qwong 最近的时间轴更新
qwong

qwong

V2EX 第 45750 号会员,加入于 2013-09-21 18:20:17 +08:00
qwong 最近回复了
[網站前端打 API 時把密碼加密,有意義嗎?]( https://blog.huli.tw/2023/01/10/security-of-encrypt-or-hash-password-in-client-side/)

分享一下这篇文章,里面讲的很清楚了。

顺便摘录一下作者的观点:
1. 在 client 端传送密码前先把密码加密或是 hash ,确实能够增加安全性。
因为:
- HTTPS 因为各种原因失效时,攻击者无法取得明文密码
- 在 Server 端,没有任何人知道使用者的明文密码
- 明文密码不会因为人为失误被记录到 log 中

2. 以技术上来说,就算理论上一定会被破解,这些机制还是有意义的,它的意义在于增加破解难度,加壳、混淆都是一样的,不会因为「在 client 端的东西一定会被看穿」而不去做这些机制。

3. 重点在于你想保护的商业逻辑的价值,有没有高到你需要付出这些成本去做额外的安全机制
支持一下
2023-10-27 12:53:51 +08:00
回复了 aduangduang 创建的主题 问与答 运气到底存不存在?
[How to Create Luck]( https://www.swyx.io/create-luck)

推荐一篇文章。
2019-02-05 09:15:48 +08:00
回复了 zhuzhezhe 创建的主题 2019 我还活着,各位新年快乐
新年快乐!早日康复!
2016: MBP
2017: 🚗
2016-10-19 22:32:29 +08:00
回复了 Priest 创建的主题 推广 抽奖送苹果喽!
66
2016-07-17 11:07:24 +08:00
回复了 okevin 创建的主题 Android 请问哪里能买到便宜的 nexus 机?
5x 电池不够用
2016-05-11 20:40:01 +08:00
回复了 egonetworks 创建的主题 推广 我们的活动没那么复杂,留言抽奖送 T 恤
有一件去年 ArchSummit 参加活动送的,再来一件看下样式变了没 :-D
2016-04-04 20:24:23 +08:00
回复了 aldnoah 创建的主题 信息安全 听说学信网被脱裤啦~
2015-12-29 06:53:44 登录成功 116.127.145.112, 115.148.46.21
2015-12-28 19:57:10 登录成功 78.223.181.243, 69.175.71.162

看来至少在去年年底就被脱了... Orz
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   904 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 11ms · UTC 21:40 · PVG 05:40 · LAX 14:40 · JFK 17:40
Developed with CodeLauncher
♥ Do have faith in what you're doing.