Post AXJa3mz2gsOT0aDat6 by bgme@bgme.me
(DIR) More posts by bgme@bgme.me
(DIR) Post #AXJZBlNgQtaoOtyyCO by launchctl@nya.one
2023-07-03T09:48:33.503Z
0 likes, 1 repeats
Misskey 的站长如果想的话能看到你的明文密码。不在数据库,在网络请求的 dump。反馈过,但是开发者说 nice to have not must have 给拒绝了。RE: https://mastodon.fivest.one/users/fivestone/statuses/110649368665995804
(DIR) Post #AXJZUK5O8hrXFTH6yu by bgme@bgme.me
2023-07-03T10:39:16Z
0 likes, 0 repeats
@launchctl HTTPS 直接传送这不是通用设计吗?
(DIR) Post #AXJZjtC9t1fETure0e by xtexChooser@neko.ci
2023-07-03T10:40:20.408Z
0 likes, 0 repeats
@bgme@bgme.me @launchctl@nya.one 有一些会在客户端hash一层再传过去hash一层进数据库(
(DIR) Post #AXJZju4OdN37C8ExY8 by bgme@bgme.me
2023-07-03T10:42:02Z
0 likes, 0 repeats
@xtexChooser @launchctl 客户端 hash 再传,与TLS直接传有区别吗?如果TLS靠谱,两者是等效。如是TLS不靠谱,中间人直接得到hash传给后端,效果也一样。
(DIR) Post #AXJZqCg8MOy0e6tbW4 by launchctl@nya.one
2023-07-03T10:41:25.078Z
0 likes, 0 repeats
@xtexChooser@neko.ci @bgme@bgme.me 这个才是通用设计 再往上走就是基于随机数的非对称加密签名
(DIR) Post #AXJZqDRdVmxr1R7XYe by bgme@bgme.me
2023-07-03T10:43:12Z
0 likes, 0 repeats
@launchctl @xtexChooser 这个我记得 github、google 这些网站都是TLS直接传明文的吧。
(DIR) Post #AXJZyQCfxWR6uR2HPE by xtexChooser@neko.ci
2023-07-03T10:43:15.503Z
0 likes, 0 repeats
@bgme@bgme.me @launchctl@nya.one 如果TLS可靠,而攻击者为管理员,那管理员可以拿着你的plain password登陆其他平台
(DIR) Post #AXJZyQtZO2kP3T6XGS by bgme@bgme.me
2023-07-03T10:44:41Z
0 likes, 0 repeats
@xtexChooser @launchctl 论使用密码管理器的重要性。
(DIR) Post #AXJa3mHRIzW0pLolvM by launchctl@nya.one
2023-07-03T10:44:57.873Z
0 likes, 0 repeats
@bgme@bgme.me @xtexChooser@neko.ci 这些网站的 SSL 证书和 Misskey 用的不是一个级别的 吧
(DIR) Post #AXJa3mz2gsOT0aDat6 by bgme@bgme.me
2023-07-03T10:45:38Z
0 likes, 0 repeats
@launchctl @xtexChooser DV、EV 在TLS传输效果没有差另。
(DIR) Post #AXJaHYFWGjPZMhUIUq by bgme@bgme.me
2023-07-03T10:48:09Z
0 likes, 0 repeats
@xtexChooser @launchctl 但问题是,网站真直接拿plain password登陆其他平台了,都到这一步了。改一改前端代码,直接加个键盘记录器,不是也很容易吗?
(DIR) Post #AXJadKWC08tX9Lffua by bgme@bgme.me
2023-07-03T10:52:05Z
0 likes, 0 repeats
@launchctl @xtexChooser DV、OV、EV 对 TLS 传输又没有影响。