V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  n1dragon  ›  全部回复第 23 页 / 共 28 页
回复总数  542
1 ... 15  16  17  18  19  20  21  22  23  24 ... 28  
现在我们的新项目都直接上 AWS Lambda with node or python. 只有传统企业项目才用 Java
2019-06-05 09:03:11 +08:00
回复了 JCZ2MkKb5S8ZX9pq 创建的主题 程序员 本初子午线,随着板块移动,会变吗?
刚才还真去看了一下相关概念,现在标记 GPS 等坐标的精度的子午线,不是本初子午线,而是 IERS 参考子午线。正如你所想的,这个线随着地球板块运动会不断变化,所以国际上用一些算法统计了各个地区的数据,然后定义出了这条经度为 0 的线。参考: https://zh.wikipedia.org/wiki/IERS%E5%8F%83%E8%80%83%E5%AD%90%E5%8D%88%E7%B7%9A
2019-06-04 13:25:15 +08:00
回复了 jzyff 创建的主题 程序员 大家平时写完代码都是怎么做自测的
把测试拉过来说,来来来,给我提前试一下。。。
2019-06-03 07:26:33 +08:00
回复了 ilobobob 创建的主题 全球工单系统 Mac 下的印象笔记 Evernote 超级卡顿!
OneNote 什么都好,就是写中英文混杂的笔记字体一塌糊涂。
2019-05-28 11:58:23 +08:00
回复了 zyxk 创建的主题 问与答 LastPass 安全吗?不记录主密码?
LastPass 经常做第三方安全审计的,安全性应该没太大问题。
用到最后只有 Outlook 满足要求 其他都或多或少有些问题
2019-05-01 18:50:12 +08:00
回复了 lyh404 创建的主题 Apple Macbook 差点烧了
几年前用 thinkpad 的时候出现过一次,放在包里,晚上拿出来烫手。后来所有笔记本在放入包里前一律关机,包括现在用的 macbook。
2019-04-19 16:15:54 +08:00
回复了 0xljh 创建的主题 咖啡 大家喜欢喝什么牌子的咖啡?
喝了现磨的咖啡才知道速溶的根本不算真正的咖啡。一般巴西或哥伦比亚的咖啡豆比较好,然后需要专业的机器进行烘培。越新鲜越好。我在澳洲喝的 Dukes Coffee Roaster 的咖啡豆很不错,他们也可以邮寄到中国。
2019-03-14 06:43:13 +08:00
回复了 Messiv2 创建的主题 问与答 有人了解/感兴趣在加拿大转行做电工吗?
要考证,一般是跟着师傅做几年学徒再另起炉灶。还是很不容易的。不过的确赚得多。
2019-03-11 10:16:33 +08:00
回复了 luckycat 创建的主题 随想 使用 1password 两年后,我开始改用 safeincloud
2019-03-11 10:10:26 +08:00
回复了 luckycat 创建的主题 随想 使用 1password 两年后,我开始改用 safeincloud
@shutongxinq 你可以看一下原始的 ISE paper,30 楼有链接。1password 7 用的是 c# .NET ,不能人为清除自己之前用过的内存,而 Watchtower 的设计,需要把所有密码都解密到内存里。

至于读取内存,我不是 windows 程序员,不知道具体原理,但不论是该 Paper 作者开发的工具,还是第三方软件 Process Hack,均可在非管理员状态下直接读取 1password 里所有密码和主密码。
2019-03-11 09:09:10 +08:00
回复了 luckycat 创建的主题 随想 使用 1password 两年后,我开始改用 safeincloud
有漏洞并不可怕,修好了就行。但 1password 官方对这次漏洞的态度让人心寒。他们不但几年前就知道这个问题,而且在漏洞发表后还坚持己见,不做任何 mitigation。一个安全软件公司这样做,是不会有信誉的。
2019-03-11 09:05:05 +08:00
回复了 luckycat 创建的主题 随想 使用 1password 两年后,我开始改用 safeincloud
@shutongxinq 1password 是非管理员权限运行的,其他任何程序都能读取其内存,你可以用 process hack 自己实验一下。

