V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  ZE3kr  ›  全部回复第 121 页 / 共 186 页
回复总数  3703
1 ... 117  118  119  120  121  122  123  124  125  126 ... 186  
> 是否存在一种 hash 算法,支持通过客户端发送过来的 hash('password'+'2fa') 的结果,和服务端已知的 2fa 这段明文,推算出 hash('password') (用户密码的 hash 值),进而与数据库中存储的密码 hash 值进行比对?这样就不存在明文保存或传输用户密码的问题了。

这种事情不该交给 hash 去做,因为 hash 本身就不是加密解密用的。应该交给正经的加密算法去做
@xuanbg 这样就需要服务器存 hash(password)。这样的问题就是一旦被拖库,你就拿着数据库里拖出来的 hash(password)和数据库里 TOTP 的 Passphrase ,就能直接算出来 hash(hash(pw) + code)了……反而更不安全

相比要求传输明文密码的,你从数据库里拿出来的 hash 反推明文密码还是有难度的
你在浏览器里用纯 HTML 实现的登录,传的密码肯定是明文,去 Console 里看就能看到。因此 Chrome 、Safari 等浏览器只要遇到非 HTTPS 网站填写表单,或者是非 HTTPS 网站有密码输入框,就会警告不安全。

传输时明文不等于数据库里存明文……

> 在实践中这样做,是不是把数据安全完全依赖于 HTTPS 的安全性,面对 MITM 就全泄漏了?

是的。所以 HeartBleed 漏洞一出密码全泄漏。此外 CDN 也能看到密码,如果 CDN 出了 Bug (如 Cloudflare 之前默认开启的 HTML 压缩),密码也泄漏。为什么依然要这样做?个人觉得依赖 HTTPS 更安全,因为这部分是系统 /浏览器实现的,会经常更新,用的非常广泛。自己实现的 Hash 五花八门,未必就安全,而且还要求客户端与服务器实现一样的 hash 。一些服务器依赖的硬件加密模块客户端未必支持。而且如果此时客户端存 hash(password)服务端也存 hash(password),那就和存明文密码没有多大区别了。如果此时客户端发 hash2(password),服务端存 hash1(hash2(password)),那这又和客户端发明文密码,服务端存 hash 有啥区别?中间人拿到 hash2 一样破解你。

如果客户端设置密码的时候发明文密码,登录的时候发 hash2(password, time),能稍微安全一点,但这样还不如 2FA ,因为这样只要拿到了 password ,就能算出来要发送的结果。
2022-03-29 03:52:41 +08:00
回复了 Erdong 创建的主题 问与答 家用监控器摄像头有没有好的推荐?
Aqara 的,可以用 Homekit 接入安全摄像头,端到端加密
你这么说就好像在别的国家这样做就不违法了一样

数字千年版权法 DMCA 了解下
2022-03-28 23:15:34 +08:00
回复了 huangzhe8263 创建的主题 数据库 GitHub 解释近期频繁宕机原因: MySQL 不堪重负
让 gogs 来
2022-03-28 23:13:10 +08:00
回复了 villivateur 创建的主题 宽带症候群 运营商是不是禁了移动数据网络 IPv6 的入站连接?
我 Verizon 的网络就可以通,iPhone 开热点给电脑。电脑用手机分配的 IPv6 启 SS ,外部可以连进去。

而且就算屏蔽也可以点对点,只需要设备主动发请求建立 Established TCP 就行了
之前添加过 esim 吗? esim 手机 dfu 抹掉后是保留之前 esim 套餐的。你看不到 esim 可能是之前的套餐被保留了,但现在读不到。应该运营商还是苹果把 imei 下的套餐删掉就行了
@Eagleyes 运营商支持就行,国内的都不支持。国外支持这个运营商一般可以远程写卡
国行港行阉割了毫米波(我这里毫米波 3000Mbps ,非毫米波 1000Mbps ,且美版 13 系列的毫米波包含了欧洲和中国联通的毫米波频道),国行无 Facetime Audio 但有 WAPI 。美版无实体双卡但支持实体卡+N 个 eSIM 双待。
2022-03-27 21:21:45 +08:00
回复了 Aaron325 创建的主题 macOS 联通号码还是要关闭境外业务
通讯录全部导出 csv ,查找替换加上+86
一般没有 GPS 定位屏蔽的,News 也只看运营商和地图提供商(地图提供商由网络决定),Private Relay 只看网络和区
@xppppsfg 现在还有卖这种机子的,但是只锁运营商。比如从 ATT 买的,那就用不了 ATT ,但可以用 TMobile
2022-03-27 09:40:16 +08:00
回复了 M48A1 创建的主题 问与答 macOS IOS Apple TV+如何稳定观看?
闪退多半是网有问题,关闭 MITM 和脚本试试
2022-03-27 09:18:22 +08:00
回复了 hard2reg 创建的主题 问与答 hexo d CNAME 变小写
亲测我这里 hexo generate/hexo d 之后仍是大写。是不是 deploy 用的组建的问题?
2022-03-27 08:32:41 +08:00
回复了 chuanqirenwu 创建的主题 程序员 博客改版,有没有极简风的博客主题推荐参考?
又可以晒博客了
https://guozeyu.com/
2022-03-26 08:52:28 +08:00
回复了 rv54ntjwfm3ug8 创建的主题 iPhone 发现 64GB iPhone / iPad 足够用了
想要录制 4K ProRes 就发现不够了

啊什么,4K ProRes 需要 256G ?那 1080p ProRes 总行了吧

啥? 1080p ProRes 需要 iPhone 13 Pro ? Pro 没 64G 。
2022-03-26 08:50:31 +08:00
回复了 loukky 创建的主题 DNS Dnspod 附带国内 edns 时,但有时候仍然会解析到国外的 cdn 节点
https://gist.github.com/ZE3kr/210fc3bc6a1318ef1e60d15cbe38119c

破案了,是 JD 的权威服务器不支持 ENDS 。这个锅 DNSPod 不背
2022-03-26 08:41:47 +08:00
回复了 loukky 创建的主题 DNS Dnspod 附带国内 edns 时,但有时候仍然会解析到国外的 cdn 节点
大多数权威 DNS 的 edns 有设置白名单,只有 Google 、114 等常用 DNS 请求才认 edns ,自己搭建的 dns (非权威)解析服务器的 edns 是被忽略的。
2022-03-25 08:54:50 +08:00
回复了 niselover 创建的主题 程序员 建一个 100 个北京 ip 的代理, 成本大概多少?
买国外的独服一般直接送你 /24 、/23 、/22 的。大概 60 到就可以获得 256 个连号 IP (然后被封也是连封)
1 ... 117  118  119  120  121  122  123  124  125  126 ... 186  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2603 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 92ms · UTC 06:47 · PVG 14:47 · LAX 22:47 · JFK 01:47
Developed with CodeLauncher
♥ Do have faith in what you're doing.