 | zzyzxdV2EX 第 44634 号会员,加入于 2013-08-30 10:17:58 +08:00 |
zzyzxd 最近回复了
2020-12-07 10:13:50 +08:00 回复了 Hackerchai 创建的主题 信息安全 大家都在用什么 OTP(二次验证)方案啊 |
我发现懂一些技术、或者有一些动手能力的人,总有一种幻觉,就是“我自建服务器比云服务安全”。bitwarden 软件给你了,接下来,你真的有能力、以及这个精力,保证在整个部署和后期维护的过程中永远遵循所有安全规范吗?你家或者你租的云上的 infra,有没有专业机构帮你做 security audit ?
目前读下来你一直担心自己的服务器被攻陷,那么你可能不适合自己部署密码管理器。
另外,
> 本着二次验证不能和密码管理器放在一起的原则(安全性考虑)
为什么会有这样的原则?两步验证中的第二步存在的意义,是在第一步(密码)被攻陷的情况下给账号提供第二重保护。那么什么时候攻击者能攻陷你的密码呢?
1. 通过密码管理器之外的任何途径知道了你的密码,包括但不限于:多网站复用密码,social engineering……
2. 密码管理器被攻陷。
对于 1,使用密码管理器就能避免。
对于 2,密码管理器自身应该已经有两步验证,这时候你再把 TOTP 凭证放在另一个地方,相当于你把登陆某网站的流程提高到了三步验证。这样当然更安全,但是也要自己考虑考虑是否需要安全到那种程度。
目前读下来你一直担心自己的服务器被攻陷,那么你可能不适合自己部署密码管理器。
另外,
> 本着二次验证不能和密码管理器放在一起的原则(安全性考虑)
为什么会有这样的原则?两步验证中的第二步存在的意义,是在第一步(密码)被攻陷的情况下给账号提供第二重保护。那么什么时候攻击者能攻陷你的密码呢?
1. 通过密码管理器之外的任何途径知道了你的密码,包括但不限于:多网站复用密码,social engineering……
2. 密码管理器被攻陷。
对于 1,使用密码管理器就能避免。
对于 2,密码管理器自身应该已经有两步验证,这时候你再把 TOTP 凭证放在另一个地方,相当于你把登陆某网站的流程提高到了三步验证。这样当然更安全,但是也要自己考虑考虑是否需要安全到那种程度。
2020-01-27 12:32:33 +08:00 回复了 iTvX 创建的主题 macOS 第一次去苹果天才吧,体验贼糟糕 |
维修过程都是你的单方面描述,5 楼已经说得很好了。
我读了一下诊断报告,人家非常诚恳清楚地写明了发现的问题,跟你的描述和照片都非常符合。还特地叮嘱说是新买的机器,可能是出厂就有的问题。
另外:
> 在我的印象里,apple genius 都是很专业的
我觉得你应该是对 genius bar 有什么误解。这些员工主要的工作内容是照着员工手册背 script 给你听、照着手册里写的流程一步一步确认问题,真正专业的是在后台拆机器的人。
> 然后又说,自己搞不清这个保险会不会 cover
> 最后他说,如果要钱的话,会发我们邮件,然后要一个礼拜才能知道结果。我当时就这样跟我朋友说,我朋友就不乐意了,说怎么这样,不应该是包含在保险里面的吗,
> 最后还不忘叮嘱我们,有可能要付钱( 795 刀)。我寻思,你到底有啥用,要不要付钱,难道你不知道吗?
我猜他这里跟你背了一句经典的 script,大概就是跟你说的是如果属于进水之类的人为损坏是要自己掏钱的。这要等到把机器完全拆开来检测才能确定,提前告知你是他的义务,毕竟给你的 quote 是 0 刀,到时候万一鉴定出来属于保修之外的需要额外花钱,你不能说他坑你。这句话我都听烦了,这么多年每次修东西都要听一遍。
我读了一下诊断报告,人家非常诚恳清楚地写明了发现的问题,跟你的描述和照片都非常符合。还特地叮嘱说是新买的机器,可能是出厂就有的问题。
另外:
> 在我的印象里,apple genius 都是很专业的
我觉得你应该是对 genius bar 有什么误解。这些员工主要的工作内容是照着员工手册背 script 给你听、照着手册里写的流程一步一步确认问题,真正专业的是在后台拆机器的人。
> 然后又说,自己搞不清这个保险会不会 cover
> 最后他说,如果要钱的话,会发我们邮件,然后要一个礼拜才能知道结果。我当时就这样跟我朋友说,我朋友就不乐意了,说怎么这样,不应该是包含在保险里面的吗,
> 最后还不忘叮嘱我们,有可能要付钱( 795 刀)。我寻思,你到底有啥用,要不要付钱,难道你不知道吗?
