前两天,在 V2ex 看到 V 友发帖询问 Bitwarden 高级版购买的问题。和楼主一样,之前都是使用的 KeePass,看帖子里对 Bitwarden 的介绍,就去官网看了看,发现这配套服务除了好看也比较齐全,毕竟开源软件多数都是不会愁生态的,就是多数有点难看。去官网注册了一个账号,发现的确比 KeePass 好看的多。密码管理器中,我一直没有依赖 KeePass 自带的 TOTP,因为便捷...
2019-11-14·聊复尔耳
如果要说博客,那么就得提起一个可能是中国第一个建立博客的人——方兴东。他创办的博客中国现在都还有这么一篇文章——博客中国的由来:感谢微软。文章大致讲述的是,2002 年 7 月 6 日,方兴东写了两篇关于微软的文章,并将文章发给了几家网站上。一两个小时后,文章陆续的出现在了各个网站的推荐栏目上。但是,又过了一两个小时,这些文章却陆续的消失了。这些文章被微软的公关处理掉了。方兴东之前一直有开办个人网...
2017-4-21·胡说八道
什么是 HTTP?首先,HTTP 是什么? HTTP 是基于 TCP/IP 的应用层通信协议,用于标准化客户端和服务器之间的通信方式。 它定义了如何通过互联网请求和传输内容。 应用层协议,我的意思是它只是一个抽象层,它规范了主机(客户端和服务器)如何通信,并且它本身依赖于 TCP/IP 来获取客户端和服务器之间的请求和响应。 默认情况下使用 TCP 端口80,HTTPS 使用 443。HTTP/0...
2017-3-5·蟠木朽株
很多古老的程序都存在一个普遍的问题——身份认证问题。如果有以下行为之一,就有可能存在这个问题。1、允许弱密码(password 123456 admin)2、使用明文、加密或弱哈希管理密码3、允许暴力破解、自动攻击4、使用非安全连接进行认证5、使用 GET 请求进行认证6、不正确的失效策略关于身份认证可以先从客户端说起。传统 Web 登录方式中,都会默认隐藏用户输入的密码,但是除此之外,应该默认禁...
2017-2-17·弃如弁髦
在应用程序安全性中,如果不处理用户输入及其相关数据,可能会带来安全风险。而注入是使用最广泛,以及最古老和非常危险的漏洞之一,在 OWASP Top 10 从 2010 开始一直到现在都是第一,还是挺有趣的。注入是将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期...
2017-2-15·弃如弁髦