登录 注册

授权码建议

本贴最后更新于 360 天前,其中的信息可能已经天翻地覆

image.png

吐槽一下目前授权码的机制,除了非本地访问纯纯就是安慰剂。。。

建议把忘记密码的处理机制改为只能重置密码,比如对 accessAuthCode 加密,忘记密码时只能删掉重置而不是直接告诉你密码是什么,基于这种机制旁人想打开也会畏首畏尾,就算真的敢重置用户也能及时知道

  • 思源笔记

    思源笔记是一款隐私优先的个人知识管理系统,支持完全离线使用,同时也支持端到端加密同步。

    融合块、大纲和双向链接,重构你的思维。

    23006 引用 • 92539 回帖
3 操作
wslrj 在 2023-12-28 11:07:42 更新了该帖
wslrj 在 2023-12-28 10:59:23 更新了该帖
wslrj 在 2023-12-28 10:59:01 更新了该帖
东莞 位置
3 操作
18 回帖
7
6
2
1.0k 200 22 698 22 5 84

相关帖子

18 回帖
授权码建议

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...
  • royc1
    订阅者 支持者 勇士

    这个讨论过很多次了,本身就是防君子不防小人的,本地存储也是明文的,直接删了你的配置也能进去。

    1 回复
  • wslrj
    订阅者 作者

    还是有区别的,一个是进去了不知道一个进去了知道,再者也不一定不能防小人,删掉配置就会重置密码正常人敢删吗?

    2 回复
  • royc1
    订阅者 支持者 勇士

    比如在社区里问怎么重置授权码,比如直接把你的空间拷贝走,方式很多。

    1 回复
  • wslrj
    订阅者 作者

    你是不是看成“正常人能删了”。。。

    1 回复
  • royc1
    订阅者 支持者 勇士

    我是说,不删也可以,直接把数据拷走完事,主要这种重置方式是公开的。历史遗留的问题,暂时也没什么好方法。

    1 回复
  • wslrj
    订阅者 作者

    你这话预设的前提:旁人十分了解思源、肯花大量时间精力在我的电脑前狗狗祟祟、随身携带移动存储设备
    大哥,我只是不想让别人随随便便就看到我的笔记有必要这么极端的反驳吗。。。意外防不住总不能不防把自己暴露给意外吧。。。

    1 回复
  • zxkmm 1 1 赞同
    付费者 支持者 捐赠者

    这个主意确实不错,但是要明确几点:

    1. 做不到防止数据被看到
    2. 做不到防止别人篡改密码
    3. 做不到数据加密。

    这个主意的好处只是假设你到处都用同一个密码的话,可以防止密码明文泄露

    1 操作
    zxkmm 在 2023-12-28 12:11:36 更新了该回帖
  • royc1
    订阅者 支持者 勇士

    没有极端啊,是已经有这样反馈啊,那时候老是有人问怎么重置,所以我才说历史遗留的问题。而且别人还找到你的工作空间呢,那不是花了精力特意来拷贝的吗?

    1 回复
  • royc1
    订阅者 支持者 勇士

    我想带出的信息是:

    1.重置机制做得再复杂也没用,因为本地存储不是加密的。

    2.删了这个提示后,很多人到社区或者群里问,也不是什么秘密。

    3.就算放了这个提示,别人还得找到你的空间,要全盘搜索你电脑的人也不是什么君子了,远离他或者不要把重要数据放在这个电脑上。

  • wslrj
    订阅者 作者

    《找到工作空间》《蓄谋已久的拷贝》,加上这两个前提更极端了。。。我的诉求只是不想别人随随便便就能看到我的笔记谢谢

    1 回复
  • royc1
    订阅者 支持者 勇士

    不找到你的工作空间,又怎么查看你的授权码呢?对吧?这个提示不是直接显示密码啊。

    1 回复
  • wslrj
    订阅者 作者

    所以把授权码加密就好了啊,正常生活中大多数人到了这一步基本就放弃了
    我不想别人随便便便就看到我的笔记,这是我第三遍说我的诉求了,现在的机制和直接把密码告诉你有什么区别?加密了还不放弃了那不叫“随便”叫“恶意”,“因为会被破解所以做再多也没用”就是一句正确的废话,你所有的密码都有破解的方法那就不设密码了?

