V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  nbndco  ›  全部回复第 5 页 / 共 25 页
回复总数  487
1  2  3  4  5  6  7  8  9  10 ... 25  
2022-08-14 17:02:28 +08:00
回复了 juejinloop 创建的主题 信息安全 chrome 密码泄漏了, 才知道用 chrome 保存密码等于裸奔
LZ 骂的飞起,能给我个方案或者思路,除非 Chrome 决定使用 master password (专有安全硬件肯定不可能,对吧),不然如何才能够做到“脚本小子写个程序加个壳”不能够读取浏览器密码的么。

就算有 master password ,其实我也不是很确定 windows 上 keylogger 需不需要什么特殊权限,或者系统有什么安全的输入方式。

你要是说通过这些“增强”能够防止不会写 keylogger 或者不会解密加密文件的脚本小子所以更安全,那真的是典型的 security theater show 了
2022-08-14 14:37:11 +08:00
回复了 juejinloop 创建的主题 信息安全 chrome 密码泄漏了, 才知道用 chrome 保存密码等于裸奔
@Eureka0 当然填完密码就可以看到明文了啊,不然填啥。

Chrome 填密码只是没有再做验证,但是用的 keychain 应该是限制了只能 Chrome 访问的。也就是只要是 Chrome 就随时能访问。Safari 的话,就是就算是 Safari 也要再验证一次。
2022-08-14 14:07:06 +08:00
回复了 juejinloop 创建的主题 信息安全 chrome 密码泄漏了, 才知道用 chrome 保存密码等于裸奔
@msaionyc 其实是有的,如果你愿意记住一个保险箱密码(每次填写密码前都输入 master password 解密 vault ),那还是有区别的。但是如果你想的是不要记住任何一个密码,我家谁都能进,但只有我能拿钱,那我只能说多少层多高级的保险箱都是毫无意义的 security theater 了。
2022-08-14 14:04:04 +08:00
回复了 juejinloop 创建的主题 信息安全 chrome 密码泄漏了, 才知道用 chrome 保存密码等于裸奔
@konakona 不过在 Mac 上,Chrome 应该是用的 keychain 保存密码 /或者加密密码的,比 windows 上应该安全的多。windows 没有 keychain ,我也不懂如何有一个好用又安全的方案(除非你每次填密码之前都输一遍 master password )
2022-08-14 14:00:53 +08:00
回复了 juejinloop 创建的主题 信息安全 chrome 密码泄漏了, 才知道用 chrome 保存密码等于裸奔
@o00o 有些问题是逻辑问题,并不可能造出永动机
2022-08-14 13:59:42 +08:00
回复了 juejinloop 创建的主题 信息安全 chrome 密码泄漏了, 才知道用 chrome 保存密码等于裸奔
@konakona 但是你有没有想过,Chrome 的密码必然是保存的原文,你打开 Chrome 填写密码之前也没有输过任何 master password ,离线也可以输入密码,所以可以完全还原你保存密码的所有信息必然全部保存在你的机器上。

这根本不需要被发现,是必然的啊。

Safari 安全的多,Safari 背后使用 keychain 保存密码,系统级地进行权限控制,所以你不可能写任何程序(除非出现安全漏洞)偷偷读到 Safari 保存的密码。并且每次输入密码前都需要进行指纹 /人脸认证,也就意味着密码不会明文储存在 Safari 中,也不会被任何其他程序通过任何方式冒充 Safari 获取。
2022-08-14 13:19:19 +08:00
回复了 juejinloop 创建的主题 信息安全 chrome 密码泄漏了, 才知道用 chrome 保存密码等于裸奔
@ltkun 只是加了 Google 同步的部分,其他逻辑都一样的。Google 也不可能给 Chrome 做的比 chromium 更安全。
2022-08-14 13:15:45 +08:00
回复了 juejinloop 创建的主题 信息安全 chrome 密码泄漏了, 才知道用 chrome 保存密码等于裸奔
@juejinloop 这大概就是安全的错觉吧。

从安全性的角度来说,不论 Chrome 做什么都是没有任何意义的。Chrome 的代码本身是开源的,密码储存逻辑必然是公开的,有心人不需要花太大精力研究就可以搞明白。只要 Chrome 的密码管理可以离线运作,那所有解密密码的信息必然全部存在本地。

如果软件没有恶意(我不能理解一个想要读你的密码的程序为什么你觉得不是病毒),那怎么做都没差。如果软件有恶意,那 Chrome 不论做什么这个软件都可以轻松根据 Chrome 的源码破解。
2022-08-13 21:45:57 +08:00
回复了 qwzhang01 创建的主题 生活 35 岁大龄程序员,去国外是一个理性的选择么
做出什么决定都可能是理性的选择,但是如果根据你的题干做出的任何决定都不可能是理性的选择。你压根就什么条件都没给,怎么可能会有任何一个理性的人会给你理性的选择?

