V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  yyfearth  ›  全部回复第 140 页 / 共 170 页
回复总数  3385
1 ... 136  137  138  139  140  141  142  143  144  145 ... 170  
@likuku 是自带了ie8内核,我觉得有一定的侵权,但是估计M$会放任,因为这么做,其实是一定程度上帮助了他淘汰ie6,这个他自己那这些用户没办法(关闭了更新,或者压根没有更新模块),只能靠360和qq这样的公司了。
不过尝试了一下发现我有点标题党了,这个浏览器不能说是双核,因为在自动下载ie8之前,你ie是神马核,他也一样,算是单核。
下载ie8core以后,他只用ie8core,你要用原来的应该点击“用ie打开”,这样任然算是ie8单核。
他从另一个角度“升级”了浏览器内核,也算是有一定的帮助。但是不如直接帮用户升级ie8,然后留下ie6内核作为兼容曾来的有意义。更不如急速那样直接跳过ie直接用webkit,因为就算是ie9都相比之下很次~!
2012-01-15 16:42:46 +08:00
回复了 Semidio 创建的主题 问与答 使用MD5来加密数据的安全隐患?
@Ryans “用户密码”是不用所谓的“加密”的,因为密码原码本身不需要存储(对于隐私考虑,也不应该存储),因此你只要验证他“是否一致”不就可以了啊。这样用这些hash,是没有太大问题的,只是要考虑强度问题。
2012-01-15 16:40:05 +08:00
回复了 Semidio 创建的主题 问与答 使用MD5来加密数据的安全隐患?
@Semidio md5单纯这个算法确实有些过时,sha1稍微好些,建议使用更加高级的sha256甚至sha512.一方面更加安全,另一方面长度也更长。保存字符串时建议用binary或base64而不是hex,这样就算sha512也很短。原因是,md5和sha1已经可以“碰撞”,不需要找出原来的数据效果相同。
另外,加salt是必须的。如果加固定的salt,那么通用的彩虹表失效,但是依然可以针对你生成一个彩虹表。加动态的salt,这样彩虹表基本上就费了,因为这样要对每一个salt(就是每个用户)生成一个彩虹表,这样顶多只能对少量用户进行攻击,而且意义不大,不如直接穷举。
这样安全性就足够了,对于你的几个观点,我不太同意:
1“即使使用(原文+固定值)再MD5,只要新建多个账号,查看其保存的MD5值,很容易就可以找到规律,获得这个固定值的数值”,如果你的“固定值”足够长(比如1024bit),你根本不可能找出这个“固定值”,除非看到源码。
2“随机salt只要花时间一样可以破解的出来啊”这个是爆破(字典穷举),加salt只能防彩虹表,对于爆破意义不大。
任何的加密,只有有足够的时间,一定可以得到,问题是这样,密码的实效已过,破解变得无意义,另外这样的投入远大于产出,黑客不会这么傻。
@deepure 这个确实啊。但是这样并没有让ie本身升级;不过从另外一个方面来说,这些人也没开xp的更新,所以也没有机会升级ie8.
还是有助于降低ie6的份额的。
@9hills 看了一下,不可能是从M$那里下载的。
1 因为这个下载的ie8core.dll是360的签名,所以肯定不是从官网下载的安装包,因为ie安装包应该是一个exe文件。
2 这个dll里面的res包含一个PK打头的Data,也就是一个zip文件,因此也不可能是M$官网的ie8安装包,因为M$用的是cab打包。
3 另外,这个zip文件解压后得到的ie8文件名,不是原来ie8的文件名,而是把第一个字母变成了8.比如ieframe.dll变成了8eframe.dll。这个命名方法和IETester一模一样。而且,所有ie8的核心文件都没有带M$的签名。
4 除此之外,里面还有ie8ver.dll和iestub.reg,这个里面含有360.cn字样的文件
因此可以肯定,这个zip包,以及这个下载来的dll就是360做的。
你说的“360的ie core是当时马上从微软官网下载的IE8安装包”是不符合实际情况的。
2012-01-15 08:27:48 +08:00
回复了 alex_ilex 创建的主题 macOS Lion下Git的编码问题
@alex_ilex 大量modify十分是因为因为换行符被自动修改?我之前也碰到这种情况。有人是强制\n换行符,有人强制\n\r换行符,于是每次都是一堆的conflict。类似的情况还有有人是\t有人是4个空格。
@lizheming 确实是和你说,也不需要你抱歉,只是在对一个自己觉得不对的观点提出异议而已,因为我看到不是你说的那样。对事不对人,我对360的看法估计和你差不多。
如果我是1年前的我,我可以用一大堆理由驳你,因为那时候准备GRE论文来着,看到观点就批,呵呵;-)
下面那一大堆是对9hills说的。
@9hills @lizheming 虽然我觉得360的一些行径有些恶心,但是你找的攻击点不对,所以我就会反驳。但不是说我替360说话。
刚才我跟踪了一下,打开浏览器后,任然用的ie6核心,但是立马在后台下载文件到%appdata%\360se\v3update\v3download,一堆东西,包括一个11M的ie8core.dll。
这个dll资源里面有个zip包,解压就是ie8core的文件,下载完后,会自动解压到%appdata%\360se\ie8core,这时候,无需重启浏览器,新开一个tab就变成ie8的核心了。
如果m$硬要说他侵权,他这么做,完全和直接打包ie8到安装包没有任何区别。
我估计原因是他为了所谓的“1s安装”,因为直接打包体积*2还多,他所谓的1s安装其实很那个啥:
你打开他安装包,会看到要等待一会儿,其实他就在解压所有文件到%appdata%\360se,然后你点击安装,他只要把一部分文件移动到Program Files去就OK了。哪里需要1s啊。
说白了,就是强制安装,然后如果你取消,再自动帮你卸了。然后说我们安装快,你一点“安装”就安装完了(估计是在讽刺QQ的安装吧,非常的慢)
@lizheming 右上角不是有个“工具”菜单么?
@lizheming 我看了一下,如果你点击hao123上面的,如果可以设置,也只能修改ie的设置,修改不了第三方浏览器的设置。你可以看下这个:
http://www.hao123.com/redian/sheshouyef.htm 里面可不仅仅是360
几乎所有的第三方浏览器都不支持,只有IE,壳也不算。
悲剧了,重发
@lizheming 另外,所有非IE核心的都不支持你点击那里设置主页。到还不一定是人家不让。
@lizheming 你点击那个是执行好123自己的js的脚本,不一定支持设置360的主页。设置主页在工具菜单或者是选项里面。不过一般菜鸟不会去碰选项的。
确实是自带了IE8,文件在%appdata%\360se下面有ie8core和ie8data,ua是显示IE8的。
看了360确实要立功了。
@jay_chiu @lizheming 不能修改主页么?可以的啊~!
@jay_chiu 确实,我一个很内行的同事非常赞赏老周的做法,这才是“商人”,钱才是最终目的,其他都是资源。无奸不商
@flied 我开XP虚拟机试试好了~!
1 ... 136  137  138  139  140  141  142  143  144  145 ... 170  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1197 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 32ms · UTC 18:32 · PVG 02:32 · LAX 10:32 · JFK 13:32
Developed with CodeLauncher
♥ Do have faith in what you're doing.