• 如何提高测试深度? at 2017年12月13日

    额,不懂

  • 啥?!居然还有github!!

  • 缩小到出现楼主说的情况时,变成这样就行了吧,这样只要改这边的css就行了吧,当然具体的没怎么看

  • 没记错的话,好像是的

  • 在win10安装乌班图最无脑的方式:先把win10升到最新的正式版,然后在控制面板的功能开启中选择Linux子系统并重启,然后在win10的应用商店里搜索乌班图进行初步安装,最后打开乌班图的应用,他会自己完成剩下的安装,安装完后设置密码就搞定了

  • 最后我想吐槽,这标题错了吧,应该是 在HTTPS协议下,是否需要对相关数据进行加密 吧!

  • 其实一般用户的账号密码这些都是保存在Cookie里。

    从攻击者的角度(在没有SSL/TLS协议的情况下),攻击者可以监听你的用户,获取其Cookie,当攻击者获取到Cookie后,他可以直接用这个获取到的Cookie,登录你的用户的账号,为此我们需要在前后端通讯时,对相关数据进行加密,这样攻击者即使监听了你的用户,其获取到的Cookie也是经过加密后的Cookie,用这个Cookie进行登录你的用户的账号,其加密过的Cookie会再次二次加密,最终导致服务端在解密后获得的Cookie是一次加密的Cookie,这样子服务端所获得的Cookie的数据当然就不对了,这也就防止了攻击者去监听你的用户,当然HTTPS只是在TCP和HTTP之间加了SSL/TLS协议,其只保证数据在应用层到传输层的数据是安全的,但是在应用层内,相关数据还是未加密状态的,也正是如此,像支付宝这些和钱有关的公司,都会有一种叫做安全控件的东西,其其中的一个作用就是保证相关数据在应用层内也是经过加密的。

    上面说的就基本保证了攻击者无法通过获取到的Cookie去直接登录用户账号。

    从攻击者的角度,既然无法用过获取到的Cookie去登录你的用户账号,那么攻击者可以直接暴力破解这个Cookie并获取到真正的账号和密码,为此我们就要对这个Cookie的本身进行相关加密,一般我们都会对Cookie的Key和Value进行加密。

    以上就是我目前所知的有关Cookie的加密策略。

    当然加密是影响性能的,同时由于加密也会衍生出一个秘钥管理的问题,所以具体要怎么加密,要不要加密,这些问题都是需要权衡的。

  • 由于现在用户密码一般都是用Cookie保存在客户端上,因此就整个系统而言,其不安全的地方有2处:1、Cookie可能会被暴力破解;2、通讯可能会被监听。

    对于第1点来说,由于Cookie是一个明文的键值对,所以一般加密我们需要对这个Cookie的Key和Value进行加密,Key我们可以直接使用MD5进行加密(确切得来说MD5不算加密,一切不可逆的都不能算加密,只能算摘要),而Value我们一般是用可逆的加密方法进行加密,其中可逆的加密方法分为对称和非对称,对称加密的加密强度虽弱于非对称加密,但其性能优于非对称加密,所以一般都使用对称加密来对Value的值进行加密。

    对于第2点来说,就是在TCP和HTTP之间加入一个SSL/TLS协议,使HTTP变成HTTPS,从而防止攻击者的监听

    以上就是我目前的理解

  • 测试转技术支持 给点建议 at 2017年11月10日

    目前已沉迷研究技术不可自拔

  • 准备重写一个 SQL Helper at 2017年11月07日

    .Net Framework的话,第三方类库是可以的,但是他只能运行在Windows平台下,满足不了我的需求,而.Net Core的话因为是微软最近几年才出的,可以跨平台,所以现在第三方类库不足