geelaw 最近的时间轴更新 geelaw 最近的时间轴更新 |
geelaw🏢 UW / 博士生 V2EX 第 202505 号会员,加入于 2016-11-22 23:09:06 +08:00今日活跃度排名 6780 |
Seattle
GeeLaw
| 在 V2EX 摸鱼引出的密码学研究,论文终于出版了,感谢一下 @sillydaddy
33 分享创造 • geelaw • 107 天前 • 最后回复来自 good1uck
|
90 |
| [转载] 有趣的 MD5 碰撞:仅包含字母数字、只有一个字节不同、原像相当短
2 分享发现 • geelaw • 140 天前 • 最后回复来自 0o0O0o0O0o
|
13 |
| Clubhouse 真的很像不久以前我测试过的一个 app 分享发现 • geelaw • 2021-06-25 16:12:06 PM • 最后回复来自 nullcoder | 9 |
| 如何在 C# 里写出零额外开销(避免虚拟方法调用)的 CRTP 成语 分享发现 • geelaw • 2021-06-25 16:12:48 PM • 最后回复来自 nullcoder | 4 |
| C# 泛型、duck typing、高效枚举 C# • geelaw • 2020-09-28 04:59:01 AM • 最后回复来自 good1uck | 1 |
| HTML 里的“词边界” 分享发现 • geelaw • 2020-02-25 05:22:00 AM • 最后回复来自 geelaw | 3 |
| 如何自动化“固定到任务栏” 分享创造 • geelaw • 2020-02-14 19:00:25 PM • 最后回复来自 ysc3839 | 4 |
| 谨慎安装 Edge (Chromium) 稳定版 分享发现 • geelaw • 2020-02-21 22:00:12 PM • 最后回复来自 ericguo | 13 |
| 在 Windows 上轻量地隔离 app:以百度云管家为例
1 分享创造 • geelaw • 2022-11-23 15:35:11 PM • 最后回复来自 723X
|
26 |
| 刚刚 rm -rf ~ 了 程序员 • geelaw • 2019-12-30 11:19:02 AM • 最后回复来自 doveyoung | 8 |
geelaw 最近回复了
7 天前 回复了 Georginaaa 创建的主题 › Google › gmail 收到奇怪的邮件 |
潜在的集体诉讼受益人,去搜索一下就知道这个是不是真的了,收到这种邮件很正常,我收到过好几次而且是真的。
这种邮件有几个作用:
1. 通知诉讼的存在,自动把你(如果有资格)加入集体原告(所谓 Class Member ),除非你反对,并告知你有何权利、如何排除自己;
2. 通知你集体诉讼是否有赔偿、是多少。
这种邮件如果你住在美国的话会经常收到,如果你不住在美国的话,有必要提示一下很多赔偿只有住在美国的人才有资格拿。你的邮件里说目前还没有判赔。
这种邮件有几个作用:
1. 通知诉讼的存在,自动把你(如果有资格)加入集体原告(所谓 Class Member ),除非你反对,并告知你有何权利、如何排除自己;
2. 通知你集体诉讼是否有赔偿、是多少。
这种邮件如果你住在美国的话会经常收到,如果你不住在美国的话,有必要提示一下很多赔偿只有住在美国的人才有资格拿。你的邮件里说目前还没有判赔。
14 天前 回复了 a33291 创建的主题 › 问与答 › win11 无后缀名的文件无法设置默认的打开方式? |
因为自从 Windows 8 开始,用户选择的文件关联存在于 UserChoice 中吧,见 https://geelaw.blog/entries/windows-fileassoc-walkthru/#fileassoc-example 试着删除 UserChoice 和 ApplicationAssociationToasts 里面的对应值再重试?另外你需要调用 SHChangeNotify 刷新,或者暴力一点的话重启 explorer.exe
