V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  stamhe  ›  全部回复第 1 页 / 共 2 页
回复总数  38
1  2  
2023-12-13 14:21:33 +08:00
回复了 lstz 创建的主题 程序员 提供端到端加密(E2EE)云服务会有法律风险吗
1. 国内完全端对端的加密是肯定不行的
2. po 主 对 apple 的数据安全看法和我完全一样,我也认为 apple 现在的数据根本不安全,所以我是全部关闭 icloud, keychain 这些的。就靠一个 6 位数字的 pin code 保护,说 apple 的各种 E2EE 安全的,就笑掉大牙。
3. 我们在做一款完全不需要 E2EE 也能保护数据安全的产品。
2023-09-27 15:55:24 +08:00
回复了 ZaneCode6574 创建的主题 Google 咨询一下 dalao 关于 Google Passkeys
@bigshawn 用户的私钥,不应该这样同步,甚至都不应该在任何网络传输。
为什么要用 google/apple 他们的不安全的账号密码来管理一个 100% 安全的 passkey 呢?那 passkey 还能安全?
2023-09-24 14:08:32 +08:00
回复了 ZaneCode6574 创建的主题 Google 咨询一下 dalao 关于 Google Passkeys
@ZaneCode6574 所以我说 fido 的 passkey 方案是个半残疾,压根不适合用于工业场景。apple/google 他们这么做是不负责任的表现。
2023-09-24 12:14:46 +08:00
回复了 ZaneCode6574 创建的主题 Google 咨询一下 dalao 关于 Google Passkeys
@mschultz 我想表达的本意是这些信息都能看,那么存储在 icloud 数据库或者存储里面的数据,看个加密数据的密钥算什么,依赖审计也是相信 apple, google 的人靠谱。
2023-09-24 11:05:25 +08:00
回复了 ZaneCode6574 创建的主题 Google 咨询一下 dalao 关于 Google Passkeys
@mschultz 你说的很有道理,我绝对认同。

但是有个问题就是用户个人资料(电话/地址)更应该被 e2e 传输和加密存储,更应该被严格限制访问,不是么?
2023-09-24 11:02:49 +08:00
回复了 ZaneCode6574 创建的主题 Google 咨询一下 dalao 关于 Google Passkeys
@coolcoffee fido 硬件里面的私钥是不会离开设备的。但是 apple 和 google 他们支持的 fido alliance 协议标准,是不用 fido 硬件支持的,直接存储手机的安全存储区的,如果要同步或者需要跨设备使用,只能是 icloud 或者 google cloud
2023-09-24 09:55:55 +08:00
回复了 ZaneCode6574 创建的主题 Google 咨询一下 dalao 关于 Google Passkeys
很多人一看到 e2e 就觉得安全,可靠,事实不是这样的。
e2e 是可以被中间人(开发商)劫持,被中间人替换掉 对方的公钥,从而捕获到中间对称加密的 key 的。

说会被定期 audit 啊什么之类的,这不是搞笑来着么?所以你吹牛的是他的内审机制,不是他的技术安全?

没有人好奇访问用户数据更是搞笑,就上个月,特斯拉才被爆出内部员工随意看特斯拉车主的视频和照片,拿出来炫耀嘲笑车主。居然还有人说没有人好奇所以不会访问。。。
2023-09-24 09:49:36 +08:00
回复了 ZaneCode6574 创建的主题 Google 咨询一下 dalao 关于 Google Passkeys
@Ocean810975

问几个问题吧
1. keychain 是否经过苹果服务器?
2. keychain 的 e2e 安全么?
3. icloud 安全么?

不用辩论,直接回答 是 or 不是 就行了。
2023-09-24 09:47:31 +08:00
回复了 ZaneCode6574 创建的主题 Google 咨询一下 dalao 关于 Google Passkeys
@dudewei 对啊,fido 这个方案本身就是半残疾的方案。工业产品不应该这么设计的,更不应该这么不负责任的推广。
2023-09-24 09:17:34 +08:00
回复了 ZaneCode6574 创建的主题 Google 咨询一下 dalao 关于 Google Passkeys
@Biggoldfish icloud 里面的都能被看到,那么你凭什么说经过 icloud 的 keychain 看不到? e2e 很牛逼么?不知道什么是中间人劫持么?哪个老师告诉你 e2e 就是安全的?
2023-09-24 09:14:11 +08:00
回复了 ZaneCode6574 创建的主题 Google 咨询一下 dalao 关于 Google Passkeys
@Biggoldfish 在 2 里面,你也承认这 2 个公司想看数据不需要你允许了。 再 3 里面,你也承认少部分有权限可以看到了,所以你想表达啥?
2023-09-24 09:12:46 +08:00
回复了 ZaneCode6574 创建的主题 Google 咨询一下 dalao 关于 Google Passkeys
@jiagm 你给我抠字眼,是么?
2023-09-23 22:34:47 +08:00
回复了 ZaneCode6574 创建的主题 Google 咨询一下 dalao 关于 Google Passkeys
@jiagm https://www.zhihu.com/question/268317967 哦,我也不知道这个是不是真的。
2023-09-23 20:39:03 +08:00
回复了 ZaneCode6574 创建的主题 Google 咨询一下 dalao 关于 Google Passkeys
@jiagm 我也不知道为啥,但是云上贵州他们好像就是看到了,说明所谓的端对端加密哪里有问题?
2023-09-23 20:03:02 +08:00
回复了 ZaneCode6574 创建的主题 Google 咨询一下 dalao 关于 Google Passkeys
@codehz apple 和 google 默认同步
2023-09-23 20:02:40 +08:00
回复了 ZaneCode6574 创建的主题 Google 咨询一下 dalao 关于 Google Passkeys
passkey 登录的原理就是 私钥签名,公钥验证签名的原理。现在 fido 的方案就是你的私钥要么在 fido 的 U 盾里面( fido 自己的设备),要么被 google cloud 或者 apple iCloud 同步,也就是 google 和 apple 的工程师都能看看你的私钥。
2023-09-23 15:34:10 +08:00
回复了 iamherrylok1 创建的主题 软件 说说你们在用的密码管理软件
看到很多同学推荐 bitwarden ,我们先不说其他,先看看他的 nginx 日志里面的 [GET /notifications/hub?access_token=] 这个请求,然后把 access_token 后面的字符串,用 https://jwt.io 这样的可以解析 json web token 的工具,解析一下,看看他的内容是啥,麻蛋的,明文传输 email, 身份信息,验证信息,还是谁都可以捕获 的 http get 请求。
再来说要不要用 bitwarden 的问题和其他的安全性问题。
2023-09-23 15:32:46 +08:00
回复了 zetaochen 创建的主题 程序员 求推荐个实用的密码管理器
看到很多同学推荐 bitwarden ,我们先不说其他,先看看他的 [GET /notifications/hub?access_token=] 这个请求,然后把 access_token 后面的字符串,用 https://jwt.io 这样的可以解析 json web token 的工具,解析一下,看看他的内容是啥。再来说要不要用 bitwarden 的问题和其他的安全性问题。
对 solidity 的需求很少的,只要还是传统的业务支撑开发的。
2023-09-21 18:19:23 +08:00
回复了 tool2d 创建的主题 程序员 踩到 Protobuf 解析坑了,如何才能严格解析 Protobuf?
proto 本身就会定义数据类型啊。。。还有不知道的?
1  2  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1134 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 18ms · UTC 17:55 · PVG 01:55 · LAX 09:55 · JFK 12:55
Developed with CodeLauncher
♥ Do have faith in what you're doing.