liuidetmks

liuidetmks

V2EX 第 220603 号会员,加入于 2017-03-13 10:42:32 +08:00
今日活跃度排名 13723
根据 liuidetmks 的设置,主题列表被隐藏
二手交易 相关的信息,包括已关闭的交易,不会被隐藏
liuidetmks 最近回复了
3 天前
回复了 gk2014 创建的主题 程序员 放弃幻想吧,苦逼的码农们
@echo1937 一辆火车司机能顶几百辆卡车了,AI 一个以后能顶几万个码农
@jhdxr
0.掌握服务器的全部权限,
1.黑客同时修改前端代码使得明文传输,
2.修改后端代码各个接口都能兼容,业务正常。这样才能不让发现。
3.应对站长每次程序更新(防止被发现潜伏,保证站长的业务正常运行,保证黑客代码正常运行)
4.潜伏足够久,让足够多用户重新登录,这样才能拿到可观数量的密码明文

这样门槛已经很高了,属于高级持续性威胁「 APT 」范畴了,
发动这种攻击成本是很大的,一般是需要有巨大商业或者政治上的回报。

而不获取用户密码明文这一个操作,已经是前向安全的措施了,先前的用户密码明文不会泄露。
也不会因为你网站泄露导致其他网站牵连受害。

现实中的黑客攻击,更多的是一次打包取数据库,日志文件等有价值的数据,顺道挖个矿,然后站长发现异常登录,然后修复漏洞,打系统补丁。

技术上来讲,现在服务一般不是一台电脑,不是一个程序,用户的数据在不同主机上不同程序之间流动,
你永远不知道其他数据节点的程序会对你的数据做什么操作,有些可能是你的同事,有些可能是云平台(上面说的,网关日志,还有 各种 XaaS ,他们的日志你甚至无法关闭 )

密码当然是越少人知道越好,最好是只有用户自己
用户的密码明文永远只存在于用户的内存中。
7 天前
回复了 zywscq 创建的主题 Python 绝了, Python 里面没 if 也能用 else
int function(void) {
static int i, state = 0;
switch (state) {
case 0:
for (i = 0; i < 10; i++) {
state = 1;
return i;
case 1:;
}
}
}

这样的不是更绝绝子
7 天前
回复了 jedz 创建的主题 程序员 QQ 邮箱/Foxmail IMAP 客户端删信仅在本地有效
有个设置:

同步选项:
禁止收信软件删信 (为什么会有收信软件删信?)
@jhdxr 即使服务器被黑,也不应该暴露用户的密码明文,密码可能不止用于你一个地方
HTTPS.HTTPS,好像用了 https ,就可以包打天下了、

那么 HMAC ,SRP 这些设计的协议也是多余?
8 天前
回复了 peileiscott1 创建的主题 浏览器 QQ 浏览器抄袭 Arc 浏览器
果日的 tx , 谁记得计算机世界的封面
@encro 别误会,让人 view 只是为了找背锅的,不能整个公司就一个老板一个会计吧
能胜任 90% crud 操作的话,就能毁灭一大批 job 了
只需要招几个人 review
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   3205 人在线   最高记录 6543   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 10ms · UTC 14:26 · PVG 22:26 · LAX 07:26 · JFK 10:26
Developed with CodeLauncher
♥ Do have faith in what you're doing.