V2EX › Agromania 的所有回复 › 第 7 页 / 共 11 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 2 3 4 5 6 7 8 9 10 ... 11

❮

❯

2015-02-10 18:12:03 +08:00

回复了 Agromania 创建的主题 › 问与答 › 请问 oauth 的 app secret 为啥要保密？

@nopy 但是oauth的授权机制要求最终用户来授权才行啊，比如你通过qq号登录京东商城，（京东在这里是app，qq是oauth service provider）
我做了个小黑站，我偷了京东的腾讯开放平台app id 和 key，然后呢？你又不来我的小黑站授权，我把我的小黑站授权地址（其实和京东的授权地址一模一样）发给你其实回调地址还是跳转的京东，我好像也做不了啥能让警察叔叔抓你，或者抓刘强东的事情啊……我实在是想不明白。

2015-02-10 17:59:41 +08:00

回复了 kingcos 创建的主题 › 问与答 › 一个月多给你 100 元（或者一年 1000），不花会作废，你会怎样提高你的生活质量？

把1M的VPS升到2M

2015-02-10 17:55:04 +08:00

回复了 Agromania 创建的主题 › 问与答 › 请问 oauth 的 app secret 为啥要保密？

所以是不是Bob还必须要用钓鱼的方式，在John访问应用A的时候劫持到自己的仿冒应用C，引导John授权，拿到access_token，然后Bob就可以访问和操作John的a,b,c数据了？

再假设如果应用A的权限只是一般应用的权限，Bob自己也申请了一个应用B，也可以访问X上用户的a,b,c数据，那上面这么复杂的攻击还有其他的意义和利益吗？

我知道这个secret应该是非常重要的东西，但是我实在是想不出来严重的场景……

2015-02-10 17:49:02 +08:00

回复了 Agromania 创建的主题 › 问与答 › 请问 oauth 的 app secret 为啥要保密？

@zts1993 我可能理解的不对，但是我理解的是这样，

OAuth服务提供者X OAuth应用A 最终用户John

攻击者Bob自己的OAuth应用B
攻击者Bob自己的应用C（没有申请X的app）

攻击者Bob

首先最终用户要有X上的受信账号
1. 用户John向应用A申请通过X授权，把自己在的X上的用户id告诉A，
2. A通过自己的app id - secret和John的用户id，把John的意愿告诉X（引导John到X的登录授权页面）
3. X向用户John告知A请求你授权，授权后，A可以访问你的a, b, c数据
4. 用户John登录X
5. X告诉A, John已经授权你了（回调地址, access_token）
6. A通过access_token可以访问John的a,b,c数据

现在攻击者Bob来了，他通过某种方式盗取了A的app id 和secret，Bob做了一个应用C，使用了A的app id和secret，但是John不知道应用C也不使用应用C，

现在Bob他能干嘛呢？

2015-02-10 17:31:30 +08:00

回复了 Agromania 创建的主题 › 问与答 › 请问 oauth 的 app secret 为啥要保密？

@halfcrazy CSRF跟这个场景完全不一样吧，攻击方式和利用信任也不一样，受害者也不一样
CSRF的受害者是在不知情的情况下在B站上提交了指向A站的Form的用户

2015-02-10 17:19:52 +08:00

回复了 Agromania 创建的主题 › 问与答 › 请问 oauth 的 app secret 为啥要保密？

@zts1993 我就是想不明白，伪造了请求，然后呢。

现实一点的场景，有个应用A，他用了QQ的OAuth。
我用A的app id和app secret和我自己的QQ号授权拿到了我自己的access_token，发了一条腾讯微博，除了微博来源显示来自A，以及我消耗了A的api调用次数，究竟我还能做点什么坏事呢？

2015-02-10 17:15:39 +08:00

回复了 Agromania 创建的主题 › 问与答 › 请问 oauth 的 app secret 为啥要保密？

@wormcy 登录了以后可以获得个人信息，发的帖子，从帖子信息有可能可以分析出性格爱好，购物历史，工作，住址，键盘型号……
可以狂点“感谢回复者”……
可以发小广告使自己受益并导致这个账号被封……

2015-02-10 13:30:47 +08:00

回复了 runking 创建的主题 › 问与答 › 公司不给签合同有什么猫腻？

不签合同怎么去社保局上的社保？楼主确定上了社保？

2015-02-10 11:03:54 +08:00

回复了 supman 创建的主题 › 问与答 › "你最喜欢的算法"...这道题应该怎么答呢?

