首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  raw0xff  ›  全部回复第 3 页 / 共 14 页
回复总数  277
1  2  3  4  5  6  7  8  9  10 ... 14  
319 天前
回复了 raw0xff 创建的主题 OpenAI 小白求科普,未来 ai 是中心化的服务还是终端进行计算?
@ztm0929 是不是训练迭代自家模型的同时再开放给付费用户还能收回一些成本。
320 天前
回复了 RiverRay 创建的主题 Node.js 专门给喜欢在 NPM 上造轮子的同学, 造了一个轮子
谢谢你,造轮侠
333 天前
回复了 raw0xff 创建的主题 程序员 如果只用 WebAuthn(Passkey)做网站唯一登录凭证是否靠谱?会有哪些安全风险和弊端?
@jocover 你的设备有没有在 fido (登记?获取?)证书?
抱歉你说的非常对,当时忽略了用户认证器设备的验证,如果服务端不验证用户认证器就存储公钥,那么就有可能存在中间人。可否留个小飞机请教一些问题?
338 天前
回复了 suriv520 创建的主题 程序员 请大家帮忙测试一下国产安卓机的默认浏览器或者 Chrome 是否支持 WebAuthn 认证
@wanghaolong613 我没试过,安卓加个梯子试试?
338 天前
回复了 suriv520 创建的主题 程序员 请大家帮忙测试一下国产安卓机的默认浏览器或者 Chrome 是否支持 WebAuthn 认证
@wanghaolong613 我用 PC+iPhone 测试不需要配对,PC+Android 机我不知道。
348 天前
回复了 docxs 创建的主题 NAS 想整个旁路由,用 N100 咋样啊?
借楼问一嘴,n100 想跑 docker 同时想体验一下 win 系统的最佳安装实践是什么?把 docker 装 win 里?还是 pve 分开装?用 pve 的话 docker 装 Ubuntu 或者 debian 里吗?
2024-06-06 00:57:32 +08:00
回复了 busier 创建的主题 程序员 实现一个纯 Web 界面的端到端加密临时聊天对话思路是否可行?
@Nazz 我对逆向工程不懂,wasm 嵌入证书的话是否会被逆向出来? wasm 中的变量是否会被恶意 js 脚本读出来?
2024-06-06 00:45:46 +08:00
回复了 raw0xff 创建的主题 JavaScript cloudflare workers 传入网页时注入脚本的话,是不是服务端设置 CSP 也没办法保证完整性?
@0o0O0o0O0o 大佬方便飞机向您求教吗?

我的 rsa 公钥

-----BEGIN RSA PUBLIC KEY-----
MIGJAoGBALJxVGJhfs6tY1kKUl9y4k/5qXoYTn+/mS8keK9CmzvyPJ63hF7HHG37
ZaLCNZIWrUf2dwtepuXVf40H+SAsRMDMy4/BRlovlqSIClGudAuCVVOxelNoQ3Sc
nKiyPjPmlbkBJVL1JclXq17g8p5SlBmGeePCM7/75J8uTuarboxDAgMBAAE=
-----END RSA PUBLIC KEY-----

https://try8.cn/tool/cipher/rsa
2024-06-06 00:42:03 +08:00
回复了 busier 创建的主题 程序员 实现一个纯 Web 界面的端到端加密临时聊天对话思路是否可行?
大概分三个问题:用户身份验证、私钥安全存储、页面完整性校验

目前被困在页面完整性实时校验问题上。
2024-06-05 21:59:25 +08:00
回复了 busier 创建的主题 程序员 实现一个纯 Web 界面的端到端加密临时聊天对话思路是否可行?
@busier 你可能没有意识到在不能保证用户访问的第一个页面的完整性的前提下 e2ee 并不安全。
2024-06-05 19:30:46 +08:00
回复了 busier 创建的主题 程序员 实现一个纯 Web 界面的端到端加密临时聊天对话思路是否可行?
@0o0O0o0O0o 哈哈总会碰到 oo 大佬,你这个链接也给过我。
2024-06-05 19:28:05 +08:00
回复了 busier 创建的主题 程序员 实现一个纯 Web 界面的端到端加密临时聊天对话思路是否可行?
@Nazz 全走 wasm 的目的是?

客户端浏览器临时生成密钥对除了 webcrypto api 和在 wasm 中生成,还有哪些方式?(不算浏览器扩展的话)
window.crypto.subtle.generateKey 时 extractable:ture 的话可以导出私钥,我觉得还是有一定风险的。
所以你说的全走 wasm 意思是在 wasm 沙盒中生成公私钥对吗? wasm 存私钥的变量是否会被 js 读出来?

楼主可以看看去年的 nostr 项目,应该也属于 e2ee.
2024-06-05 00:10:11 +08:00
回复了 gulullu 创建的主题 OpenAI GPT 挂了吗?
ChatGPT 目前 Major Outage ,API 的目前还能用。
哎~ poe 与 plus 间反复跳,最终还是都充了。
2024-04-17 19:55:31 +08:00
回复了 Cola98 创建的主题 程序员 nextjs 正确使用方式
对 next.js 一无所知,弱弱的问一下如果我用 next.js 写一个带页面的后端服务给别人用,是不是就相当于把源代码都给了别人?
2024-04-16 17:45:56 +08:00
回复了 raw0xff 创建的主题 JavaScript cloudflare workers 传入网页时注入脚本的话,是不是服务端设置 CSP 也没办法保证完整性?
@caomingjun 对不起,你是对的,标头可以修改,但是返回给浏览器前 cloudflare 会重新改回来。所以网站是否用了 worker 是可以从响应头分辨的。
2024-04-08 23:11:28 +08:00
回复了 raw0xff 创建的主题 JavaScript cloudflare workers 传入网页时注入脚本的话,是不是服务端设置 CSP 也没办法保证完整性?
@0o0O0o0O0o 好像真的无解,即便关键代码写成 wasm 也没啥用。
2024-04-08 22:42:16 +08:00
回复了 raw0xff 创建的主题 JavaScript cloudflare workers 传入网页时注入脚本的话,是不是服务端设置 CSP 也没办法保证完整性?
@r46mht
感谢回答。问题就出在你说的静态网页上,也就是说无法保证用户访问的第一个网页的完整性。如果可以的话,后续任何代码变动都可以被 csp 和 sri 约束。
15 楼给的链接 https://news.ycombinator.com/item?id=39436238 里有讨论到。
2024-04-08 21:10:13 +08:00
回复了 raw0xff 创建的主题 JavaScript cloudflare workers 传入网页时注入脚本的话,是不是服务端设置 CSP 也没办法保证完整性?
@0o0O0o0O0o 服务端应用给每次请求登录时的页面内包含随机值且记录下来,登录时 js 将自己的网页 hash 一并发给服务端,服务端验证 hash 后再进行登录验证。 大佬帮忙看这逻辑有没有漏洞?
2024-04-08 20:33:55 +08:00
回复了 raw0xff 创建的主题 JavaScript cloudflare workers 传入网页时注入脚本的话,是不是服务端设置 CSP 也没办法保证完整性?
@0o0O0o0O0o 感谢大佬,真巧重合度很高,文中说的方式试过一些,CSP SRI IPFS 再叠上一些加密方式的 buff 。但是没有一个完美的解决方案。
1  2  3  4  5  6  7  8  9  10 ... 14  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2644 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 24ms · UTC 12:56 · PVG 20:56 · LAX 05:56 · JFK 08:56
Developed with CodeLauncher
♥ Do have faith in what you're doing.