V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
beddo
V2EX  ›  分享发现

奶罩的新项目(洋葱)上线了,各位有什么看法?

  •  
  •   beddo · 2015-04-01 11:25:34 +08:00 · 8417 次点击
    这是一个创建于 3555 天前的主题,其中的信息可能已经有所发展或是发生改变。

    1,你们会用吗?
    2,可能会存在什么问题?
    3,项目前景如何?
    相关页面: https://www.yangcong.com/

    39 条回复    2015-07-23 12:03:01 +08:00
    sdysj
        1
    sdysj  
       2015-04-01 11:43:17 +08:00
    不知道定位如何,小企业用这个会增加用户使用成本,大企业一般都自己搞了,是不是登录都要拿手机按下?不知道是不是和 DUO 差不多。
    Ansonyi
        2
    Ansonyi  
       2015-04-01 11:45:36 +08:00 via iPhone
    刚刚下载看了看,中国版Google Authenticator么?
    Luzifer
        3
    Luzifer  
       2015-04-01 11:47:27 +08:00
    好域名
    yangqi
        4
    yangqi  
       2015-04-01 11:53:10 +08:00
    lastpass+authy?
    wzxjohn
        5
    wzxjohn  
       2015-04-01 11:55:01 +08:00 via iPhone
    没啥前途。谷歌验证不但可以完全集成到程序本身不需要跟外部通信,而且还是使用统一的客户端进行管理,比这玩意不知道方便多少倍。
    在被收购之前 Dnspod 就重新封装了谷歌验证器作为 D令牌,然后现在开始直接照搬作为服务了么。。。
    naizhao
        6
    naizhao  
       2015-04-01 12:30:36 +08:00   ❤️ 2
    说比google方便的,用过再评价。没用之前别光看个名字就开始喷啊。GA有云同步吗?GA有push登录吗?GA有扫描登陆吗?GA有指纹认证吗?GA有语音识别吗?GA有人脸识别吗?GA能快速集成吗?GA有xxxx
    还是那句话,用过再喷。
    shiny
        7
    shiny  
       2015-04-01 12:34:47 +08:00
    惊现奶罩本人 @naizhao
    wy315700
        8
    wy315700  
       2015-04-01 12:40:01 +08:00
    @naizhao
    大神出没
    liwei
        9
    liwei  
       2015-04-01 13:00:50 +08:00
    @naizhao "说比google方便的,用过再评价。"

    这是被气糊涂了?
    0Shaka
        10
    0Shaka  
       2015-04-01 13:03:05 +08:00
    @liwei 这是当下比较流行的幽默方式 XD
    mgc
        11
    mgc  
       2015-04-01 13:10:09 +08:00
    确实是好想法,问题在于能不能说服足够多的网站使用,比如中国联通用了时代亿宝的手机密令,但我没有去下载,应该确实太麻烦了,如果能使用统一的协议,或集成到一个APP中,比如Authy,我想我会考虑的,事实上这一天一定会来到的
    mgc
        12
    mgc  
       2015-04-01 13:12:16 +08:00
    还有个小建议,工具类名字尽量土一些,“违章查询”远比“肠子”来的好记
    millken
        13
    millken  
       2015-04-01 13:48:53 +08:00
    干不过麻花藤的
    blueionic
        14
    blueionic  
       2015-04-01 13:53:37 +08:00
    这不是authy的模式么。。加了点酷炫的功能。。
    anyforever
        15
    anyforever  
       2015-04-01 13:56:18 +08:00
    有意思,关注先~
    wzxjohn
        16
    wzxjohn  
       2015-04-01 14:27:29 +08:00 via iPhone
    @naizhao 我就问一句话:启动跟 GA 比哪个快?
    iyaozhen
        17
    iyaozhen  
       2015-04-01 14:28:06 +08:00
    话说这东西怎么用,扫哪儿?
    finian
        18
    finian  
       2015-04-01 14:42:40 +08:00
    @naizhao bug反馈,手机验证码老是提示已过期,无法注册
    6IbA2bj5ip3tK49j
        19
    6IbA2bj5ip3tK49j  
       2015-04-01 14:44:01 +08:00 via Android
    验证码一直过期。唉╯▂╰
    sexoutsex2011
        20
    sexoutsex2011  
       2015-04-01 15:11:57 +08:00
    @naizhao 奶罩大人威武。之前也有过 密码管理器(类 Lastpass )+二维码扫描 Oauth 的想法。
    当时是看到 这篇 http://36kr.com/p/141644.html ,又看到 Line 的二维扫码登陆。现在各大厂都提供自己的二维码登陆功能,但总不能用多少个站,装多少个各家应用来扫码登陆。
    关注了。
    click
        21
    click  
       2015-04-01 15:15:12 +08:00
    我以为是做内衣的。害我白进来看一遍
    oott123
        22
    oott123  
       2015-04-01 15:17:57 +08:00
    哎,想在自己的项目中试用一下,结果

