V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  LnTrx  ›  全部回复第 5 页 / 共 41 页
回复总数  801
1  2  3  4  5  6  7  8  9  10 ... 41  
@maggch97 关键在于要说明对安全的提升有多大。如果只有十分细微的提升,虽然也是好事,但是这样场景数量太庞大,会给工程带来不必要的复杂度。而增加的复杂度又会反过来增加风险。
尝试总结一下

用户端:
恶意软件/人员有很多手段获得密码,很难想象一种只有 HTTPS 内明文才能获得密码的场景。(安全的增益太细微)

中间人:
当前移动端安装根证书很难,PC 端需要权限。如果有本事装上,那同样有很多手段获得密码。
既然是中间人,那自然可以篡改网页,从你手里明文获得密码再加密发给网站,双方都无感知。(只有当中间人坏但又不完全坏时才有意义)

服务端:
服务端的安全性根本在于维护人员的水平。维护人员安全意识淡漠,到处都是漏洞,单单密码加密意义不大。
无论前端有无加密/散列,服务端数据入库都需要再做处理。只依赖前端加盐的安全性还是很有疑问。
在某些特定场景,例如网友说的内部人员打 log 出密码。如果是密文可能懒得研究,如果是明文可能会心生歹意。在这种
情况下,加密也许存在一定意义。
关键要讲清楚,前端加密的目的是什么,要防止什么样的攻击/泄露。对于用户侧的攻击,找不要有意义的场景。对于服务侧,因为会有很多环节,加一层防止意外泄露还算有那么点道理。
个人看下来:
对于用户侧,如果恶意软件/人士已经掌握足够权限,那再 HTTPS 内再加密也没意义。关键是要找到一种场景,HTTPS 内再加密能防住、HTTPS 防不住,且这种场景有考虑的价值。我暂时没还想到。
对于服务侧,经手数据的很多环节都是能看到 HTTPS 内明文的。最典型的就是内容分发,通常 CDN 的本质就是可信中间人。如果数据流转的环节需要再加强防御,那 HTTPS 内再加密还有点意义,据要结合具体场景分析。就拿 CDN 举例,如果 CDN 是坏人,只加密密码,用户隐私、Token 等信息都是明文,那一样可以窃取信息、拿下账户、伪造信息,那加密的意义也就不是很明显。
212 天前
回复了 S179276SP 创建的主题 宽带症候群 Bing 中国出问题了
搞不好是总部玩 AI 玩崩了
看操作系统,主要和临时 IPv6 地址都跟 MAC 无关的隐私保护预设也很常见
226 天前
回复了 ArcherL 创建的主题 宽带症候群 光猫有必要改桥接吗?
现在很多存量光猫的配置选项还是不能满足需求,比如防火墙、IPv6 前缀再下发等

还有一种情况是不信任运营商的光猫想建立自己的内网,更换光猫又会有别的麻烦,路由模式又会双层 NAT
227 天前
回复了 poorcai 创建的主题 Android 请大家一人发一个安卓手机食用指南吧!
@xz410236056 安卓既想要国产又希望干净一般需要刷机,可以通过刷机社区的反馈来筛选机型 https://github.com/KHwang9883/MobileModels/blob/master/misc/bootloader-kernel-source.md
227 天前
回复了 poorcai 创建的主题 Android 请大家一人发一个安卓手机食用指南吧!
如果分流不会折腾,可以设成全部走外面,给少数需要的应用设置分应用代理
227 天前
回复了 Wildpoint 创建的主题 NAS 想了解下国内网盘的内容审查情况
虽然实际操作各不相同,但最好假设都会被检查。
加密压缩包不分享一般没事。不分享的媒体文件也有可能被内容安全的扫描给干掉。
网盘还是主流,免费存储容量大。相比上传者,下载者更需要付费以提升下载速度。如果文件不大且传给个人,微信、QQ 是最常见的选择。
有了前几年的经历,应该不会对定位能力再有什么疑问了吧
228 天前
回复了 Guidoo 创建的主题 分享发现 黄鱼上已经有卖本站的激活码了
@GuLuDaDuiZhang 不是 $5 对应 10 银币么
228 天前
回复了 Guidoo 创建的主题 分享发现 黄鱼上已经有卖本站的激活码了
@sunulin 灌水只会减少货币
228 天前
回复了 Livid 创建的主题 V2EX 站点状态 20240505 - 邀请码系统
建议每日签到要加一个防 robot 机制
228 天前
回复了 Guidoo 创建的主题 分享发现 黄鱼上已经有卖本站的激活码了
第一次感到“领取今日的登录奖励”是一个有用的功能
228 天前
回复了 doumeki 创建的主题 宽带症候群 求推一个域名商
想知道域名服务商支不支持 api ,看 acme.sh 的第三方 api 列表是一种方法
1  2  3  4  5  6  7  8  9  10 ... 41  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2560 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 43ms · UTC 10:46 · PVG 18:46 · LAX 02:46 · JFK 05:46
Developed with CodeLauncher
♥ Do have faith in what you're doing.