likelylee 最近的时间轴更新 likelylee 最近的时间轴更新 |
likelyleeV2EX 第 405920 号会员,加入于 2019-04-25 10:00:41 +08:00 |
likelylee 最近回复了
1 天前 回复了 faywong8888 创建的主题 › Linux › 人生苦短,我用 Arch,推荐使用 ALG 来装 Arch |
@faywong8888 endeavouros 在用,作为日常桌面使用快 5 年了吧。这个发行版就是原始的 arch 加上一个 gui 安装器和一些定制的桌面主题,可以略微节省一些安装时候的配置时间,仅此而已。
15 天前 回复了 drymonfidelia 创建的主题 › 信息安全 › SHA256 加两个不同的盐拼接出来的 512bit 和 SHA512 加一个盐相比哪个更安全(更抗碰撞)?我写了个脚本测试,好像算两个 SHA256 比 SHA512 还快,不知道是不是有硬件加速 |
如果你是考虑合规需求,那么 SHA-256 加盐的任何用法基本都是能满足要求的,除非国密强制 SM3 。如果是海外合规相关,上边有人提到 argon2id 以及 bcrypt ,相比 SHA2 系列算法的“合规”风险更高,因为有些审核机构会指定要求 FIPS 许可算法。
如果你只是单纯考虑安全性本身,无脑 SHA-512 就可以。首先 SHA-512 和 SHA-256 可以简单认为不是一个算法,其次 SHA-512 的算法安全强度是 256bits ,而 SHA-256 只有 128bits 。参考 SP 800-57 即可。
如果你只是单纯考虑安全性本身,无脑 SHA-512 就可以。首先 SHA-512 和 SHA-256 可以简单认为不是一个算法,其次 SHA-512 的算法安全强度是 256bits ,而 SHA-256 只有 128bits 。参考 SP 800-57 即可。
30 天前 回复了 dengj3355 创建的主题 › OpenWrt › 目前好像感受到了 openwrt 作为主路由的无力感 |
赞同楼上两位,我是 r5s 跑 openwrt ,启用了 openclash 翻墙、adguardhome 做 dns 和禁用广告、kms 来激活内网 windows 和 office 、ddns 到 cloudflare 解析、vpn 和 tailscale 都是用来回内网,剩下服务类的都在 nas 上 docker 部署。平时非常稳定,我可能想起来的时候会手工重启一次,通常两次想起来间隔都在 2 个月多吧。
33 天前 回复了 subdance 创建的主题 › Apple › 扣款方是苹果的信用卡盗刷? |
@ouqihang 是的,这个就是根本原因之一。为了解决这个问题,海外的做法是直接打包成保险。反正为服务付费这个事情海外是比较能推的开的。国内的做法是,尽可能从源头杜绝(各种风控),如果实际发生了,也有保险...但是想让大多数人为了潜在的风险多付费是不可能的。
33 天前 回复了 subdance 创建的主题 › Apple › 扣款方是苹果的信用卡盗刷? |
@dilidilid 这么说吧,端侧我不担心,我自己就做端侧的各种合规认证,安卓上指纹一定走 tee ,面部大概率不走 tee ,ios 都走...另外端侧都是自己主动注册,特征值保存在端侧用来匹配。
不过支付宝的刷脸支付终端,我不认为每个人都需要在终端上注册面部信息,那这个时候是不是可以理解为面部特征在支付宝有存储?掌纹同理。我不担心支付宝和财付通对数据存储的安全性,但是出发点是方便支付这个,我认为没必要给出来面部和掌纹特征。
不过支付宝的刷脸支付终端,我不认为每个人都需要在终端上注册面部信息,那这个时候是不是可以理解为面部特征在支付宝有存储?掌纹同理。我不担心支付宝和财付通对数据存储的安全性,但是出发点是方便支付这个,我认为没必要给出来面部和掌纹特征。
33 天前 回复了 subdance 创建的主题 › Apple › 扣款方是苹果的信用卡盗刷? |
@dilidilid 至少不需要指纹面部和掌纹啊...SSN 当然是实名,除了上边说的这几个信息之外,SSN 也没那么容易关联你的社交关系和购物习惯,所以实际上从风控的角度,我是觉得支付宝和财付通做的能比所有银行捆上 cybersource 以及 worldpay 都要好的。当然就像我上边说的,因为你自觉不自觉的提供了大量的实名信息,所以做的好是应该的。
