TMD, ANZ三天都不能用！

star_astro

DDD888 发表于 2021-9-10 14:54
用户密码应该有长度限制的，所以加密后上传服务器的长度是有限的，上传是json，应该对服务器解压没压力啦 ...

其实我实在没搞懂这个非对称加密的意义何在

Dom里面还是明文，TLS已经把整个HTTP POST加密了

弄个密码单独加密/解密 ~= 脱裤子放屁

DDD888 发表于 2021-9-10 14:48
anz请的人垃圾，竟然网站javascript可以让人随意读源程序代码

照你这么说，屎盖请的IT比他们强一百倍? 因为他们审查贴子的和谐度非同一般的快。

DDD888

star_astro 发表于 2021-9-10 15:02
其实我实在没搞懂这个非对称加密的意义何在

Dom里面还是明文，TLS已经把整个HTTP POST加密了

我是这样想的，可能运营anz网站的无权看到用户密码，不然运行anz网站的都可以拿到所有客户的密码啦

可能密码解密有层级很高的来处理，低级别的无权看用户密码啦

star_astro

DDD888 发表于 2021-9-10 15:00
错了，核心是不能给看，因为给看了，了解了思路，就可以攻击啦，这是许多网站开发人员不懂的啦，以为看看 ...

那个也不算啥核心了

JS浏览器层面的混淆都是劝退新手用的

除非用非对称加密在服务器HTTP response的时候动态加密JS，然后分给客户端一个public key自己去解密这样最安全

但是实现起来问题很多，而且成本太高，很多公司不愿意这么搞

star_astro

DDD888 发表于 2021-9-10 15:07
我是这样想的，可能运营anz网站的无权看到用户密码，不然运行anz网站的都可以拿到所有客户的密码啦

可能 ...

哦？你是说ANZ把LB托管了，然后还在上面terminate TLS了吗？

如果是这样我得赶紧注销账户

DDD888

star_astro 发表于 2021-9-10 15:07
那个也不算啥核心了

JS浏览器层面的混淆都是劝退新手用的

不说别人啦，我自己写的个网站，我没钱啦，不愿意买https certificate,我就自己生成个aes key,iv,然后使用http protocol,用rust开发客户，服务器端，用aes加密请求和响应，这样我就不用花钱买https,我这是穷人的方法啦，我控制客户，服务器端，没有外人，所以我想挺安全的。

DDD888

star_astro 发表于 2021-9-10 15:07
那个也不算啥核心了

JS浏览器层面的混淆都是劝退新手用的

任何在不可控制的客户端运行的代码都是不安全的，你说的方法是无用的。

star_astro

DDD888 发表于 2021-9-10 15:11
不说别人啦，我自己写的个网站，我没钱啦，不愿意买https certificate,我就自己生成个aes key,iv,然后使 ...

啊？你不用 Let’s Encrypt 吗？都是免费的啊

DDD888

star_astro 发表于 2021-9-10 15:08
哦？你是说ANZ把LB托管了，然后还在上面terminate TLS了吗？

如果是这样我得赶紧注销账户 ...

我不懂你说的啥意思，解释下吧

star_astro

DDD888 发表于 2021-9-10 15:11
不说别人啦，我自己写的个网站，我没钱啦，不愿意买https certificate,我就自己生成个aes key,iv,然后使 ...

AES是对称加密，你要是能保证自己的客户端不会被人逆向工程就是安全的

star_astro

DDD888 发表于 2021-9-10 15:12
任何在不可控制的客户端运行的代码都是不安全的，你说的方法是无用的。 ...

我们公司有这样的产品啊，实现JS在浏览器上是没有办法被第三方解密的

不过客户不是很买账，因为需要研发配合的太多了

star_astro

DDD888 发表于 2021-9-10 15:13
我不懂你说的啥意思，解释下吧

你说的情况只能发生在ANZ把他们的前端 load balancer 托管在云上面了

然后HTTPS加密也被终结在这台load balancer上面

这样在第三方服务器的内存里存着的就是明文

我觉得不会有银行这样做的

DDD888

star_astro 发表于 2021-9-10 15:14
AES是对称加密，你要是能保证自己的客户端不会被人逆向工程就是安全的

是的，如果amazon可以保证我用的free tier没人可以看我的ubuntu linux instance hard drive image,那我就可以保证自己的客户端不会被人逆向工程

从实际角度看，破我那程序的话，还不如破世界上更有价值的程序啦，所以我的代码是安全的，我保证啦，哈哈

star_astro

DDD888 发表于 2021-9-10 15:21
是的，如果amazon可以保证我用的free tier没人可以看我的ubuntu linux instance hard drive image,那我就 ...

