要的(中间设施,日志系统,甚至后端服务本身都可以有缺陷和风险),但必须弄清该怎么做,而不是简单变换一下弄得一眼看不出来就完了。
@lesismal 这文本复制的可真有意思,也怪我,下次用 Kotlin 风格的方式表达。
这个接口的风格是工程要求,你也可以看一下我在这条文本之后的跟帖,大概有这么个现实问题是不太好解决的,你可以给出你的解决方案讨论一下。
也许可以在前端对口令完成一次困难哈希,但难度和风险在于这个哈希的算法和参数从此固定不能更改,也意味着日后所有的「客户端」都要能自主完成这套逻辑。
此外再提及一点,许多密码基础设施提供的验证接口形如 verify(password, stored_credential) -> ok?,这里虽然没有明说(实际上也不可能要求) password 必须是用户的原始主口令,但一般确实可能影响到实践。
单从避免用户主口令泄露这件事上来说,要做一个可靠的方案成本比较高,前后端可能会有超过一个 RTT 的挑战响应机制。比如后端存储用用户主口令加密过的私钥,然后在用户代理(浏览器)中完成挑战响应,这样可以保证用户主口令不离开用户代理。
如果前端简单哈希一下,暂且不论能否提高安全性(加盐会很难做,固定的盐没有意义),哈希后的结果会不会缩减值空间,反过来降低安全性,可能也有待评估。
命令行用 jq ,其他场景用浏览器开发者工具,本地已有文件用 vscode 。无它,我的 json 很大,不用 jq 会卡;我需要灵活的操作和处理,浏览器 F12 正合适~
45 天前
回复了 dsvshx 创建的主题 Java Grpc 服务优化 GC 的一个问题,请教一下大佬们
话说,你的序列化反序列化 API 不支持按流处理吗?比如说我经常处理大体积的 JSON ,大一点一个对象可能 1G+,数据会在反序列化过程中被处理,比如说可能有去重之类的逻辑。 @dsvshx
47 天前
回复了 dsvshx 创建的主题 Java Grpc 服务优化 GC 的一个问题,请教一下大佬们
arena ,把 payload 弄到堆外面去,手动管理。但是这么一来…protobuf 自己解析想想就很麻烦。
长期来看这只能是个权宜之计,以后不能这么设计 API ,搞出大量大体积的 bytes
48 天前
回复了 zshstc 创建的主题 职场话题 大裁员中幸存下来了
为什么公司要划分区域总部,划分这么多级是用来干什么的呢
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2381 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 61ms · UTC 15:46 · PVG 23:46 · LAX 08:46 · JFK 11:46
Developed with CodeLauncher
♥ Do have faith in what you're doing.