首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  edsgerlin  ›  全部回复第 16 页 / 共 30 页
回复总数  590
1 ... 12  13  14  15  16  17  18  19  20  21 ... 30  
2016-08-22 22:42:55 +08:00
回复了 binbinyouliiii 创建的主题 Java 关于 md5 密码加密的一点小疑问
有兴趣可以参考 OWASP 上的相关资料,码农在信息安全方面知道这些基本上是够用了。
https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet
https://www.owasp.org/index.php/Hashing_Java
2016-08-22 22:40:38 +08:00
回复了 binbinyouliiii 创建的主题 Java 关于 md5 密码加密的一点小疑问
楼上那些说应该用 SHA 系取代 MD5 来提高安全性的,如果用户密码不是随机生成的话,拖了库,常见的 12 位以内密码用 GPU 算分分钟出个 rainbow table 。
假如用户密码都是用 LastPass 等生成的 48 字符以上的随机字符串的话用 hash function 做 KDF 倒是足够安全,然而现实并没有那么简单。
如果你们真有心提高用户密码存储的安全系数还是去补补密码学基础吧……
2016-08-22 22:35:54 +08:00
回复了 binbinyouliiii 创建的主题 Java 关于 md5 密码加密的一点小疑问
md5 都是什么年代的玩意儿了,也就在不重视用户信息安全的中国大陆开发者里头算是自以为比明文存储强一些的 Best Practice 。
单纯的 hash function 就算是 SHA3-512 也不应该作为 KDF 使用,即使加 nonce as salt 也不安全,这应该是普通开发者应该有的常识。说什么 MD5 不够安全应该用 SHA 系列的也只是五十步笑百步而已。
安全界现在的共识是在 GPGPU 时代连 PBKDF2 、 bcrypt 这种都不能视为安全的 KDF 。当前得到较广泛使用的 GPGPU-proof 的方案是 scrypt ,然而依然有 ASIC 可以搞它。
目前最安全的方案应该是 Argon2 ,只是对它的 Cryptanalysis 还不够多,不建议在生产系统中用。
简单的说:
安全性&计算开销: Argon2 > scrypt > bcrypt > PBKDF2 > hash with salt > plain hash > plaintext
没有历史包袱的新系统最低限度应该用 PBKDF2 , cost factor 还要设得尽量大些反 rainbow table 。如果能用 scrypt 尽量上 scrypt 。
认为普通 hash function 就能当 KDF 用的都应该去补习一下密码学导论,而直接把用户明文密码存储入库的蠢货应该枪毙。
2016-08-18 03:04:37 +08:00
回复了 RobertYang 创建的主题 NGINX 你们有没有发现谷歌移动版没有 CHACHA20 了
所以现在其实除了用 MIPS/pre-ARMv8 的路由器艹墙以外,现在的情况都是 AES 比 RC4 、 chacha20 更快了。
2016-08-18 03:00:33 +08:00
回复了 RobertYang 创建的主题 NGINX 你们有没有发现谷歌移动版没有 CHACHA20 了
@RobertYang Google 搞 chacha20 是因为软件实现的话 AES 没有 chacha20 快,然而 ARMv8 现在有 AES 指令了,实测 Nexus 5X 的 Snapdragon 808 有 500MiB/s 的单核速度(注意是 MBytes 哦),因此再用 chacha20 就没有意义了,还会浪费服务器 x86 CPU 的 AES-NI 指令集的加速。
2016-08-17 13:08:07 +08:00
回复了 Livid 创建的主题 Python Hyper: HTTP/2 Client for Python
@v1024 HTTP/2 + TCP Fast Open 可以显著降低 RTT ,如果基于 REST API 构建手游后端之类的话降低 RTT 改善很明显。
2016-08-16 18:40:09 +08:00
回复了 gravity 创建的主题 程序员 去哪个国家敲代码最幸福?
@VmuTargh 主要担心是不知道什么时候又被毛子吞了 23333333
2016-08-15 22:33:27 +08:00
回复了 gravity 创建的主题 程序员 去哪个国家敲代码最幸福?
