V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  type  ›  全部回复第 3 页 / 共 9 页
回复总数  165
1  2  3  4  5  6  7  8  9  
2019-08-28 09:55:56 +08:00
回复了 NoKey 创建的主题 程序员 在没有 https 的情况下,如何确保用户登录安全
@no1xsyzy 是的,只要中间人往返回内容插 JS,记录用户操作,用户的账号密码就泄露了。
除非全站加密,问题是基于 HTTP 全站加密,浏览器端也解不了密,那用户看到的全是乱码
2019-08-28 08:51:20 +08:00
回复了 NoKey 创建的主题 程序员 在没有 https 的情况下,如何确保用户登录安全
@type 写了一堆,才发现第一步的公钥返回给客户端时,就存在被中间人替换的可能,后面的步骤就没用了。https 是浏览器内置了 CA 根证书
2019-08-27 19:56:40 +08:00
回复了 NoKey 创建的主题 程序员 在没有 https 的情况下,如何确保用户登录安全
@NoKey 使用 HTTPS 就是保护链路安全,如果只能使用 HTTP 还要保护链路数据,那最终还是要实现一个类似 HTTPS 的应用层,比如:

1. 使用 [非对称加密算法] ,生成公私钥,服务端持用私钥,公钥返回给客户端;

2. 客户端生成一个 32 位随机字符串,将账号、密码、随机字符串使用公钥加密,通过 POST 请求传给服务端;

3. 服务端将收到的数据使用私钥解密,并验证账号密码是否正确,如果正确,生成 Session,将随机字符串保存在 Session 中,并使用上述的随机字符串为密钥,使用 [对称加密算法] 加密返回信息,并返回给客户端,同时返回 JSESSIONID 到客户端的 COOKIE

4. 客户端使用之前生成的随机字符串为密钥,将服务端返回的数据使用 [对称加密算法] 解密,得到登录成功的信息

5. 后续客户端向服务端请求,都使用: [对称加密算法] 加密请求内容 再请求;

6. 服务端根据请求的 COOKIE,取出 Session 中的随机字符串,将请求解密;返回信息时也全部加密返回内容 再返回客户端;(使用 [对称加密算法] )

描述有点混乱,大概就这么个思路,主要是按楼主的想法:保护客户端和服务端的交互信息;
随机字符串长度跟使用的 [对称加密算法] 有关,这里是以 AES256 来设定的;
第 2 3 段的公钥加密、私钥解密 都是使用 [非对称加密算法] ;
可能会有些其他缺陷...
2019-06-06 10:34:39 +08:00
回复了 xkyssg123 创建的主题 程序员 网络安全前景
关于上限这一块,其实是看天赋的
2019-06-01 09:19:33 +08:00
回复了 xcheng 创建的主题 分享发现 直推公众号“终结诈骗”看到 P2P 暴雷话题有感
关注这个公众号很久了,推荐看看,多了解这些套路,提高防范意识
2019-05-21 09:32:36 +08:00
回复了 goodspb 创建的主题 全球工单系统 ikea.cn 宜家官网好难用啊,无恶意吐槽一下
打开非常慢,在线下单付款后,竟然找不到刚下的订单,问客服,让到邮箱去找订单邮件;非常难用
2019-04-24 11:02:03 +08:00
回复了 jsthon 创建的主题 分享发现 ICP 备案系统更换域名了,国内站长们该更新网站了。
之前很多办事网站的域名看起来挺山寨的,规范一下挺好的
2019-03-11 09:32:29 +08:00
回复了 dblue 创建的主题 分享发现 hacker 翻译为 克竟 / 克竟家
生搬硬套
2019-01-20 21:06:42 +08:00
回复了 justou 创建的主题 程序员 明天年会, 上台跳舞, 女装
刚年会出来,两个节目都有女装
2018-11-07 11:17:58 +08:00
回复了 xdlucky 创建的主题 程序员 以前他们推荐 HKKB, 我没有出声, 因为我不用 vim
别问编辑器,问就是 Vim、Emacs ;
别问键盘,问就是 HHKB ;
别问电脑,问就是 MBP ;
别问,问就是天分。
---------------
+1
2018-11-02 16:11:25 +08:00
回复了 absente 创建的主题 程序员 我就知道很多人会黑中文编程
有人愿意做这件事,也有人愿意用,那就行了;
工具而已,各人喜好哪种就用那种,不喜欢不用就行了,难道还要作为异端用火烧死?
2018-11-02 16:07:54 +08:00
回复了 xuanwu 创建的主题 程序员 中文编程知乎专栏一岁了-我为什么投身于普及用中文编程
有人愿意做这件事,也有人愿意用,那就行了;
工具而已,各人喜好哪种就用那种,何必在这争论。
2018-11-02 09:27:47 +08:00
回复了 xuanwu 创建的主题 程序员 中文编程知乎专栏一岁了-我为什么投身于普及用中文编程
MIT 的 scratch,在中文系统环境下,关键字就是中文的。对学习者还是很友好的。
2018-10-24 10:08:30 +08:00
回复了 2333zzz 创建的主题 程序员 我为什么要用使用 Edge
屏蔽了一众争论 Chrome/Firefox 的贴,v2ex 真是越来越水了
2018-10-19 10:01:05 +08:00
回复了 519718366 创建的主题 程序员 入秋了,说说自己被电的那些事吧
拿个发光二级管,一端接地;身上有静电时,用手指接触发光二级管的另一端,二级管就点亮了
2018-10-17 09:34:38 +08:00
回复了 whwq2012 创建的主题 全球工单系统 如何用正确的姿势投诉小米
小米公交会自己少 10 块,估计还有很多人没发现这个问题呢
2018-09-20 16:32:26 +08:00
回复了 XianyuFront 创建的主题 移动开发 闲鱼 app 技术讨论和体验反馈
请把网页端全功能还给用户 + 10086
1  2  3  4  5  6  7  8  9  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1126 人在线   最高记录 6543   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 31ms · UTC 22:54 · PVG 06:54 · LAX 15:54 · JFK 18:54
Developed with CodeLauncher
♥ Do have faith in what you're doing.