我的猜想是 . 通常不存在,所以文件关联信息来自 Unknown 和 AllFileSystemObjects 之类的,一旦设置 . 扩展名的关联,就会采用“存在这一扩展名”的逻辑路径,但你删除了 No_Extension 导致进入回退式 Unknown ,然而 Windows 的 openas 谓词拒绝设置 . 这个扩展名的文件关联,所以 . 会一直保持为 Unknown 。
我的猜想是 . 通常不存在,所以文件关联信息来自 Unknown 和 AllFileSystemObjects 之类的,一旦设置 . 扩展名的关联,就会采用“存在这一扩展名”的逻辑路径,但你删除了 No_Extension 导致进入回退式 Unknown ,然而 Windows 的 openas 谓词拒绝设置 . 这个扩展名的文件关联,所以 . 会一直保持为 Unknown 。
19 天前 回复了 ZekeRuan 创建的主题 › iOS › 美区账户添加 apple pay |
@Vogan #5 支持 Apple Pay 的商户不一定支持每一种卡,所以京东、淘宝是否支持 Apple Pay 外卡不明确(我自己没试过),即使是美国的商户,也可以选择只支持某些发卡组织的 Apple Pay 。已知星巴克的实体 POS 是可以 Apple Pay 外卡的。
另外是否能绑定还是取决于银行、Apple 、卡组织等的协议,即使不考虑大陆发行的卡只有银联可以加入 Apple Pay ,也不是所有的美国的银行在 Apple Pay 上线的时候就支持加 Apple Pay 。
@YsHaNg #16 大摩 = Morgan Stanley ,小摩 = 摩根大通 = J.P. Morgan & Chase ,什么是大摩的 Chase……?
另外是否能绑定还是取决于银行、Apple 、卡组织等的协议,即使不考虑大陆发行的卡只有银联可以加入 Apple Pay ,也不是所有的美国的银行在 Apple Pay 上线的时候就支持加 Apple Pay 。
@YsHaNg #16 大摩 = Morgan Stanley ,小摩 = 摩根大通 = J.P. Morgan & Chase ,什么是大摩的 Chase……?
27 天前 回复了 Levox 创建的主题 › 问与答 › 有什么支持 exchange 日历、联系人同步的第三方服务? |
小提示:从你的帖子很难看出你要用什么软件以 Exchange 接入邮箱。
我的个人经验是在 Outlook (经典 Windows) 里面选择 Outlook dot com 的连接方式是 Exchange ,而且可以同步联系人和日历。
我的个人经验是在 Outlook (经典 Windows) 里面选择 Outlook dot com 的连接方式是 Exchange ,而且可以同步联系人和日历。
29 天前 回复了 zhwguest 创建的主题 › Android › sdk 低版本的平台上使用 deprecated 的 api 受到警告的意义何在? |
1. 每个功能必须有人实现才会存在。
2. 警告调用过时方法不困难,有人实现。
3. 静态分析代码中的 if else 并发现某个 API 在所有可能进入的路径里都没过时,一来是不可判定问题,二来即使允许假阳性,要覆盖常见情况也比较复杂,很可能没有人实现。
因此发生你见到的现象。收到警告并不是出于警告的目的,而是出于没有适时取消警告的目的。
2. 警告调用过时方法不困难,有人实现。
3. 静态分析代码中的 if else 并发现某个 API 在所有可能进入的路径里都没过时,一来是不可判定问题,二来即使允许假阳性,要覆盖常见情况也比较复杂,很可能没有人实现。
因此发生你见到的现象。收到警告并不是出于警告的目的,而是出于没有适时取消警告的目的。
29 天前 回复了 NineTree 创建的主题 › 分享创造 › 诗 300 https://shi300.com/ |
但是“诗三百”的典应该是《论语》评价《诗经》?
