V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  remaerd  ›  全部回复第 1 页 / 共 13 页
回复总数  260
1  2  3  4  5  6  7  8  9  10 ... 13  
2017-11-23 06:00:54 +08:00
回复了 elviscai 创建的主题 Markdown 可曾记得 Mou?
@xupefei 这人怎么一直换方法作死。中国独立开发者的耻辱。
2016-07-13 01:22:38 +08:00
回复了 Livid 创建的主题 JetBrains 感谢集成开发环境大厂 JetBrains 对 V2EX 的赞助
最近在用 DataGrip 捣弄 Postgres... 若能弄到优惠,入手一个还蛮不错的。
2015-08-13 13:26:21 +08:00
回复了 remaerd 创建的主题 iDev [Swift] 开源我的数据加密用框架 - Keys
@zhuang

感谢回复。真的是非常详细,多谢。

若是内存管理层面上的,我觉得都不是不能解决的问题。问题肯定是有的,OpenSSL 还有 Heartbleed 呢,但项目还是要做的,因为要用到。总之注意内存管理就好了,或许在 README 中添加一些关于内存管理的文字会是一个好的开始。

再次感谢。🙏
2015-08-13 12:13:56 +08:00
回复了 remaerd 创建的主题 iDev [Swift] 开源我的数据加密用框架 - Keys
@zhuang

感谢解疑。虽然还是一知半解。

我尝试理解你解说的关于 “自己实现了内存分配和回收” ,是不是相当于使用 alloc malloc release 这些非 ARC 的方式管理内存?当用户输入密码后,因为我不是手动管理内存,所以用户密码会存留在内存里,而且黑客能够通过 root 权限访问这些数据。

还是举例 1Password 吧?如果用户输入密码,通过 CCKeyDerivationPBKDF 获得密钥后,1Password 会将这个数据缓存在内存里。当设备休眠/锁屏时,敏感数据就会从内存中 nil 掉。

我的问题是。如果黑客直接用类似 Hooper 这些软件读取你的 App 的数据,而不是获取你的 Wrapper 的数据,那你所说的内存问题还是存在的呀?如果你打开 1Password 查看里面的包,你会发现其实 1Password 里面也有一个类似与 Keys 一样的 Core Framework。你所说的 Side-channel attack,不管用不用 Wrapper,问题还是存在的呀?
2015-08-13 10:45:18 +08:00
回复了 remaerd 创建的主题 iDev [Swift] 开源我的数据加密用框架 - Keys
谢谢 @zhuang 的回复。

我本身是学设计的,项目需求需要学密码学的东西,很不容易才学到一些东西。所以想提供一些简单的接口,简化使用。开源亦是为了找到像你这样的朋友,对项目的专业性进行评估。

提到 1Password / iMessage,主要是日后可能会提供一个 Crypto 的 Singleton 让大家直接使用,设计上会参考两者的设计。

使用非技术词汇去描述项目。主要是想和不懂这些东西的朋友用一种浅显易懂的方式去了解 Crypto,要真的搞明白这些东西还是挺难的。而且 CommonCrypto 本身自带奇葩属性。没有 Diffie-Hellman 的 Header,没有 RSA 接口,要通过 Security 框架下的其它接口实现,非常让人困恼。

关于数据暴露问题,我的看法是受 1Password 影响的。他直接在互联网上公布技术实现细节,其实不会影响软件的数据泄漏。如果黑客真的攻击成功,这只能是你的软件问题,而不是二次封装导致的问题。

随机化是我没有学习到的一部分,项目里面可能还会有很多很天真幼稚的实现。希望能够得到你们的指教,我只是起一个头而已。

多谢了。
2015-05-18 16:38:51 +08:00
回复了 remaerd 创建的主题 iDev 分享我用于加密数据的开源框架 - Safe
@fangjinmin 感谢指出,我的确看漏了 1Password 那篇文章里关于 Encryption Keys 的加密算法选择。另外我其实对文章中提到的 Derived MAC key 的使用有疑问,我对如何保护 Master Key 防篡改上面无法通过文章获得答案。不知道您可不可以再多看看?

感谢
2015-02-11 00:55:50 +08:00
回复了 thonatos 创建的主题 Node.js nodejs 的 mvc,代码组织的方式怎么更合理?
说实话,个人认为现在要做有后端的 App 的话,Web 前端还是跟后端分开写比较好。后端用 ExpressJS 纯做 REST API,Web 前端做成静态网站,用 CORS 限制访问。

我个人非常不喜欢 Django 和 ROR 这些框架。对于后端而言,加上各种无必要的 Template Engine 和 MVC 框架只会是负担。这也是 ExpressJS 选择将全部东西解藕的理由吧。
1  2  3  4  5  6  7  8  9  10 ... 13  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2626 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 24ms · UTC 02:45 · PVG 10:45 · LAX 18:45 · JFK 21:45
Developed with CodeLauncher
♥ Do have faith in what you're doing.