明明一个IPsec就可以解决的事情

DDD888

star_astro 发表于 2021-9-10 15:16
我们公司有这样的产品啊，实现JS在浏览器上是没有办法被第三方解密的

不过客户不是很买账，因为需要研发 ...

就你上面所说，我只要在chrome browser local override,改动你的javascript,输出解密后的源程序代码，你如何防啊？

DDD888

star_astro 发表于 2021-9-10 15:23
明明一个IPsec就可以解决的事情

你说的多麻烦啊？要配置，我就加几行代码就可以了

star_astro

DDD888 发表于 2021-9-10 15:24
就你上面所说，我只要在chrome browser local override,改动你的javascript,输出解密后的源程序代码，你 ...

你改不了JS，因为都是乱码，你看不懂
如果改Dom，服务器就不会收你这个，因为解不开

DDD888

star_astro 发表于 2021-9-10 15:28
你改不了JS，因为都是乱码，你看不懂
如果改Dom，服务器就不会收你这个，因为解不开 ...

你说的还是基于混淆代码，和我一开始所说毫无差别

star_astro

DDD888 发表于 2021-9-10 15:31
你说的还是基于混淆代码，和我一开始所说毫无差别

你说的混淆都是在local JS实现的，所以100%是可以逆向回来的

我说的是不能本地逆向的

DDD888

star_astro 发表于 2021-9-10 15:36
你说的混淆都是在local JS实现的，所以100%是可以逆向回来的

我说的是不能本地逆向的 ...

我不懂你说的，那你给个链接让我试试将我自己混淆的javascript代码返回成可读的代码

star_astro

DDD888 发表于 2021-9-10 15:41
我不懂你说的，那你给个链接让我试试将我自己混淆的javascript代码返回成可读的代码 ...

https://beautifier.io/

DDD888

star_astro 发表于 2021-9-10 15:43
https://beautifier.io/

你给的网站无用啦，我试过了

star_astro

DDD888 发表于 2021-9-10 15:48
你给的网站无用啦，我试过了

没这么简单，好多参数你要自己调。。。

最基本的点就是，JS得让浏览器读得懂吧，浏览器起码得把你的混淆算法搞明白

既然浏览器在完全不知道你是谁干了什么的情况下能读懂JS，那这个算法一定是可逆的

DDD888

star_astro 发表于 2021-9-10 15:50
没这么简单，好多参数你要自己调。。。

最基本的点就是，JS得让浏览器读得懂吧，浏览器起码得把你的混淆 ...

同样的说法也可以用到windows上，要不你给我计算机上的windows的源程序代码吧

吃草的狮子

ANZ起码是澳纽巨头，被攻击一下重要服务三天用不了确实很扯淡。

star_astro

DDD888 发表于 2021-9-10 15:54
同样的说法也可以用到windows上，要不你给我计算机上的windows的源程序代码吧 ...

Windows运行的是编译过二进制文件。。。

JS是解释性语言。。。

你这个几十年的程序员白当了么？

DDD888

star_astro 发表于 2021-9-10 15:56
Windows运行的是编译过二进制文件。。。

JS是解释性语言。。。

我只不过套用你说的话啦

编译过二进制文件还没混淆呢，应该更容易啦，哈哈

DDD888

star_astro 发表于 2021-9-10 15:13
啊？你不用 Let’s Encrypt 吗？都是免费的啊

https://stackoverflow.com/questi ... nswers&text=Let,only%20thought%20its%20IP%20address.

需要有domain,amazon aws ec2 free tier应该是有domain的，但太麻烦了，我已经让现成的工作啦

star_astro

DDD888 发表于 2021-9-10 15:59
我只不过套用你说的话啦

编译过二进制文件还没混淆呢，应该更容易啦，哈哈 ...

汇编大神么？

DDD888

star_astro 发表于 2021-9-10 16:14
汇编大神么？

不懂你在说啥啦