V2EX › 3dwelcome 的所有回复 › 第 94 页 / 共 155 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 90 91 92 93 94 95 96 97 98 99 ... 155

❮

❯

2021-04-13 21:13:18 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@dzdh "如果一个密码公开发放，那的确没有必要性。"

密码怎么可能公开？举个例子，微信支付的 url 签名 hash 算法是 HMAC, 也就是需要 key 才能使用的 HASH 算法。这个 key 是严格保密的，外人肯定不会随便知道。

2021-04-13 20:08:16 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@dzdh "所以，『纯技术』上，在有 HTTPS 保护的前提下，签名没有『必要性』"

那是自然，只要 PC 机器能 [物理隔绝] ，使用时只有机主一个人能进入密室访问电脑，那 windows 登录密码也没有存在的 [必要性] 。

2021-04-13 20:01:10 +08:00

回复了 lixingjun 创建的主题 › 新手求助 › 低代码/无代码开发工具有人真的用过开发线上系统吗？

有 TX 大牛发过 PPT 分享过，统计验证了几万个页面，平均前端页面有 60%左右，是可以无代码低成本复用的。

2021-04-13 19:46:13 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@dzdh "所以是，仅仅 HTTPS 已经足够安全，所谓签名只是锦上添花？"

光"锦上添花"就很重要，支付 API 设计能强过竞争对手，才能抢到足够的市场份额。

你开发一个 HTTPS 网站，去做网站安全评级，每一个服务器设置的细节，都是打分点。
你开启一个云服务器站点，服务器平均无故障就是一大卖点，数 99.99 小数点之后有几个 9，就能比同行抢到更多的用户。

支付签名设计也是一样，能给 API 安全打分后面加个 9，何乐而不为。

2021-04-13 17:16:11 +08:00

回复了 qiutian00 创建的主题 › Sublime Text › sublime 用的人还多么？

@dream4ever 一个新 idea，也是产品很重要的卖点，都被同行抄去了，这就叫恶性竞争了吧。
就好比 TX 公司，你把别人的路都走完了，让小公司无路可走。

2021-04-13 16:47:07 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@abersheeran “我觉得可能现在还这么做的大厂，惯性更多一点吧，毕竟代码已经写好了，可以跑了，改设计，没必要。”

为了支付系统上出 BUG 可以甩锅，小码农根本赔不起。“看，API 设计够好了，还有签名！”

2021-04-13 16:45:09 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

"所有人的质疑是否代表着 Stripe 和 Paypal 现在是极度危险状态？"

你用国外网站举例没意义，国外信用卡支付没密码是安全的，放国内基本不可能。

同理国外电子支付没有签名是安全的，国内设计的 API 没签名？想都别想，和钱有关的，必须加码，管他有没有用。

这和软件加壳一个道理，你不知道破解者的能力和权限（说不定就是你隔壁同事），越套一层防范，单纯从理论上来说，就能阻断一部分破解者的尝试，也就变相代表着越安全。

就安全系数来说，有签名的 API 和没签名的 API PK 一下，有签名的得分高。光刷公司的 KPI，也必须加。

2021-04-13 13:54:41 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@hxndg
"那东西叫做公钥钉扎，防备中间人，已经废除了。"
不不，楼主说的是 Server to Server 上的 PubKey 验证，就是直接在 TLS 握手阶段，读取证书里的 pubkey，看是不是和数据库里的一致，服务器要额外写一些入侵式代码。

你说的废除，只是 chrome 浏览器里定下的规范。楼主这里没有浏览器的参与。

2021-04-13 13:36:04 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

"Pinned Pub Key 还怎么中间人呢？防止客户的什么呢？"

能做到这种验证毕竟是少数，大部分服务器就校验了一下对方 CERT 有效性，因为 CERT 会过期，客户定期会换，你又没办法一直保证服务器存有对方最新的 KEY 和 CERT 来校验。

而且我看所有有钱有关的网络支付，都带签名。

这其实和数据库是不是存用户明文密码是同一个问题：反正用户又看不到服务器上具体有什么，不存 hash，直接存明文是不是一样的？（学一下楼主额外描述：服务器不可能被攻破，因此黑客攻击不在考虑范围内）

2021-04-13 13:21:15 +08:00

回复了 qiutian00 创建的主题 › Sublime Text › sublime 用的人还多么？

典型互联网小公司产品的悲哀，和免费 VSCODE 功能高度重叠，头部通吃效应显现，逐渐被边缘化了。
很多原创编辑小技巧都是 sublime 和 atom 发明的，结果被抄袭者收割，也是惨。

2021-04-11 02:02:00 +08:00

回复了 3dwelcome 创建的主题 › 分享发现 › 讨论修改 V2EX 网站背景色需要几步。

@Jirajine 倒不是为了加页面特效，用大象来举例，只是说明只用 chrome 原生功能，覆盖一个 css/js/接口是如此简单。甚至连普通的 ajax 请求都能给覆盖掉。
chrome 早期版本没有，后来加上后，很多人不知道，我也是最近才知道。

2021-04-11 00:50:17 +08:00

回复了 WishMeLz 创建的主题 › 程序员 › 天天看你们制作各种摸鱼网页。我直接贡献一个 node 抓取热点的代码。（低端版爬取网页数据）

挺好的，路过支持一下。
写代码和写文章一样，是为了让别人看懂，不是写一堆复杂代码自己一个人嗨。楼主这个一眼就能懂，这点就很赞。
谁都是新手阶段过来的，唯有才能笑到最后，楼主加油。

2021-04-10 22:27:33 +08:00

回复了 3dwelcome 创建的主题 › 分享发现 › 讨论修改 V2EX 网站背景色需要几步。

@Girlphobia V2 这都有吗？太高端了。赞一个。