 |
night98V2EX 第 279313 号会员,加入于 2018-01-03 19:51:02 +08:00 |
night98 最近回复了
18 小时 14 分钟前 回复了 kabob 创建的主题 › SSL › 启用了 https 的网站登录时密码加密有意义吗? |
前端加密靠不住的,执行文件直接可查看,用 md5 或者 sha1 反而不安全(彩虹表暴力破解),加盐也毫无意义,是固定盐的话照着再跑一遍仍然没用,非固定盐就又存在另外一个问题,盐从哪获取?
如果已知客户端不可信,那么任何手段都无法阻止用户的密码被泄露,这种就需要引入多因子认证,也就和密码加密没关系了。
https 解决的是 http 传输过程安全性的问题,想要解决客户端不可信的问题只能上硬件方案或者多因素认证,单靠密码是解决不了客户端信任问题的。
反而前端加密引入了更多的问题
1.服务端无法验证是否弱密码
2.服务端无法验证此密码是否已泄露(即其它脱库密码列表中)
3.服务端无法验证密码格式是否符合强密码要求
如果已知客户端不可信,那么任何手段都无法阻止用户的密码被泄露,这种就需要引入多因子认证,也就和密码加密没关系了。
https 解决的是 http 传输过程安全性的问题,想要解决客户端不可信的问题只能上硬件方案或者多因素认证,单靠密码是解决不了客户端信任问题的。
反而前端加密引入了更多的问题
1.服务端无法验证是否弱密码
2.服务端无法验证此密码是否已泄露(即其它脱库密码列表中)
3.服务端无法验证密码格式是否符合强密码要求
8 天前 回复了 skyworker 创建的主题 › Java › 在 Java 业内, 难道多表联合查询都是复杂问题吗? |
google 一下不麻烦,即使是 mybatis 也已经有成熟的强类型编程的多表关联解决方案,至于你图上这种字符串满天飞的方案,个人觉得不咋地
10 天前 回复了 cxz2998 创建的主题 › 问与答 › 各位大佬关于办公场景的需求是什么样的? |
安静
正常
随时(不打断他人工作情况下)
可以开玩笑
无视
真实
正常
随时(不打断他人工作情况下)
可以开玩笑
无视
真实
14 天前 回复了 proxytoworld 创建的主题 › 问与答 › 现在是买机械硬盘好时机吗,还是等 618,想买 4t 的存虚拟机 |
买 ssd ,机械硬盘现在大规模上叠瓦盘
15 天前 回复了 ojh 创建的主题 › 程序员 › 关于 Java 笨重一说 |
18 天前 回复了 kiritoxf 创建的主题 › 前端开发 › 前端万级数据量的图表中,数据应该怎么获取? |
websocket 或者 ssr ,你这需求一看就不靠谱,3 万数据正常屏幕平均十个点显示一个元素?抽样做吧,参考类似贝壳找房地图找房功能
21 天前 回复了 WIN2333 创建的主题 › 问与答 › 今年上海房租涨了好多 |
@XTTX 好奇问一句哪个小区?带装修吗,估计是老余杭那边吧
24 天前 回复了 feather12315 创建的主题 › 奇思妙想 › 分享下冒出来的面试方法 |
不不不,你没搞清楚的一个核心问题是,类似这种问题需要面试官有很高的面试水平,而现在大多数的情况是面试官可能既没有面试他人的能力,也没有面试他人的意愿(被强制要求去面试),种种因素叠加起来,才形成了现在的八股为主,算法为辅的风气
25 天前 回复了 alanying 创建的主题 › 生活方式 › 隔壁帖子奶茶和烟有感,其实大家并没有认识到 糖 的危害。 |
一天一包烟+两瓶 4L 的绿茶,白给
31 天前 回复了 billlee 创建的主题 › 问与答 › 面试中的很宽泛的系统设计类问题,应该以什么思路回答? |
正常来说应该和面试官确认整体预期,一个好的项目必然是解决某一类需求的,说什么功能越丰富越好那些都是扯屁,很多需求就是你遇到了才会想办法去解决,so 我的建议是和面试官沟通确认预期,然后再简述你的设计思路,但无奈现在好像比较流行背诵?很多面试官必须给一个完整的解决方案才行,中间也很少引导面试者
Select Language