liuidetmks

liuidetmks

V2EX 第 220603 号会员,加入于 2017-03-13 10:42:32 +08:00
今日活跃度排名 9468
根据 liuidetmks 的设置,主题列表被隐藏
二手交易 相关的信息,包括已关闭的交易,不会被隐藏
liuidetmks 最近回复了
2 天前
回复了 lstz 创建的主题 程序员 不解,为什么程序员做产品一定要出海?
国内几个愿意付费?羊毛党还多。
5 天前
回复了 programMrxu 创建的主题 摄影 新人买相机
op 说相机,大家不要说手机了,手机挂脖子上有相机的范儿?

我的建议是 预算 * 1.2 以内的顶配
20 天前
回复了 gk2014 创建的主题 程序员 放弃幻想吧,苦逼的码农们
@echo1937 一辆火车司机能顶几百辆卡车了,AI 一个以后能顶几万个码农
@jhdxr
0.掌握服务器的全部权限,
1.黑客同时修改前端代码使得明文传输,
2.修改后端代码各个接口都能兼容,业务正常。这样才能不让发现。
3.应对站长每次程序更新(防止被发现潜伏,保证站长的业务正常运行,保证黑客代码正常运行)
4.潜伏足够久,让足够多用户重新登录,这样才能拿到可观数量的密码明文

这样门槛已经很高了,属于高级持续性威胁「 APT 」范畴了,
发动这种攻击成本是很大的,一般是需要有巨大商业或者政治上的回报。

而不获取用户密码明文这一个操作,已经是前向安全的措施了,先前的用户密码明文不会泄露。
也不会因为你网站泄露导致其他网站牵连受害。

现实中的黑客攻击,更多的是一次打包取数据库,日志文件等有价值的数据,顺道挖个矿,然后站长发现异常登录,然后修复漏洞,打系统补丁。

技术上来讲,现在服务一般不是一台电脑,不是一个程序,用户的数据在不同主机上不同程序之间流动,
你永远不知道其他数据节点的程序会对你的数据做什么操作,有些可能是你的同事,有些可能是云平台(上面说的,网关日志,还有 各种 XaaS ,他们的日志你甚至无法关闭 )

密码当然是越少人知道越好,最好是只有用户自己
用户的密码明文永远只存在于用户的内存中。
23 天前
回复了 zywscq 创建的主题 Python 绝了, Python 里面没 if 也能用 else
int function(void) {
static int i, state = 0;
switch (state) {
case 0:
for (i = 0; i < 10; i++) {
state = 1;
return i;
case 1:;
}
}
}

这样的不是更绝绝子
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2634 人在线   最高记录 6543   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 11ms · UTC 05:44 · PVG 13:44 · LAX 22:44 · JFK 01:44
Developed with CodeLauncher
♥ Do have faith in what you're doing.