V2EX › raw0xff 的所有回复 › 第 2 页 / 共 13 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 2 3 4 5 6 7 8 9 10 ... 13

❮

❯

140 天前

回复了 suriv520 创建的主题 › 程序员 › 请大家帮忙测试一下国产安卓机的默认浏览器或者 Chrome 是否支持 WebAuthn 认证

@wanghaolong613 我没试过，安卓加个梯子试试？

140 天前

回复了 suriv520 创建的主题 › 程序员 › 请大家帮忙测试一下国产安卓机的默认浏览器或者 Chrome 是否支持 WebAuthn 认证

@wanghaolong613 我用 PC+iPhone 测试不需要配对，PC+Android 机我不知道。

150 天前

回复了 docxs 创建的主题 › NAS › 想整个旁路由，用 N100 咋样啊？

借楼问一嘴，n100 想跑 docker 同时想体验一下 win 系统的最佳安装实践是什么？把 docker 装 win 里？还是 pve 分开装？用 pve 的话 docker 装 Ubuntu 或者 debian 里吗？

168 天前

回复了 busier 创建的主题 › 程序员 › 实现一个纯 Web 界面的端到端加密临时聊天对话思路是否可行？

@Nazz 我对逆向工程不懂，wasm 嵌入证书的话是否会被逆向出来？ wasm 中的变量是否会被恶意 js 脚本读出来？

168 天前

回复了 raw0xff 创建的主题 › JavaScript › cloudflare workers 传入网页时注入脚本的话，是不是服务端设置 CSP 也没办法保证完整性？

@0o0O0o0O0o 大佬方便飞机向您求教吗？

我的 rsa 公钥

-----BEGIN RSA PUBLIC KEY-----
MIGJAoGBALJxVGJhfs6tY1kKUl9y4k/5qXoYTn+/mS8keK9CmzvyPJ63hF7HHG37
ZaLCNZIWrUf2dwtepuXVf40H+SAsRMDMy4/BRlovlqSIClGudAuCVVOxelNoQ3Sc
nKiyPjPmlbkBJVL1JclXq17g8p5SlBmGeePCM7/75J8uTuarboxDAgMBAAE=
-----END RSA PUBLIC KEY-----

https://try8.cn/tool/cipher/rsa

168 天前

回复了 busier 创建的主题 › 程序员 › 实现一个纯 Web 界面的端到端加密临时聊天对话思路是否可行？

大概分三个问题：用户身份验证、私钥安全存储、页面完整性校验

目前被困在页面完整性实时校验问题上。

169 天前

回复了 busier 创建的主题 › 程序员 › 实现一个纯 Web 界面的端到端加密临时聊天对话思路是否可行？

@busier 你可能没有意识到在不能保证用户访问的第一个页面的完整性的前提下 e2ee 并不安全。

169 天前

回复了 busier 创建的主题 › 程序员 › 实现一个纯 Web 界面的端到端加密临时聊天对话思路是否可行？

@0o0O0o0O0o 哈哈总会碰到 oo 大佬，你这个链接也给过我。

169 天前

回复了 busier 创建的主题 › 程序员 › 实现一个纯 Web 界面的端到端加密临时聊天对话思路是否可行？

@Nazz 全走 wasm 的目的是？

客户端浏览器临时生成密钥对除了 webcrypto api 和在 wasm 中生成，还有哪些方式？（不算浏览器扩展的话）
window.crypto.subtle.generateKey 时 extractable:ture 的话可以导出私钥，我觉得还是有一定风险的。
所以你说的全走 wasm 意思是在 wasm 沙盒中生成公私钥对吗？ wasm 存私钥的变量是否会被 js 读出来？

楼主可以看看去年的 nostr 项目，应该也属于 e2ee.

