MossFox 最近的时间轴更新 MossFox 最近的时间轴更新
江苏省
MossTheFox
MossFox 最近回复了
1 天前 回复了 cat9life 创建的主题 › 程序员 › 2026 年开始将没有人会 review vibe coding 的代码,就像没人会 review 编译器的输出结果一样 |
有点偏题,但是我遇到过编译器优化影响某些画图函数逻辑导致开关优化画出图有差异的。
因为赶时间就没去仔细排查原因,但是也是教会了我不要无脑相信编译器。
只不过编译器至少是保证设置一样,产物也一样。愿意细究的话不会是个无法排查的黑盒。
因为赶时间就没去仔细排查原因,但是也是教会了我不要无脑相信编译器。
只不过编译器至少是保证设置一样,产物也一样。愿意细究的话不会是个无法排查的黑盒。
10 天前 回复了 kaliawngV2 创建的主题 › 职场话题 › 程序员相对于大部分普通人,优势在于哪里? |
比普通的普通人更容易觉得自己不是普通人
10 天前 回复了 type 创建的主题 › 信息安全 › JSON 格式化工具数据泄露 |
@Greendays #3 一种情况是它的处理逻辑实际放在服务端,放客户端要么是怕被别人摸走直接用要么是怕被保存个本地版本之后没有访问页面的广告收入。特别大把的网页工具都喜欢干这事,什么都要上传。
谷歌搜个 1x1 透明 PNG 生成器都是个服务端生成回传的。今天的浏览器技术能本地模拟地球不能本地生成 1x1 透明 PNG 。
谷歌搜个 1x1 透明 PNG 生成器都是个服务端生成回传的。今天的浏览器技术能本地模拟地球不能本地生成 1x1 透明 PNG 。
10 天前 回复了 SWBMESSI 创建的主题 › 前端开发 › Canvas FPS 只有 10 几 求助 |
不知道具体实现细节,来随便猜一个看看。
如果是在鼠标事件监听器里面就操作 Canvas 画图的话,改成单独修改节点数据状态但不立即开始画,更新画布的时机统一等待 animation frame 。
如果是在鼠标事件监听器里面就操作 Canvas 画图的话,改成单独修改节点数据状态但不立即开始画,更新画布的时机统一等待 animation frame 。
12 天前 回复了 ssdlh 创建的主题 › 程序员 › 原来阿里云对电信诈骗态度这么暧昧 |
@ssdlh #4 非常有可能是核实了的,阿里云这种云服务商除非是被上级部门直接要求(这种是直接不核实直接无通知拔线),其他时候对举报封禁云服务绝对不可以随便下手,这种因为举报的伪造成本特别低,不实锤就关机那是有关部门行为,正儿八经的云服务商哪能这样。下手也不能是直接不通知就拔线。
为什么说是核实了,是你看它的举报不成立理由是 ”无法访问”,要么是目标地址核实的时候失效了(你的截图的 URL Query 的结构很像是带过期时间的签名),要么就是目标诈骗页面做了防御(指定路径页面按首次访问 IP 加白否则过滤、或者类似应用商店提审的那种定向拉黑审核员可能存在的 IP 地理位置区域 等等)。
为什么说是核实了,是你看它的举报不成立理由是 ”无法访问”,要么是目标地址核实的时候失效了(你的截图的 URL Query 的结构很像是带过期时间的签名),要么就是目标诈骗页面做了防御(指定路径页面按首次访问 IP 加白否则过滤、或者类似应用商店提审的那种定向拉黑审核员可能存在的 IP 地理位置区域 等等)。
39 天前 回复了 CristianoRonaldo 创建的主题 › 程序员 › 求助! 16T 数据的小文件,如何快速进行拷贝? |
迁移到另一个硬盘上,如果是整个盘就这些文件,Windows 直接拿例如 DiskGenius 整个分区复制过去。不用按文件复制。