罗马花椰菜算法

2015-02-09 01:33:37 +08:00

回复了 virusdefender 创建的主题 › 分享发现 › 两张内容不一样但是 md5 一样的图片

抱歉，我忘记乘以71.3%了，不过，你懂的……

2015-02-09 01:32:28 +08:00

回复了 virusdefender 创建的主题 › 分享发现 › 两张内容不一样但是 md5 一样的图片

@love 差的太远了吧，无限到有限，理论上来说是一定会碰撞的，学过数学的极限的话应该知道

有限 / 无限 = 0
如果你把宇宙中所有原子md5，其状况是几乎一直在碰撞：因为早就塞满了。

简单算一下，32位的MD5有16^32个值，也就是3.4028236692094 * 10^38

太阳的质量是1.989×10^30 千克，其中71.3%是氢

一个氢原子的质量约为1.66×10^-27 千克
所以仅仅是太阳就有1.1981927710843 * 10^57 个氢原子，如果把这样氢原子散列在MD5的空间里，
那么平均每个md5值上需要塞

3.5211720840144 * 10^18 个氢原子。也就是说，没有碰撞的概率可以忽略不计。

小伙子，请对宇宙有敬畏之心。

2015-02-09 00:34:10 +08:00

回复了 msxcms 创建的主题 › 天黑以后 › 20150209 午夜俱乐部

写了两天代码，累累累

2015-02-09 00:29:46 +08:00

回复了 Agromania 创建的主题 › 问与答 › 请问有在用腾讯 404 公益页面的同学吗？有个小问题

@spacewander 谢谢！！
是这两行代码吗？

$scope.rettext = location.href.indexOf('qzone.qq.com') > -1 ? '返回我的空间': '返回腾讯网';
$scope.retlink = location.href.indexOf('qzone.qq.com') > -1 ? 'http://qzone.qq.com/': 'http://www.qq.com/';

很不理解他们去掉原来返回第三方的首页链接的心理啊……

如果一定要自己用js改页面链接，我觉得我干脆从他们这个js
http://qzone.qq.com/gy/404/data.js
里抓到走失儿童的数据，然后自己来做404页面得了~~

2015-02-09 00:21:08 +08:00

回复了 yellowV2ex 创建的主题 › PHP › 如何面试一个 PHP？

@yellowV2ex 真的看你要什么样的人。5000块你也能找到“既懂 PHP 又懂 html 还能看看 CSS 改个颜色字体位置什么的，还能 JS 写个浮动二级菜单什么的，可以做的了商城的人”

28000块你也能找到。

取决于你想把这个商城做到什么水平。既然你不是老板，还是问问看老板的预算和预期吧。

2015-02-09 00:16:09 +08:00

回复了 38220013 创建的主题 › 问与答 › 如果给你个机会重头再来换一个职业，大家打算做什么？

网络直播间女主播

2015-02-07 16:37:54 +08:00

回复了 oldcai 创建的主题 › 奇思妙想 › 火星离地球 6 千万到 1 亿千米距离，光速 200-300 秒延迟，以后有人生活上去了，如何部署网站、应用

说量子纠缠是“超光速”是不准确的，因为它根本没有速度，其纠缠一旦建立，状态的反应是“即刻”的

2015-02-06 15:16:21 +08:00

回复了 kingcos 创建的主题 › 问与答 › 怎么处理报废的笔记本电脑？=。=

我还有一个05年的Acer跑着xp.... 不知道该怎么处理

2015-02-06 13:23:01 +08:00

回复了 abelyao 创建的主题 › 问与答 › 当自己做了一半的（微创新）项目，在网上发现已经有公司团队在运营类似的项目时，怎么办？

只有一条路：做得比他们更好。

2015-02-06 11:10:01 +08:00

回复了 lmaq 创建的主题 › 程序员 › 键盘、键盘大家都用的什么的啊？

文曲星PC220

1 2 3 4 5 6 7 8 9 10 ... 11

❮

❯