V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  yuikns  ›  全部回复第 29 页 / 共 42 页
回复总数  823
1 ... 25  26  27  28  29  30  31  32  33  34 ... 42  
2019-01-16 06:26:54 +08:00
回复了 frylkrttj 创建的主题 问与答 不同的 git 仓库能指定不同的 gpg 密钥吗 ?
ssh/https 保证了传输的数据流是安全的。

github 上代码不想别人看到可以用私有库。即便免费账户也可以受限使用它。


gpg 干的是另外一些事情。如上一楼提到的。
2019-01-16 06:23:17 +08:00
回复了 frylkrttj 创建的主题 问与答 不同的 git 仓库能指定不同的 gpg 密钥吗 ?
@frylkrttj
没懂...

https://s2.ax1x.com/2019/01/16/FzvrVS.png

不能创建私有仓库?现在免费用户也可以创建私有库了吧。


@whileFalse 已经转的帖子已经说得很明白了。此外,网上还可以找到很多说明

https://security.stackexchange.com/questions/120706/why-would-i-sign-my-git-commits-with-a-gpg-key-when-i-already-use-an-ssh-key-to



首先介绍两个概念。

authorization 是 “身份校验”,它就好像以房卡。有了房卡。马蓉可以进酒店,王宝强也可以。
签名 (signature) 是密码学中的一个概念。
在非对称加密算法中,公钥和私钥都是一个大素数,它们的不同名称只是公钥是给所有人知道的,而私钥只能自己知道。本质其实是一样的。这对素数可以通过一个加密一段内容,通过另一个解密。
若别人通过公钥加密,得到一个东西,我们称为密文,我们通过私钥解密。这个被称为“加密”,理论上,只有掌握那个私钥的我才能读取那段密文。这个让那个消息作为隐私。
反之,要是我用私钥加密一段内容,而公众使用公钥解密,这个被称为签名。它的好处是证明这段内容是我发出的,而不可能是任何其它人。
不过,RSA 的加密和解密都很复杂,而且我们有时候并不需要那么复杂,那么我们可以基于散列( hash )生成一个信息摘要( message digest )。它长度会比较短,我们不能从摘要中生成原文,但是我们可以用它检查原文的正确性和完整性。
比如我们准备一个王宝强的摘要,照片,身高,声音等等。那么宋 JJ 跑马蓉房间,我们抓住他,然后和摘要对比,那么很容易可以证明进马蓉房间的不是王宝强。



简单翻译下上面那个链接的内容,作为补充说明:

当你使用 ssh 密钥对 gh 身份验证后,验证信息本身不会存储起来。github 只是临时提供了一条让你读写的途径,但不会和任何不在 github 的人证明任何(身份相关的)信息。

当你 gpg 签名一个 tag 后。这个 tag 就是这个库的一部分,它可以被 push 到其它仓库。因此,clone 这个库的别人也能很容易验证这是你签名的,然后就可以像相信你一样相信那个内容。

然而,对每个 commit 进行 gpg 签名是不必要的。但在发布带 gpg 签名的 tag 是明智的。它提供了一些明确的保证:

+ 这个代码若有问题和你有关
+ 这个代码是你提交的
+ 在你签名后,这个提交没有修改过

这个并不是说你干了这些事,而只是提供追踪和确认的一个正确方向。
2019-01-16 05:23:00 +08:00
回复了 9Smile 创建的主题 问与答 收到一封勒索邮件,分享一下
这个我也收到过。和楼上说得其实不太一致。它其实是利用了邮件过滤器规则漏洞发送的。我可以提供一个稍微马赛克了下的样本:

Return-Path: <[email protected]>
Delivered-To: <[email protected]>
Received: from mail.mail.bar.orz
by mail.bar.orz (Dovecot) with LMTP id QWEASDBEF
for <[email protected]>; Tue, 15 Jan 2018 01:02:03 +0800
Message-ID: <[email protected]>
DKIM-Filter: OpenDKIM Filter v2.11.0 mail.mail.bar.orz 5EBBC5C2D0
Date: Mon, 15 Jan 2018 12:02:01 -0500
Reply-To: "Foo" <[email protected]>
From: [email protected]
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.10) Gecko/20070306 Thunderbird/1.5.0.10
X-Accept-Language: en-us
MIME-Version: 1.0
To: <[email protected]>

内容略,大致就是说知道了我的密码,用我的邮箱发个信给自己证明一下(错,检查 log 我发现发信方是直接投到我的收件箱的,没有通过发件箱。),黑了我的路由(错,我用的是 google 家那个圆柱体,和 cisco 没有任何关系),发现我看了很多牛逼的网站(我也觉得...),所以要寄一点比特币给他。