本次漏洞的关键是 1password 的 lock 功能完全是骗人的,只是把用户界面遮了一下,程序内部运行和解锁时没有任何不同。
2019-03-11 09:01:54 +08:00
回复了 luckycat 创建的主题 随想 使用 1password 两年后,我开始改用 safeincloud
@kersbal 主要产品是 chrome 插件,和这次漏洞无关。lastpass application v4.24.1 补了漏洞。

程序退出后释放了内存地址,给系统 GC,虽说不能保证 100%立刻清除内存内容,但减少了 attack surface, 相比于 1password 什么都不做还是好得多
2019-03-11 08:00:02 +08:00
回复了 luckycat 创建的主题 随想 使用 1password 两年后,我开始改用 safeincloud
@kersbal lastpass for application 不是他们主要的产品,主要是用来填写一些 app 里面的密码的,只有 logout 功能,相当于 1password 里面的 Lock,都是要再输入主密码才能解锁 /登录的,不需要输入二步验证。在漏洞发布之前,lastpass for application 在 Logout 的时候只是 Lock 了界面(和 1password 一样),但是解密的密码并没有清除。这次的修补是在 logout 的时候重启软件,达到清除密码的目的。1password 本可以做同样的事情,但是没有。他们也不会去做。
2019-03-11 07:13:57 +08:00
回复了 luckycat 创建的主题 随想 使用 1password 两年后,我开始改用 safeincloud
@luckycat 没错。整体设计就有问题。现在 windows 版在解锁后依然会卡 3 秒钟,而且在更新密码的时候也会卡几秒钟。
2019-03-11 07:11:24 +08:00
回复了 luckycat 创建的主题 随想 使用 1password 两年后,我开始改用 safeincloud
@kersbal Lastpass 不是在官方论坛回复的,而是直接回复了新闻媒体

LastPass CTO Sandor Palfy said:

"This particular vulnerability, in LastPass for Applications, our legacy, local Windows Application (which accounts for less than .2 percent of all LastPass usage) was brought to our attention by researchers through our Bug Bounty Program.

In order to read the memory of an application, an attacker would need to have local access and admin privileges to the compromised computer. We have already implemented changes to LastPass for Applications designed to mitigate and minimize the risk of the potential attack detailed in this report.

To mitigate the risk of compromise while LastPass for Applications is in a locked state, LastPass for Applications will now shut down the application when the user logs out, clearing the memory and not leaving anything behind."

第二天就发布了 patch。而且,lastpass 的漏洞没有 1password 严重,lastpass 只会解密用户正在使用的密码,而 1password 一上来就解密整个 database。

https://www.zdnet.com/article/critical-vulnerabilities-uncovered-in-popular-password-managers/

到今天,lastpass 在 lock 状态下已不会泄露任何密码,而在 unlock 状态下也只会泄露用户正在使用的密码(所有 password manager 都会这样)。而 1password 没有发布任何修补,只是一味的将责任推给用户。
2019-03-10 19:18:30 +08:00
回复了 luckycat 创建的主题 随想 使用 1password 两年后,我开始改用 safeincloud
之前也用 1password, 但在最近爆出严重安全问题后立刻转用 lastpass。传送门: https://www.securityevaluators.com/casestudies/password-manager-hacking/

简而言之,1password 在解锁后立刻将所有密码和主密码解密到内存中,且在锁定后仍然可以读取。任何本地程序均可随意访问其内容。在被测试的所有软件中,1password 漏洞最大,而官方反应最为顽固,一直否认这个漏洞的严重性,不准备采取任何方法修补。

现在我绝对不会向任何人推荐 1password
1 ... 15  16  17  18  19  20  21  22  23  24 ... 28  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1174 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 31ms · UTC 23:55 · PVG 07:55 · LAX 15:55 · JFK 18:55
Developed with CodeLauncher
♥ Do have faith in what you're doing.