出国呆过多久?留过多久的学?工作过几年?是否适应国外的生活?英语 /当地语言水平如何,社交能力如何?个人性格如何,能够适应什么样的环境?为什么不喜欢国内的环境?

别说不同国家了,就算是美国里面,硅谷和纽约能一个样么?去城市还是大农村?能找到什么级别的工作?能拿到什么签证?

以上只是无数需要考虑的问题里小小的一点点,你一个都没有提到,现在你说你要做理性的选择……

看了上面的回答,感觉现在润学已经魔怔了。
2022-08-13 21:33:35 +08:00
回复了 justanetizen 创建的主题 程序员 关于开源的一点想法
啥意思?开源的人都追求不用中文而是用国外开发者使用的母语(是指英文吧)?所以很幼稚?

后面又说开源是国内程序员想过国外程序员的生活?所以是开源配不上中国人啊还是中国人配不上开源啊……

完全没有看出其中的逻辑
这个时间点买房,而且只有三十几万,就算你所有的其他故事背景都不存在,我也是实在是不知道该说什么好了
2022-08-02 19:00:08 +08:00
回复了 coderstory 创建的主题 Java Java 8 的 stream 常规操作导致线程卡死
每当这个时候我就特别能理解为什么说千万不要用新特性,没事不要修改不要更新不要升级了。这水平要是写 for 可能这代码还跑的快一点,至少不用 collect 这么多次。可读性本来就没有,所以也无所谓了。
2022-07-21 19:12:24 +08:00
回复了 charlieethan 创建的主题 C++ 谷歌发布开源开发语言 Carbon : 号称将替代 C++
@yiqiao 为什么开源就是 KPI 项目? Google 内的 perf ,帮助整个公司 migrate off C++肯定比开源个没啥人用的语言要有 impact 的多的多的多的多。只是文化上 Google 就是很喜欢开放,能开源的东西基本都开源了。

但是明显这个只是顺带开源,没想着要有人用,也没人靠这种东西拿 OKR (可能万一做大了会有几个 developer advocate 的 role 吧)。Google 都已经说的这么明白了,我这东西是为了取代 C++,请大家去用 rust ,不要没事用这个项目,想拿 KPI 的人会说这个话么?
2022-07-20 23:01:17 +08:00
回复了 charlieethan 创建的主题 C++ 谷歌发布开源开发语言 Carbon : 号称将替代 C++
@junkun 因为目标就是 migrate off C++,兼容是过程,目标是干掉 C++。就如同 swift 可以调用 objective-c 并不是因为 apple 太爱 objective-c 一样。
2022-07-20 22:29:11 +08:00
回复了 charlieethan 创建的主题 C++ 谷歌发布开源开发语言 Carbon : 号称将替代 C++
Google 的内部项目顺带开源了而已,有没有人用根本无所谓,Google 自己把自己的那堆内部的 C++慢慢替换掉就行了。和 hack 一样。
@Tussik 线下必然能复现这个问题啊,就几行 lua 代码,我现在也能复现,不然如何定位到问题?但是能复现和可测试之间是没有任何关联的。

因为你不知道应该怎么测,测什么。

首先 unit test 是没有任何意义的,这个就不用说了。可能的基本只能是 integration test 或者 smoke test 。对于这类完全不 predictable 的 edge case ,smoke test 也基本没有任何意义。那么就只能做 integration test 。

integration test 这个天坑我也不想多说,做过的都明白,最后只能 test 基本的 case ,确保模块间正常可用,甚至不能测试真实日常场景,更不可能测试 edge case 。别的不说,你就想想一般 unit test 里都经常只测 happy path ,好一点的也一般只有 utility 才 coverage 100%,很多逻辑都无法测试。很多时候为了 coverage mock 来 mock 去最后基本都只是在测试 mock 写对了没有,业务逻辑都 mock 光了。现在你来说 integration test 还要测这么复杂的 edge case ?不可能的啊。
@eason1874 用更容易出错的方法来解决一个不太容易出错的问题么。这不是把小坑挖成地道了么。
@Tussik 测试什么呢?参数是系统外传入的,你根本就不知道外部会传入什么。
测试在这里其实是基本没啥用的,这也是为啥大公司的 RPC 都是强类型的,因为没有强类型这种问题完全无解。

在动态语言中,根本不可能对每一个方法都做大量 runtime 的类型检查,唯一能做的就是确保参数进来的时候就不会错。
@heyjei 对于这个问题好像没啥意义吧
1  2  3  4  5  6  7  8  9  10 ... 25  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   945 人在线   最高记录 6543   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 27ms · UTC 21:23 · PVG 05:23 · LAX 14:23 · JFK 17:23
Developed with CodeLauncher
♥ Do have faith in what you're doing.