首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  WngShhng  ›  全部回复第 4 页 / 共 29 页
回复总数  563
1  2  3  4  5  6  7  8  9  10 ... 29  
79 天前
回复了 WngShhng 创建的主题 程序员 少数派发了一篇文章,偶遇“大神” fastQ
@NotLongNil 我本来是觉得,第一数据在用户那里,第二这个功能是可选的。我当初只是想防止用户数据被网盘扫描以及在网络传输过程中被网络提供商扫描。我现在确实有更好的方案了,谢谢
79 天前
回复了 WngShhng 创建的主题 程序员 少数派发了一篇文章,偶遇“大神” fastQ
@nbndco 存密码,像上面说的,如果服务器被破解也不好吧…或许上面提到的那个 1password 的方案,用户设置密码时候生成一个文件(可以基于 RSA ),然后让用户自己保存文件是一个比较好的方案。和你们说的差不多,公私钥每个用户唯一
79 天前
回复了 WngShhng 创建的主题 程序员 少数派发了一篇文章,偶遇“大神” fastQ
@wy315700 不好意思,我确实没看懂,在我这里 IV 不是用户输入的吗?是从 48 位里截取出来的
79 天前
回复了 WngShhng 创建的主题 程序员 少数派发了一篇文章,偶遇“大神” fastQ
@Puteulanus 我没有宣扬…我做的是一个笔记软件,对安全性要求不如 1password 那么高吧,不过你说的这种确实是一个方案。
79 天前
回复了 WngShhng 创建的主题 程序员 少数派发了一篇文章,偶遇“大神” fastQ
@likelylee 感谢,你说的这些我确实不了解,我说的“Android 本身并不安全”,指的是 Android 应用不安全。其实我当初想的是,既然用户自己可以存储自己的文件,那么只要他能够自己保证文件的安全性就可以了,加密的逻辑主要针对的是比如网盘,让网盘无法扫描用户的文件就可以了。或者,大不了就是取消勾选那个选项。因为实际上就是一个笔记软件,如果只用 AES 加密也是足够的…RSA 这块就是担心有些用户自己忘了密码,然后跑来找我要密码…
79 天前
回复了 WngShhng 创建的主题 程序员 少数派发了一篇文章,偶遇“大神” fastQ
@sanebow 是这样的,这当然不算最安全的做法,之前我确实没了解密钥派生
79 天前
回复了 WngShhng 创建的主题 程序员 少数派发了一篇文章,偶遇“大神” fastQ
@a4526047 OK ,我已经意识到我的问题,那么这种情况你有什么好的建议吗?我现在就是学习的心态
79 天前
回复了 WngShhng 创建的主题 程序员 少数派发了一篇文章,偶遇“大神” fastQ
@smlcgx 我服务器不会记录用户的文件,如果被黑,他们能拿到密钥,但是没有文件。你说的再增加一个可信设备是指什么?或者对这种情况,你有什么好的方案吗?
79 天前
回复了 WngShhng 创建的主题 程序员 少数派发了一篇文章,偶遇“大神” fastQ
@nbndco 那这样就只能让用户丢失数据了?如果用户跑来跟你要数据怎么办?
79 天前
回复了 WngShhng 创建的主题 程序员 少数派发了一篇文章,偶遇“大神” fastQ
@nbndco 如果不使用 RSA 加密密钥,那实现起来更容易,但是如果用户忘记了自己的加密密钥,你有什么好的方案吗?前提是,服务器的用户信息和用户的笔记文件没有任何联系。就是一个文件给你,你有什么好的方案吗?
79 天前
回复了 WngShhng 创建的主题 程序员 少数派发了一篇文章,偶遇“大神” fastQ
@wy315700 我理解你们说的,但是实际上开发的时候根本行不通,因为服务器记录的数据和用户本身没有任何联系,我服务器的用户数据只和会员信息绑定
79 天前
回复了 WngShhng 创建的主题 程序员 少数派发了一篇文章,偶遇“大神” fastQ
@likelylee 其实是因为做这种笔记软件,比较担心用户数据丢失,所以才加了 RSA 这套逻辑。离线的方式还是考虑到因为 Android 本身并不安全,所有离线的逻辑都有可能被破解,身份认证除了应用级别的认证,服务器的用户信息和用户文件没有任何联系,无法用来验证。
79 天前
回复了 WngShhng 创建的主题 程序员 少数派发了一篇文章,偶遇“大神” fastQ
@nbndco 这说不上“把所有解密密码拱手送给攻击者”,因为私钥在我这里,攻击者没有私钥
79 天前
回复了 WngShhng 创建的主题 程序员 少数派发了一篇文章,偶遇“大神” fastQ
@likelylee 你说得对!但是我还是请教一下,如果 RSA 作为一个可选项的话,那么该如何评论呢?
79 天前
回复了 WngShhng 创建的主题 程序员 少数派发了一篇文章,偶遇“大神” fastQ
@nbndco 这“和明文一样”我不知道你怎么得出的这个结论…因为我没有文件,所以我无法解析用户的文件。我觉得你的这种担心纯粹多余,因为如果我想获取用户的内容,用户输入的时候就可以获取。
79 天前
回复了 WngShhng 创建的主题 程序员 少数派发了一篇文章,偶遇“大神” fastQ
@oott123 如果用户对安全性有更高的要求,那么他只需要不勾选写入逻辑就可以了。
79 天前
回复了 WngShhng 创建的主题 程序员 少数派发了一篇文章,偶遇“大神” fastQ
@nbndco 这怎么就形同虚设了呢…你不选择它不就完了吗,我提供给用户的只是一个选项
79 天前
回复了 WngShhng 创建的主题 程序员 少数派发了一篇文章,偶遇“大神” fastQ
@oott123 我在应用的帮助文档里面有简单的说明。分配独立的密钥,技术上可以,但是会增加应用使用的复杂度,如果引入太多的东西,容易让用户费解
79 天前
回复了 WngShhng 创建的主题 程序员 少数派发了一篇文章,偶遇“大神” fastQ
@oott123 密钥派生这点没问题。加密过程中是可以不勾选将用户密钥写入的,那么这样就是单纯的 AES 加密,我加这个功能只是一个可选项......防止用户忘记密钥,如果不勾选就需要用户自己记住密钥,那么即便别人拿到文件也无法破解啊
79 天前
回复了 WngShhng 创建的主题 程序员 少数派发了一篇文章,偶遇“大神” fastQ
@nbndco 因为软件里的数据本身是私有化的,也就是存储在用户自己手机或者网盘上,所以,要想解密别人的文件,你得有他的文件,其次,如果用户觉得写入密钥的功能不妥,他可以不勾选,那么我们就不会写入,这样即便别人拿到自己的文件也无法破解,我提供这个功能只是防止用户忘记密钥,如果不勾选就需要用户自己记住密钥,仅此而已
1  2  3  4  5  6  7  8  9  10 ... 29  
关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   833 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 15ms · UTC 22:53 · PVG 06:53 · LAX 15:53 · JFK 18:53
Developed with CodeLauncher
♥ Do have faith in what you're doing.