stamhe's recent timeline updates stamhe's recent timeline updates |
stamheV2EX member #45480, joined on 2013-09-16 09:45:14 +08:00 |
| 上海-UCloud-招聘PHP、C++开发人员 酷工作 • stamhe • Feb 6, 2014 • Lastly replied by aoyoo | 4 |
| 上海-UCloud-招聘C++、PHP开发人员 酷工作 • stamhe • Dec 6, 2013 • Lastly replied by stamhe | 8 |
| 上海 求php/c/python 职位 最好是项目合伙人或team leader 酷工作 • stamhe • Sep 16, 2013 • Lastly replied by thursday | 2 |
stamhe's recent replies
Dec 13, 2023 Replied to a topic by lstz › 程序员 › 提供端到端加密(E2EE)云服务会有法律风险吗 |
1. 国内完全端对端的加密是肯定不行的
2. po 主 对 apple 的数据安全看法和我完全一样,我也认为 apple 现在的数据根本不安全,所以我是全部关闭 icloud, keychain 这些的。就靠一个 6 位数字的 pin code 保护,说 apple 的各种 E2EE 安全的,就笑掉大牙。
3. 我们在做一款完全不需要 E2EE 也能保护数据安全的产品。
2. po 主 对 apple 的数据安全看法和我完全一样,我也认为 apple 现在的数据根本不安全,所以我是全部关闭 icloud, keychain 这些的。就靠一个 6 位数字的 pin code 保护,说 apple 的各种 E2EE 安全的,就笑掉大牙。
3. 我们在做一款完全不需要 E2EE 也能保护数据安全的产品。
Sep 27, 2023 Replied to a topic by ZaneCode6574 › Google › 咨询一下 dalao 关于 Google Passkeys |
@bigshawn 用户的私钥,不应该这样同步,甚至都不应该在任何网络传输。
为什么要用 google/apple 他们的不安全的账号密码来管理一个 100% 安全的 passkey 呢?那 passkey 还能安全?
为什么要用 google/apple 他们的不安全的账号密码来管理一个 100% 安全的 passkey 呢?那 passkey 还能安全?
Sep 24, 2023 Replied to a topic by ZaneCode6574 › Google › 咨询一下 dalao 关于 Google Passkeys |
@ZaneCode6574 所以我说 fido 的 passkey 方案是个半残疾,压根不适合用于工业场景。apple/google 他们这么做是不负责任的表现。
Sep 24, 2023 Replied to a topic by ZaneCode6574 › Google › 咨询一下 dalao 关于 Google Passkeys |
@mschultz 我想表达的本意是这些信息都能看,那么存储在 icloud 数据库或者存储里面的数据,看个加密数据的密钥算什么,依赖审计也是相信 apple, google 的人靠谱。
Sep 24, 2023 Replied to a topic by ZaneCode6574 › Google › 咨询一下 dalao 关于 Google Passkeys |
Sep 24, 2023 Replied to a topic by ZaneCode6574 › Google › 咨询一下 dalao 关于 Google Passkeys |
@coolcoffee fido 硬件里面的私钥是不会离开设备的。但是 apple 和 google 他们支持的 fido alliance 协议标准,是不用 fido 硬件支持的,直接存储手机的安全存储区的,如果要同步或者需要跨设备使用,只能是 icloud 或者 google cloud
Sep 24, 2023 Replied to a topic by ZaneCode6574 › Google › 咨询一下 dalao 关于 Google Passkeys |
很多人一看到 e2e 就觉得安全,可靠,事实不是这样的。
e2e 是可以被中间人(开发商)劫持,被中间人替换掉 对方的公钥,从而捕获到中间对称加密的 key 的。
说会被定期 audit 啊什么之类的,这不是搞笑来着么?所以你吹牛的是他的内审机制,不是他的技术安全?
没有人好奇访问用户数据更是搞笑,就上个月,特斯拉才被爆出内部员工随意看特斯拉车主的视频和照片,拿出来炫耀嘲笑车主。居然还有人说没有人好奇所以不会访问。。。
e2e 是可以被中间人(开发商)劫持,被中间人替换掉 对方的公钥,从而捕获到中间对称加密的 key 的。
说会被定期 audit 啊什么之类的,这不是搞笑来着么?所以你吹牛的是他的内审机制,不是他的技术安全?
没有人好奇访问用户数据更是搞笑,就上个月,特斯拉才被爆出内部员工随意看特斯拉车主的视频和照片,拿出来炫耀嘲笑车主。居然还有人说没有人好奇所以不会访问。。。
Sep 24, 2023 Replied to a topic by ZaneCode6574 › Google › 咨询一下 dalao 关于 Google Passkeys |
Sep 24, 2023 Replied to a topic by ZaneCode6574 › Google › 咨询一下 dalao 关于 Google Passkeys |
@dudewei 对啊,fido 这个方案本身就是半残疾的方案。工业产品不应该这么设计的,更不应该这么不负责任的推广。
Sep 24, 2023 Replied to a topic by ZaneCode6574 › Google › 咨询一下 dalao 关于 Google Passkeys |
@Biggoldfish icloud 里面的都能被看到,那么你凭什么说经过 icloud 的 keychain 看不到? e2e 很牛逼么?不知道什么是中间人劫持么?哪个老师告诉你 e2e 就是安全的?
Select Language