V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  iyaozhen  ›  全部回复第 20 页 / 共 230 页
回复总数  4587
1 ... 16  17  18  19  20  21  22  23  24  25 ... 230  
180 天前
回复了 alvin666 创建的主题 宽带症候群 微信被公司网关封了,怎么破?
你不说理由大家很难共情

因为都不想用微信
其它什么都没说清楚,或者本身就是含糊的,再说不同岗位差异很大

那其实不用选,就 1 ,你说的最清楚,实打实的
180 天前
回复了 hlwjia 创建的主题 iPhone 苹果手机真的信号不好吗?
@StinkyTofus [射频功率肯定满足所有国家的法律, 但是其他手机就不一定了] 华为(之前)、三星不卖全球?比 iPhone 出货量更大呀
180 天前
回复了 hlwjia 创建的主题 iPhone 苹果手机真的信号不好吗?
现在可能好点? xr 那几代是真的垃圾
两个场景:
1. 家里厨房比较远,Wi-Fi 信号弱,iPhone 看做菜视频会卡,切换到移动网络。同期 Android 不会
2. 有次鸟巢演唱会买水(不能带水进去,所有都在里面排队买),iPhone 就是扫不开二维码,后面一堆人,你不知道多尴尬,最后是别人 Android 帮扫的
核心矛盾: 工资待遇很不错
啥意思?工资给的高呗 那你还说啥

[开会的时间占到了工作时间的 50%左右] 正常,当然具体要看会的内容
"写代码为低级工作,确定业务为高级工作" 可以说很对了,没毛病

矛盾这个我说个事情,之前有个很大的 leader 说,如果我推行一个决策,都需要和每个人解释清楚,那事情就做不了了。所以很简单,如果你工作没几年就跟着 leader 走。如果你本身已经有一套方法论了,和 leader 不合拍那就换个团队。
181 天前
回复了 tf141 创建的主题 知乎 知乎现在不登陆已经无法查看全文了
[来现在知乎的内容质量已经一落千丈了,现在又这么搞,可以预见以后的境遇只会更惨]

其实没办法,就是饮鸩止渴。现在就是信息孤岛怎么搞都干不过小红书、抖音。开放给搜索引擎只会更差,现在靠大模型这波热潮可能还能有希望卖个好价钱

[之前必应收录的知乎内容权重很高,按理说这也是很大的流量吧。] 流量大,但是不赚取,都是白嫖的多
181 天前
回复了 magic3584 创建的主题 北京 明年幼升小了,放弃北漂,求城市推荐
我是想开公交车

你想多了,这种岗位都是留给本地户口的,不然本地户口读书差的怎么办
182 天前
回复了 yangxin0 创建的主题 互联网 腾讯真是吃饱了没事儿干了吗?
我感觉是正事呀 而且非常正,有些功能很实用

小开发者饭碗什么意思?是说很多小开发者也在做 git 客户端?
183 天前
回复了 markyun02 创建的主题 职场话题 东哥太狡猾了, 用 let 定义的兄弟
你们只关注到东哥的“兄弟”定义问题

我个人觉得 PDD 的成功是典型的劣币驱逐良币,这才是更大的问题,谁还做产业升级。
183 天前
回复了 qaqLjj 创建的主题 问与答 你有哪些「这钱花的真他妈值」的瞬间
起点的 VIP 账号,好像打 6 折吧,现在即使充会员也没这折扣?
给女朋友买的化妆镜(小几百呢 就加个灯),但确实好用,每次她用的时候都夸我买的好
Jetbrains 自带的,其它的我都不会用了 哈哈哈
@zlowly 看你说的 我自己也想了下。虽然在大公司,但很多时候都是螺丝钉, [身边有参加过 HW 的,或者打过 CTF 的同学同事] 真的很少。业务部门也就有安全工单的时候和安全部门有接触。倒不是说不关注安全,功能开发能按安全 SOP 做好就已经打败 90%的人了
@kenvix
@viruscamp

我和两位老哥观点一致,作用肯定是有作用的。但要想大范围推起来,还是很难的,就是有成本(不仅仅是技术方案)。

HTTPS 能推起来我始终觉得浏览器(不记得是不是 chrome )功劳最大,如果它不提示“不安全的”几个大字,到现在都可能还是 http 为主
我先说一下讨论的基线,一般流程:
https 明文密码+后端 salt hash 存储

再说楼主的方案:
[因为简单的不使用明文只需要哈希盐一下]

比如中间有泄露的可能,假设是在 CDN
对于我自己的网站,黑客还是可以直接使用前端 hash 的结果重放。策略无用
最大的作用是这个密码不能去其它网站撞库了

但带来一些工程上的复杂性,前端 salt 如何轮换?

当然前端 hash 这个问题也是月经贴了。这个不是重点,我的意思是现有方案已经足够安全了(一开始说的基线),前端 hash 并没有安全太多。
186 天前
回复了 hahaba 创建的主题 程序员 小米的测试又要背锅?
这事我当年也干过,幸好只是公司内部全员
@YangWaleed +1 前端加密方案不拿出来说没有意义

不能高估大家的技术能力,比如短信验证码接口上直接返回的事情都有,前端加密这种更复杂的工程,更容易出篓子。实际就是成本和收益不成正比。
楼主你说的没问题,但不是所有业务都需要那么高的安全级别,再直白一点,有成本

“另外更简单的一个思考,如果不用明文、我们实现上增加了什么成本,带来了收益,有什么损失”,我来说说有什么成本:
1. 你密码加密用什么方式,RSA ?还是先 RSA 传递密钥再 AES ?
2. 密钥轮换策略呢?为了安全最后是每个用户密钥不一样,还有保存和轮换的问题
3. 密码要加密,传递的用户敏感信息(比如身份证号)是否要加密呢。你不要说这个不用,按严格的隐私保护策略,也需要,防止中间层泄露
再扯远点按欧盟或者一些其它地方的隐私保护,你很多数据存数据库都是要加密的,但为什么不做,还是成本

https 为什么能铺开,就是因为应用层不需要任何修改,网关加一层 https 就行。再加上浏览器厂商的强制推行,这才普及,不然没人改的。

工作这么多年( TOP3 大厂),非资金或者涉密相关的业务,就普通 web/app 。安全很多时候都是嘴上说说,而且很多人嘴上都没说对。但近几年为什么安全确实越来越重视了,1 是法律法规的影响(不说欧盟,国内也有,这不信息安全月才过去)。2 是各种平台的严格审核,最常见的就是 Android 日志里面不能打印隐私信息,拒审几次就教做人了 3 是安全事故确实影响大(倒不是说用户信息多少珍贵,是舆情风险)
说的这些并不是说我不赞同做的更安全(反而我是 ToB 的,某些场景为了安全投入了 N 倍的开发成本),但实际情况就是有很多成本和意识问题。
@xsen 面试不就会问这些嘛 以及这些方案的优劣
面试造火箭还是有点用的

一般来说就 http 最方便了 python 起个服务,后面要转流式( base http/3 )也方便
1 ... 16  17  18  19  20  21  22  23  24  25 ... 230  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1182 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 52ms · UTC 18:44 · PVG 02:44 · LAX 10:44 · JFK 13:44
Developed with CodeLauncher
♥ Do have faith in what you're doing.