46 天前 回复了 bigbigeggs 创建的主题 › 问与答 › 做了一个概率类的小游戏,被人攻击了,大家有没有什么好的防范手段 |
我来几个方向,实践肯定都能做,只不过大部分时候的对抗是增加破解难度,做不到全防御。
需要加密或者带 token 的情况,浏览器支持 WASM 可以将一些签名逻辑放进去,WASM 部分随便用 C C++ Rust 写都行,但是问题是如果只是通过 JavaScript 把它当成黑盒调用,起不到防御的作用,除非增加计算量挑战,类似 Cloudflare 的人机验证过程,消耗客户端 CPU 资源来增加高频请求的成本 (计算量大的话避免堵住主线程最好放 Web Worker 里面执行);
现代 Web 可以用 WebRTC 来走 UDP 跟你的服务端悄悄交换一些数据,例如把凭据放进去,可以给傻瓜式的自动化脚本增加一道坎,代价就是用户如果浏览器里面禁用掉了部分特性则直接歇,以及如果用户网络环境特别特殊、UDP 被拦了的情况也是直接歇;
前端计算 token 的逻辑和整个业务逻辑混起来并上一道 JSVMP 之类的混淆。这个破解也就是体力活,增加成本但不保证全防御,而且对客户端性能有些影响,但至少还算能保证用户无感知;
玩阴的,将某些静态资源 (例如 img ,JavaScript 用 new Image 设置 src 等加载,直接 fetch 会被光速怀疑) 偷偷摸摸作为合法请求的校验前提。你可以用只有合法用户操作才会触发加载的的情况下偷偷初始化一次这个。或者就是将某些凭据数据放在图像 bitmap 或者元数据或者冗余数据里面。这个也只是猫抓老鼠,被看出来了也没办法,要配合好客户端侧 JavaScript 的混淆才能多防一会。
或者,也可以转移成本。要么上个常见云服务提供商的验证码,要么随便接入个第三方授权登录。这些可能就对用户不友好了。
需要加密或者带 token 的情况,浏览器支持 WASM 可以将一些签名逻辑放进去,WASM 部分随便用 C C++ Rust 写都行,但是问题是如果只是通过 JavaScript 把它当成黑盒调用,起不到防御的作用,除非增加计算量挑战,类似 Cloudflare 的人机验证过程,消耗客户端 CPU 资源来增加高频请求的成本 (计算量大的话避免堵住主线程最好放 Web Worker 里面执行);
现代 Web 可以用 WebRTC 来走 UDP 跟你的服务端悄悄交换一些数据,例如把凭据放进去,可以给傻瓜式的自动化脚本增加一道坎,代价就是用户如果浏览器里面禁用掉了部分特性则直接歇,以及如果用户网络环境特别特殊、UDP 被拦了的情况也是直接歇;
前端计算 token 的逻辑和整个业务逻辑混起来并上一道 JSVMP 之类的混淆。这个破解也就是体力活,增加成本但不保证全防御,而且对客户端性能有些影响,但至少还算能保证用户无感知;
玩阴的,将某些静态资源 (例如 img ,JavaScript 用 new Image 设置 src 等加载,直接 fetch 会被光速怀疑) 偷偷摸摸作为合法请求的校验前提。你可以用只有合法用户操作才会触发加载的的情况下偷偷初始化一次这个。或者就是将某些凭据数据放在图像 bitmap 或者元数据或者冗余数据里面。这个也只是猫抓老鼠,被看出来了也没办法,要配合好客户端侧 JavaScript 的混淆才能多防一会。
或者,也可以转移成本。要么上个常见云服务提供商的验证码,要么随便接入个第三方授权登录。这些可能就对用户不友好了。
47 天前 回复了 p1gd0g 创建的主题 › 问与答 › CORS 会被废除吗? |
@grok is that true?
@pweng286 #5 这种情况把白平衡改成手动就行。
Select Language