V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  3dwelcome  ›  全部回复第 94 页 / 共 155 页
回复总数  3084
1 ... 90  91  92  93  94  95  96  97  98  99 ... 155  
2021-04-13 21:13:18 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
@dzdh "如果一个密码公开发放,那的确没有必要性。"

密码怎么可能公开?举个例子,微信支付的 url 签名 hash 算法是 HMAC, 也就是需要 key 才能使用的 HASH 算法。这个 key 是严格保密的,外人肯定不会随便知道。
2021-04-13 20:08:16 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
@dzdh "所以,『纯技术』上,在有 HTTPS 保护的前提下,签名没有『必要性』"

那是自然,只要 PC 机器能 [物理隔绝] ,使用时只有机主一个人能进入密室访问电脑,那 windows 登录密码也没有存在的 [必要性] 。
2021-04-13 20:01:10 +08:00
回复了 lixingjun 创建的主题 新手求助 低代码/无代码开发工具有人真的用过开发线上系统吗?
有 TX 大牛发过 PPT 分享过,统计验证了几万个页面,平均前端页面有 60%左右,是可以无代码低成本复用的。
2021-04-13 19:46:13 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
@dzdh "所以是,仅仅 HTTPS 已经足够安全,所谓签名只是锦上添花?"

光"锦上添花"就很重要,支付 API 设计能强过竞争对手,才能抢到足够的市场份额。

你开发一个 HTTPS 网站,去做网站安全评级,每一个服务器设置的细节,都是打分点。
你开启一个云服务器站点,服务器平均无故障就是一大卖点,数 99.99 小数点之后有几个 9,就能比同行抢到更多的用户。

支付签名设计也是一样,能给 API 安全打分后面加个 9,何乐而不为。
2021-04-13 17:16:11 +08:00
回复了 qiutian00 创建的主题 Sublime Text sublime 用的人还多么?
@dream4ever 一个新 idea,也是产品很重要的卖点,都被同行抄去了,这就叫恶性竞争了吧。
就好比 TX 公司,你把别人的路都走完了,让小公司无路可走。
2021-04-13 16:47:07 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
@abersheeran “我觉得可能现在还这么做的大厂,惯性更多一点吧,毕竟代码已经写好了,可以跑了,改设计,没必要。”

为了支付系统上出 BUG 可以甩锅,小码农根本赔不起。“看,API 设计够好了,还有签名!”
2021-04-13 16:45:09 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
"所有人的质疑是否代表着 Stripe 和 Paypal 现在是极度危险状态?"

你用国外网站举例没意义,国外信用卡支付没密码是安全的,放国内基本不可能。

同理国外电子支付没有签名是安全的,国内设计的 API 没签名?想都别想,和钱有关的,必须加码,管他有没有用。

这和软件加壳一个道理,你不知道破解者的能力和权限(说不定就是你隔壁同事),越套一层防范,单纯从理论上来说,就能阻断一部分破解者的尝试,也就变相代表着越安全。

就安全系数来说,有签名的 API 和没签名的 API PK 一下,有签名的得分高。光刷公司的 KPI,也必须加。
2021-04-13 13:54:41 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
@hxndg
"那东西叫做公钥钉扎,防备中间人,已经废除了。"
不不,楼主说的是 Server to Server 上的 PubKey 验证,就是直接在 TLS 握手阶段,读取证书里的 pubkey,看是不是和数据库里的一致,服务器要额外写一些入侵式代码。

你说的废除,只是 chrome 浏览器里定下的规范。楼主这里没有浏览器的参与。
2021-04-13 13:36:04 +08:00
回复了 dzdh 创建的主题 SSL API 接口已经有 HTTPS 的前提下,为什么还需要签名机制?
"Pinned Pub Key 还怎么中间人呢?防止客户的什么呢?"

能做到这种验证毕竟是少数,大部分服务器就校验了一下对方 CERT 有效性,因为 CERT 会过期,客户定期会换,你又没办法一直保证服务器存有对方最新的 KEY 和 CERT 来校验。

而且我看所有有钱有关的网络支付,都带签名。

这其实和数据库是不是存用户明文密码是同一个问题:反正用户又看不到服务器上具体有什么,不存 hash,直接存明文是不是一样的?(学一下楼主额外描述:服务器不可能被攻破,因此黑客攻击不在考虑范围内)
2021-04-13 13:21:15 +08:00
回复了 qiutian00 创建的主题 Sublime Text sublime 用的人还多么?
典型互联网小公司产品的悲哀,和免费 VSCODE 功能高度重叠,头部通吃效应显现,逐渐被边缘化了。
很多原创编辑小技巧都是 sublime 和 atom 发明的,结果被抄袭者收割,也是惨。
2021-04-11 02:02:00 +08:00
回复了 3dwelcome 创建的主题 分享发现 讨论修改 V2EX 网站背景色需要几步。
@Jirajine 倒不是为了加页面特效,用大象来举例,只是说明只用 chrome 原生功能,覆盖一个 css/js/接口是如此简单。甚至连普通的 ajax 请求都能给覆盖掉。
chrome 早期版本没有,后来加上后,很多人不知道,我也是最近才知道。
挺好的,路过支持一下。
写代码和写文章一样,是为了让别人看懂,不是写一堆复杂代码自己一个人嗨。楼主这个一眼就能懂,这点就很赞。
谁都是新手阶段过来的,唯有才能笑到最后,楼主加油。
2021-04-10 22:27:33 +08:00
回复了 3dwelcome 创建的主题 分享发现 讨论修改 V2EX 网站背景色需要几步。
@Girlphobia V2 这都有吗?太高端了。赞一个。
2021-04-10 11:12:11 +08:00
回复了 kaiki 创建的主题 硬件 能推荐一款游戏鼠标吗
罗技的无极滚轮很赞,就是没性价比,好贵。
2021-04-09 20:37:20 +08:00
回复了 mschultz 创建的主题 问与答 浏览器的额头都越来越高了
学学微软 windows 程序,额头能拖来拖去,随便靠边多好。
或者鼠标移开,能自动隐藏都好。
1 ... 90  91  92  93  94  95  96  97  98  99 ... 155  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4447 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 48ms · UTC 05:35 · PVG 13:35 · LAX 21:35 · JFK 00:35
Developed with CodeLauncher
♥ Do have faith in what you're doing.