@VmuTargh 波罗的海三国,尤其是爱沙尼亚,信息化程度都很高,人均 GDP 和上海差不多。 Skype 是起源于爱沙尼亚,现在还有一半码农在爱沙尼亚。
2016-08-11 11:13:28 +08:00
回复了 forvtwoex 创建的主题 问与答 红米 NOTE3 解锁完了,怎么安装 GG 的服务框架??
@forvtwoex 不解锁是装不了国际版的,为了刷国际版解了锁,刷完又锁上了,这样感觉比较安全。
2016-08-11 11:12:25 +08:00
回复了 forvtwoex 创建的主题 问与答 红米 NOTE3 解锁完了,怎么安装 GG 的服务框架??
@daiv 有的,台湾市场有卖 MTK 版红米 note3 ,要去台湾 MIUI 网站下。我记得是叫特别版。
2016-08-10 12:04:06 +08:00
回复了 lun10439547 创建的主题 问与答 求一个对移动线路访问友好的国内免费 cdn 服务商
移动不是自带 HTTP 劫持 CDN 么……
2016-08-09 23:53:07 +08:00
回复了 Chaoxin 创建的主题 推广 超信 · 和重要的人聊重要的事
#63 s/便宜 /编译 /g
2016-08-09 23:52:40 +08:00
回复了 Chaoxin 创建的主题 推广 超信 · 和重要的人聊重要的事
Telegram 好歹客户端源码开源,信不过官方的包还能自己便宜了用,确保了客户端源码没后门+端对端加密也就不怕服务器把你卖了。贵司呢?
2016-08-08 12:30:36 +08:00
回复了 xiaoyu9527 创建的主题 程序员 讲真 现在做付费培训的越来越多了。
@shikimoon
@xiaoyu9527
@Wangxf 讲真,培训机构坑出来的大部分就是找个不入流公司干几年转行,然后上网吐槽果然码农是青春饭这种人。(・・;)
2016-08-08 10:30:09 +08:00
回复了 xiaoyu9527 创建的主题 程序员 讲真 现在做付费培训的越来越多了。
说实在的付费培训, Udemy 上不怎么样的讲授者拉到中文圈也可以碾压一片人了……如果真要掏钱英语又过得去的不如看 Udemy 。
2016-08-03 02:38:15 +08:00
回复了 lisonfan 创建的主题 Windows 8 月 3 日凌晨 2 点推送 Windows10 周年更新,你们会等吗?
2 点刷新一下已开始下载,现在下完了正在装。不知为何 SSD 和 CPU 使用率都很低……到底 Windows 系统更新的性能瓶颈在哪里?
2016-08-01 16:57:39 +08:00
回复了 cherrymill 创建的主题 Linux 请推荐一台可以正确驱动 Linux 的笔记本电脑
要不折腾的用 Linux ,请认准 RHEL 认证。
https://access.redhat.com/ecosystem/search/#/ecosystem/Red%20Hat%20Enterprise%20Linux?certifications=Red%20Hat%20Enterprise%20Linux%207&category=Laptop
说人话就是除了 E 系列以外的 ThinkPad 。
2016-07-22 15:53:55 +08:00
回复了 unidentifiedme 创建的主题 宽带症候群 上海电信上 Internet 的问题
@yexm0 阿里 HKB 的话不如直接微林了,好歹没了月租,每月用量不上三位数 GB 的话费用差不多的。
2016-07-18 21:15:47 +08:00
回复了 ppwangs 创建的主题 Linux 搞了一个礼拜 Fedora24,终于像点样子了,晒晒吧…… (Fedora 节点好可怜)
RHEL 大法好!
1 ... 12  13  14  15  16  17  18  19  20  21 ... 30  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2717 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 35ms · UTC 00:40 · PVG 08:40 · LAX 17:40 · JFK 20:40
Developed with CodeLauncher
♥ Do have faith in what you're doing.