V2EX › xoxo 的所有回复 › 第 32 页 / 共 45 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 28 29 30 31 32 33 34 35 36 37 ... 45

❮

❯

2014-08-16 23:32:16 +08:00

回复了 masterqing 创建的主题 › 问与答 › 想买个 ssl 证书

@mornlight 感谢 at.
楼主如果想要便宜的泛域名证书，找我吧

2014-08-16 12:21:02 +08:00

回复了 avrillavigne 创建的主题 › 分享发现 › QQ 邮箱企业版又能使用自定义域名访问了，但不能自定义 logo，实名认证后能享受全程域名的功能

肯定SSL会错误的，因为服务器不是你的，你的域名的证书你配置不上去。腾讯配置的也顶多只有QQ.COM下的域名。

2014-08-15 22:45:37 +08:00

回复了 maxsec 创建的主题 › 分享发现 › 从发现微信官方高危漏洞说起

期待作者发表原始POC

2014-08-15 21:20:02 +08:00

回复了 maxsec 创建的主题 › 分享发现 › 从发现微信官方高危漏洞说起

@zjj 根据你回帖的仇恨度推测，以你的水平，应该进不了互联网公司安全部门 : -)

2014-08-15 21:18:28 +08:00

回复了 maxsec 创建的主题 › 分享发现 › 从发现微信官方高危漏洞说起

@ccbikai 根据我以前做过的微信平台开发经验来看，你说的uid是微信返回的openid；
楼主所说的是接入微信公共账号的第三方平台本身用户体系的uid，

通篇全文，漏洞确实应该评级为高危；因为影响到的不只是腾讯微信，还有第三方接入微信的所有服务，均受到了漏洞潜在的安全威胁，

个人认为此漏洞的影响力不亚于拖掉腾讯的库。评级为中实属腾讯安全响应的误评。

2014-08-09 00:11:38 +08:00

回复了 pp3182429 创建的主题 › 程序员 › 除了防止重复提交，token 可以防止对接口的暴力请求吗？

@pubby 再仔细看看我分析的过程你就明白没用的。

2014-08-06 22:48:33 +08:00

回复了 pp3182429 创建的主题 › 程序员 › 除了防止重复提交，token 可以防止对接口的暴力请求吗？

@20150517
我所言均为线上生产代码实战总结，理论派可以去试试。

2014-08-06 21:19:14 +08:00

回复了 pp3182429 创建的主题 › 程序员 › 除了防止重复提交，token 可以防止对接口的暴力请求吗？

楼上的同学们没看懂楼主的问题；
楼主说的是什么问题呢？

重复提交，表面上是重复提交，威力不大，但实际。。。我们来分析分析：

假设一个用户，余额100，平台恰好有个提现的地方，理所当然用户最多只能提取100元。

我们来分析下程序在生成提现数据的过程：

开启事务；

用户发起一次提现请求，到达应用后，程序判断用户余额是否够用，如果不够就跳出事务了；

然后扣除100元，

然后再提现数据表中插入一条数据，

到这里还没结束，因为事务还没提交，当上面进行顺利时，到达这里就应该commit提交了，如果上面操作任何一步异常，就rollback回滚了。

看起来挺完美的过程，其实！弱暴了！

为啥？

假如用户发起两个请求，而且同一时间（1/1000秒级）请求到服务器，
再走一次上面的逻辑：

请求一达到服务器请求二达到服务器
开启事务开启事务
余额检查->通过余额检查->通过
扣除余额->done 扣除余额->done
插入提现记录->done 插入提现记录->done
提交->commit(); 提交->commit();

两边几乎同时进行一样的操作，为什么没被拦截掉只处理一个请求呢？因为余额检查时，别的请求的事务未提交，在此请求内select的数据还未生效，所以两个请求处理都通过了检查。

那怎么防御呢？

token?
扯J8蛋！token用来防御这原子级别的攻击？别说session了，即使你重写php底层，让session动态调用php的内存也无济于事。原因自己脑补；

队列是终极解决方案。

然后有一个临时方案，提现的表中肯定会有time/datetime之类的字段，在建表时将这个表中的time/datetime + userId 设置为联合主键，然后事务在插入提现数据时，因为时间同一秒且同一用户所以数据冲突，只会成功一条，然后事务报错启动回滚，近乎完美。唯一的瑕疵就是假如前后误差1ms, 然后恰好前一个时间是xxxx1，后一个时间是xxxx2，这样就扯痛蛋了。。。千分之一的概率。

2014-08-05 21:44:37 +08:00

回复了 endintro 创建的主题 › 问与答 › 为什么国内一些公司的 SSL 证书卖得那么贵

@yangzh 好像他家免费只支持WINDOWS操作系统

2014-08-05 20:59:18 +08:00

回复了 endintro 创建的主题 › 问与答 › 为什么国内一些公司的 SSL 证书卖得那么贵

无冒犯之意，楼上几位同学的回答虽然有道理，但更多是带着对“国产”鄙视而评论的。

中立一点的答案是：

首先，证书执行的是x509标准，世界上所有受到浏览器自带信任的证书均由webtrust机构进行审计，如果一家机构的签发资格被滥用，webtrust和各大操作系统、浏览器厂商会迅速发布更新补丁，移除对这家CA的信任；

SSL可信证书标准是严格被执行的，如：
申请Organization Validation证书，你需要提供注册局（工商局）注册文档、组织机构代码证、法人身份证明等等资料，然后CA会去工商局网站核对，然后还会验证电话等等步骤；
申请Extended Validation证书，不仅需要你进行上述的验证环节，还需要你的公司资料能够在第三方数据库中查询得到，包括：你的公司的电话需要在黄页上查询到，你的公司资料能够在D&B（邓白氏）等处查询到并且与注册信息一致；
楼主所问的，国内证书超级贵的，就是上面两种啦

至于十几美元，甚至十几元的证书，是哪种呢？这个问题问得好，在零几年的时候，国外一家叫做GeoTrust的CA率先推出不走验证组织、个人的证书，那不验证组织个人如何防止被冒申请呢（冒申请可能被利用来“中间人攻击”）？
这就是域名验证（Domain Validation），申请过程只验证域名有效性，无其它步骤，十分便捷并且经济。
因为过程不繁琐，我所代理的域名验证产品在验证域名后只需1分钟就下证书了，所以价格相对企业验证、扩展增强验证（Wosign所谓“超安”）证书就要便宜很多，便宜多少呢？单域名证书能卖到几美刀一年，泛域名呢？Google能找到最便宜的是60几美刀/年的。

如果有需要购买证书的朋友可以联系我，QQ 1326570297，注明来自v2ex有一大波优惠，至于价格可以看我以往发过的帖子。

2014-08-03 17:28:37 +08:00

回复了 tidezyc 创建的主题 › MacBook Pro › 13rmbp 的屏幕居然破洞了

楼主昨晚撸得太厉害了？

2014-07-01 00:19:21 +08:00

回复了 dongcheng 创建的主题 › 云计算 › Ucloud 华东区本周第二次出现故障了

喜大普奔

2014-06-29 22:11:57 +08:00

回复了 Livid 创建的主题 › iDev › 在 iOS 8 Beta 2 上用 App Store 好像有点问题？

很不稳定的一个测试版本！我也后悔升级了

2014-06-29 11:43:17 +08:00

回复了 peartail 创建的主题 › 梦 › 昨晚上的梦真是我这辈子最恐怖的体验

我做过最恐怖的梦就是在麦当劳吃东西的时候一个小孩来抄我的电话号码