V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  0o0O0o0O0o  ›  全部回复第 14 页 / 共 161 页
回复总数  3206
1 ... 10  11  12  13  14  15  16  17  18  19 ... 161  
183 天前
回复了 nerkeler 创建的主题 信息安全 一种安全且不容易遗忘的密码思路
@nerkeler #12

强烈建议你阅读 #3 的两个链接,说明一下你是怎么规避这两个问题的回复里提到的那些弊端的。

> 加密等级高很容易实现

完全不赞同,从你记住的信息到实际使用的密码之间的过程类似于弱化版(因为你描述的方案并不如 slow KDFs 那样 slow )的 KDF 、Key stretching ,这增加不了多少安全性 https://crypto.stackexchange.com/questions/1662

所以这个过程你不公开就是 #3 提到的 obscurity ,公开就可以认为安全性与你容易记住的信息一致 ( bits of entropy )。

至于容易记住的密码,有 passphrase ,容易记住且安全的密码,有 diceware passphrase 和 EFF word list https://www.eff.org/dice
184 天前
回复了 nerkeler 创建的主题 信息安全 一种安全且不容易遗忘的密码思路
> 这个文件

什么文件?所以需要推算密码的时候需要先保证文件的完整性吗?怎么保证?

> 属于自己的加密方案

https://stackoverflow.com/questions/533965

> 加密等级又很高

https://security.stackexchange.com/questions/168261
185 天前
回复了 BeijingBaby 创建的主题 奇思妙想 用户贡献的“加速”站
> 各个镜像加速站,基本都是站点方尽可能提供全面的“资源”

以前看到本站宣传的一些源是用户请求了对应包才去请求上游并缓存

> 大厂提供的还好,小厂提供的安全性其实很难有保障,存在一个信任问题

我不赞同前半句,但赞同后半句,但是你的方案并没有提出怎么解决这个信任问题。

一般都包含一些机制,我认为这个问题没办法也不应该由镜像服务提供方来解决:

- /t/1048042
- https://sum.golang.org/
- https://docs.npmjs.com/about-registry-signatures

我的看法:不存在也不该存在信任问题,存在的话说明上游设计有漏洞,人们就完全不应该用镜像源 (例如动态的 polyfill https://www.v2ex.com/t/1056428#r_14978775 );其实只是政策和成本问题,或者说成本也不是问题: https://www.v2ex.com/t/1002435#r_14106496
常用的加入 git alias 更方便

git config --global alias.foo '!git config user.name Name && git config user.email [email protected]'

git foo
187 天前
回复了 Goalonez 创建的主题 问与答 RSSHub 在什么时候会调用 browserless
你可以在源码里搜 puppeteerGet ,用到的就需要浏览器
> 私人库:这里面的文件将会被加密存储,即使有人知道了您存储文件的 CID 获取了文件也无法解密读取

客户端开源吗?不开源的话你有别的让人信任的因素吗?是本地加密吗?未加密的数据会离开客户端吗?密钥是仅本地的吗?你们能解密吗?

> 资金足以支持服务器运行 100 年以上都没问题,…,以及对冲掉币价波动的费用

暴跌怎么办?
190 天前
回复了 pyre 创建的主题 健康 正畸正颌联合治疗会后悔吗(正颌手术)
OP 多少岁啊?这个手术和恢复一共需要持续多久?
191 天前
回复了 june4 创建的主题 编辑器 未来最牛编辑器 zed 的 Linux 版终于出来了
zed 最近火了好几次,正面负面都有。所以对于想尝试 zed 但又比较在意安全的人,仅作提醒:

https://github.com/zed-industries/zed/issues/7054#issuecomment-1916315391

https://github.com/zed-industries/zed/pull/14034
@yuzo555 #7 “获取管理员权限”后,你可以认为它能做任何坏事。此外这个问题其实讨论过, 本来就是为了 MITM 。

/t/879778
/t/1036217
1. 是
2. 可能会有区别,但不会破坏 1 ,例如 RFC 8470
3. 前提一定是客户端是安全的,服务器是安全的,证书是安全的。那么考虑的只是会不会被例如 POODLE attack 影响,那只要工具实现是安全的,服务端正确配置了,就不需要担心。
191 天前
回复了 CHS 创建的主题 分享发现 供应链投毒后,我们的选择还剩下哪些?
191 天前
回复了 zhucegeqiu 创建的主题 WireGuard 用 wg 连回家相对于 ss/vmess 有什么优势吗
协议的安全性,WireGuard protocol 相比 ss/vmess protocol
实现的安全性,wireguard 软件包相比 ss-server
191 天前
回复了 CHS 创建的主题 分享发现 供应链投毒后,我们的选择还剩下哪些?
polyfill 的结果似乎是动态的,SRI 也无效,在没有任何浏览器提供的安全保障之前,我认为应该彻底避免使用它,而不是往下一个迟早会作恶或被作恶的服务逃难。至于真正的静态资源 CDN ,SRI 不够吗?
https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity
192 天前
回复了 seekseat 创建的主题 编程 并发编程和异步编程的区别
我觉得从 Go 出发学这些概念可能容易混乱,因为 Go 就是围绕它们做了大量的设计,先用别的语言学一下概念,再去看 Go 里的一些设计,也许更好一些
1 ... 10  11  12  13  14  15  16  17  18  19 ... 161  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1029 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 48ms · UTC 19:23 · PVG 03:23 · LAX 11:23 · JFK 14:23
Developed with CodeLauncher
♥ Do have faith in what you're doing.