V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
This topic created in 2397 days ago, the information mentioned may be changed or developed.
例如,12306 外挂这么多,为啥没有前端加密,后端解密呢, 后端响应也加密呢,小白,纯属好奇,问一下各位大佬😂轻喷
 |
1
KyonLi Oct 12, 2019
右键检查
|
 |
2
drlalll Oct 12, 2019
前段再怎么加密代码还不是被看得清清楚楚的。
|
 |
3
Vegetable Oct 12, 2019
可以,但没必要。
增加那点开发成本和巨大的收益比起来,根本没有意义。 |
 |
4
msg7086 Oct 12, 2019
你都说了前端加密了。前端的代码都在浏览器,加密不加密有什么区别吗?都是用户控制的设备和环境。
|
 |
5
css3 OP |
 |
6
ochatokori Oct 12, 2019 via Android
可以,但没必要
后端本来服务器资源就不太够,还要浪费去没什么用的解密 |
|
7
css3 OP |
 |
8
yplove156 Oct 12, 2019
我的网站的接口就是加密了的 http://xfisher.com
|
|
9
msg7086 Oct 12, 2019
@css3 做外挂的是初级用户吗?
而且比起模拟 POST,更方便的就是开个什么键盘模拟直接在浏览器上点点划划…… 说来以前我要从 AWS 的控制面板上下载每个月的账单,好几年的份却没有批量下载功能。于是搞了个 AutoIt 下来写了个脚本,浏览器里点击每个月的然后弹出框里点保存,然后去吃了个午饭回来就全下好了。 你说我去模拟 POST 干啥。 |
 |
10
gitstash Oct 12, 2019
前端很有必要加密,不加密的都是懒而已
|
|
14
msg7086 Oct 12, 2019
@css3 手抓包简单还是直接弄个无头浏览器简单呢还是写个浏览器插件直接往网页上填数据简单呢。
当然你要说初级程序员等于不会用更方便的方法只会用笨办法的话,倒也是有点道理的。 等他们成长为资深程序员了就不怕加密了。 |
 |
15
66450146 Oct 12, 2019
没必要,防重放攻击只要用一个短效 token 就行了
或者用 protobuf 这种非文本形式的协议 |
 |
16
ntdll Oct 12, 2019
没有必要。因为阻止初级用户并没有意义。
现在 12306 还有几个人是自己写的,都是用别人写好现成的。 而这些人都不是初级用户。还耗费了服务器资源。 |
 |
17
LeeSeoung Oct 12, 2019
你浏览器能发起的请求 任何人都能模拟。。就看成本了。而且不用加密而用其他手段来限制你的方法很多。。
|
 |
18
JerryCha Oct 12, 2019
加解密是需要额外性能的,真当初级用户破不了这种小把戏啊。
还有,你用啥加密,RSA 公钥? |
 |
19
ipwx Oct 12, 2019
做外挂的哪是初级用户。。。
你辛辛苦苦做了前段加密,人工成本先不说,让用户浏览器多了很多没必要的计算量,这都是降低用户体验的啊。还有服务器加解密,真当服务器是土里长的土豆? 关键是它真的不管用。。。管用的就算是开销大也得上,比如 HTTPS。 |
 |
20
littlespider89 Oct 12, 2019
只要是浏览里人能操作的(除验证码一类的),理论上都可以爬虫都可以模仿
|
 |
21
abcbuzhiming Oct 12, 2019
楼主可能并不清楚 http 服务的设计哲学是什么,总之 http 服务并不靠局端加密来保证系统安全,http 只考虑传输过程加密
|
 |
22
humor66 Oct 12, 2019
我网站也都是加密的, https://blog.shuipingguo.com 接口藏起来了,
|
 |
23
reus Oct 12, 2019
多余,防君子不防小人,但做外挂的哪有君子?
|
 |
24
Mohanson Oct 13, 2019 via Android  3
最近正好接触密码学,简单和回答一下:在信道安全的假设下,对通信数据做加密是没有意义的。比如你登录远程 linux 服务器,你是直接输入明文密码的。而在信道不安全的情况下,对通信数据加密有意义又没有意义:因为你必须把密钥通过信道传送给对方。
所以世界上正经的计算机科学家都在解决信道安全问题: https, ssl, tls 等,(删掉)而剩余的民科则在研究前端加密(删掉)。 |
 |
25
starsriver Oct 13, 2019 via Android
普通人不需要加密,做爬虫的你加密也没用。
吃饱了撑的做这种活。没有意义 |
 |
26
musi Oct 13, 2019
12306 有验证码了啊,能破了的都不是初级程序员,破不了的就直接 pass 了
|
 |
27
love Oct 13, 2019
楼上有些挺可笑的,还扯到性能,参数加个密有什么性能损失
如果真要让外挂开发者不好受,前端加密当然是有必要的,如果有个专人搞这个并经常变变算法小细节,能挡掉大部分并让剩下的难受得一 b |
 |
28
jinliming2 Oct 13, 2019 via iPhone
面对初级用户,也就抓抓包自己用着方便的,你也没必要去限制人家。
要是已经抓包然后转成一个可以对外开放使用的工程了,可以产生大量请求了,那已经不是初级用户了,你加密也限制不了的。 |
 |
29
wafm Oct 13, 2019
对抗外挂最有效的办法不是使用强硬的技术手段,而是比比看谁更猥琐。
|
 |
30
a1274598858 Oct 13, 2019
12306 今年启用了浏览器特征码..几天换一次算法,最后还不是被破解了
|
 |
31
dalin520 Oct 23, 2019
没必要加密,直接加个 token 就可以了,等于就是加个 cookie 或者 session 用于鉴权。你看过那个网站请求个接口还要参数加密的?
|
Select Language