{"version":"https://jsonfeed.org/version/1.1","title":"苏迟但到的主页","home_page_url":"https://kexohproject.pages.dev","feed_url":"https://kexohproject.pages.dev/json/","description":"<p>你好，欢迎访问个人主页！</p><p>擅长密码学，安全分析，数字水印等技术。</p><p>你可以联系我通过:findmykexin@gmail.com或者知乎私信。</p><p>我的知乎链接：<a href=\"https://www.zhihu.com/people/su-chi-dan-dao\" rel=\"noopener noreferrer\" target=\"_blank\">苏迟但到 - 知乎 (zhihu.com)</a></p><p>我的github链接：<a href=\"https://github.com/kexinoh\" rel=\"noopener noreferrer\" target=\"_blank\">kexinoh</a></p>","icon":"https://kexohcdn.gptapi.cyou/kexohproject/production/images/channel-2e54d141ee195646ca12a9d16507a908.jpg","favicon":"https://kexohcdn.gptapi.cyou/kexohproject/production/images/favicon-340a2925d02a0386f3b954a032834917.jpg","authors":[{"name":"苏迟但到"}],"language":"zh-cn","items":[{"id":"ZGmeLlarKef","title":"学习通回应疑似用户数据泄露传闻，未发现明确证据，已报案，有哪些值得关注的信息？","content_html":"<p data-pid=\"lpEIlYpT\">看完高赞回答我大受震撼。</p><p data-pid=\"5M1yf0LG\">先说结论：公司已经违法密码法，公司老板可以被依法逮捕了。</p><p data-pid=\"5zqCMxb_\">对于密码怎么还有人不用hash加盐我都很难理解的时候，在大家都开始研究上慢hash，私有hash,x11的时候，竟然有的公司还没有用上hash。</p><p data-pid=\"WWmWr2EZ\">而且进行加密还是用des，根据我国法律重要互联网设施应当使用国密sm4 。使用des从国家安全角度来看属于违法了，一种纯纯智障卖国行为。</p><p data-pid=\"Z1TG3eKt\">而且什么程序员在写代码的时候连这些都没有注意到，aes也不会比des复杂，hash也没有多复杂。</p><p data-pid=\"MlIGpXmJ\">还有一点，信息泄露是实锤的，我个人去外网验证过了。</p><p data-pid=\"JW7VtxFy\">一开始我更多认为不是数据库泄露，而是安全策略出现问题，例如在校园内信息共享开放，但是又对于加入校园没有限制，导致黑客使用爬虫窃取信息。因为安全策略是很常见的隐私泄露来源，例如开放通讯录好友查找权限，那么黑客只需要把手机号遍历一遍就可以窃取整个数据库中开放账号的对应关系。</p><p data-pid=\"2zJk7mEp\">但是看见学习通的安全意识如此薄弱，我认为数据库直接泄露的可能性越来越大。</p><p data-pid=\"NrmttGyx\">我再一次提出我的解决方案，就是采用子号码的手段，给用户开放一批15位数的子号码。</p><p data-pid=\"lgr8BExi\">子号码绑定在主号码之下，可以用于接收验证码。</p><p data-pid=\"nTQktnZe\">每一个人平均下来可以拥有10000个子号码空间，足够日常所需。用户可以针对一个app快速申请一个15位手机号，再将这个手机号用于注册专属app。</p><p data-pid=\"jYg89hIt\">好处有很多，某公司数据库泄露，但是主手机号不会泄露。</p><p data-pid=\"VDo2rQO8\">也避免了用户为了隐私安全购买大量手机号的需求。</p><p data-pid=\"z1lrPBz3\">架构实现简单，只需要运营商搭建一个数据库，完成定向信息转发就可以了。</p>","content_text":"看完高赞回答我大受震撼。\n\n先说结论：公司已经违法密码法，公司老板可以被依法逮捕了。\n\n对于密码怎么还有人不用hash加盐我都很难理解的时候，在大家都开始研究上慢hash，私有hash,x11的时候，竟然有的公司还没有用上hash。\n\n而且进行加密还是用des，根据我国法律重要互联网设施应当使用国密sm4 。使用des从国家安全角度来看属于违法了，一种纯纯智障卖国行为。\n\n而且什么程序员在写代码的时候连这些都没有注意到，aes也不会比des复杂，hash也没有多复杂。\n\n还有一点，信息泄露是实锤的，我个人去外网验证过了。\n\n一开始我更多认为不是数据库泄露，而是安全策略出现问题，例如在校园内信息共享开放，但是又对于加入校园没有限制，导致黑客使用爬虫窃取信息。因为安全策略是很常见的隐私泄露来源，例如开放通讯录好友查找权限，那么黑客只需要把手机号遍历一遍就可以窃取整个数据库中开放账号的对应关系。\n\n但是看见学习通的安全意识如此薄弱，我认为数据库直接泄露的可能性越来越大。\n\n我再一次提出我的解决方案，就是采用子号码的手段，给用户开放一批15位数的子号码。\n\n子号码绑定在主号码之下，可以用于接收验证码。\n\n每一个人平均下来可以拥有10000个子号码空间，足够日常所需。用户可以针对一个app快速申请一个15位手机号，再将这个手机号用于注册专属app。\n\n好处有很多，某公司数据库泄露，但是主手机号不会泄露。\n\n也避免了用户为了隐私安全购买大量手机号的需求。\n\n架构实现简单，只需要运营商搭建一个数据库，完成定向信息转发就可以了。","date_published":"2022-06-22T03:39:57.000Z","_microfeed":{"web_url":"https://kexohproject.pages.dev/i/学习通回应疑似用户数据泄露传闻-未发现明确证据-已报案-有哪些值得关注的信息-ZGmeLlarKef/","json_url":"https://kexohproject.pages.dev/i/ZGmeLlarKef/json/","rss_url":"https://kexohproject.pages.dev/i/ZGmeLlarKef/rss/","guid":"ZGmeLlarKef","status":"published","itunes:title":"New Article Title for iTunes","date_published_short":"Tue Jun 21 2022","date_published_ms":1655869197000}}],"_microfeed":{"microfeed_version":"0.1.2","base_url":"https://kexohproject.pages.dev","categories":[{"name":"Education","categories":[{"name":"Language Learning"}]},{"name":"Technology"}],"subscribe_methods":[{"name":"RSS","type":"rss","url":"https://kexohproject.pages.dev/rss/","image":"https://kexohproject.pages.dev/assets/brands/subscribe/rss.png","enabled":true,"editable":false,"id":"4KlfbtkEfzy"},{"name":"JSON","type":"json","url":"https://kexohproject.pages.dev/json/","image":"https://kexohproject.pages.dev/assets/brands/subscribe/json.png","enabled":true,"editable":false,"id":"DVFm7TYiNSq"}],"description_text":"你好，欢迎访问个人主页！\n\n擅长密码学，安全分析，数字水印等技术。\n\n你可以联系我通过:findmykexin@gmail.com或者知乎私信。\n\n我的知乎链接：苏迟但到 - 知乎 (zhihu.com)\n\n我的github链接：kexinoh","copyright":"©2024","itunes:type":"episodic","items_sort_order":"newest_first"}}