qwong's recent timeline updates qwong's recent timeline updates |
qwongV2EX member #45750, joined on 2013-09-21 18:20:17 +08:00 |
qwong's recent replies
Mar 21, 2024 Replied to a topic by userKamtao › 程序员 › 盼大佬解答,前端加密到底是不是脱裤子放屁? |
[網站前端打 API 時把密碼加密,有意義嗎?]( https://blog.huli.tw/2023/01/10/security-of-encrypt-or-hash-password-in-client-side/)
分享一下这篇文章,里面讲的很清楚了。
顺便摘录一下作者的观点:
1. 在 client 端传送密码前先把密码加密或是 hash ,确实能够增加安全性。
因为:
- HTTPS 因为各种原因失效时,攻击者无法取得明文密码
- 在 Server 端,没有任何人知道使用者的明文密码
- 明文密码不会因为人为失误被记录到 log 中
2. 以技术上来说,就算理论上一定会被破解,这些机制还是有意义的,它的意义在于增加破解难度,加壳、混淆都是一样的,不会因为「在 client 端的东西一定会被看穿」而不去做这些机制。
3. 重点在于你想保护的商业逻辑的价值,有没有高到你需要付出这些成本去做额外的安全机制
分享一下这篇文章,里面讲的很清楚了。
顺便摘录一下作者的观点:
1. 在 client 端传送密码前先把密码加密或是 hash ,确实能够增加安全性。
因为:
- HTTPS 因为各种原因失效时,攻击者无法取得明文密码
- 在 Server 端,没有任何人知道使用者的明文密码
- 明文密码不会因为人为失误被记录到 log 中
2. 以技术上来说,就算理论上一定会被破解,这些机制还是有意义的,它的意义在于增加破解难度,加壳、混淆都是一样的,不会因为「在 client 端的东西一定会被看穿」而不去做这些机制。
3. 重点在于你想保护的商业逻辑的价值,有没有高到你需要付出这些成本去做额外的安全机制
Nov 14, 2023 Replied to a topic by lijianmin321 › 分享创造 › V 站老哥太热情了, Airy 永久会员加送 9000,凑到 1 万 |
支持一下
Oct 27, 2023 Replied to a topic by aduangduang › 问与答 › 运气到底存不存在? |
Feb 5, 2019 Replied to a topic by zhuzhezhe › 2019 › 我还活着,各位新年快乐 |
新年快乐!早日康复!
Dec 30, 2016 Replied to a topic by silvernoo › 晒晒更健康 › 一年又一年,大家来晒下 2016 年已入的装备和 2017 年想入的装备吧!? |
2016: MBP
2017: 🚗
2017: 🚗
66
Jul 17, 2016 Replied to a topic by okevin › Android › 请问哪里能买到便宜的 nexus 机? |
5x 电池不够用
May 11, 2016 Replied to a topic by egonetworks › 推广 › 我们的活动没那么复杂,留言抽奖送 T 恤 |
有一件去年 ArchSummit 参加活动送的,再来一件看下样式变了没 :-D
Apr 4, 2016 Replied to a topic by aldnoah › 信息安全 › 听说学信网被脱裤啦~ |
2015-12-29 06:53:44 登录成功 116.127.145.112, 115.148.46.21
2015-12-28 19:57:10 登录成功 78.223.181.243, 69.175.71.162
看来至少在去年年底就被脱了... Orz
2015-12-28 19:57:10 登录成功 78.223.181.243, 69.175.71.162
看来至少在去年年底就被脱了... Orz
Select Language