    > 目前洋葱正处于内测阶段,
    > 暂时只对少数的合作伙伴开放。
    > 如果您对参与到洋葱的内测有兴趣,
    > 请联系我们。

    看了看自己的小项目,还是算了吧。
    不过 APP 的很多地方看了都觉得,好赞~
    est
        23
    est  
       2015-04-01 15:18:41 +08:00
    @naizhao 围观
    sarices
        24
    sarices  
       2015-04-01 16:20:56 +08:00
    GA云同步安全吗??
    learnshare
        25
    learnshare  
       2015-04-01 16:25:40 +08:00
    logo 为什么是半个柠檬...
    decken
        26
    decken  
       2015-04-01 17:02:33 +08:00
    目前有哪些网站是支持洋葱认证的?
    jemyzhang
        27
    jemyzhang  
       2015-04-01 17:08:08 +08:00
    我以为是美女站...来了就顶一下吧
    naizhao
        28
    naizhao  
       2015-04-01 18:36:37 +08:00
    @wzxjohn 我也问你一句话:打开app看半天6位数,颤颤巍巍的输入浏览器的时候告诉你验证码过期,还是直接push一条信息到手机,打开后点击一下就通过验证,哪种更快?
    wzxjohn
        29
    wzxjohn  
       2015-04-01 18:42:03 +08:00
    @naizhao 打开 App 看 6 位数只要5秒,输入不需要颤颤巍巍,GA 有 正负30秒的容错,也就是说只要你不“颤颤巍巍”30秒你的码就是有效的。 Push 消息首先要打开你的 App,不说你的 App 比 GA 启动慢,App 获取验证信息需要时间,看 App 显示的验证信息需要时间,想了一下点了同意又需要时间,同意之后 App 将验证信息加密还给服务器又需要时间,你们的服务器将验证信息加密或者明文也好还给真正的认证服务器又需要时间。这么多环节只要任何一环出了问题,比如我现在没 Wifi,手机信号差,那就直接歇菜。你说哪个好?
    wzxjohn
        30
    wzxjohn  
       2015-04-01 18:43:59 +08:00
    顺便一说,因为是手机号注册,所以基本等于实名。国内公司嘛,如果上级主管部门要查你水表,以前可能还要一个个查,现在好了,报一个手机号给 @naizhao ,关联过的所有网站就出来了~简直方便啊~~~
    naizhao
        31
    naizhao  
       2015-04-01 22:28:51 +08:00
    @wzxjohn 嗯,你很厉害啊,列举了一大堆不好的地方,不知道对我的新产品有什么建设性的意见?
    wzxjohn
        32
    wzxjohn  
       2015-04-01 22:31:34 +08:00   ❤️ 3
    @naizhao 你作为一个老大就用这个态度做产品。。。嘲讽别人。。。Orz。。。牛逼!
    liangzhitao
        33
    liangzhitao  
       2015-04-01 22:41:40 +08:00
    说实在的,我认识的人用 GA 的基本没有,类似产品用的比较多的还是 QQ 令牌,而且也只是相对于 GA 来说,14年以来,人们对安全的重视程度越来越高,如何让类似概念深入人心,产品就有戏,去跟对比 GA 孰优孰劣,根本没有任何意义。
    taogogo
        34
    taogogo  
       2015-04-02 10:47:48 +08:00
    用了下,设置手势界面空白GT-I9100
    naizhao
        35
    naizhao  
       2015-04-04 00:35:39 +08:00
    @wzxjohn 我这是虚心请教啊,还以为你有什么NB的想法呢。
    wzxjohn
        36
    wzxjohn  
       2015-04-07 20:33:13 +08:00
    @naizhao 拜托先上架 App Store 再继续来嘲讽我吧。
    tigerstudent
        37
    tigerstudent  
       2015-06-21 19:38:11 +08:00
    按5楼的逻辑百度也是没前途的?
    yiling
        38
    yiling  
       2015-07-03 16:55:02 +08:00
    用到今天,GOTP确实不错,换个手机也能用。APP迭代速度惊人,现在已经能启用指纹、人脸、声纹识别了,期待更多的功能。奶罩出品确实让人有期待!
    JasonGao180
        39
    JasonGao180  
       2015-07-23 12:03:01 +08:00
    洋葱会将用户的TOTP密钥上传到洋葱上(看官网介绍了,说托管在第三方服务那里,没有本质区别)。
    这在高安全场景下是不可接受的。
    假设用户托管在洋葱的TOTP密钥被拖库了,然后攻击者就可以针对洋葱的用户用撞库的方法进行攻击,而洋葱用户估计还觉得自己启用了MFA很安全一定不会被盗号。
    而GoogleAuthenticator就只把密钥保存在本地,而不敢将密钥上传到服务器上。
    Authy虽然将密钥上传到服务器上,但是用户需要在Authy客户端设置恢复密钥,TOTP密钥会在本地用客户的恢复密钥加密后再上传到远程服务器上。
    洋葱。。。就这么把TOTP密钥上传到服务器上了。。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3449 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 04:52 · PVG 12:52 · LAX 20:52 · JFK 23:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.