检查 log 发现,发信方是在远程,收件人使用了一个构造的,外部的 return path。当然,这个地址其实不存在,只是为了骗过滤器的。
然后在 From 字段显式的是你的地址,reply-to 里面的字符串也是你的名字,不过简单把我的用户名首字母大写一下不太走心啊。
这是因为粗陋的邮件服务提供商(自己骂自己),即便有过滤器,没有配置好过滤规则,所以给发进来了。其实和其它垃圾邮件没多区别。

此外,这个邮件漏洞还有很多。比如我自己是有配置 DKIM 的,spf 也是 hard reject。它要是直接把 Return-Path 真设置为我自己的邮箱,那么 DKIM 和 SPF 那两关都过不了。不过配置 sieve 规则太麻烦了,要是有比较方便的自己写脚本,我能把这种弱智邮件当场顺着 tcp 骂回过去。
2019-01-16 00:16:46 +08:00
回复了 mathzhaoliang 创建的主题 问与答 求助一个 RSA 解密的问题
@mathzhaoliang 一楼是 hexdump 的输出…
分别是一地址,内容,尝试转义为 ascii 码后结果

哪里有“奇怪的字符”
2019-01-16 00:10:23 +08:00
回复了 mrzhang76 创建的主题 信息安全 洗个澡的功夫,服务器被人拿了 root
好奇怪,ssh-keygen 完了 ssh-copy-id 下,之后直接就进去了,那些 duangduangduangduang 每次都输入十几位口令的,是觉得自己手速特别快,不展示下可惜了么?

要是普通用户想要 root 那太简单了,配置下 sudoer 即可控制免密码。
2019-01-15 15:52:05 +08:00
回复了 qiangmin 创建的主题 新手求助 rm -fr /*之后,拿什么来挽救服务器。
高可用是自己服务架构的事情,提供商只能提供各种 snapshot & backup。
2019-01-15 15:49:25 +08:00
回复了 qiangmin 创建的主题 新手求助 rm -fr /*之后,拿什么来挽救服务器。
The Linode Backup System is designed to be an easy to use, reliable and redundant on-site backup solution for your Linode. It performs backups without causing any interruption of your running system. It provides 4 backup slots. Three of the slots are executed and rotated automatically: a daily backup, a 2-7 day old backup, and an 8-14 day old backup. The fourth backup slot is a user-initiated snapshot and remains in place until another user-initiated snapshot is taken.

供参考
2019-01-15 14:59:48 +08:00
回复了 dachuige 创建的主题 问与答 wordpress 很占 CPU,你们觉得呢?
@lunatic5
HHVM is an open-source virtual machine designed for executing programs written in Hack and PHP. HHVM uses a just-in-time (JIT) compilation approach to achieve superior performance while maintaining the development flexibility that PHP provides. 这是 fb 的
ab 是 apache 的… 你说的“我的”是哪个
2019-01-15 13:29:07 +08:00
回复了 dachuige 创建的主题 问与答 wordpress 很占 CPU,你们觉得呢?
wp-super-cache 安装下?

hhvm ( https://hhvm.com/ ) 试试?
升级到了 php7 了?

------

另外,vps 的 cpu 普遍弱。单核的话来个 100% 太正常。其实 htop 那也是闪一下。benchmark 是算 qps 来着。
试试这个工具: https://httpd.apache.org/docs/2.4/programs/ab.html
2019-01-15 13:23:17 +08:00
回复了 frylkrttj 创建的主题 问与答 不同的 git 仓库能指定不同的 gpg 密钥吗 ?
Linux 是很好的操作系统。
git 是很好的版本管理工具。
emacs 是不错的编辑器。虽然我用 vim,textmate 还有 jetbrain 全家桶。

但无论哪个,都是学习编程的既不充分又不必要前提。程序就是程序,上面那一切都是有趣的工具,是在未来某个时候可能提高你效率的重要手段(除了 emacs )。但不要因为一时的卡住而忘记学代码本身。
2019-01-15 13:17:28 +08:00
回复了 frylkrttj 创建的主题 问与答 不同的 git 仓库能指定不同的 gpg 密钥吗 ?
@frylkrttj 那为啥不用私有仓库
2019-01-15 13:11:21 +08:00
回复了 frylkrttj 创建的主题 随想 我都 16 岁了还没自己的银行卡
对了,我 15 岁高一就有借记卡了。户口簿完全没问题,哪来的 16 岁限制。身份证是高二还是会考前夕办的。不过收入账务完全和家人透明。某次压岁钱忘了报备了,被怀疑想要黑了这笔钱,被教训了一整天。

