V2EX › dzdh 的所有回复 › 第 70 页 / 共 87 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 66 67 68 69 70 71 72 73 74 75 ... 87

❮

❯

2021-04-13 23:52:32 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@3dwelcome #152

上面无数次提到密钥本身安全和泄露规避风险和方法。

结论并不能成立。

2021-04-13 23:47:32 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@3dwelcome #150

论点到底是什么。

加速卡是吧？好，我当他 100%绝对的『不』安全我不用行不行。

请从『纯技术』角度证明：HTTPS 不行，必须要有签名模式辅助。

2021-04-13 23:35:55 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@chizuo #147

你说的签名是额外使用非对称加密算法生成的『签名』

我指的签名，就是我给出的代码的『所谓的签名』，早期的支付宝、微信 v2 版本支付接口、SNS 社交平台等等等的早期签名都是这种。

然而，即便是你说的非对称加密算法的签名，在 HTTPS 模式下为什么有存在的必要？

2021-04-13 23:33:27 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@3dwelcome #144

你对 HTTPS 所有可能或不可能碰到的问题，在『签名模式』下都有对应的风险。TLS 私钥泄露？那签名 KEY 也能泄露。算法破解？那 KEY 也能被破解。管理不善？那 KEY 也能管理不善。

chrome 漏洞？签名模式的客户端就没漏洞？
tls 算法漏洞？签名模式的 hash 算法没漏洞？
服务器环境不安全？签名模式服务器环境就安全？

难道就不做开发了吗？

2021-04-13 23:29:25 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@3dwelcome #144

？？？加速只是『计算』 TLS 通道仍然是『绝对安全』的。到终端业务机器保证全链路 TLS 就依然安全。

不要说如何保证链路，就像不能保证用户不会泄露 KEY 一样。这不是技术方案问题了。

2021-04-13 23:22:26 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@no1xsyzy #142

仍然不明。

可以关闭验证，他就可以公开泄露签名密钥。

这就已经不再是技术方案的问题了吧？

2021-04-13 23:17:12 +08:00

回复了 cryboy007 创建的主题 › 生活 › 被父母要钱，我很抗拒

安排好家用就行

2021-04-13 23:15:30 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@kejialiu #138

Paypal 、Stripe 没有客户端证书。因何安全？

**纯技术角度**

2021-04-13 23:10:51 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@BinaryLeeward #139

同理，假设客户直接在 app 端不做任何反编译防护措施，直接把密钥明文贴在配置文件中，签名机制就没有一丝一毫的作用？

2021-04-13 22:22:27 +08:00

回复了 FutureApple 创建的主题 › NGINX › 如何实现后端服务器-----反代服务器-------CDN 这三层后后端服务器还能获取源站 ip 的架构？

@FutureApple

https://www.cnblogs.com/zhangmingda/p/12672588.html

2021-04-13 22:21:40 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@kejialiu #136

对的，也就是纯『技术上』说，『仅仅 HTTPS 不使用签名』其实并无问题？

2021-04-13 22:19:30 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@BinaryLeeward #130

SSLPinning

2021-04-13 22:18:25 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@3dwelcome #132

不是那个问题。

而是，我设计的就是这样的，$ukey 就是我的商户 key 。

和你所谓的微信商户 key 同等权限（在应用设计上），微信商户 key 用来计算生成 hash 或 hmac，不参与网络传输，ok，没问题。

我的$ukey 在公网传输，但是有 https 保证不被泄露啊？有什么问题吗？

2021-04-13 22:15:54 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@kejialiu #128

1+2. Server 端到 Server 端可以自签名证书。

泄露就也就是指的服务器攻击或者或主动或被动的泄露。
- 被攻击泄露，如果服务器被攻击且能读取到 ssl 证书的文件内容本体，我认为数据库也已经不安全了，所有商户的签名 key 也都不安全。
- 或主动或被动的泄露证书私钥，攻击成本他需要控制全国骨干网管理节点或攻破我 DNS 系统，最次也要控制某单个客户的服务器（ server 端）或某单个用户的家庭网络，受影响的也仍然只是某单个用户吧？

链路问题可以设置成全链路 tls 吧？如 cloudflare ？阿里云、腾讯云等众多 CDN 厂商的 cdn 也是支持 https 回源的

2021-04-13 22:01:39 +08:00

回复了 admin7785 创建的主题 › 全球工单系统 › edge, ios safari 都无法打开这位 v 友的链接

:doge: 进不去就对了

2021-04-13 21:58:55 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@3dwelcome #125

curl -u $ukey https://...

$ukey 只有商户平台设置的$ukey，这个绝对不能发给别人。

> "这个绝对不能发给别人，绝对不能在网络上流传，必须严格保密。"

你的意思是破解了 HTTPS ？？？？？？破解了 ECC ？？从而拿到了我的数据包？

2021-04-13 21:57:09 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@jim9606 #123

补充。PKP 是浏览器应用废弃，在 Server 到 Server 场景中依然可用。浏览器端的安全由浏览器自己实现。

2021-04-13 21:55:02 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@jim9606 #123

1. 强制出网 HTTPS 请求走代理？什么场景？需要做审计么？
2. Stripe 和 Paypal 的全球 CDN 的解决方案是什么？高防服务可以数据包转发。抛弃『客户端证书不谈』，就单纯的仅『 HTTPS 』形式如标题的『 curl -u $ukey https://....』貌似并不存在这问题？全链路保证 https （ cdn https 回源）
3. 签名需要的 TIMESTAMP 参数也无法保证
4. 性能问题？
5. 服务端强制要求的密码套件设置呢？

2021-04-13 21:46:56 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@3dwelcome 118

补充，SSLPinning 的前提，只需要知道对方服务器的证书公钥即可。不需要『双端验证』

2021-04-13 21:45:54 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@swulling #120

补充应该还有个『鉴权和身份验证』的功能如『?uid=X&order_id=N&sign=Y 』要验证 uid 是不是 uid

1 ... 66 67 68 69 70 71 72 73 74 75 ... 87

❮

❯