shansing 最近的时间轴更新 shansing 最近的时间轴更新 |
shansing闪闪的星 V2EX 第 212256 号会员,加入于 2017-01-25 18:00:48 +08:00今日活跃度排名 3425 |
https://shansing.com
湖南省耒阳市
shansing
shansing 最近回复了
1 天前 回复了 smilzman 创建的主题 › 信息安全 › 推荐一下自己用的密码管理方案 |
楼主竟然在代码里投毒!
因为基于花密做了自己的修改版( https://shansing.com/read/477/ ),我看到楼主也是记忆密码+区分代号的形式(之后也从代码看出借鉴花密的地方),想稍微看看优缺点(其实主要是看缺点的,逃)。花一会儿工夫看懂代码以后,却怎么也调试不出预期结果。费了好几番心思才发现,楼主提供的 .js 和 .min.js 不一致!我调试时用网页加载的 .min.js ,然而看代码用的 .js 。进一步分析认为是 punctuation 变量不同值导致的。
然后来说说我的拙见。
楼主的可选项确实比我的丰富一些:我的沿袭花密,没有让用户决定更多东西。让我感兴趣的是,楼主是怎么将“使用标点”和“禁用标点”融合在一起的。看代码,原来是使用了可改变的字母表( alphabet 变量)。然后根据 hash hex 每个字符的 ASCII 码,每次累加,索引字母表。初看我觉得这个想法很好,不过越想越觉得不优雅。
现在讨论 .min.js 那一套,也就是网页上使用的算法;默认设置,即使用标点,字母区分大小写。根据 hash hex 的特性,每个字符只有 16 种可能,加上大小写的指定,有 22 种。那么对应的 ASCII 码也是 22 种可能( 48~57,65~70,97~102 )。由此得出,最终密码的第一个字符必然是 GHIJKLMNOPXYZabc456789 其中之一。之后的累加,也只有 22 种特定分布的步长,也许会造成最终密码中一些字符比另一些更可能出现。话说回来,即使步长是均匀分布的,也会造成类似情况。当然这不是硬伤,只是最终密码没有看上去那么强壮。
我能想到的暂时是这样。不知道楼主为什么要混淆 hash 值,在我看来这既没必要(除非坚持可变字母表)也增加安全风险,好似篡改了 hash 算法。而密码学最佳实践要求,不要自造加密算法。我想 hash 算法是类似的道理吧。
因为基于花密做了自己的修改版( https://shansing.com/read/477/ ),我看到楼主也是记忆密码+区分代号的形式(之后也从代码看出借鉴花密的地方),想稍微看看优缺点(其实主要是看缺点的,逃)。花一会儿工夫看懂代码以后,却怎么也调试不出预期结果。费了好几番心思才发现,楼主提供的 .js 和 .min.js 不一致!我调试时用网页加载的 .min.js ,然而看代码用的 .js 。进一步分析认为是 punctuation 变量不同值导致的。
然后来说说我的拙见。
楼主的可选项确实比我的丰富一些:我的沿袭花密,没有让用户决定更多东西。让我感兴趣的是,楼主是怎么将“使用标点”和“禁用标点”融合在一起的。看代码,原来是使用了可改变的字母表( alphabet 变量)。然后根据 hash hex 每个字符的 ASCII 码,每次累加,索引字母表。初看我觉得这个想法很好,不过越想越觉得不优雅。
现在讨论 .min.js 那一套,也就是网页上使用的算法;默认设置,即使用标点,字母区分大小写。根据 hash hex 的特性,每个字符只有 16 种可能,加上大小写的指定,有 22 种。那么对应的 ASCII 码也是 22 种可能( 48~57,65~70,97~102 )。由此得出,最终密码的第一个字符必然是 GHIJKLMNOPXYZabc456789 其中之一。之后的累加,也只有 22 种特定分布的步长,也许会造成最终密码中一些字符比另一些更可能出现。话说回来,即使步长是均匀分布的,也会造成类似情况。当然这不是硬伤,只是最终密码没有看上去那么强壮。
我能想到的暂时是这样。不知道楼主为什么要混淆 hash 值,在我看来这既没必要(除非坚持可变字母表)也增加安全风险,好似篡改了 hash 算法。而密码学最佳实践要求,不要自造加密算法。我想 hash 算法是类似的道理吧。
3 天前 回复了 ihciah 创建的主题 › 分享创造 › 用 Golang 糊了一个 TCP 双边加速器 |
不错诶。之前就经常有单线程速率不如多线程的情况,这下可以提速了。
4 天前 回复了 mokeyjay 创建的主题 › V2EX › 为什么发表回复时偶尔会跳到一个独立回复页面? |
刷新 csrf token ?
5 天前 回复了 Giethoorn 创建的主题 › 问与答 › js 能实现全站 301 重定向吗? |
@Giethoorn 你为什么只加一行呢……
5 天前 回复了 Giethoorn 创建的主题 › 问与答 › js 能实现全站 301 重定向吗? |
@Giethoorn 看到你在用 .htaccess,那么再加入以下代码就能实现 HTTP 301 重定向到 HTTPS 了:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>
5 天前 回复了 Giethoorn 创建的主题 › 问与答 › js 能实现全站 301 重定向吗? |
15 天前 回复了 voidless 创建的主题 › Apple › pc 有什么办法能够方便地将一些文本或者图片传送到 ios 上 |
Airdroid,也适用于 iOS,可以传文本和照片。照片会保存到相册。支持局域网传输。
17 天前 回复了 xiulu 创建的主题 › 问与答 › 关于信息泄露,老是接到一些骚扰电话问题的请教 |
@xiulu 阿里小号若干月前就进入所谓维护期了,APP 上应该有个公告你可以看下。可能不会放新号了。现在老用户换号也不允许。
19 天前 回复了 chibupang 创建的主题 › 京东 › [求购京东豆] 求购 5000 京东豆,价格可商量 |
开个 PLUS 领 500-20 券先(
好吧,不能先买 E 卡然后抵消吗?
好吧,不能先买 E 卡然后抵消吗?
19 天前 回复了 gam2046 创建的主题 › 信息安全 › 是否有对抗 Web FingerPrinting 的方法? |
PS:以前还用过软件叫 TrackOFF,看起来很专业,不过是收费的。
Select Language