kyuuseiryuu

kyuuseiryuu

V2EX 第 210766 号会员,加入于 2017-01-14 01:17:47 +08:00
今日活跃度排名 2112
10 G 5 S 64 B
根据 kyuuseiryuu 的设置,主题列表被隐藏
二手交易 相关的信息,包括已关闭的交易,不会被隐藏
kyuuseiryuu 最近回复了
针对第二条附言,因为他们增加用户绕过他们的客户端的难度是为了防止自己的业务不被恶意利用,。
二次验证要解决的问题是“确认本人授权”。

如何保证就涉及到两个核心点

1. 动态验证
2. 仅本人可知

仅本人可知这一点需要验证设备仅被本人拥有。

动态验证需要设备产生的验证信息与服务端同步。

OTP 方案就是服务端和客户端使用相同的随机数种子,生成两端同步的验证码。

再就是公私钥对,自己保存私钥,公钥告诉服务端,服务端生成随机数给客户端,客户端加密后服务端用公钥解密。

以此来证明此时登陆的用户是拥有验证设备的“本人”在授权登录。
你都已经假定后端是不安全的了,前端 HTML 不也是做后端的同一个公司的人做的吗,它怎么就更安全了呢?更何况前端代码是任何一个人都能拿到的。

对于社工来说,只要能拿到能登陆的那一串字符串就够了,他根本不在意你那串字符串背后的含义。前端加密唯一的好处就是可以给模拟请求增加难度仅此而已。

明文传输给后端不代表数据库里保存的就是明文呀。

通过配置 salt ,入库的时候混淆哈希完全可以防止被脱裤撞库的。

利用中间件也可以防止敏感信息被记录在日志里,这点就要靠开发者或者公司的规范来保证了。

前端加密方案面对的攻击者是用户本身,他攻击的目标是你网站的业务。

敌人都没有分清楚是谁一顿花里胡哨输出有什么用?
1 天前
回复了 QWE321ASD 创建的主题 程序员 有没有 tailscale 老手教教我,求教!
两边内网都整一个装了 tailscale 的旁路由网关呗
1 天前
回复了 cruii 创建的主题 程序员 Go 后端想学习 Web3,该如何入手?
啥都要 gas fee ,成本挺高的。做出来了没人玩。
@pyy910716 手机短信发完就删了就好了。要躲的话最传统的方式最好。
双方都有加密的的需求,那为什么要在微信沟通?
2 天前
回复了 mailke 创建的主题 MacBook Pro 用 Mac,真的能够更好学 it 吗
至少能克制住不小心打开游戏的冲动导致的注意力中断。
6 天前
回复了 rebecca554owen 创建的主题 宽带症候群 openppp2,一个次世代组网 VPN
额。。。自己玩玩得了
开个自媒体账号,名字都帮你想好了,就叫“程序员蛇皮”。
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   939 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 16ms · UTC 21:47 · PVG 05:47 · LAX 14:47 · JFK 17:47
Developed with CodeLauncher
♥ Do have faith in what you're doing.