30 天前 回复了 drymonfidelia 创建的主题 › 信息安全 › AES-256-GCM 和使用两个不同密钥进行两次 AES-128-GCM 加密,哪个更安全? |
@Kauruus #5 结论是对的,但论证有些问题。密钥错误的时候以压倒性的( overwhelming )概率报错,但不能排除解出乱七八糟结果而没有报错的情况,遍历所有密钥的时候遇到不报错的错误密钥的概率可能很高。解决方法就是多试几次。
另外楼主的问题里面,“加密两次”的含义不明确,因为基于 AES 的加密通常不需要隐藏 IV ,外层加密的时候内层 IV 设置为明文还是关联数据,会导致不同的攻击方法。攻击多层加密的一般方法是所谓的 meet in the middle ,尤其对于加密随机数公开的对称加密(常见的基于 AES 的加密,加密随机数就是 IV ,是公开的)。
另外楼主的问题里面,“加密两次”的含义不明确,因为基于 AES 的加密通常不需要隐藏 IV ,外层加密的时候内层 IV 设置为明文还是关联数据,会导致不同的攻击方法。攻击多层加密的一般方法是所谓的 meet in the middle ,尤其对于加密随机数公开的对称加密(常见的基于 AES 的加密,加密随机数就是 IV ,是公开的)。
32 天前 回复了 mocococ 创建的主题 › 问与答 › 最近对 OTP(一次性密码)密码算法比较感兴趣,想要请教一下,有什么方法可以破除 OTP 密码? |
One-time password 就是 MAC (消息认证码)的一种应用,如果用 HMAC ,那么根据 https://cseweb.ucsd.edu/~mihir/papers/kmd5.pdf 破解的方法是破解底层散列函数的抗碰撞性或者用作 MAC 时的特称不可伪造性( existential unforgeability, EUF )。通常认为使用的散列函数满足这两个性质,因此在模型内无法破解(当然,知道 HMAC 密钥自然就破解了)。
@NoOneNoBody #3 “破解”一词的三重理解:
1. 一种无法言说的意思
2. 及物动词,必须搭配一个宾语,且宾语必须是某个安全性质的名字
3. 及物动词,宾语可以是安全性质的名字或者密码学对象的名字,如果是后者,则意思等同于 宾语 = 此密码学对象所属类型的最常见的安全性质
通常来说,散列函数最常见的安全性质是指抗碰撞性,因此“破解散列函数”的意思就是“能够较高效地找到散列函数的碰撞”,所谓“逆向搜索”一般来说理解为计算原像,即破解单向性,破解单向性蕴涵着破解抗碰撞性,因此“没能破哈希”对于某些散列函数是错误的说法。
当然,我们回到 1 的理解,可以 psychic debug 你的意思是说没有听过能破解散列函数构造的 HMAC 的安全性,这对于一些散列函数也是不对的,比如 MD5 的抗碰撞性质已经破解(允许选择前缀攻击),因此单纯用 MD5 制造的 HMAC 不安全。
当然,one-time password 使用 MAC 的方式表明即使破解了 EUF 也不代表就能破解 one-time password ,因为 one-time password 里面被认证的消息是时间戳,并不允许使坏者( adversary )任意选择。
@NoOneNoBody #3 “破解”一词的三重理解:
1. 一种无法言说的意思
2. 及物动词,必须搭配一个宾语,且宾语必须是某个安全性质的名字
3. 及物动词,宾语可以是安全性质的名字或者密码学对象的名字,如果是后者,则意思等同于 宾语 = 此密码学对象所属类型的最常见的安全性质
通常来说,散列函数最常见的安全性质是指抗碰撞性,因此“破解散列函数”的意思就是“能够较高效地找到散列函数的碰撞”,所谓“逆向搜索”一般来说理解为计算原像,即破解单向性,破解单向性蕴涵着破解抗碰撞性,因此“没能破哈希”对于某些散列函数是错误的说法。
当然,我们回到 1 的理解,可以 psychic debug 你的意思是说没有听过能破解散列函数构造的 HMAC 的安全性,这对于一些散列函数也是不对的,比如 MD5 的抗碰撞性质已经破解(允许选择前缀攻击),因此单纯用 MD5 制造的 HMAC 不安全。
当然,one-time password 使用 MAC 的方式表明即使破解了 EUF 也不代表就能破解 one-time password ,因为 one-time password 里面被认证的消息是时间戳,并不允许使坏者( adversary )任意选择。
35 天前 回复了 drymonfidelia 创建的主题 › JavaScript › 避免 Math.ceil(1.1 * 100) == 111 的最佳实践是什么?用户支付金额不对不能入账,排查了半天才发现 JS 这个逆天设计,好像别的语言也有这样的 |
Select Language