我猜他这里跟你背了一句经典的 script,大概就是跟你说的是如果属于进水之类的人为损坏是要自己掏钱的。这要等到把机器完全拆开来检测才能确定,提前告知你是他的义务,毕竟给你的 quote 是 0 刀,到时候万一鉴定出来属于保修之外的需要额外花钱,你不能说他坑你。这句话我都听烦了,这么多年每次修东西都要听一遍。
2019-09-29 12:09:29 +08:00 回复了 ccming 创建的主题 Apple iOS 爆出严重漏洞, iPhone 4S 至 iPhone X 均受影响 |
bootrom 漏洞跟 iOS 有什么关系?
2019-08-29 08:58:39 +08:00 回复了 SharkIng 创建的主题 DNS 把自家 Recursive DNS 放在公网云上有没有人这么做过? |
内网解析当然是放在内网最好,又快又稳定。如果放在共有云上并且有公网 IP,那么你就变成了一个 open resolver,要么变成别人放大攻击的工具,要么被托管商 ban ……
我在家里跑了一个私人的 pihole,出门在外的时候手机用 wireguard 连回家里解析。
我在家里跑了一个私人的 pihole,出门在外的时候手机用 wireguard 连回家里解析。
2019-08-17 08:46:54 +08:00 回复了 kayseen 创建的主题 Python 关于修改账号密码或者忘记账号密码的过程控制,麻烦帮忙看下 |
登录成功就代表身份验证成功,作为网站方,没有责任也没有必要去验证旧邮箱是否仍然是属于该用户的。
一般大型网站做法:1. 验证新邮箱以保证新邮箱有效。2. 发送一封提醒邮件到旧邮箱。
一般大型网站做法:1. 验证新邮箱以保证新邮箱有效。2. 发送一封提醒邮件到旧邮箱。
2019-08-07 10:43:23 +08:00 回复了 black11black 创建的主题 程序员 有关树莓派,想请大家给点意见 |
@danmu17 但是仍然需要监控啊,比如我开一下窗子,PM2.5 会瞬间升高(其实也没有很高),如果有监控,这时候就能立刻启动空气净化器。HVAC 的净化效果不是很好。
说实话我对这几个都谈不上担心,只是吃饱了撑着就想捣鼓东西,PMS5003 是买的某个开发套件里自带的……
说实话我对这几个都谈不上担心,只是吃饱了撑着就想捣鼓东西,PMS5003 是买的某个开发套件里自带的……
2019-08-07 10:16:51 +08:00 回复了 black11black 创建的主题 程序员 有关树莓派,想请大家给点意见 |
@danmu17 我人在美国,HVAC 是从来不关的。
2019-08-07 10:08:40 +08:00 回复了 black11black 创建的主题 程序员 有关树莓派,想请大家给点意见 |
@danmu17 PMS5003 监控 PM1,PM2.5,PM10。目前对你说的其他几个没什么需求
2019-08-07 08:58:50 +08:00 回复了 black11black 创建的主题 |
我目前在用的:
1. pihole
2. 智障家居自动化
3. 环境检测(家庭空气质量、温度、湿度)
接下来打算搞一个 k3s 集群 + 某个开源 hifi 系统(比如 Hifiberry )搭建覆盖所有房间的音响系统,可以很方便地添加、删除集群中的单个音箱。
1. pihole
2. 智障家居自动化
3. 环境检测(家庭空气质量、温度、湿度)
接下来打算搞一个 k3s 集群 + 某个开源 hifi 系统(比如 Hifiberry )搭建覆盖所有房间的音响系统,可以很方便地添加、删除集群中的单个音箱。
Select Language