33 天前 回复了 subdance 创建的主题 › Apple › 扣款方是苹果的信用卡盗刷? |
@sjqboss 那哥们总体说的没太大问题,细节上有出入。现在很多银行可能日终结算或者签约每月结算,结算的时候就已经收到款了,但是在商户入网的时候是会收保证金的,而且有一堆罚则可以从保证金里扣款。另外如果是 visa 的收单机构,还会有更严格的 GARS 要求对入网商户的监控和过滤。不能说卡品牌不关注盗刷,只能说确实因为几十年的系统使用下来,目前的无卡支付方案在非大陆地区是最理想的方案。当然现在也在不停地往上打补丁,EMV 是第一代补丁,3DS 是前几年的补丁,MPOC 方案是近几年以及短期未来的补丁,长远来看可能还有其他补丁,这些都是在现有三方/四方支付的基础上在增强无卡支付的安全性和便利性。
但是,你要说这套系统和支付宝财付通相比较哪个更好,我只能说没办法直接比较,就好比说烤鸭和烧鹅哪个更好吃一样。不同的信任体系,不同的技术架构,不同的资金方案,目前看来是双方在用户感知层面越来越靠近(卡片 -> NFC / 二维码 -> NFC ),不过底层架构、用户架构、资金架构上都不一致。
说回到楼里那么多不信任国内行拒付的,我用信用卡接近二十年,肯定不是论坛里时间最长的,内卡外卡我都有,国内海外线上线下我也都刷,甚至早年的压卡支付我都用过,这些年来盗刷的总计不会超过 10 笔,都拒付掉了,并且没有超过两次电话的,从不扯皮,包括招行、中行、交行。国内可能会以信用卡设置了刷卡密码密码为由拒绝拒付,不过我确实从不设密码,另一方面即使设置了密码,走金管局投诉应该也是可行的,只要你能证明这比交易确实不是你做的。3DS 我也没开过,就是传统的卡号有效期 CVV2.
反过来再说支付宝财付通,确实至少我从没遇到过“盗刷”的情况,不过代价当然就是为了做到“足够的安全”,你需要全套实名的活在他们的风控系统里,甚至远超实际需要的实名信息。
再次但是,不论是卡品牌、收单行、发卡行、蚂蚁、腾讯,这些机构在做风控时候的最后依赖都还是保险......赚钱嘛,这没什么可丢人的 2333333
但是,你要说这套系统和支付宝财付通相比较哪个更好,我只能说没办法直接比较,就好比说烤鸭和烧鹅哪个更好吃一样。不同的信任体系,不同的技术架构,不同的资金方案,目前看来是双方在用户感知层面越来越靠近(卡片 -> NFC / 二维码 -> NFC ),不过底层架构、用户架构、资金架构上都不一致。
说回到楼里那么多不信任国内行拒付的,我用信用卡接近二十年,肯定不是论坛里时间最长的,内卡外卡我都有,国内海外线上线下我也都刷,甚至早年的压卡支付我都用过,这些年来盗刷的总计不会超过 10 笔,都拒付掉了,并且没有超过两次电话的,从不扯皮,包括招行、中行、交行。国内可能会以信用卡设置了刷卡密码密码为由拒绝拒付,不过我确实从不设密码,另一方面即使设置了密码,走金管局投诉应该也是可行的,只要你能证明这比交易确实不是你做的。3DS 我也没开过,就是传统的卡号有效期 CVV2.
反过来再说支付宝财付通,确实至少我从没遇到过“盗刷”的情况,不过代价当然就是为了做到“足够的安全”,你需要全套实名的活在他们的风控系统里,甚至远超实际需要的实名信息。
再次但是,不论是卡品牌、收单行、发卡行、蚂蚁、腾讯,这些机构在做风控时候的最后依赖都还是保险......赚钱嘛,这没什么可丢人的 2333333
40 天前 回复了 subframe75361 创建的主题 › 分享创造 › 开发了一年多,开源等宽字体 Maple Mono 发布 v7.0 正式版 |
非常感谢!!!作为我的 console 之类的等宽字体使用已经快两年了
49 天前 回复了 edgebitllc 创建的主题 › 软件 › 求推荐可以记录一天中各个任务耗时的工具 |
我用 timewarrior ,不过没有一个好看的 bashboard 或者 report 。只是自己关注趋势的话足够了。
50 天前 回复了 ota 创建的主题 › 问与答 › 好奇,市面上有网站防篡改的应用嘛? |
搜索关键字:CSP 、SRI ,看看是不是你需要的。这两个技术目前在有些信息安全相关认证方面是强制要求的。
Select Language