V2EX › lovedebug 的所有回复 › 第 100 页 / 共 122 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 96 97 98 99 100 101 102 103 104 105 ... 122

❮

❯

2017-05-08 09:47:53 +08:00

回复了 esolve 创建的主题 › Java › Intellij 里模块的理解

idea 里面模块就是工程，可以导入多个工程(模块)
如果 eclipse 转，先把旧工程里的模块挨个导入，然后手动设置依赖。
src/main 这种方式不是约定吗？约定优于配置

2017-05-05 16:12:52 +08:00

回复了 WhyAreYouSoSad 创建的主题 › SSL › 加了 https，敏感信息还要加密吗？

@ryd994 浏览器加密本身就是伪命题，TLS 协议安全就安全，除非能互相协商出加密的算法，oracle 还是 IBM 好像有加密的软件，带来的问题是这个加密的密钥怎么传递

2017-05-05 16:09:50 +08:00

回复了 WhyAreYouSoSad 创建的主题 › SSL › 加了 https，敏感信息还要加密吗？

@ryd994 同意你的看法。公钥众所众知是对单向的访问意义更大。双向访问客户端的证书被众所周知就意义不大了。前一句 “公钥通过服务器的公钥加密后交还给了服务器” 是完成证书交换时做的，描述的不合适。应该是服务器讲自己的证书给客户端并要求客户端提供证书以用于验证。公钥的安全性看是 SHA1 还是 SHA2 了，SHA1 已经不安全了

2017-05-05 15:59:00 +08:00

回复了 WhyAreYouSoSad 创建的主题 › SSL › 加了 https，敏感信息还要加密吗？

@ryd994 U 盾可能我理解的不对。硬件 token 有证书版和 RSA 版的。

2017-05-05 15:57:22 +08:00

回复了 WhyAreYouSoSad 创建的主题 › SSL › 加了 https，敏感信息还要加密吗？

@ryd994 双向认证客户端证书签发者不一定是公开的 CA，只要服务器端将客户端的签发证书置于自己的 truststore 中就能完成部署。

2017-05-05 15:54:35 +08:00

回复了 WhyAreYouSoSad 创建的主题 › SSL › 加了 https，敏感信息还要加密吗？

@ryd994 没有讨论加密，只是陈述下目前证书存在的问题和解决方案。OCSP 除了 revoke 也是在证书过期时发布，可惜浏览器不是时刻都查 OCSP 的，存在缓存或者使用 CRL，中间有一个空档期。
各大 CA 在自己家加的是 Audit Log, 谷歌强推的是 CT log，虽然还是在 beta 中。

2017-05-05 15:27:03 +08:00

回复了 WhyAreYouSoSad 创建的主题 › SSL › 加了 https，敏感信息还要加密吗？

@ryd994 chrome 浏览器更强大，谷歌强制要求所有证书被谷歌的服务验证，so，可以通过 google api 验证证书,保证证书的唯一性和有效性

2017-05-05 15:25:35 +08:00

回复了 WhyAreYouSoSad 创建的主题 › SSL › 加了 https，敏感信息还要加密吗？

@ryd994 HTTPS 赖以为生的是 CA 的可信性，可惜现在大厂也会出错，verisign 之类的也发生过。如果不相信对方的证书有效性，可以自己发起 OCSP 验证。

2017-05-05 15:22:26 +08:00

回复了 WhyAreYouSoSad 创建的主题 › SSL › 加了 https，敏感信息还要加密吗？

@ryd994 其实你理解的不对。国内银行的 U 盾实现的双向证书认证，可以有效的避免被攻击。因为客户用自己的私钥加密的数据，并将公钥通过服务器的公钥加密后交还给了服务器，由于公钥不是众所周知的，相对安全不少。

2017-05-05 15:19:47 +08:00

回复了 WhyAreYouSoSad 创建的主题 › SSL › 加了 https，敏感信息还要加密吗？

@mcspring 这样理解其实不太对。证书公钥主要是用来加密后续数据传输使用的私钥。只有公钥拿不到对称密钥也不能解密数据。