    1 回复
    1 操作
    wslrj 在 2023-12-28 13:34:05 更新了该回帖
  • zxkmm
    付费者 支持者 捐赠者

    攻击者进去了你能得知,这点是做不到的。攻击者可以先把你原先的加盐值抄写(或者保存)下来,然后自己把自己的加盐后的密码填进去,看完你的笔记以后再把你的加盐后的密码填回去。

    或者更简单的就是直接看源文件。

    1 回复
  • royc1 1 赞同
    订阅者 支持者 勇士

    你误会了我的意思,我的意思是了解思源的人不需要破解授权码也能看,不了解思源的人连工作空间都找不到,看不到你的笔记的。而这个提示是因为太多人问怎么重置后的妥协办法,暂时没有更好的办法。

  • temacc0531

    简单点说,现在的授权码机制是用在对外公开使用的,也就是说即使这个信息公开了其他人也访问不到你的机器上的配置文件,而不是用来当作本地锁屏密码使用的

  • wslrj
    订阅者 作者

    技术层面可以通过随机盐解决,但不管怎么解决总会有破解的方法,所以没必要纠结这个
    现在的问题是其他人打开笔记的门槛过于低了,配上解锁的提示可以说稍微带点脑子都能神不知鬼不觉的进去,不求 D 大会把授权机制做到极致,但做好适用大多数人的防护措施我觉得是很有必要的 @88250

  • JeffreyChen
    付费者 支持者 捐赠者

    跟加密相关的讨论已经超级多了,D 大的意思是要做就做全套,一点缝都不留,但现在还做不到。

    是否提供文档级“加密”以保护隐私?(含投票)

  • Aiviokoo
    订阅者 恶龙

    可以换一种思路,比如我一般是随手用鼠标手势或按快捷键直接锁定电脑屏幕。

请输入回帖内容 ...
wslrj
东莞
回帖
77
 帖子
37
 积分
124

近期热议

推荐标签 标签

  • 导航

    各种网址链接、内容导航。

    42 引用 • 175 回帖
  • iOS

    iOS 是由苹果公司开发的移动操作系统,最早于 2007 年 1 月 9 日的 Macworld 大会上公布这个系统,最初是设计给 iPhone 使用的,后来陆续套用到 iPod touch、iPad 以及 Apple TV 等产品上。iOS 与苹果的 Mac OS X 操作系统一样,属于类 Unix 的商业操作系统。

    85 引用 • 139 回帖
  • 脑图

    脑图又叫思维导图,是表达发散性思维的有效图形思维工具 ,它简单却又很有效,是一种实用性的思维工具。

    30 引用 • 96 回帖
  • 生活

    生活是指人类生存过程中的各项活动的总和,范畴较广,一般指为幸福的意义而存在。生活实际上是对人生的一种诠释。生活包括人类在社会中与自己息息相关的日常活动和心理影射。

    230 引用 • 1454 回帖
  • JavaScript

    JavaScript 一种动态类型、弱类型、基于原型的直译式脚本语言,内置支持类型。它的解释器被称为 JavaScript 引擎,为浏览器的一部分,广泛用于客户端的脚本语言,最早是在 HTML 网页上使用,用来给 HTML 网页增加动态功能。

    728 引用 • 1273 回帖 • 2 关注
  • 链滴

    链滴是一个记录生活的地方。

    记录生活,连接点滴

    156 引用 • 3792 回帖
  • Rust

    Rust 是一门赋予每个人构建可靠且高效软件能力的语言。Rust 由 Mozilla 开发,最早发布于 2014 年 9 月。

    58 引用 • 22 回帖
  • 博客

    记录并分享人生的经历。

    273 引用 • 2388 回帖
  • Hprose

    Hprose 是一款先进的轻量级、跨语言、跨平台、无侵入式、高性能动态远程对象调用引擎库。它不仅简单易用,而且功能强大。你无需专门学习,只需看上几眼,就能用它轻松构建分布式应用系统。

