sxpcrazy 最近的时间轴更新
sxpcrazy

sxpcrazy

V2EX 第 31063 号会员,加入于 2012-12-22 00:36:58 +08:00
sxpcrazy 最近回复了
这里还真是冷清啊,没人关注信息安全吗?难道这问题都没人遇到过?我发现只要不做微信认证,做其它的访问都不会有 replay attack,难道是 微信 里面的搞得鬼?
@est 这些 IP 是 阿里 的吗?有人知道吗?我去看看是否是这个鬼
@yushiro
1、A 生成的给微信的 redirect_url 里面已经带了类似 state 参数的随机字符串,并且用过一次就失效了,所以 E 的攻击对我并没有什么用处,我只是觉得这个现象太不正常了,看看其他人有没有遇到过,最好是有人知道是什么原因造成的,如果真的是 HTTPS 被中间人攻击泄露内容,这个网络环境 TTMD 差了。
2、A 比如暴露给 D 的原因是,微信只允许一个域名可以进行网页授权,授权必须通过微信客户端内部访问 C 来做到,C 也只能跳转到 A,这是 OAuth2 基本的规则,但我们的业务会有很多域名,不能每个都去申请新的公众号,所以用 A 来做统一的网页授权再跳回到 B 业务。
3、B 访问 A 是通过 A 带回来的 TOKEN,相当于一个临时密钥,每一个密钥只对应唯一的一次鉴权,使用一次立即失效,随便自己组的 UUID 在 A 并不存在,所以只有 404,日志里面我已经将我自己的 IP 日志部分去掉了,因为我自己是第一次访问,都是 200 成功的,后续的非法请求全部失败了。
@zoues 中间的 A C 的跳转都是 HTTPS 的,理论上不应该被任何除了客户端和服务器端的第三方知道通讯内容。
@imn1 那个主题的情况和我的不太一样,毕竟他是存在外部链接的,而且最后也没讨论出什么结果。
@kmahyyg 也是 HTTPS 连接的情况?能具体说说嘛?
@est 什么意思?
@hanzhao 应该不是,微信没这个需要啊,它为何要多次请求同一个回调地址呢?而且那些 ip 都是被报告是 spam 或者 hacker 的 ip
2012-12-23 22:33:25 +08:00
回复了 reus 创建的主题 分享创造 加密代理 gotunnel
速度太给力了,但我目前的版本仍然存在 youtube 1080p 的下载不会停止问题,会导致后续的 youtube 请求都无法继续,我是通过关闭了 client 重新打开才解决。看 youtube 可以达到带宽满速,太给力了。
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2641 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 12ms · UTC 15:19 · PVG 23:19 · LAX 07:19 · JFK 10:19
Developed with CodeLauncher
♥ Do have faith in what you're doing.