shellus 最近的时间轴更新
shellus

shellus

V2EX 第 95868 号会员,加入于 2015-02-05 14:13:20 +08:00
PHP 最容易出漏洞的语言?
程序员  •  shellus  •  2022-09-28 17:52:32 PM  •  最后回复来自 hobart
18
IPV6 安全性问题,端口全都暴露在公网?
  •  1   
    程序员  •  shellus  •  2022-09-25 19:24:30 PM  •  最后回复来自 hez2010
    27
    这张图能检测你大脑的物理建模模拟能力
     •  shellus  •  2021-07-14 11:58:12 AM  •  最后回复来自 InDom
    2
    阿里云 OSS 的服务端加密有什么意义?
    程序员  •  shellus  •  2020-06-24 22:43:40 PM  •  最后回复来自 vincent321
    28
    做正确的事,到底什么才是正确的?
    程序员  •  shellus  •  2020-07-30 20:59:08 PM  •  最后回复来自 smallthing
    37
    shellus 最近回复了
    假的做不做都可以: 找出根本区别再进行选择
    真的完全做不做都一样:绝对不做!
    139 天前
    回复了 txzh007 创建的主题 程序员 如何平衡开发效率和代码优雅性?
    依次辩驳一下前面发言:
    1. 下一任维护者眼里就是坨便便
    说明你从没看过好代码,所以任何你看不懂的代码你都觉得是坨便便,这只是你个人的问题,并不是普遍情况,好的代码很多,就像艺术品,可惜你没见过或者见到了也认不出。
    好的代码并不是说设计模式用的多,代码行数少,而是它精准的满足了需求,不多不少,也不会因为炫技或者盲目满足某些设计规范而增加代码复杂度。

    2. 给多少钱干多少事
    这很好解答,你应该找愿意为你能力买单的工作,而不是有多少钱干多少事,别告诉我你的能力已经没人能出的起对应价格了,也许你应该重新自我评估。

    3. 很多来源于需求不明确
    需求从来都是不断变化的呀,变化也是需求的一部分。这是我们本来就应该努力做好的工作。

    4. 这东西是我继续负责的话代码质量写好一点
    这和外地人在街上吐痰拉屎有什么区别?不是我家我就糟蹋,我就没素质,因为环境好了我也无法享受到成果?这是一种严重的误解。
    人生从来就是过程而不是结果,就像你吐了一口痰,走几步你就会踩到一坨屎,因为前面一个人也是和你一样想的。
    另一点误解就是,你其实很难选择写出“好代码”,你只能在写出“符合我水平代码”和“糟糕的代码”之间选择。

    5. 老板懂的话代码质量就写高一点
    老兄,你该换工作了,如果老板甚至都不知道你的工作成果的质量水平,凭什么认为他会给出合适的待遇呢?
    如果他给多了而不是给少了,那么说明他连基础的市场买卖都没搞懂,项目也不会在市场上脱颖而出,简而言之就是没有未来。
    另一方面讲,如果给多了,为什么你没有点感恩的心态,努力将事情做好,匡扶汉室于危难?而是一边拿着有愧的待遇,一边还做着不负责任的事情?

    6. 个人追求可以自己搞点开源项目
    工作对于大部分人来说就是人生中最重要的事情,如果可以,最好将全部的精力和时间投入其中。
    除非你已经摸到了职业生涯的天花板,哦~ 抱歉,我不小心摸到了你的痛处。

    7. 评估时间内完成任务放第一位
    这是正确的,但用一个正确的观点来论证另一个问题是不合逻辑的。
    在保证完成任务的前提下,剩余的空间才是讨论项目完成质量的空间。

    ---

    最后,我很痛心,看到这么多负面的关于项目质量的发言,使我对这个行业的未来感到担忧,也对你们可能被 AI 或者其他什么东西取代而失去赖以糊口的工作产生担忧。
    我希望行业中能出现更多的独立思考和发言,更多的对于技术的热爱和对于工作的责任感。
    少一些负面情绪,多一些积极的态度,这样我们的行业才会有更好的未来。
    赶日超美,加油!希望我们行业的后辈不再说出那句“国外的软件更发达”,就像我们现在已经不再说“国外的汽车更好”一样。
    @BadFox 赞同零信任的方案,使用零信任架构后,就没有内网的概念了,所有设备在一个虚拟网络中,并且所有的流量都是加密的。
    我用的零信任架构有本地发现和点对点连接,内网外网访问,和直接用局域网 IP 访问没有什么能感觉到的速度差异。
    259 天前
    回复了 1inzhechi 创建的主题 Android 小米是不是不让用李跳跳了
    @810244966 系统备份导致的,每次备份会清除无障碍授权
    截图:Win 键+Shift+S
    P2P 文件同步:SyncTrayzor
    虚拟机:VirtualBox
    命令行:Git Bash
    名字是微信,交个朋友
    黑产:各位说得对,SSL 真是毒瘤
    希望我们和各位一起齐心协力推动互联网安全倒退,回到那个幸福的年代。
    和菜鸡程序员比拼 JS 混淆加密
    轻松一点直接返回假页面绕过 js 加密钓鱼用户账号密码
    真是怀念啊,想不到各位和我们想到一块去了,SSL 真是毒瘤,各位加油,抹黑它,抵制它!
    357 天前
    回复了 tbc3211 创建的主题 程序员 生产环境开一个接口方便删除数据
    最危险的就是你了,如果你和公司闹掰了,你就会用这个漏洞去报复公司
    357 天前
    回复了 element90 创建的主题 程序员 为什么不结合签名的方式优化登录流程
    @element90 因为第一点,服务器必须持有固定的密码 MD5 ,而实际上,服务器一般储存密码哈希,这个密码哈希是随机加盐的,同一个密码每次计算出来都是不一样的,这样可以完全防止服务端密码泄露后可能产生的撞库攻击。
    如果为了在传输环境增加一点点毫无用处的密码泄露风险,而导致在数据库要储存几乎等同明文密码,我觉得得不偿失
    2023-11-27 17:33:22 +08:00
    回复了 element90 创建的主题 程序员 为什么不结合签名的方式优化登录流程
    sign = HASH(username + timestamp + MD5(password) )。

    POST Login:{ username, timestamp , sign }

    服务端怎么验证 sign ?需要服务器持有 MD5(password) 是吧?

    风险点 1:服务器持有固定的 md5

    风险点 2:登陆后得到的 token 或 sessionId ,仍然可以被利用。

    风险点 3:后续请求没有整体签名和加密,仍然可以被监听和篡改。

    最重要的,这个方法没有办法阻止中间人返回钓鱼页面或者注入恶意 JS 代码,中间人可以篡改登陆页面响应,注入一段键盘监听的 JS 脚本,或者干脆返回整个假的页面诱使用户输入密码。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2704 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 15:46 · PVG 23:46 · LAX 07:46 · JFK 10:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.