    9 引用 • 17 回帖 • 612 关注
  • BookxNote

    BookxNote 是一款全新的电子书学习工具,助力您的学习与思考,让您的大脑更高效的记忆。

    笔记整理交给我,一心只读圣贤书。

    1 引用 • 1 回帖
  • 支付宝

    支付宝是全球领先的独立第三方支付平台,致力于为广大用户提供安全快速的电子支付/网上支付/安全支付/手机支付体验,及转账收款/水电煤缴费/信用卡还款/AA 收款等生活服务应用。

    29 引用 • 347 回帖 • 5 关注
  • 工具

    子曰:“工欲善其事,必先利其器。”

    288 引用 • 734 回帖
  • Sym

    Sym 是一款用 Java 实现的现代化社区(论坛/BBS/社交网络/博客)系统平台。

    下一代的社区系统,为未来而构建

    524 引用 • 4601 回帖 • 700 关注
  • Ngui

    Ngui 是一个 GUI 的排版显示引擎和跨平台的 GUI 应用程序开发框架,基于
    Node.js / OpenGL。目标是在此基础上开发 GUI 应用程序可拥有开发 WEB 应用般简单与速度同时兼顾 Native 应用程序的性能与体验。

    7 引用 • 9 回帖 • 394 关注
  • Flutter

    Flutter 是谷歌的移动 UI 框架,可以快速在 iOS 和 Android 上构建高质量的原生用户界面。 Flutter 可以与现有的代码一起工作,它正在被越来越多的开发者和组织使用,并且 Flutter 是完全免费、开源的。

    39 引用 • 92 回帖 • 7 关注
  • CAP

    CAP 指的是在一个分布式系统中, Consistency(一致性)、 Availability(可用性)、Partition tolerance(分区容错性),三者不可兼得。

    11 引用 • 5 回帖 • 612 关注
  • GitLab

    GitLab 是利用 Ruby 一个开源的版本管理系统,实现一个自托管的 Git 项目仓库,可通过 Web 界面操作公开或私有项目。

    46 引用 • 72 回帖
  • Hexo

    Hexo 是一款快速、简洁且高效的博客框架,使用 Node.js 编写。

    21 引用 • 140 回帖 • 3 关注
  • BAE

    百度应用引擎(Baidu App Engine)提供了 PHP、Java、Python 的执行环境,以及云存储、消息服务、云数据库等全面的云服务。它可以让开发者实现自动地部署和管理应用,并且提供动态扩容和负载均衡的运行环境,让开发者不用考虑高成本的运维工作,只需专注于业务逻辑,大大降低了开发者学习和迁移的成本。

    19 引用 • 75 回帖 • 653 关注
  • RYMCU

    RYMCU 致力于打造一个即严谨又活泼、专业又不失有趣,为数百万人服务的开源嵌入式知识学习交流平台。

    4 引用 • 6 回帖 • 51 关注
  • JVM

    JVM(Java Virtual Machine)Java 虚拟机是一个微型操作系统,有自己的硬件构架体系,还有相应的指令系统。能够识别 Java 独特的 .class 文件(字节码),能够将这些文件中的信息读取出来,使得 Java 程序只需要生成 Java 虚拟机上的字节码后就能在不同操作系统平台上进行运行。

    180 引用 • 120 回帖 • 2 关注
  • 单点登录

    单点登录(Single Sign On)是目前比较流行的企业业务整合的解决方案之一。SSO 的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

    9 引用 • 25 回帖
  • Redis

    Redis 是一个开源的使用 ANSI C 语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value 数据库,并提供多种语言的 API。从 2010 年 3 月 15 日起,Redis 的开发工作由 VMware 主持。从 2013 年 5 月开始,Redis 的开发由 Pivotal 赞助。

    286 引用 • 248 回帖 • 44 关注
  • sts
    2 引用 • 2 回帖 • 197 关注
  • OnlyOffice
    4 引用 • 2 关注
  • danl
    146 关注
  • OAuth

    OAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是 oAuth 的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此 oAuth 是安全的。oAuth 是 Open Authorization 的简写。

    36 引用 • 103 回帖 • 17 关注

最新标签