 |
SP00FV2EX 第 129164 号会员,加入于 2015-07-27 19:10:32 +08:00今日活跃度排名 3231 |
SP00F 最近回复了
45 天前 回复了 FengMubai 创建的主题 › 信息安全 › 用户口令(密码)应该如何传输?要不要加密? HTTPS 呢?举例分析 |
@FengMubai #38 首先要考虑的是如何防止数据泄露、数据脱敏、服务器最高权限被拿下。再去考虑密码的问题,即便没有拿到最高权限,当渗透的主要目的只是脱裤的时候,最高权限不是对方的目的,对方的目的可以通过供应链、劫持等渠道篡改部分前端代码( Web ),在构造请求前就可以把活跃用户的账号密码“脱”下来。
还有做埋点记录的,这一块属于供应链侧的攻击,你要考虑你的用户群体是否存在被脱裤的价值,如果有那优先考虑如何防止在低权限的情况下甚至不是以攻击你方服务器的情况下获取到用户信息。
担心在传输过程中出现问题得考虑中间人的问题,再去加密即可。
安全是无形的成本,钱嗷嗷花,东西看不见。出问题的时候这钱花得又觉得不值,老板高管不懂安全的又要骂又要砍。
为什么小公司几乎都不会考虑更深的安全问题就在这里了。即便大公司,说实话的,当攻击面扩大的时候,已经不是考虑密码传输加密不加密的问题了。
还有做埋点记录的,这一块属于供应链侧的攻击,你要考虑你的用户群体是否存在被脱裤的价值,如果有那优先考虑如何防止在低权限的情况下甚至不是以攻击你方服务器的情况下获取到用户信息。
担心在传输过程中出现问题得考虑中间人的问题,再去加密即可。
安全是无形的成本,钱嗷嗷花,东西看不见。出问题的时候这钱花得又觉得不值,老板高管不懂安全的又要骂又要砍。
为什么小公司几乎都不会考虑更深的安全问题就在这里了。即便大公司,说实话的,当攻击面扩大的时候,已经不是考虑密码传输加密不加密的问题了。
46 天前 回复了 FengMubai 创建的主题 › 信息安全 › 用户口令(密码)应该如何传输?要不要加密? HTTPS 呢?举例分析 |
😰 没有讨论的价值,服务器都破了。拿着你最高权限都懒得管你加不加密了
46 天前 回复了 fxjson 创建的主题 › 程序员 › web 安全问题咨询 |
fofa 用来发现资产的……SQLMap 一般是配合爬虫的(大规模盲测的情况下)
光漏扫 AWVS 、Nessus 、APPScan 、XRay 、Goby 等
光漏扫 AWVS 、Nessus 、APPScan 、XRay 、Goby 等
47 天前 回复了 Haku 创建的主题 › Python › Python 中如何在内存中优雅地提取视频帧? |
走内存,在并发大文件的情况下。。怎么解决内存占用的问题……
走内存例如 golang 中的 gin 上传文件一样,在读取文件都是 io ,调用 ffmpeg 或者 openvc 读取文件最后不都是 io 吗(个人拙见)😳
走内存例如 golang 中的 gin 上传文件一样,在读取文件都是 io ,调用 ffmpeg 或者 openvc 读取文件最后不都是 io 吗(个人拙见)😳
57 天前 回复了 michaeljackson 创建的主题 › 分享发现 › 高效的笔记本散热方案 |
😓😓 我的 XPS 直接就加了铜管上去 瞬间舒服多了
Select Language