- 主题:问一个HTTP限制访问的问题
但是http请求是明文啊,即使hash过了,抓包把你的hash值拿来用就不行了啊。
【 在 pigtracer 的大作中提到: 】
: 密码肯定可以啊,你app里把密码做一次哈希,服务器只认哈希过的密码不就得了,除非反编译或者抓包研究一下,不过你这个本来就是小需求估计也没人看
:
--
FROM 202.108.14.*
恩,逆向就不好了,所以假设App不能逆向。
【 在 Loveni 的大作中提到: 】
: 如果你的app能被逆向的话这个问题无解的
:
--
FROM 202.108.14.*
then embed a private key in your app, done.
【 在 M8V (M_V) 的大作中提到: 】
: 恩,逆向就不好了,所以假设App不能逆向。
--
FROM 180.173.173.*
看看网银的app是如何做的,我相信你们的安全等级不可能超过网银的
【 在 M8V (M_V) 的大作中提到: 】
: 但是http请求是明文啊,即使hash过了,抓包把你的hash值拿来用就不行了啊。
--
FROM 180.170.150.*
不一样的需求,网银的服务器不惧怕你任何人上去爬静态资源。
而且人家体制内的东西,你敢做任何过分的事情,有刑法和网警保护着。
【 在 Orpherus 的大作中提到: 】
: 看看网银的app是如何做的,我相信你们的安全等级不可能超过网银的
:
--
修改:dhcn FROM 123.66.173.*
FROM 123.66.173.*
HTTPS
即使是明文也没关系,你加盐或者用几种特殊算法多来几遍,后台用同样的算法就行了
说到底还是成本问题,我说的解决方案是综合你的成本和需求来的,
任何解决方案总有办法破解,
你做12306连验证码都有人在搞图像识别,
你这东西如果价值100亿,花1000万外包给我,自然能让破解方至少花1亿才能破解
【 在 M8V 的大作中提到: 】
: 但是http请求是明文啊,即使hash过了,抓包把你的hash值拿来用就不行了啊。
--
FROM 61.135.255.*
不要纠结是不是静态资源,把它们都当做网银里的资金来审计
【 在 dhcn (coder) 的大作中提到: 】
: 不一样的需求,网银的服务器不惧怕你任何人上去爬静态资源。
: 而且人家体制内的东西,你敢做任何过分的事情,有刑法和网警保护着。
--
FROM 27.115.62.*
网银的安全,最重要的是人的真实性
至于你是真的在使用官方app,还是自己写了一个脚本在调它的接口,这相对不是那么重要。。只要请求中包含了正确的信息(各种密码、验证码..),就可以认为这个请求是账户的合法拥有者发起的
从楼主的问题来看,他关心的是客户端的真实性。。这两个其实不是一件事
【 在 Orpherus (奥路菲) 的大作中提到: 】
: 看看网银的app是如何做的,我相信你们的安全等级不可能超过网银的
--
FROM 211.99.222.*
客户端是不是真的,无所谓啊
【 在 vonNeumann (劣币驱逐良币 | 少灌水) 的大作中提到: 】
: 网银的安全,最重要的是人的真实性
: 至于你是真的在使用官方app,还是自己写了一个脚本在调它的接口,这相对不是那么重要。。只要请求中包含了正确的信息(各种密码、验证码..),就可以认为这个请求是账户的合法拥有者发起的
: 从楼主的问题来看,他关心的是客户端的真实性。。这两个其实不是一件事
: ...................
--
FROM 27.115.62.*
【 在 Orpherus (奥路菲) 的大作中提到: 】
: 客户端是不是真的,无所谓啊
one case this may be wanted is when presenting ads
--
FROM 183.195.251.*