若我回到过去,恐怕也不会有任何改变。

但是,高考的专业我独自决定,只是通知了一下家人,完全不商量。后来工作也是。工作后,拿到的钱年底给一笔分红完事。
2019-01-15 13:02:24 +08:00
回复了 frylkrttj 创建的主题 随想 我都 16 岁了还没自己的银行卡
我二十岁的时候家里每个月给我 500 生活费。央求了好久,叔叔给我买了人生第一台笔记本。我终于不用网吧装 VS 了。
我爷爷给我买的很多中华书局,人民出版社的书,一直藏在我的书柜,给我爸送给了熊孩子。

楼主现在好好学习,未来能好好赚钱,自己赚的才有权支配。

----

不过啊。即便如此。借记卡有身份证 /户口簿就能办理吧。
2019-01-15 10:04:55 +08:00
回复了 yuikns 创建的主题 Google 这种搜索排序可以如何实现?
感谢各位。

我也不知道是不是巧合,或者什么原因。只是正文中提到的一些迹象让我感觉有特殊的处理。然后不由考虑如何才能在保证性能的同时可以抓住这个 feature 然后加上。
很多人说潮汐,其实无可无不可。且不说 CS 是 computer science,范围远广于互联网。之前我还打算学理论物理来着。就算 CS 未来工资再低一些,我只要干我喜欢的事情,其实一样自得其乐。一切只会看钱,哪有功夫去玩代码啊。

但是就此事而言。我觉得楼主管得太宽了。
我妹考大学,问我选什么专业,我说要选自己喜欢的。她选了个不是 CS 的。我说好,专业我不懂,不过我周围正好有这专业的博士生。然后拉一起聊聊实际前景。然后她觉得很有意思。就选了。
平时我只管给点钱,劝她尽量买正版软件(唯一专业相关的干涉),多参加参加社团活动,多试试不同的好吃的,有好东西要和别人分享。但具体钱花到哪她问我我都拒绝收听。
我的姓名.com KINGCOM $8.88/yr Retail $10.98/yr

没给注册啊, 快去注册别给人抢了

//// 以上只是皮一下..

其实现在域名也有很多语义。比如做组织可以用 org, 教育用 edu, 个人的话,其实用 me 多好。
2019-01-15 05:12:14 +08:00
回复了 dlrdegk 创建的主题 问与答 订婚戒指选择钻石还是莫桑石?
@uu011001 很多人买房子不眨眼,买台电脑笔记本恨不得是 100 手的,舍不得。
钻石同理。

> 给媳妇买颗钻石都这么难吗
这种话术太老套了。

https://s2.ax1x.com/2019/01/15/FziNMd.png



我建议楼主买 $1785 的钻石,然后再买 $26.06/gram 的铂金 1024g 大约总价 $26686 也送给媳妇证明不是钱不钱的问题。
我觉得没那么复杂。英文里面也有个很常用的词“ interesting ”。你和人巴拉巴拉半天,人家觉得这什么沙雕,那么可能会礼貌回一句,interesting,意思是别啰嗦了。

公子是公侯的子嗣,后来可以称呼随便谁,现在马云被称为帅哥毫无不自然。
开始叫拉屎,后来叫净手,出恭,更衣。

总之规律很复杂,在于你不知道下一个在某个方向上“更强”的词汇是什么。但也很简单,方向总是一致的。

interesting 本来用来解决“你说的嘛玩意儿,闭嘴吧您呐”这句话的
我洗澡去了 本来是解决“烦死了别和我说话”
呵呵 本来是解决“你开心就好,懒得和你鬼扯”


小时候老师讲台上讲故事,其中不得不提到 rape 这件事,我插嘴道“我知道,是强奸”,老师狠狠白了我一眼“知道你又会一个单词了”。
总有人觉得还需要“更强”的词汇的。虽然会导致二义性问题,乃至本来就是蹭那个意思,但天下大势浩浩汤汤,普通人只能避免一下使用造成歧义的话了
2019-01-13 18:03:23 +08:00
回复了 jss 创建的主题 PHP 拒绝 API 在公网裸奔之实现过程
现在还有人分不清 Password 和 Encryption ?
1 ... 25  26  27  28  29  30  31  32  33  34 ... 42  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1028 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 33ms · UTC 20:13 · PVG 04:13 · LAX 12:13 · JFK 15:13
Developed with CodeLauncher
♥ Do have faith in what you're doing.