《悟透签名和证书》 网上支付时代更需要深入理解数字签名和数字证书。本文循序渐进阐述签名和证书的本质含义!(下) (weibo.com)
@NP等不等于P 2015-05-25 08:27 / 0个评论
要不要再学学下面的文章?
实用密码学之数字证书与 TLS 协议 (thiscute.world)
现代人的日常生活中,HTTPS 协议几乎无处不在,我们每天浏览网页时、用手机刷京东淘宝时、甚至每天秀自己绿色的健康码时,都在使用 HTTPS 协议。

作为一个开发人员,我想你应该多多少少有了解一点 HTTPS 协议。 你可能知道 HTTPS 是一种加密传输协议,能保证数据传输的保密性。 如果你拥有部署 HTTPS 服务的经验,那你或许还懂如何申请权威 HTTPS 证书,并配置在 Nginx 等 Web 程序上。

但是你是否清楚 HTTPS 是由 HTTP + TLS 两种协议组合而成的呢? 更进一步你是否有抓包了解过 TLS 协议的完整流程?是否清楚它加解密的底层原理?是否清楚 Nginx 等 Web 服务器的 HTTPS 配置中一堆密码学参数的真正含义?是否知道 TLS 协议有哪些弱点、存在哪些攻击手段、如何防范?
by @技术头条 2024-03-13 13:35 查看详情
证书透明机制 — 防范证书签发机构作恶 (www.addesp.com)
如果我拿到了一个网站的证书,但这个网站并不属于我,我就可以窃听,篡改这个网站的通信。

证书透明机制(Certificate Transparency)即 CT 机制可以缓解这个问题。
by @技术头条 2023-12-26 22:36 查看详情
OCSP—让你及时发现被吊销的数字证书的协议 (www.addesp.com)
但是如果一个证书出于某种原因被吊销了(比如私钥泄露),客户端此时无法根据证书所携带的信息来确定是否被吊销。OCSP 就是为了解决这个问题。
by @技术头条 2023-12-26 22:24 查看详情
iOS|获取 Distribution Managed 证书的 SHA-1 指纹和公钥 (mazhuang.org)
最近在处理 APP 备案的事情,其中 iOS 平台的资料里要求填写签名证书的 SHA-1 指纹和公钥。

按照阿里云的操作指南进行操作时,在公钥与签名 SHA1 值获取这一步遇到了问题:我们证书的类型与指南中显示的不同,是 Distribution Managed 类型的,苹果开发者网站上不提供下载,自然也就无法直接拿到公钥和 SHA-1 指纹了。
by @技术头条 2023-12-11 22:58 查看详情
升级到 Pulsar3.0 后深入了解 JWT 鉴权 (crossoverjie.top)
最近在测试将 Pulsar 2.11.2 升级到 3.0.1的过程中碰到一个鉴权问题,正好借着这个问题充分了解下 Pulsar 的鉴权机制是如何运转的。

Pulsar 支持 Namespace/Topic 级别的鉴权,在生产环境中往往会使用 topic 级别的鉴权,从而防止消息泄露或者其他因为权限管控不严格而导致的问题。
by @技术头条 2023-11-29 23:45 查看详情
基于UI交互意图理解的异常检测方法 (tech.meituan.com)
美团到店平台技术部/质量工程部与复旦大学周扬帆教授团队开展了科研合作,基于业务实际场景,自主研发了多模态UI交互意图识别模型以及配套的UI交互框架。本文从大前端质量保障领域的痛点出发,介绍了UI交互意图识别的方法设计与实现。基于UI交互意图编写的测试用例在实际业务中展现出了可以跨端、跨App的泛化能力,希望可以为从事相关工作的同学带来一些启发或帮助。
by @技术头条 2023-11-29 23:40 查看详情
为什么需要 “API 网关”? (www.addesp.com)
在 OSI 模型的网络层中,网关通常指路由器,因为它可以实现局域网间的数据互通。API 网关的作用也类似,即接受客户端的请求,转发客户端的请求,转发服务端的响应给客户端。

那么这和客户端直接请求有什么区别呢?一大区别就是 API 网关可以将不同服务的接口聚合成一个接口,客户端只要请求一次,API 网关就可以根据请求向若干个服务发起请求,等到请求完成后,一起返回给客户端。
by @技术头条 2023-11-06 23:29 查看详情
数字签名为什么可以防篡改 (www.addesp.com)
你可能在电视剧中看到坏人威胁主角的时候会拿出作为人质的亲人写的信,而主角一看笔迹就知道是亲人所写的了。

在这里笔迹起到了两个作用:1、证明信的内容确实是亲人所写;2、证明内容没有被篡改过。

在计算机的世界中,我们同样需要对信息一样的验证。
by @技术头条 2023-11-06 23:24 查看详情
深入 Android 可信应用漏洞挖掘 (paper.seebug.org)
重点介绍了主流厂商的TEE环境中的TA实现以及常见的攻击面并分享了一些针对TA做安全研究的技巧与方法,比如如何尽可能快速的拥有一台具备Root权限的手机用于研究与测试。同时还介绍了如何实现对TA进行模拟以及使用到的Fuzzing技术和部分调优策略。
by @技术头条 2023-10-30 23:40 查看详情
Github commit 签名+合并 Commit (crossoverjie.top)
借着这个机会也了解了 rebase 的骚操作挺多的,不过我平时用的最多的还是 merge,这个倒没有好坏之分,只要同组的开发者都达成一致即可。
by @技术头条 2023-10-25 00:02 查看详情
使用微博登录,分享你的文章到本站