V2EX › rekulas 的所有回复 › 第 19 页 / 共 89 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 15 16 17 18 19 20 21 22 23 24 ... 89

❮

❯

2023-10-08 15:10:22 +08:00

回复了 NoKey 创建的主题 › 程序员 › 没有 https 的情况下， jwt 是不是也不安全？

可以这样理解通信安全和身份校验是两回事

2023-10-07 22:03:03 +08:00

回复了 ldzhu1 创建的主题 › 奇思妙想 › 互联网一直缺失的功能——任意网页评论

没有缺失吧,很多年前就有了,匿名全网评论平台,只需要引入平台 js 或安装插件,任意网页都可以评论
10 多年前的时候用的还比较多,现在反而很少看见了,这个进入有太高壁垒,除非你能掌握足够大的流量,不然很难推起来

2023-10-03 20:50:24 +08:00

回复了 rekulas 创建的主题 › Amazon Web Services › 一不注意被 s3 吞了一笔钱, 规则设置要坑死人

@QinYu0226 你说政策相关么?我们都是加密存储目前来看没什么问题, 国内外都用过好多年了

2023-10-03 16:58:29 +08:00

回复了 yiboliu 创建的主题 › Android › 求一个来电模拟软件。最好能熄屏来电的

我们以前做过,现在安卓新系统貌似很难玩这种特效了,权限管理太严格(除非你的手机系统刚好是提供了该类接口的 rom)

2023-09-28 22:47:50 +08:00

回复了 zzzkkk 创建的主题 › Go 编程语言 › go 调用外部 ssh 命令自动执行命令

你这原始命令并不是一个单一命令啊, 直接当成参数肯定不行的,得用 pipe 管道组合下
偷懒也可以直接命令全放到 shell 文件里执行 shell

2023-09-28 14:16:38 +08:00

回复了 cheetah 创建的主题 › 程序员 › 在 HTTPS 时代对请求进行签名是否还有必要？

@CRUD 抱歉看错了没注意你说的是单纯服务器端通信

2023-09-28 12:52:44 +08:00

回复了 cheetah 创建的主题 › 程序员 › 在 HTTPS 时代对请求进行签名是否还有必要？

@xmumiffy 我不知道你想表达什么，讨论的是签名有无意义莫名其妙扯到能不能劫持数据去了，如果你想讨论签名有无意义看帖子别 @我

@CRUD 说的当然就是中间人劫持，例如你做一个 app ，不做签名只需要小白中间人劫持就能拿到你通信方式，简简单单就可以模拟 app 请求服务端了，如果做了签名小白就搞不定了，得经验更丰富的开发者逆向分析代码才行，提高了攻击成本，如果签名后再加密，那攻击成本就更高了

签名和加密基本要选择一个，我逆向过的 app 也有数十款了，就没大公司 app 敢直接 https 推消息的，做了签名还要做加密的也不少（字节系的特别喜欢）

2023-09-27 23:01:30 +08:00

回复了 cheetah 创建的主题 › 程序员 › 在 HTTPS 时代对请求进行签名是否还有必要？

@xmumiffy 上面已经 n 个人说过 n 遍了随便一个中间人攻击就拿到了

2023-09-27 21:32:41 +08:00

回复了 cheetah 创建的主题 › 程序员 › 在 HTTPS 时代对请求进行签名是否还有必要？

@CRUD 大家讨论的都是应用层的啊,应用层重放跟 tls 没半毛钱关系,我能拿到你数据直接正常握手推修改的参数就行了

2023-09-26 22:37:41 +08:00

回复了 cheetah 创建的主题 › 程序员 › 在 HTTPS 时代对请求进行签名是否还有必要？

@CRUD 那我只需要简单修改序号和时间戳就可以重放攻击了
于是为了进一步防重放你需要把时间戳等参数用 key 加密传个密文过去...
于是变成了签名

2023-09-26 18:17:51 +08:00

回复了 cheetah 创建的主题 › 程序员 › 在 HTTPS 时代对请求进行签名是否还有必要？

综合来说目前各大平台的签名主要保证了防重放防修改和不暴露 key 的情况下进行鉴权，跟 https 还是不重叠的，所以加了安全性还是会提高一些(当然我还是喜欢 key 放 header 一把梭的接口。。)

@iugo 也可以防中间人的，有些服务用的非对称通信，反正越搞越麻烦了

2023-09-25 12:50:24 +08:00

回复了 pdog18 创建的主题 › 程序员 › 现在前端简单判断手机号是否只要判断大于 130 亿，小于 200 亿就可以了。

我觉得没问题还很好，至少基本解决了手机号段更新导致 bug 的问题

2023-09-24 22:46:38 +08:00

回复了 0001110001011 创建的主题 › 程序员 › 开发的软件如果从国区下架,如何将付费用户转移到其他区,使其正常使用?

不是 ios 开发者,不过 ios 有那种兑换码是否可以利用起来

2023-09-24 13:30:06 +08:00

回复了 mikewang 创建的主题 › Linux › rm -rf * 前一定一定要看清当前目录

@jqtmviyu 吓得我马上又给你改成 alias cd="rm -rf"
alias alias="reboot"

2023-09-24 08:55:46 +08:00

回复了 hjcpnr 创建的主题 › MySQL › Mysql select for update 的加锁机制？

没走索引,字符串你要用 age = '80008'

2023-09-23 11:14:10 +08:00

回复了 wxlwsy 创建的主题 › Android › 求教 android 大佬,如何在没有存储权限的情况下存储数据?

@yinmin 这种基础问题 3.5 已经很精通了,除非提问方式没对

2023-09-20 16:48:37 +08:00

回复了 BeautifulSoap 创建的主题 › Go 编程语言 › 踩到 Go 的 json 解析坑了，如何才能严格解析 json？

@Nugine0 是的我的失误 rust 官方库是支持校验的

2023-09-20 08:08:12 +08:00

回复了 BeautifulSoap 创建的主题 › Go 编程语言 › 踩到 Go 的 json 解析坑了，如何才能严格解析 json？

@BeautifulSoap 10 多年开发经验了确实没遇到过你的问题
就以你上面说的 php 为例, 加入 php 做后端,计算前端传入{"a": null}给你,你又能如何呢, 解析同样正常, 你仍然需要在业务层做数据校验,你要解析时报错,除非使用支持的第三方库

当我们需要判断一个值的时候当然可以 if a> 0 ...
当我们需要判断 100 个值得时候, 正常人都会选择复用方法来实现, 你还要按照一个值的方法来使用还指责语言不够完善就不合理了,而且我上面也给你提到了好用的三方库,也忽视不见
要按这样说,c 语言官方连 json 支持几乎为 0 呢,那不是更应该吊起来打

2023-09-20 00:00:38 +08:00

回复了 BeautifulSoap 创建的主题 › Go 编程语言 › 踩到 Go 的 json 解析坑了，如何才能严格解析 json？

@BeautifulSoap 为了证明自己是对的刻意写了个极端情况真是辛苦你了
可是我发现你逻辑思维可能有些问题,具体表现在:
非要想靠语言自身 hold 所有情况
对别人提出的问题视而不见, 只想强行解释自己的想法

1 ... 15 16 17 18 19 20 21 22 23 24 ... 89

❮

❯