V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  shaoshuang  ›  全部回复第 6 页 / 共 6 页
回复总数  113
1  2  3  4  5  6  
2015-07-10 16:10:27 +08:00
回复了 miyuki 创建的主题 分享发现 2 分钟内把别人支付宝 9.0 里的钱变成自己的
@honeycomb

---------------------------------------------------------------------------------------------
1,支付宝并不知道是自己还是他人拿了自己的钥匙
2,就算是自己拿了自己的钥匙,在做敏感操作的时候,也是要多一步验证的。你锁门的时候不是要把钥匙多转一圈的嘛

回答你:
1.在你打开支付宝进行操作的时候,支付宝就有一个初步识别了,正在操作的人是否是该账户的实际常规使用者
2.你说的太好了,敏感操作的确需要验证,但是“敏感操作”的定义不是改密码就是敏感操作,而是在特定的条件下改密码才是敏感操作

---------------------------------------------------------------------------------------------
1,赞同手机是相当私人的东西的观点
2,还是上一条的2,在可信设备上的敏感操作需要额外的验证

回答你:
还是上面一条的1和2

---------------------------------------------------------------------------------------------
1,说实在,应用程序不应该能永久性地唯一识别设备

回答你:应用本身就具备识别设备特征的能力,但是你这句话,我读了半天没读懂,为啥不能识别设备?


---------------------------------------------------------------------------------------------
1,在“你不会报警?大数据不会追溯?”之前,本来是可以做到阻止“别人转个账”的,现在把这步骤去掉了。
2,为何要向蚂蚁金服提供那么多信息?为什么要让它知道你的一举一动?

回答你:
1.请你先找一个陌生人测试一下整个流程,看看是否真的把钱转走了,再来回答这个问题,不要给假设
2.你不要否认,现在你的一举一动都是在给互联网公司提供信息,这个不是为何的问题,你的使用习惯在法律上并没有定义为隐私,而定义为隐私的内容,在支付宝都是有隐私条款的,你完全可以不同意条款,很简单,不用支付宝就行了。
为啥要知道你的一举一动,初衷非常简单,想办法认识你,就可以给你提供便捷,阻碍不认识的人来拿走你的钱。


---------------------------------------------------------------------------------------------
1,复杂支付密码和手势密码是毫无疑问的有效保护手段,弱密码/不设防的入口这一攻击向量可以说是最有效的攻击,支付宝去掉它们唯一的目的是简化支付手续,而不是保护。
2,支付宝可以加上它的大数据保护,但是不能也不需要以去掉用户方面实施的控制为代价。
3,所以,剥夺想装锁的人的装锁权利,那就自己玩呗。

回答你:
1.你说的很对,支付宝在能够保障安全(这个是相对来说的,比如100万笔支付中,非安全支付笔数不超过1笔就定义为安全,但是很抱歉,对于那一笔被盗的的确受到了伤害,因此需要保险这么个东西的存在)的前提下,尽可能提供更大的便捷
2.你完全可以通过自己手机的复杂密码来保障你自己手机的使用安全
3.按你的说法,所有不提供手势密码(或者其他加密方式)解锁的 app 都是耍流氓?

---------------------------------------------------------------------------------------------


最后,在你眼里支付宝太不安全了,赶紧别用了,求求你了!市面上可以替代的东西太多了,希望你理解的“安全”可以让支付宝的市场占有率大幅下降,你就成功了!
@honeycomb 太好了,赶紧别用了!最怕你这种的,再用支付宝你没有小 JJ
按你的道理,那给支付宝负责财产保险的保险公司要破产了
人云亦云
的确,主流的思潮是建立在对使用者的行为没有识别的基础上,的确需要双重验证,这也是密码学里面的需求物理验证+密码验证(正如银行卡+取款密码),但是如果对使用者的行为习惯等有足够的识别,例如可以如果取款机可以声音特征识别(YY 而已),那自然可以取消掉取款密码
手机设备就是你的物理验证,你的使用行为早就已经在支付宝行程使用行为特征码,我刚才的回帖已经说了几种了(当然实际还包括更多更多的变量参数)
如果你觉得这样还不够的话,那只能说你要不就是太牛逼,赶紧去破解支付宝转别人的钱去,你可以发财了,要不就是太2逼,只会跟着别人说啥就是啥,不动脑子不会判断。
你们一直都在自己拿着钥匙开自家门来说防盗薄弱的问题
如果真是这么简单,那支付宝整个安全部门可以集体开除回家了。
现在针对你拿手机时候的习惯手势(陀螺仪)、按键频率速度、触摸区域大小等都是有习惯和识别的
你们把支付宝的安全风控想的太简单了!
2015-05-13 09:19:28 +08:00
回复了 leemail 创建的主题 问与答 支付宝可以用美国信用卡支付买天猫的东西不?
可以,支持 visa、mastercard和 JCB 国际信用卡支付,其中 JCB 只能在 PC 使用,无线不能
2014-11-05 12:34:25 +08:00
回复了 sxzz 创建的主题 Apple Late 2012 的 rMBP 不支持 4K Dell P2815Q 4K 显示器?
线? 4K要用DP才行吧
这么着急就想着变现了
呵呵
2014-06-26 09:20:02 +08:00
回复了 shaoshuang 创建的主题 DNS 使用 DnsForwarder 创建的 DNS
经过反复测试,发现还是会被污染,因此放弃~
2014-06-25 12:38:04 +08:00
回复了 shaoshuang 创建的主题 DNS 使用 DnsForwarder 创建的 DNS
@scola JayShaodeMacBook-Pro:~ jayshao$ nslookup twitter.com 114.215.177.228
Server: 114.215.177.228
Address: 114.215.177.228#53

Non-authoritative answer:
Name: twitter.com
Address: 199.59.149.230
Name: twitter.com
Address: 199.59.149.198
Name: twitter.com
Address: 199.59.148.10
Name: twitter.com
Address: 199.59.148.82

我这里似乎是对的,我刚才更改了下架构,dnsforwarder不是特别稳定,因此改用了dnsmasq+dnscrypt的架构
2014-06-25 01:17:52 +08:00
回复了 shaoshuang 创建的主题 DNS 使用 DnsForwarder 创建的 DNS
@interdev 我发现tcp请求过来的都是准确的哎,似乎没有reset
2014-06-25 01:16:25 +08:00
回复了 shaoshuang 创建的主题 DNS 使用 DnsForwarder 创建的 DNS
@missdeer dnscrypy没有缓存,而且速度比较慢
2014-06-25 01:15:54 +08:00
回复了 shaoshuang 创建的主题 DNS 使用 DnsForwarder 创建的 DNS
@streamgo 长期有效,凌晨有一定概率短暂维护
1  2  3  4  5  6  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3607 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 17ms · UTC 00:46 · PVG 08:46 · LAX 16:46 · JFK 19:46
Developed with CodeLauncher
♥ Do have faith in what you're doing.