Re: [请益] 怎样的登入接口才是最安全的?

楼主: KeyFSN ( ~☼☽✩☁~ )   2021-01-25 07:20:24
这位兄台讲到了一个很重要的关键, 容我补充一些实务上的细节
※ 引述《KanzakiHAria (神崎・H・アリア)》之铭言:
: ※ 引述《red0whale (red whale)》之铭言:
: : 现在的什么Google Chrome还是什么Firefox之类的主流浏览器
: : 虽然看起来就是有名大公司生产的浏览器产品
: Firefox是自由软件起家的
: : 但也不能保证我们使用他们的浏览器连上网,在每个网页键入的每一个字、上传及下载的每一张图片和档案
: : 都不会被记录进他们公司内部的服务器内
: : 也就是说,搞不好你用Chrome登入像是Facebook界面时,输入的帐号密码,键入的每一个字Google他们都会给你记录得一清二楚
: 你可以看firefox source code 这样就知道会不会连输入错字都被上传
首先你遇到的第一个问题就是: Fiefox 的 codebase 太过庞大, 以一人之力想要维护所
有的模块根本不切实际
于是呢—
你就找了几个志同道合的好朋友, 每个人根据各自的专长分别负责某些区块
但是呢—
你发现不光只是 Firefox 的 codebase, 还有 Firefox 的各种 dependency 也可能存在
风险
于是呢—
你又找了一批人, 让他们负责检查各种被引入的 dependency 都是安全的
但是呢—
你又发现, 程式码光用看的是不够的, 很多 bug 只有透过测试才能发现
于是呢—
你又又找了一批人, 让他们负责写各种 unit tests, integration tests, E2E tests...
但是呢—
你又又发现光靠自己找 bug 也是不够的, 每个月 CVE 都会公布各种稀奇古怪的新漏洞
于是呢—
你又又又找了一批人, 让他们负责定期修补最新发现的漏洞
但是呢—
你又又又发现参与这个专案的人已经太多, 没办法有效率的管理所有事情
于是呢—
你又又又又找了一批人, 成立基金会, 把所有人组织化
但是呢—
你又又又又发现其实不需要什么事情都光靠自己, 社群的力量是很大的!
于是呢—
你又又又又又决定把目前的所有成果全部开源, 让有共同目标的人都可以一起参与, 并将
这个 project 命名为 IceFox!
...
...
...
那这跟 FireFox 到底有什么不一样!!
: : 即便你在输入途中打错了一个字而去修正,搞不好Google连这也都知道呢
: 不放心的话自己载 firefox source code自己build
: : 所以要达到安全的输入和输出界面,我们是不是尽量不要用开发网站的形式给大众登入和输入私密资料以及传送私密资讯给大众?
: : 否则我们的一举一动都可能被Google还是什么Mozilla之类的浏览器公司记录起来并让他们给知道了?
: : 如果我们的登入界面或什么较私密的资讯呈现都不用网页形式开发而改用自行开发APP来让大众输入资料和将资讯输出给大众
: : 那使用者使用的那个作业系统例如Windows、Linux、Android什么的在有连网的情况下不也都有可能会利用类似的方式知道这些私密资料及资讯吗?
: 同上,你可以看linux source code 看它有没有纪录你的东西上传
: : (毕竟我们开发的APP所执行的OS环境也是别的公司开发的,他们也都还是有能力把使用者输入的任何资料和呈现给使用者的资讯传送到他们的服务器内)
: : 这样岂不是也不安全吗?
: : 为了达到终极的安全,我们是不是要使出杀手锏,自行开发一套作业系统
: : 开发了自己的作业系统后,并在自己的作业系统上再开发自己的APP,才能真的保证所有资料和资讯输入、输出及传递的安全?
: 同上,不放心的话自己载linux source code自己build
: : 否则不管是用开发网站的形式还是开发现在主流OS的APP多少都有安全上的疑虑吧?
: build不放心的话你可以反组译你的compiler看它有没有偷塞code
: : 我知道大概又会有人看不下去想嘘我了
: : 不过我要问的就是这样
: : 也许我的问题里有什么盲点可能我自己也不知道
: 安全靠自己 不求人 自己看code自己build
: : 鉴于我的才疏学浅
: : 问题中如有任何谬误或误解之处
: : 敬请多多指教
: 你提了open source的linux和firefox 却没提mac这种比windows/andoird更封闭的系统
: 你八成是果粉 建议你还是用mac pro最安心 不用谢
作者: B0988698088 (废文少女小円♥)   2021-01-25 10:59:00
所以你想表达什么
作者: sherees (ShaunTheSheep)   2021-01-25 11:01:00
看到一半有猜到结果XDD
作者: TakiDog (多奇狗)   2021-01-26 05:10:00
一开始出发点是改善对方缺点 loooop
作者: leo5916267 (小叶)   2021-01-26 16:53:00
要考虑的事情太多不如就放弃吧
作者: kiru000 (Shitpickle)   2021-01-26 20:27:00
我都叫PornFox
作者: viper9709 (阿达)   2021-01-27 00:49:00
推最后一句XD
作者: blc (Anemos)   2021-01-27 02:18:00
保持怀疑是好事,因为查不了就无条件接受有点莫名

Links booklink

Contact Us: admin [ a t ] ucptt.com