169 天前

回复了 gulullu 创建的主题 › OpenAI › GPT 挂了吗？

ChatGPT 目前 Major Outage ，API 的目前还能用。
哎~ poe 与 plus 间反复跳，最终还是都充了。

218 天前

回复了 Cola98 创建的主题 › 程序员 › nextjs 正确使用方式

对 next.js 一无所知，弱弱的问一下如果我用 next.js 写一个带页面的后端服务给别人用，是不是就相当于把源代码都给了别人？

219 天前

回复了 raw0xff 创建的主题 › JavaScript › cloudflare workers 传入网页时注入脚本的话，是不是服务端设置 CSP 也没办法保证完整性？

@caomingjun 对不起，你是对的，标头可以修改，但是返回给浏览器前 cloudflare 会重新改回来。所以网站是否用了 worker 是可以从响应头分辨的。

227 天前

回复了 raw0xff 创建的主题 › JavaScript › cloudflare workers 传入网页时注入脚本的话，是不是服务端设置 CSP 也没办法保证完整性？

@0o0O0o0O0o 好像真的无解，即便关键代码写成 wasm 也没啥用。

227 天前

回复了 raw0xff 创建的主题 › JavaScript › cloudflare workers 传入网页时注入脚本的话，是不是服务端设置 CSP 也没办法保证完整性？

@r46mht
感谢回答。问题就出在你说的静态网页上，也就是说无法保证用户访问的第一个网页的完整性。如果可以的话，后续任何代码变动都可以被 csp 和 sri 约束。
15 楼给的链接 https://news.ycombinator.com/item?id=39436238 里有讨论到。

227 天前

回复了 raw0xff 创建的主题 › JavaScript › cloudflare workers 传入网页时注入脚本的话，是不是服务端设置 CSP 也没办法保证完整性？

@0o0O0o0O0o 服务端应用给每次请求登录时的页面内包含随机值且记录下来，登录时 js 将自己的网页 hash 一并发给服务端，服务端验证 hash 后再进行登录验证。大佬帮忙看这逻辑有没有漏洞？

227 天前

回复了 raw0xff 创建的主题 › JavaScript › cloudflare workers 传入网页时注入脚本的话，是不是服务端设置 CSP 也没办法保证完整性？

@0o0O0o0O0o 感谢大佬，真巧重合度很高，文中说的方式试过一些，CSP SRI IPFS 再叠上一些加密方式的 buff 。但是没有一个完美的解决方案。

227 天前

回复了 raw0xff 创建的主题 › JavaScript › cloudflare workers 传入网页时注入脚本的话，是不是服务端设置 CSP 也没办法保证完整性？

@caomingjun worker.js 里可以改 response 中所用东西，试过了。

@0o0O0o0O0o 感谢大佬这么细致，你猜的对，“当自己的 web 应用跑在别人的主机和域名下，如何避免网页被注入”。感觉只能制造注入控制的难度，治标不治本。比如整个随机变量名和随机位置啥的。另外浏览器加载网页 js 后是需要跟服务端程序通信的，我总觉得有办法解决，又想不出办法。

227 天前

回复了 raw0xff 创建的主题 › JavaScript › cloudflare workers 传入网页时注入脚本的话，是不是服务端设置 CSP 也没办法保证完整性？

@r46mht 不是，加 tls 的话证书和 key 都是暴露的，无济于事。

为了确保 worker 不注入代码，浏览器收到的是服务端给的完整代码。
CSP 不行，会被直接绕开。
服务端识别请求也不行，worker 可以修改标头。

如果服务端对每次每个用户的登录请求返回不同的内容（比如随机函数名随机变量名随机代码排序等等）使中间人统一作恶有一定难度，不知道这个想法成不成熟有没有用。

在这种带证书的中间人情况下，是不是任何措施都只能增加中间人作恶难度，而不能解决根本问题？哪位老哥给点建议，不行我就换个思路，定期从外部访问校验网页是否安全。

227 天前

回复了 raw0xff 创建的主题 › JavaScript › cloudflare workers 传入网页时注入脚本的话，是不是服务端设置 CSP 也没办法保证完整性？

@caomingjun 标头都可以修改

@icoming
@ETiV
完美中间人形容很贴切。不知道页面嵌入个 wasm 能不能解决问题。或者就换个思路，模拟普通用户访问对网页代码进行验证。

227 天前

回复了 raw0xff 创建的主题 › JavaScript › cloudflare workers 传入网页时注入脚本的话，是不是服务端设置 CSP 也没办法保证完整性？

@caomingjun 常规是有标识，但是 worker 可以修改 fetch 的 headers ，可以伪装成普通浏览器用户。

1 2 3 4 5 6 7 8 9 10 ... 13

❮

❯