V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  forvvvv123  ›  全部回复第 3 页 / 共 27 页
回复总数  536
1  2  3  4  5  6  7  8  9  10 ... 27  
148 天前
回复了 eggt 创建的主题 问与答 我 30 多岁,已经被后生们叫老古董了
你让她和丈母娘先改成她外婆的姓
148 天前
回复了 eggt 创建的主题 问与答 我 30 多岁,已经被后生们叫老古董了
绝对不能跟妈妈姓
@canyue7897 感觉老哥的发言不像是行内人, 安全都快凉得透透的了; 谁都知道安全重要,可企业都快活不下去了,再安全有个屁用啊,买卖都黄了;

只有少数利润好的公司才愿意在这里投人, 就算云、金融、通信那种对安全要求特别高的企业在安全上的投入都很少,发展路数和钱远不如开发;

为了赚钱干安全是个错误的选择,一般干这个的都是年轻的时候有这方面的爱好的。

信我
1. 我觉得可以 AI 在流水线上做 CR ,有些代码扫描引擎不好做的东西,我觉得可以用 AI 搞些识别,直接把 AI 意见展示在 CR 或者 MR 页面上;

2. AI 可以做些代码和注释补全,jetbrains2024 那个行补全非常 nb ,但不知道你们团队有没能力去做这个,可以拿公司代码仓库训练然后搞些 vim 、vsc 、idea 的插件,去补全函数代码、函数注释、数据结构之类的;

3. 可以用 AI 根据项目生成 readme 、代码文档,现在一些文档自动生成工具都是根据类、方法、结构体的注释,自动整理一下,AI 可以进一步根据代码结构之类的补充些信息,可以生成更详细的版本,就算搞个初版人再去改也算提效了;

4. 如果团队有周报的要求,根据 代码、文档、需求平台上提交的内容 自动生成员工的周报,降低写团队周报需要的精力;
@yumizhao888

对,次数多了就习惯了
不说。
152 天前
回复了 dunhanson 创建的主题 问与答 openresty 的 aes 算法, Java 实现对不上
楼上老哥解释的很详细; 原来 lua 是默认调用了一个 openssl 的自动生成 iv 的函数,不是用全 0 的 iv ;

其实一般做法 iv 都是自己写段逻辑自己生成的,用随机数也好,不重复生成的算法也好。 因为传输密文的时候这个 iv 怎么传得跟对方约定好的,是单独一个业务字段,还是放到开头结尾; 所以 iv 这块总是要自己处理的;
152 天前
回复了 dunhanson 创建的主题 问与答 openresty 的 aes 算法, Java 实现对不上
OP 意思是同样的 key ,同样的明文,2 和 3 结果不一样吗?

如果是这个意思的话,那是因为 cbc 模式要求有 iv ,正常的做法,每一次加密 iv 都是一个不一样的值,同样 key 同样明文,iv 不同获得的密文也不同; 接收方要解密的时候必须知道 key + iv 才能解密,一般是约定附加在密文开头或者指定另一个字段;

你这两个都没有明确设置 iv ,那得看 lua 的默认行为和 java 默认行为最终导致的进入运算的 iv 一不一样; op 可以手动设置 iv ,或者查查手册把 iv 打印出来
@Hurriance

OP 就按这个老哥说的提,原文复制。

如果再把“请问”去掉,语气会更加柔和。
@hirenloongdddd 从未见过严谨文件用英语写的,不都是要用法语吗?
1. 不罕见;
2. 孩子思想价值观还没成熟,正在探索这个世界,我觉得发展到这里非常非常正常,所以是未成年人嘛,需要大人和学校纠正和保护,可以庆幸发生的时间晚,并且是小事,不是拿刀捅同学或者把同学推下楼这种无可挽回的事;
3. 我觉得你的处理方式挺好的;
直接起诉打官司? 也恶心他们一下
156 天前
回复了 NoKey 创建的主题 程序员 token 如何存放才能避免 csrf 攻击
@happyxhw101

OP 用这个方法就行,最简单实用的,cookie 双重认证, 你所有的重要请求都在页面上用 js 发 post , 发的时候把 cookie 里面的 token 值带到请求上,放 post 参数、header 里都行;

你后端收请求的时候:
1. 先看 cookie 里面有没有 token ,没 token 就拒绝,然后 set-cookie 种个随机数 token ;
2. 再看请求里面带没带和 cookie 一样的 token ,不一样就拒绝;

对 csrf 的问题就解决了;


网上有很多会结合 xss 和 csrf 考虑的,我个人认为这样复杂了,一般有了 xss 漏洞就不考虑 csrf 了,xss 能做的太多了;有 xss 的问题修 xss 的问题,讨论 csrf 都是要在没 xss 没钓鱼的情况下讨论,不然说不清;
没事,瞎写就行,你又不是什么大负责人;
有那精力给自己的项目或者开源项目搞搞不香吗;

除非大家瞎写你又要负责系统可用性,然后系统真的因为大家都瞎写反复挂的时候,你再考虑怎么定定规范,搞搞 ci 流程之类的, 没到这一步不用想。
主要没钱吧,要有钱我肯定包养很多女人,然后选个牛逼的女的结婚让她当大太太管着她们;
1  2  3  4  5  6  7  8  9  10 ... 27  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1108 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 35ms · UTC 18:48 · PVG 02:48 · LAX 10:48 · JFK 13:48
Developed with CodeLauncher
♥ Do have faith in what you're doing.